개인정보 유출과 법적 근거
개인정보보호법 제39조는 개인정보처리자의 고의 또는 과실로 개인정보가 유출되어 정보주체에게 손해가 발생한 경우, 손해배상 책임을 규정하고 있습니다. 이때 개인정보처리자는 자신에게 고의 또는 과실이 없음을 직접 증명해야 합니다(입증책임 전환).
법정손해배상 제도 (개인정보보호법 제39조의2)
실제 손해액을 증명하기 어려운 경우, 법원에 300만원 이하의 범위에서 법정손해배상을 청구할 수 있습니다. 피해자가 구체적인 손해액을 입증하지 않더라도 유출 사실만으로 배상을 받을 수 있어, 소액 피해자에게 실질적인 구제 수단이 됩니다.
손해배상 청구 절차
1단계: 유출 사실 확인 및 증거 확보
기업이 발송한 유출 통지 메일·문자를 보관합니다
개인정보보호위원회 홈페이지에서 유출 신고 내역을 확인합니다
2차 피해(스팸, 피싱, 명의도용 등)가 발생했다면 관련 증거를 수집합니다
2단계: 개인정보 분쟁조정위원회 조정 신청
소송 전에 개인정보 분쟁조정위원회에 조정을 신청할 수 있습니다. 조정은 무료이며, 양쪽이 조정안을 수락하면 재판상 화해와 같은 효력이 있습니다.
3단계: 민사소송 또는 집단소송
조정이 성립하지 않으면 민사소송을 제기합니다. 피해자가 다수인 경우 개인정보보호법 제51조에 따른 단체소송도 가능합니다.
징벌적 손해배상 (개인정보보호법 제39조 제3항)
기업이 고의 또는 중대한 과실로 개인정보를 유출한 경우, 법원은 실제 손해액의 최대 5배까지 배상을 명할 수 있습니다. 배상액 산정 시 기업의 고의 정도, 피해 규모, 사후 수습 노력 등을 종합적으로 고려합니다.
배상 규모
법원은 유출된 정보의 종류, 유출 규모, 2차 피해 발생 여부, 기업의 사후 대응 등을 종합적으로 고려하여 배상액을 산정합니다. 대규모 유출 사고의 경우 1인당 10만~30만원 수준의 위자료가 인정된 판례가 다수 있습니다.