개인정보 유출 시 법정손해배상 청구 요건

---

개인정보가 유출되었을 때 피해자가 실제 손해를 구체적으로 증명하지 않아도 배상을 청구할 수 있는지, 대법원이 그 요건과 한계를 명확히 정리했습니다.

개인정보 보호법은 손해배상 청구 방식을 두 가지로 나누어 규정하고 있습니다. 제39조 제1항의 일반 손해배상은 정보주체가 실제로 손해를 입었다는 사실을 직접 주장·증명해야 합니다. 반면 제39조의2 제1항의 **법정손해배상**은 그 구조가 다릅니다. 이 조항은 개인정보가 분실·도난·유출·위조·변조·훼손된 경우, 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있도록 규정하면서, 청구요건에서 '손해의 발생'을 명시적으로 제외하고 있습니다. 대법원은 이번 판결에서 이 조항의 문언과 입법 취지를 근거로, 정보주체는 개인정보가 유출되었다는 사실만 주장·증명하면 되고 손해의 발생 사실을 별도로 증명할 필요는 없다고 판단했습니다.

이 제도의 취지는 개인정보 유출 피해자가 손해 증명의 어려움 때문에 권리구제를 포기하는 상황을 막는 데 있습니다. 개인정보가 광범위하게 처리되는 현대사회에서 유출로 인한 피해는 실재하더라도 그 손해를 수치로 입증하기 어려운 경우가 많기 때문입니다.

다만 대법원은 이 제도가 무한정 적용되지는 않는다는 점도 함께 밝혔습니다. 손해가 발생하지 않은 것이 분명한 경우에도 배상의무를 인정하는 것은 법정손해배상 제도의 취지가 아니라는 것입니다. 따라서 개인정보처리자는 정보주체에게 위자료로 배상할 만한 **정신적 손해가 발생하지 않았음**을 스스로 주장·증명함으로써 책임을 면할 수 있습니다. 이때 법원이 고려하는 요소는 유출된 개인정보의 종류와 성격, 해당 정보로 정보주체를 식별할 가능성이 생겼는지, 제3자가 실제로 열람했는지 또는 장래 열람 가능성이 있는지, 유출 정보의 확산 범위, 추가적인 법익침해 가능성, 개인정보처리자의 관리 상황과 유출 경위, 피해 확산을 막기 위해 취해진 조치 등입니다. 이 요소들을 종합하여 사건마다 개별적으로 판단하되, 법정손해배상 제도 본래의 취지가 형해화되지 않도록 주의해야 한다고 대법원은 강조했습니다.

개인정보 유출 피해를 입은 정보주체의 입장에서는, 실제 금전적 손해나 2차 피해를 구체적으로 입증하지 못하더라도 유출 사실 자체를 근거로 법정손해배상을 청구할 수 있다는 점이 이번 판결의 핵심입니다. 반대로 개인정보를 처리하는 기업이나 기관의 입장에서는, 유출 사고 발생 시 피해 확산 방지를 위해 취한 조치의 내용과 시점이 책임 범위를 가르는 중요한 판단 기준이 될 수 있습니다.