개인정보보호위원회는 2020년 11월 25일 미국의 SNS 기업 페이스북(Facebook, 현재 회사명 Meta)을 대상으로 67억원의 과징금을 부과와 함께 시정조치를 명령하고 수사 기관에 고발하는 처분을 내렸습니다. 개인정보보호위원회는 페이스북이 수집한 개인정보가 미국 대선(‘16년) 등에 불법적으로 활용되었다는 논란이 언론에서 제기된 것을 계기로 조사를 시작하였고, 조사 결과 페이스북이 당사자 동의를 받지 않고 다른 사업자에게 개인정보를 제공한 사실을 확인하였습니다.
이용자가 페이스북 로그인을 통해 다른 사업자의 서비스를 이용할 때 본인 정보와 함께 페이스북 친구의 개인정보가 동의 없이 다른 사업자에게 제공되었으며, 페이스북 친구는 본인의 개인정보가 제공된 사실조차 모르는 상태인 것으로 확인되었습니다. 페이스북의 위법 행위로 인한 피해규모는 정확히 알려지지 않았으나, 개인정보보호위원회의 조사 결과에 따르면 2012년 5월부터 2018년 6월까지 약 6년간 위반행위가 이어져 온 것으로 드러났으며, 국내 페이스북 이용자 1,800만명 중 최소 330만 명 이상의 개인정보가 제공된 것으로 확인되었습니다.
이에 페이스북 이용자들은 페이스북을 상대로 개인정보를 제3자에게 넘긴 행위를 이유로 집단분쟁조정신청을 제기하였습니다. 개인정보 분쟁조정위원회는 2021년 7월 8일 페이스북 집단분쟁조정 절차를 개시하였으며, 2021년 10월 29일 페이스북에 대해 ① 신청인들에게 각 30만 원의 손해배상금의 지급, ② 신청인들의 개인정보를 제공받은 제3자의 신상과 제공된 개인정보의 유형 및 내역을 신청인들에게 열람하게 할 것 등의 조정안을 제시하였습니다.
개인정보 분쟁조정위원회가 제시하는 조정안을 양 당사자 모두 수락하면 조정이 성립되어 개인정보 보호법 등 관련 규정에 따라 재판상 화해와 같은 효력이 발생하지만, 당사자 누구라도 조정안을 수락하지 않으면 조정불성립으로 종결됩니다.
집단분쟁조정제도란 무엇일까요?
개인정보 보호법은 “국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령령으로 정하는 사건에 대하여는 분쟁조정위원회에 일괄적인 분쟁조정(이하 “집단분쟁조정”이라 한다)을 의뢰 또는 신청할 수 있다”(제49조 제1항), “조정의 내용은 재판상 화해와 동일한 효력을 갖는다(제47조 제5항)”고 정하고 있습니다.
개인정보 유출사고는 대부분 집단성을 띠고 있고, 수천 건에서 수천만 건에 이르는 개인정보 유출 사건을 소송과 같은 개별적인 분쟁조정절차를 통해서 처리하게 되면 많은 시간과 비용이 투입되어야 합니다. 따라서 집단분쟁사건을 효율적이고 신속하게 처리하기 위하여 하나의 분쟁조정절차를 통해 일괄적으로 해결하는 제도가 바로 집단분쟁조정제도입니다.
국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로서 ① 피해 또는 권리침해를 입은 정보주체의 수가 50명 이상이고, ② 사건의 중요한 쟁점이 사실상 또는 법률상 공통되는 요건을 모두 갖춘 사건에 대하여는 개인정보 분쟁조정위원회에 일괄적인 분쟁조정을 의뢰하거나 신청할 수 있습니다.
집단분쟁조정을 신청받은 개인정보 분쟁조정위원회는 요건을 심사한 후, 신청이 적합한 경우 집단분쟁조정의 절차를 개시할 수 있습니다. 개인정보 분쟁조정위원회는 집단분쟁조정절차가 진행되는 동안 증거수집, 당사자 진술, 전문가 자문 등의 사실조사를 진행하고, 집단분쟁조정절차 개시 공고가 종료한 날부터 60일 내에 그 조정 절차를 마쳐야 합니다.
조정 결정된 내용은 양 당사자에게 통보되는데, 양 당사자가 조정안을 수락하는 경우 조정이 성립되고, 그 조정 내용은 법원의 판결과 동일한 효력을 갖게 됩니다. 즉, 수년의 시간과 막대한 비용이 발생하는 소송 절차에 비해 간단하고 신속하게 피해를 구제받을 수 있는 수단이 바로 집단분쟁조정절차인 것입니다.
개인정보분쟁조정위원회의 2020년도 분쟁조정사건 처리 통계[1]에 따르면, 2020년 발생한 개인정보 분쟁조정사건 431건 중 상담종결(상담 중 해결, 침해사실 미확인, 비 개인정보 사건으로 타 기관 이송)된 268건을 제외하고, 조정 전 합의된 사건이 77건, 조정성립한 사건이 12건, 조정불성립 또는 조정불응 사건이 각 8건, 29건으로 절반이 넘는 조정 사건이 원만한 합의를 이뤄낼 수 있었습니다.
다만, 공공기관이 아닌 민간기업의 경우 분쟁조정에 응할 법적 의무가 없어 분쟁조정 제도의 실효성에는 다소 의문이 있는 것이 사실입니다. 또한 양 당사자가 조정안을 수락하지 않아 조정이 불성립되거나, 조정안이 제시되지 않고 조정이 기각되는 경우 피해자는 결국 법원에 개인정보 침해로 인한 손해배상 청구 소송을 제기할 수밖에 없습니다.

[1] https://www.kopico.go.kr/home/hbbs/homeBoardMain.do?bbs_id=BBS_00000004#AC=/home/hbbs/homeBoardList.do?bbs_id=BBS_00000004&VA=content&
[2] https://www.pipc.go.kr/np/default/page.do?mCode=D030020030
개인정보 유출에 대한 집단소송
개인정보보호법은 개인정보처리자가 위 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 않는 경우 공정거래위원회에 등록한 소비자단체 또는 비영리민간단체가 법원에 권리침해 행위의 금지ㆍ중지를 구하는 소송(이하 “단체소송”)을 제기할 수 있도록 규정하고 있습니다(제51조). 그러나 집단소송을 제기할 수 있는 원고는 매우 제한적으로 인정되고 있으며, 단체소송의 대상은 권리침해 행위의 금지ㆍ중지에 한정되기 때문에 개별 피해자가 입은 피해를 실질적으로 구제받기 위해서는 피해자 개인이 별도의 손해배상청구의 소송을 제기해야 합니다. 이 때문에 단체소송제도는 개개인의 실질적인 피해 구제에 별 다른 도움이 되지 못한다는 비판을 받고 있으며, 실제로 국내에서는 개인정보 단체소송이 행해진 바 없습니다.
개인정보 유출로 피해를 입은 피해자들은 개별적으로 손해배상을 구하는 소송을 제기해야 하는데, 개인정보 법령의 위반은 증명이 까다롭고, 구제액이 크지 않기 때문에 피해자 개인이 민간기업을 상대로 소송을 제기하는 것은 매우 힘든 일입니다. 때문에 피해자들은 집단을 이뤄 기업에게 집단소송을 제기하는 방법을 택하고 있습니다. 사실 대한민국 민사소송상 집단소송이라는 제도는 존재하지 않습니다. 「증권관련 집단소송법」에서 증권관련집단소송을 규정하고 있을 뿐이며, 개인정보에 관한 집단소송제도는 아직 제정되지 않는 법률인 「집단소송법」에서 논의되고 있을 뿐입니다. 그럼에도 불구하고 우리가 접하는 기사나 광고 등에서는 집단소송이라는 용어가 자주 등장하는데, 개인정보의 유출과 같이 다수의 피해자가 발생한 사건에서 피해자들이 집단을 이루어 손해배상을 청구하는 행위를 임의로 집단소송이라고 표현하고 있는 것이며, 편의상 위와 동일한 의미로 집단소송이라는 용어를 사용하겠습니다.
대표적인 국내 개인정보 관련 집단소송 사례로 카드 3사 개인정보 유출 사건에 대한 집단소송(대법원 2018. 12. 13. 선고 2018다219994, 2018다220000(병합) 판결)과 KT 개인정보 유출 사건에 대한 소비자 집단소송(대법원 2018. 12. 28. 선고 2017다207994 판결)을 소개하겠습니다.
카드 3사 개인정보 유출 사건은 KB국민카드, 롯데카드, NH농협카드에서 약 1억 건의 개인정보가 유출되어 대한민국에서 일어난 개인정보 유출사태 중 가장 큰 규모입니다. 이 개인정보 유출사태 피해자 1만 7700여명은 KB국민카드와 그 하청업체인 신용정보회사 코리아크레딧뷰로(KCB)를 상대로 손해배상 청구소송을 제기하였고, 1인당 10만원의 손해배상 청구가 인용되었습니다. 대법원은 KB국민카드가 KCB에게 제공한 카드고객의 개인정보를 처리하는 과정에서 개인정보의 안전성 확보 또는 이용자 정보의 보호에 필요한 조치를 취할 의무를 다하지 않았다는 점을 인정하여 손해배상 책임을 인정하였습니다.
KT 개인정보 유출 사건은, 2012년 KT 영업시스템이 해킹에 의해 휴대전화 가입자 810만명의 개인정보를 유출 당한 사건으로, 정보를 유출당한 피해자들은 KT를 상대로 1인당 50만원의 손해배상 청구소송을 제기하였습니다. 그러나 대법원은 정보통신서비스 제공자가 방송통신위원회 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다는 이유로 KT의 손해배상책임이 없다고 판단하였습니다.

원경섭 변호사
법무법인 디라이트
gsw@dlightlaw.com