개인정보 보호라는 개념의 출현과 함께 실용적인 관점에서 개인정보 유출사고가 발생했을 때 어떻게 이용자를 보호할 것인가에 관점으로 '개인정보 손해배상책임'이 등장했습니다. 개인정보 유출사고시 이용자가 기업의 손해배상을 청구해도 기업의 배상능력이 부족한 경우 이용자의 피해구제를 의무화하기 위해, 기업으로하여금 보험 또는 공제에 가입하는 것을 법적으로 강제하는 제도입니다.
정보주체는 개인정보처리자가 개인정보 보호를 위반한 행위로 개인정보 처리자에게 손해를 입으면 개인정보 처리자에게 손해를 청구할 수 있습니다. 징벌적 손해배상의 경우 법원은 그 손해액의 3배를 넘지 아니하는 범위 그리고 법적 손해배상의 경우 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있습니다.이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없습니다다.
[개인정보 손해배상책임 적용대상]
다음 각 호의 요건을 모두 갖춘 정보통신서비스 제공자등(이하 이 조에서 "가입 대상 개인정보처리자"라 한다)은 법 제39조의9제1항에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 한다.
1. 전년도(법인의 경우에는 전 사업연도를 말한다)의 매출액이 5천만원 이상일 것
2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 1천명 이상일 것
(시행령 제48조의7) [신설 2020. 8. 4.]
1) 정보통신서비스 제공자 등은 다음에 해당합니다.
정보통신서비스 제공자 및 그로부터 개인정보를 제공받는 자 (이하 ‘정보통신서비스 제공자등’)
①전기통신사업자(전기통신사업법 제2조제8호)
②영리를 목적으로 전기통신사업자의 전기통신역무(유선·무선·광선·그밖의 전자적 방식으로 부호·문언·음향·영상을 송신·수신)를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자
⇒ 업종에 관계없이 인터넷·모바일 상에 영리목적으로 웹사이트·앱·블로그 등을 운영하며 이용자(고객)정보를 보유한 사업자 등이 해당됨
- (정보통신서비스 제공자로부터 개인정보를 제공받는 자) 정보통신서비스 제공자가 관리감독 책임을 부담하는 것이 아니라 제공받는 자가 자기책임 하에 제공받은 목적 범위 내에서 개인정보를 이용하는 경우에 해당
2) 직전 사업연도 매출액 5천만 원 이상
(1) 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 직전 사업연도의 매출액이 5천만원 이상이어야 함
(2) (매출액) 법 제32조의3제1항에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 직전 사업연도의 매출액을 말함
-> 매출액의 범위는 정보통신서비스 부문에 한정되지 않으며, 법인(기업)의 총 매출액을 의미함
(3) (직전 사업연도 매출액) 손익계산서 상 매출액을 기준으로 함
3) 개인정보가 저장·관리되고 있는 이용자수가 일일평균 1천명 이상
(1) 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 이용자수가 일일평균 1천명 이상인 경우
(2) 개인정보가 저장·관리되고 있는 이용자 수
- ‘이용자수’는 사업자가 개인정보를 ”저장·보관”하는 이용자수를 기준으로 산정함
- 일일 방문자수를 의미하지 않으며, 페이지뷰(PV:page view), 순방문자수(UV:unique visitor)와는 무관함
(3) 일일평균 1천명 이상
- 이용자수 일일평균 = 10월, 11월, 12월 전체 일일 이용자수의 총합÷92(일)
[손해배상책임의 이행을 위한 최저가입금액]
손해배상책임의 이행을 위한 최저가입금액(최소적립금액)의 기준(제48조의7제2항 관련)
[개인정보 손해배상]
제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 삭제 <2015. 7. 24.>
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015. 7. 24.>
④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2015. 7. 24.>
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
제39조의2(법정손해배상의 청구) ① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.
③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.
----
[1] 개인정보 보호법(국가법령정보센터)
http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95
[2] 개인정보 보호법 시행령(국가법령정보센터)
http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95%20%EC%8B%9C%ED%96%89%EB%A0%B9