개인정보 유출로 인한 비재산적 손해의 판단 구조의 재구성 - 손해 발생과 손해액 판단 요소의 분리 -
Reconstructing the Analytical Framework for Non-Pecuniary Damage Caused by Personal Data Breaches: Separating the Existence of Damage from the Assessment of Damages
- 37
개인정보 유출로 인한 비재산적 손해의 배상에 관하여, 우리 대법원은 GS칼텍스 판결 이래 정신적 손해의 발생 여부를 판단하는 일곱 가지 종합적 고려 요소를 제시해 왔다. 그러나 이 일곱 요소 가운데에는 손해의 발생 여부를 가리는 요소뿐 아니라, 손해의 크기, 책임 성립, 감경에 관련된 사정들이 함께 섞여 있다. 그 결과 본래 손해액을 낮추거나 책임 범위를 조정하는 방향으로 작용할 사정들이 손해 발생 자체를 부정하는 근거로 원용될 여지가 생긴다. 최근 대법원 2023다311184 판결은 개인정보 보호법 제39조의2의 법정손해배상에서 정보주체가 손해 발생을 구체적으로 증명할 필요는 없다고 하면서도, 개인정보처리자가 정신적 손해의 부존재를 증명하여 면책될 수 있다고 보면서 그 판단에 일곱 요소를 그대로 원용하였는데, 이는 손해액 산정 단계에서 고려되어야 할 사정들까지 손해 부존재의 근거로 고려한 것이다. 이 글은 이러한 판단 요소의 혼재를 손해 발생 판단과 손해액 산정의 구별이라는 관점에서 재구성할 것을 제안한다. 손해 발생 여부는 정보주체의 의사에 반하여 개인정보가 그의 지배영역을 벗어나 권한 없는 제3자의 접근이 가능한 상태에 놓였는지라는 기준을 중심으로 판단하고, 정보의 민감성, 식별 용이성, 확산 범위, 추가 법익침해 가능성, 사후 조치 등 나머지 요소는 손해액 산정 단계로, 관리 실태와 유출 경위는 책임 성립 요건이자 산정 요소로 각각 재배치하여야 한다. 이러한 재구성은 새로운 손해 개념의 도입이 아니라, KB카드 판결 이래 일부 하급심이 이미 제3자 접근 가능 상태를 중심으로 손해 발생을 인정해 온 것을 명시적으로 판단기준에 반영하는 의미가 있다. 비교법적으로도 유럽사법재판소와 독일 연방대법원은 통제권 상실 자체가 비재산적 손해를 구성할 수 있다고 보아 손해 발생 요건을 완화하는 한편 손해액은 낮게 산정하는 방향으로 나아가고 있다. 개인정보 유출은 개별 피해자의 손해가 경미하더라도 다수의 피해자에게 동시에 발생하는 분산된 손해 유형에 속하므로, 개별 손해가 경미하다는 이유로 손해 발생 자체가 부정되면 입법자가 마련한 과실 증명책임의 전환, 법정손해배상, 징벌적 손해배상이라는 장치가 모두 작동할 여지가 없게 된다. 손해 발생 판단의 기준을 명확히 하고 산정 요소를 분리하는 해석론은, 피해자 구제는 물론 현행법이 갖춘 제도적 장치가 본래의 기능을 잘 수행하도록 하기 위한 전제로서의 의미가 있다.
Since the GS Caltex decision, the Korean Supreme Court has applied seven comprehensive factors to determine whether non-pecuniary damage has arisen from a personal data breach. These factors, however, conflate matters of distinct character: some bear on whether damage exists at all, while others concern the magnitude of the damage, the establishment of liability, or grounds for mitigation. As a result, circumstances that should operate to reduce the amount of compensation or to adjust the scope of liability may instead be invoked to deny the very existence of damage. In its recent decision 2023Da311184, the Supreme Court held that, under the statutory damages provision of Article 39-2 of the Personal Information Protection Act, a data subject need not specifically prove the occurrence of damage, yet also held that a controller may be discharged from liability by proving the absence of mental suffering. In making that determination, the Court relied on the same seven factors, thereby mobilizing considerations proper to the assessment of the amount of damage as grounds for denying its existence. This article proposes to restructure these factors by distinguishing the determination of whether damage exists from the determination of its amount. Whether damage has arisen should be judged by a single criterion: whether personal information, against the data subject's will, has left the subject's sphere of control and been placed in a state accessible to unauthorized third parties. The remaining factors—the sensitivity and identifiability of the information, the scope of dissemination, the likelihood of further infringement, and post-incident measures—belong to the stage of assessing the amount, while the controller's management practices and the circumstances of the breach pertain both to the establishment of liability and to the assessment of the amount. This restructuring does not introduce a novel concept of damage; rather, it formulates explicitly the approach that some lower courts have already adopted, recognizing damage on the basis of third-party accessibility. Comparative law points in the same direction. The Court of Justice of the European Union and the German Federal Court of Justice have held that the loss of control itself may constitute non-pecuniary damage, relaxing the threshold for the existence of damage while keeping awards modest. Because personal data breaches constitute a type of diffused harm—where each individual's loss is slight but many are harmed simultaneously—denying the existence of damage on the ground that individual losses are minor deprives the corrective mechanisms enacted by the legislature (the reversal of the burden of proof as to fault, statutory damages, and punitive damages) of any foundation on which to operate. An interpretive approach that clarifies the criterion for the existence of damage and separates out the factors for assessing its amount is therefore a precondition not only for the relief of victims but also for enabling the existing statutory mechanisms to perform their intended functions.
Ⅰ. 서론
Ⅱ. 개인정보 유출로 인한 손해배상 법제 및 판례의 전개
Ⅲ. 유럽사법재판소, 독일 연방대법원 및 영국 대법원의 입장
Ⅳ. 비재산적 손해 개념의 재구성
Ⅴ. 손해산정 기준의 마련
Ⅵ. 결론
참고문헌
(0)
(0)