개인정보 유출사고 피해기사를 보면 눈에 띄는 게 있습니다. 바로 피해보상액입니다. 법원은 유출된 개인정보의 항목과 기업의 대응안, 해당 기업의 보안현황 등을 종합적으로 고려해서 유출된 개인정보의 가치와 피해보상액을 지정합니다. 기업은 법원에서 판결한 피해보상액을 소송에 참가한 각각의 회원에게 지급해야 합니다. 그리고 이와 별도로 과태료(혹은 과징금)이 발생한 경우 정부에게 벌금을 추가로 납부해야 합니다.
인터파크는 1인당 배상액이 10만원으로 평가되었습니다. 따라서 피해보상금으로 회원들에게 지급해야 하는 금액은, 2억 4천만원에 해당합니다.
2400(명) * 100,000(원) = 240,000,000 (원)
추가로 방통위는 인터파크가 개인정보처리 시스템에 접속할 수 있는 시간을 제한하는 조처를 소홀하게 했고, 망 분리와 내부 비밀번호 관리 등 면에서도 보안이 허술했다고 지적하며 과징금 44억8천000만원에 과태료 2천500만원을 부과했다.
이 때 개인정보에 대한 가치는 어떻게 평가하는 걸까요?
다양한 항목의 개인정보가 유출될 수 있습니다. 단순히 생각해도 다음 두 케이스는 다르게 가치평가가 되어야 합니다.
A의 경우 수집된 개인정보가 이름과 전화번호로 검색을 통해 쉽게 접근가능한 정보지만, B의 경우 다른 사람들이 쉽게 알기 어려운 소득정보를 포함하고 있어 A의 비해 정보활용도가 높습니다.
예를 들어, 차량대리점에서 B의 정보를 획득했다면 직업을 통해 해당 정보주체의 라이프스타일을 추측할 수 있으며 소유중인 차량정보를 통해 그의 차량선호도를 알 수 있습니다. 그리고 소득을 통해 구매가능한 차량의 범위를 타겟할 수 있죠. 그래서 획득한 정보를 통해 B를 잠재적인 차량 구매자로 선별후 마케팅용도로 활용할 수 있습니다. 물론 A의 경우도 마케팅 활용에 사용할 수 있지만 B에 비해 맞춤형 차량 추천이 어렵습니다.
개인정보 가치를 평가하는 방법은 다양합니다. 그 중 오늘 소개할 방법은 3가지입니다. 델파이 기법(Delphi method), 가상가치 산정법(CVM, Contingent Valuation Method), 손해배상액 기반 산정법.
1. 델파이 기법(Delphi method)
델파이 기법은 전문가 패널에 의존합니다. 질문자와 전문가 사이의 상호작용에 의한 예측하는 기법입니다. 개인정보의 자산가치에 대한 평가와 관련한 설문을 전문가들에게 1차적으로 배포하고, 취합하여 평균적 예측 값을 얻습니다. 1차에서 얻은 평균적 예측값과 더불어 취합된 전문가들의 의견을 더해 1차에서 획득한 예측값의 오류의 폭을 좁혀나갑니다.
앞서 설명한 설문조사 등의 과정을 2회 이상 반복해 획득한 가치로 대략의 개인정보의 가치를 산정할 수 있습니다. 물론, 전문가들의 의견이 일반 대중이 생각하는 개인정보의 가치를 충분히 반영하지는 못할 수 있지만, 가장 일반적으로 사용가능한 사회학적 방법입니다.
2. 가상가치 산정법(CVM, Contingent Valuation Method)
개인이 의사결정을 해야하는 가상적인 상황을 설정하고, 각 개인이 어떤 선택을 할 것인지 설문조사를 통해 조사하여 가치를 평가하는 방법입니다.
CVM은 통상 설문조사를 통해 사람들이 '어느 정도의 금액을 지불할 의사 (WTP, Willingness To Pay)'가 있는지 확인합니다. CVM에 의해 산정된 개인정보의 가치는 설조조사 결과로 확인된 값들을 평균한 값이 됩니다.
3. 손해배상액 기반 산정법
또 다른 방법으로는, 손해배상액에 기초한 개인정보 가치 역산정이 있습니다. 기존에 발생한 개인정보관련 소송의 판결을 참고하여, 유출된 개인정보 항목과 그에 따른 손해배상액을 기초로 개인정보의 가치를 역산정할 수 있습니다.
-----
[1] 인터파크, '개인정보 유출' 회원 2400명에 10만원씩 배상
https://biz.chosun.com/site/data/html_dir/2020/11/01/2020110100170.html