개인정보침해와 손해배상책임의 원칙
Invasion of Personal Information and Principle of Liability for Damages
고형석(선문대학교)
145권, 52~84쪽
초록
개인정보침해에 따른 손해배상책임에 대하여 민법을 비롯하여 개인정보보호법, 정보통신망법 및 신용정보보호법에서 규정하고 있으며, 개인정보보호법 등에서는 정보주체가 효과적으로 손해배상을 받을 수 있도록 하기 위해 민법상 손해배상책임에 대한 특칙을 정하고 있다. 따라서 정보주체는 개인정보침해시 손해배상을 청구하기 위해 개인정보처리자의 고의 또는 과실을 증명하여야 하는 것이 아니라 개인정보처리자가 그 책임을 면하기 위해 자신에게 고의 또는 과실없음을 증명하여야 한다. 이러한 점만을 본다면 개인정보보호법 등은 손해배상책임에 있어서 민법에 대한 특칙을 정하고 있지만, 과실책임주의 원칙에 기하고 있다는 점은 민법과 동일하다. 그러나 정보통신망법 등과 달리 개인정보보호법에서는 손해배상책임만을 규정한 것이 아니라 감경규정까지 두고 있다. 따라서 개인정보처리자는 동법에 따라 손해배상책임을 감경받을 수 있지만, 이를 위해서는 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니하여야 한다. 즉, 개인정보의 분실·도난·유출·변조 또는 훼손에 있어서 개인정보처리자의 과실이 없어야 한다. 그 결과 동법상 손해배상책임의 원칙이 과실책임주의인가 아니면 과실책임주의와 무과실책임주의가 병존하는가의 문제가 발생하며, 학설은 전자의 견해를 취하는 경우와 후자의 견해를 취하는 경우로 구분되고 있다. 그러나 동법 제39조 제1항에 따른 책임은 과실책임주의이며, 제2항은 책임감경에 관한 규정이지만, 감경요건으로 무과실을 요구하고 있기 때문에 무과실책임에 기하고 있다. 따라서 개인정보보호법상 손해배상책임은 2원주의를 취하고 있다. 물론 동법에서 그 책임의 원칙을 2원주의로 규정한 것 자체가 문제이지는 않다. 그러나 무과실책임을 취하는 이유는 그 침해행위자에게 더 무거운 책임을 부과하기 위함이며, 이는 그 침해행위가 다른 침해행위보다 불법성이 높거나 더 많은 피해를 유발할 수 있다는 것이 전제가 되어야 한다. 그럼 동의없는 개인정보의 수집 또는 민감정보의 수집 행위 등은 개인정보의 분실 등의 행위보다 그 불법성이 낮거나 더 적은 손해가 발생한다고 할 수 있는지의 문제에서부터 시작하여 오프라인보다 더 침해의 가능성이 높은 온라인에서의 동일한 행위에 대하여 과실책임주의를 취하고 있는 정보통신망법 등과 비교할 때 적합한 것인가의 문제가 제기된다. 또한 동 규정의 입법취지는 개인정보처리자의 손해배상책임을 경감하기 위함이지만, 그 입법내용은 책임경감이 아닌 책임과중의 형태로 되어 있다. 따라서 입법취지와 입법의 내용이 불일치한 결과가 발생하였다. 이러한 문제점을 해결하기 위해서는 책임감경을 규정하고 있는 동법 제39조 제2항의 규정을 개정할 필요가 있다. 개정방향으로는 민법의 손해배상액감경규정을 감안하여 그 침해행위가 경과실에 의해 이루어진 경우로 한정하고, 손해배상으로 인하여 생계에 곤궁이 발생하거나 파산 등의 우려가 있는 경우에 국한하며, 그 책임감경 역시 1회로 제한할 필요가 있다. 또한 감경결정은 법원을 통하여 이루어지도록 개정하여야 할 것이다.
Abstract
The personal information means information that pertains to a living person, including the full name, resident registration number, images, et cetera, by which the individual in question can be identified, (including information by which the individual in question cannot be identified but can be identified through simple combination with other information). If a subject of information suffers loss as a personal information manager has performed any act violating the Personal Information Protection Act, he/she may claim for loss to the personal information manager. In such cases, the personal information manager cannot be exempted from responsibility unless he/she proves that he/she has performed such act neither intentionally nor negligently. Where a personal information manager has fulfilled his/her obligations by or under the Act and has not been negligent in giving due attention and supervision, his/her responsibility to compensate for damage due to the loss, theft, leakage, alteration or contamination of the personal information can be mitigated. This Act has a problem whether the principle of liability for damages is the fault liability only or both the fault liability and the liability without fault. According to the Act, Where a personal information manager has fulfilled his/her obligations by or under this Act and has not been negligent in giving due attention and supervision, his/her responsibility to compensate for damage due to the loss, theft, leakage, alteration or corruption of the personal information can be mitigated. In other words, a personal information manager who has not been negligent can have mitigated liability. Therefore, the principle of liability for damages of this Act is both the fault liability and the liability without fault. But it is not reasonable to require the no-fault as requirements of mitigating responsibility. In conclusion, provision of this Act as to mitigating responsibility should be amended.
- 발행기관:
- 한국법학원
- 분류:
- 기타법학