개인정보 유출에 따른 비재산적 손해의 규범적 재구성과 배상 체계의 현실화 - 대법원 2025. 12. 4. 선고 2023다311184 판결의 비판적 검토 -
Normative Reconstruction of Non-pecuniary Damages and Realization of the Compensation System in Personal Information Leakage Cases – A Critical Review of Supreme Court Decision 2023Da311184, Decided December 4, 2025 –
김성연(강원대학교)
50호, 345~371쪽
초록
초연결 사회로의 진입과 데이터 경제의 활성화는 개인정보의 경제적 가치를 비약적으로 증대시켰으나, 그 이면에는 대규모 개인정보 유출이라는 새로운 사회적 위험이 상존하고 있다. 그러나 현행 사법적 구제 시스템은 고도화된 기술 환경 변화를 충분히 반영하지 못한 채 전통적인 불법행위 법리에 머물러 있어, 피해자 구제와 위법행위 억제라는 손해배상법 본연의 기능을 다하지 못하고 있다. 특히 최근 선고된 대법원 2025. 12. 4. 선고 2023다311184 판결은 개인정보 유출 사실이 인정됨에도 불구하고, 암호화 여부 등 기술적 요소를 이유로 정보주체의 구체적인 정신적 고통이 입증되지 않았다고 판단하여 청구를 기각하였다. 이는 잠재적 위험의 현재화를 넓게 인정했던 대법원 2018다219994 판결의 성과를 위축시키고, 엄격한 ‘실해(實害) 발생 원칙’으로 회귀한 것으로서 디지털 인격권 보호라는 시대적 요구에 역행하는 한계를 드러냈다. 이에 본 연구는 현행 판례가 고수하는 ‘정신적 고통 중심주의’의 문제점을 비판적으로 고찰하고, 개인정보 유출로 인한 손해의 개념을 ‘통제권 상실(Loss of Control)’ 및 ‘규범적 손해’로 확장할 것을 제안한다. 개인정보가 상업적으로 거래되는 현실에서 정보주체의 통제권이 상실된 상태 그 자체를 독자적인 손해로 포섭해야만, 입증의 난관에 봉착한 피해자를 실질적으로 구제할 수 있기 때문이다. 나아가 본고는 무력화된 사적 집행의 기능을 복원하기 위한 구체적인 제도 개선 방안을 제시하였다. 첫째, 위자료의 제재적 기능을 강화하기 위해 독일의 ‘이익토출(Gewinnabschöpfung)’ 법리를 도입하여, 기업이 보안 투자를 소홀히 하여 얻은 비용 절감분이나 불법적인 데이터 활용 수익을 배상액 산정에 반영해야 한다. 둘째, 소액 다수 피해의 구조적 한계를 극복하기 위해 미국식 집단소송제(Class Action)를 도입하여 억제력을 확보해야 한다. 결론적으로 본 연구는 개인정보 침해에 대한 사법적 구제가 단순한 사후적 전보를 넘어, 예방적 정의를 실현하고 데이터 경제의 건전성을 담보하는 기제로 작동해야 함을 역설한다.
Abstract
The entry into a hyper-connected society and the burgeoning data economy have exponentially increased the economic value of personal information, yet this transition is accompanied by the pervasive social risk of large-scale data breaches. However, the current judicial remedy system, anchored in traditional tort law principles, fails to sufficiently reflect these technological shifts, thereby falling short of fulfilling the fundamental functions of damages law: victim relief and the deterrence of illegal acts. In particular, the recent Supreme Court Decision 2023Da311184, sentenced on December 4, 2025, dismissed claims on the grounds that specific mental distress was not proven, citing technical factors such as encryption, despite the acknowledgment of the leakage itself. This ruling represents a regression to a strict “Actual Damage Principle,” retreating from the forward-looking stance of the 2018 precedent (2018Da219994) which had broadly recognized the actualization of potential risks. Consequently, this decision reveals significant limitations in meeting the contemporary demand for the protection of digital personality rights. In response, this study critically examines the limitations of the current jurisprudence’s adherence to “mental distress-centeredism” and proposes expanding the concept of damage in data leakage cases to include “Loss of Control” and “Normative Damage.” Given the reality that personal information is commercially traded, the state of losing control over one’s information must itself be encompassed as independent damage. This approach is essential to provide substantive relief to victims facing evidentiary difficulties. Furthermore, this paper suggests concrete institutional improvements to restore the function of Private Enforcement, which has been rendered ineffective. First, to strengthen the sanctioning function of consolation money (solatium), the introduction of the German legal doctrine of “Disgorgement of Profits (Gewinnabschöpfung)” is necessary. This would allow the cost savings from neglected security investments or profits from illegal data usage to be reflected in the calculation of damages. Second, to overcome the structural limitations of cases involving small-sum damages across a large number of victims, a US-style Class Action system should be introduced to secure effective deterrence. In conclusion, this study argues that judicial remedies for personal information infringement must transcend mere ex-post compensation and function as a mechanism to realize preventive justice and ensure the soundness of the data economy ecosystem.
- 발행기관:
- 연세법학회
- 분류:
- 법학