개인정보 보호를 위한 공법적 규제와 손해배상책임 — 개인정보 누출을 중심으로 —
Öffentlich-rechtliche Regulierungen für Datenschutz und Schadenersatzverantwortung
이원우(서울대학교)
30호, 237~275쪽
초록
정보화사회가 진전함에 따라 사회․경제․문화 등 모든 영역에서 정보통신망을 통한 활동이 증대하고 있으며, 정보통신서비스도 다양하게 제공되고 있다. 그런데 이러한 정보통신서비스를 이용하기 위해서 이용자는 정보통신서비스 제공자에게 자신의 개인정보를 제공하여야 한다. 정보통신망 내에서 개인을 특정하기 위해서는 개인정보의 제공이 불가피하기 때문이다. 그러나 이에 따라 정보통신서비스 제공자는 방대한 개인정보를 수집․관리하게 되었고, 그 과정에서 개인정보가 침해될 위험이 증대되고 있다. 이러한 개인정보 침해에 대응하기 위해 일차적으로는 불법적으로 정보통신망을 침해하는 행위를 규제할 필요가 있지만, 방대한 개인정보를 관리하는 자에게 개인정보 보호를 위한 특별한 책임을 부과함으로써 이러한 침해행위를 예방할 수 있을 것이다.「정보통신망 이용촉진 및 정보보호 등에 관한 법률」도 제48조에서 정보통신망 침해행위를 금지하는 한편, 제28조에서는 정보통신서비스 제공사업자에 대하여 개인정보보호를 위한 안전성 보호조치 의무를 부과하고 있다. 그런데 보호조치 위반으로 인하여 개인정보가 분실·도난·누출·변조 또는 훼손되는 경우 언제나 손해배상 책임이 인정되는지에 대해서는 의문의 여지가 있다. 특히 문제가 되는 것이 개인정보의 누출이다. 보호조치의무 위반으로 개인정보가 누출되더라도 그것으로 인하여 반드시 손해가 발생하는 것은 아니며, 근본적으로 과연 어떠한 상태를 “누출”이라고 규정할 것인지에 대해 논란이 있기 때문이다. 법익에 대한 위해상태는 그 정도에 따라 「리스크→위험→손해」의 단계로 구성되며, 법익에 위해를 가하는 행위도 이에 상응하여 「의무위반행위→침해행위→손해」의 단계로 구성된다. 어느 개념범주에 해당하느냐에 따라 법적 효과가 달라지며, 따라서 이들 개념은 도그마틱상 준별되어야 한다. 손해배상은 손해의 발생을 요건으로 하며, 위험은 예방과 제거의 대상으로서 규제의 대상에 머무는 것이 일반적인 법리이다. 개인정보의 ‘누출’은 손해발생의 위험을 야기하거나 증대시키기 때문에 규제의 대상이 되어야 하지만, 그 자체로서 인격권의 침해라는 손해와 동일시되어서는 안 될 것이다. 개인정보보호의 선진국인 미국, 영국, 독일 등의 법제와 판례도 이러한 법리에 입각하여 발전되어 오고 있다. 이는 정보사회에서 정보산업의 발전이라는 정책적 목표에도 부합하는 것이며, 개인정보 리스크를 이해관계자 사이에 적절히 배분한다는 점에서 정의의 원리에도 부합하는 것이다.
Abstract
Mit den Entwicklungen der Informationsgesellschaft nehmen Aktivitäten per das elektronische Netzwerk in allen sozialen, wirtschaftlichen und politischen Bereichen zu. Um an diesen Aktivitäten teilzunehmen, müssen wir den Telekommunikationsunternehmen unsere personale Daten liefern, die nun ihrerseits umfangreiche personale Daten erheben und verfahren können. Dies führt dazu, dass pernonale Daten verschiedenen Gefahren ausgesetzt sind. So sind Vorkehrungs-, Sicherheits- bzw. Schutzmaßnahmen zum Datenschutz notwendig geworden. Diejenige Telekommunikationsunternehmen, die personale Daten erheben und verfahren, sind gesetzlich verpflichtet, bestimmte Sicherheitsmaßnahmen zu treffen. Fraglich ist jedoch, ob die Verletzung einer dieser Pflichten unabhängig von einer Sanktion eine Schadenersatzpflicht begründen würde. Risiko, Gefahr und Schaden sind dogmatisch von einander zu unterscheiden. Verschiedene Pflichten zu Vorkehrungs-, Sicherheits- bzw. Schutzmaßnahmen zum Datenschutz qualifieren sich als Risikomanagement. Schon vor dem Eintreten einer Gefahr dürfen bzw. sollen bestimmte Maßnahmen getroffen werden. Gegen Verletzung dieser Pflichten sollen sanktioniert werden. Der Schadenersatz fordert logischerweise einen Eintritt des Schadens, was auch gesetzlich formuliert worden ist. Trotzdem wird teilweise in der Literatur aber auch in einigen Rechtsprechungen der ersten Instanzen vertreten, dass die Verletzung einer der Pflichten zu Vorkehrungs-, Sicherheits- bzw. Schutzmaßnahmen zum Schadenersatz führte. Wie in der Arbeit ausführlich begründet, kann diese Meinung rechtsdogmatisch aber auch -politisch nicht haltbar. Dies entspricht auch den rechtsvergleichenden Untersuchungen zwischen USA, GB und Deutschland.
- 발행기관:
- 행정법이론실무학회
- 분류:
- 법학