빅데이터, 클라우드, 사물인터넷 등 정보통신기술 산업의 급속한 발전으로 우리는 이른바 초연결사회에 살고 있다. 이를 통해 그 어느 때보다 편리한 생활을 하고 있지만 그 이면에는 대규모 개인정보 유출사고 발생이라는 부작용이 존재한다. 더욱이 한번 유출된 개인정보는 순식간에 확산될 수 있어 피해자들은 집단소송의 형태로 손해배상청구를 제기해왔다.

출처: 방송통신위원회, 한국인터넷진흥원

이 경우, 우리 법은 미약하나마 개인정보를 보유했던 정보통신서비스 제공자의 손해배상책임을 인정하고 있다. 단, 제공자의 과실 때문에 유출사고가 발생했을 시에만 해당된다. 만약 제3자의 해킹에 의해 개인정보가 유출된 경우, 정보통신서비스 제공자에게 책임을 부과하기 어려운 것이 사실이다. 하지만 이는 최근 개인정보 유출 사고가 자주 일어나면서 손해배상책임을 확대하려는 사회적 흐름과 일치되지 않는 모습이다.

제3자의 해킹으로 인한 개인정보 유출사고 책임을 주요정보통신서비스 제공자에게 부과할 수 있을지, 만일 책임을 인정한다면 그 책임의 범위를 어디까지 인정할 수 있을까? 이를 위해 우선 주요정보통신서비스 제공자의 개념에 대한 입법필요성을 지적하고, 기술적・관리적 보호조치 등 주의의무의 법률적 해석 검토를 수행한 후, 의무 위반에 따른 손해배상책임을 검토했다.

우리민법 제750조는 “고의 또는 과실로 인한 위법행위로 타인에게 손해를 가한 자는 그 손해를 배상할 책임이 있다”라고 규정하고 있다. 주요정보통신서비스 제공자가 직접적으로 개인정보를 유출하였다면 이를 적용할 수 있지만, 제3자의 침해행위로 개인정보가 유출된 경우에도 일반불법행위책임을 지우는 것이 타당한 것인가에 대해서는 견해의 대립이 있다. 이 경우, 일반불법행위책임보다는 제3자의 침해행위를 방조하고 주의의무를 위반한 정도에 따른 공동불법행위책임이 타당하다.

최근 우리나라는 개인정보 유출사고에 대해 적절한 손해배상이 이루어질 수 있도록 제도적인 면을 보완하고 있다. 그러나 강화된 손해배상책임 적용을 위해서는 정보통신서비스 제공자의 ‘주의의무’ 위반에 대한 인정이 선행되어야 한다. 정보통신분야에 공동불법행위책임론을 구체적으로 접목시킨 이번 연구를 통해 주요정보통신서비스 제공자의 책임이 확장될 가능성이 높아졌다.

2016년 7월 독일바이로이트대학교 학회에서

이번 연구는 민사법 전문학술지로 우수하게 평가받고 있는 (사)한국재산법학회의 학술지인 「재산법연구」 제33권 제2호에 게재되었다. 또한 지역대학 법학연구소 연구원들과의 학술포럼을 통해 관련 내용을 적극적으로 공유했다. 이후 학계 연구원들로부터 관심을 이끌어내 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 대한 일부개정법률안이 지속적으로 제안되고 있다.