[포커스] 개인정보 유출, 징벌적 손해배상 도입 가능할까?

12월 2일 국무회의에서 징벌적 손해배상의 현실화를 강조하고 있는 이재명 대통령

[CEONEWS=김병조 기자] 쿠팡의 개인정보 유출 사건 이후 정부가 강도 높은 대응책 마련에 나서고 있다. 12월 2일 국무회의에서 이재명 대통령은 “해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화할 것”을 주문했다. 이는 반복되는 대규모 유출 사고에도 불구하고 국내 제재가 실효성을 확보하지 못하고 있다는 문제의식에서 비롯된 것이다.

이제 논점은 크게 세 가지다. 첫째 징벌적 손해배상제도란 무엇인지, 둘째 해외 주요국은 어떻게 운용하는지, 셋째 한국에서 실제 도입할 수 있을지다.

▲징벌적 손해배상이란 무엇인가?

징벌적 손해배상(punitive damages)은 말 그대로 ‘벌을 주는 손해배상’이다. 일반적인 민사 배상이 실제 손해를 보전하는 데 목적을 둔다면, 징벌적 배상은 기업의 중대한 과실이나 고의적 위법행위에 대해 예방·억지 효과를 부여하기 위한 제도다.

그러나 한국 민법은 전통적으로 ‘전보배상’을 중심에 두고 있어, 징벌적 배상은 원칙적으로 존재하지 않는다. 현재 일부 특별법(하도급법, 가맹사업법, 제조물책임법 등)에서 제한적으로만 인정되고 있고, 개인정보 유출 분야에서는 사실상 실효성이 거의 없는 수준이다.

문제는 개인정보 유출 피해의 특성상 구체적 손해를 입증하기 어렵다는 구조적 한계다. 주민등록번호, 주소, 결제정보 등이 유출돼도 2차 범죄가 즉시 발생하지 않는 경우가 많아 법원이 배상액을 제한하는 경우가 대부분이다. 그 결과 수백만 명의 피해가 나더라도 기업이 부담하는 금액은 과징금 몇억~몇십억원 수준에 머무르는 일이 반복돼 왔다.

▲해외는 벌금과 손해배상으로 기업을 강하게 압박

세계 주요국은 이미 개인정보 유출에 대해 강력한 처벌 체계를 구축해왔다. 미국은 징벌적 배상이 가장 활성화된 국가이며, EU는 GDPR을 통해 세계 최고 수준의 매출액 기반 과징금을 부과한다. 영국·호주·싱가포르 등도 각국 상황에 맞춰 제도를 강화하는 흐름이다.

<미국>– 징벌적 배상 + 집단소송의 본산

미국은 기업의 중대한 과실에 대해 실손해의 수십 배에 달하는 징벌적 배상을 부과할 수 있다. 특히 개인정보 유출은 소비자 집단소송(class action)과 결합하며 배상액이 폭증하는 구조가 만들어졌다.

대표적으로 다음과 같은 사례가 있다.

● Equifax: 1억 4,700만 명 정보 유출, 최대 7억 달러 합의

● Meta(Cambridge Analytica): FTC가 50억 달러 제재

● 일리노이주 BIPA: 생체정보 무단 수집 시 1건당 1,000~5,000달러 배상

기업 입장에서 징벌적 배상은 단순한 벌금이 아니라 기업 존망을 흔드는 리스크로 작용한다.

– GDPR의 ‘매출액 4% 과징금’

EU의 GDPR은 과징금 상한이 전 세계 매출의 최대 4% 또는 2천만 유로 중 더 큰 금액이다.

● Amazon: 7억 4,600만 유로

● Meta: 12억 유로

● British Airways: 2억 파운드

EU는 민사 배상보다는 행정 과징금 중심으로 규제를 강화하는 모델을 구축하고 있다.

<영국·호주·싱가포르>– 제재 강화 추세

영국: GDPR 체계를 유지하면서 집단소송 증가

호주: 반복 유출 기업에 매출 30%까지 벌금 가능

싱가포르: PDPA 개정으로 과징금을 매출 10%까지 상향 가능

전 세계적으로 개인정보 보호 규제는 강도 높은 방향으로만 움직이고 있다.

▲한국은 어떤 방향으로 현실화될까?

한국은 민사법 체계상 미국식 징벌적 손해배상을 그대로 도입하기는 어렵지만, EU형 과징금 강화 + 제한적 징벌 요소 도입은 현실적으로 가능한 대안으로 떠오르고 있다.

1) EU식 ‘매출액 기반 과징금 강화’는 가장 현실적

2023년 개정으로 국내 과징금도 ‘관련 매출액의 3%에서 전체 매출액의 3%’로 강화됐다. 이는 GDPR 체계와 유사한 방향이다. 개보위는 반복 위반기업에 대한 가중 과징금 체계 도입을 검토 중이며, 이 부분은 정치·행정적으로 실현 가능성이 매우 높다.

2) 제한적·부분적 징벌적 배상은 가능

예컨대 반복적 유출, 고의 또는 중대한 관리 소홀, 은폐·허위 보고 같은 요건이 충족될 때 상한 배상액의 다배수 보상을 허용하는 형태가 논의되고 있다.

3) 집단소송 제도와 결합할 경우 실효성 확대

한국은 집단소송제가 여전히 제한적이지만, 국회에서 전면 도입 법안이 지속적으로 논의 중이다. 징벌적 배상보다도 절차적 실효성을 높이는 방식이 더 빠르게 현실화될 가능성이 있다.

4) 기업 경영진 책임 규정 강화

국내에서도 CPO의 법적 책임 강화, 이사회 보고 의무, 경영진 책임 추궁 같은 조항이 법안으로 제출된 상태다.

▲향후 제도 방향과 과제

한국이 실효적인 개인정보 보호 체계를 구축하기 위해서는 다음 과제를 해결해야 한다.

- 입증 책임 완화 → 피해자의 손해 입증 부담 줄이기

- 유출 통지·보고 의무 강화

- 반복 위반 기업에 대한 가중 처벌 명문화

- 과징금·배상액의 기업 억지력을 충분히 확보

- 감독기관(개보위)의 조사·집행 역량 확대

- 피해자 구제 기금 등 보상 체계 마련

쿠팡 사태를 계기로 제도 개선이 빠르게 가시화될 가능성이 커졌다. 정부가 해외 사례를 참고해 실질적인 제재 체계를 구축한다면, 한국 역시 ‘형식적 처벌’에서 벗어나 실효적 보호 체계를 확립할 수 있을 것이다. 이제 필요한 것은 정치적 결단과 법·제도의 구체화다.