앞으로는 개인정보를 유출한 법인이나 개인은 피해자에게 무조건 손해배상을 해 줘야 한다. 피해액이 입증되면 세 배까지 징벌적인 배상금을 내야 하고, 입증이 안 되더라도 유출 자체만으로도 300만원 이하의 돈을 물어주는 방식이다.

개인정보 유출땐 무조건 배상
30일 정부 관계자에 따르면 금융위원회 안전행정부 등 개인정보 보호 관련 부처들은 이 같은 내용을 담은 개인정보보호법, 신용정보보호법, 정보통신망법 개정안을 오는 9월 국회에 공동 제출할 계획이다.

개인정보보호법과 신용정보보호법에 징벌적 손해배상제와 법정손해배상제를 함께 도입하는 게 개정안의 핵심 내용이다. 지난 5월 법정손해배상제를 우선 도입한 정보통신망법에도 징벌적 손해배상 조항을 추가로 만든다. 개정안은 개인정보를 활용해 사업을 하는 모든 개인과 법인에 적용된다.

이처럼 법정·징벌적 손해배상제가 동시에 도입되면 정보 유출 피해자가 손해배상을 받을 가능성과 배상금 규모가 훨씬 커지게 된다. 우선 피해액이 입증될 때는 징벌적 손해배상제에 따라 세 배 이내에서 배상해야 한다.

또 법정손해배상제에서 피해자의 정신적 피해를 인정하기 때문에 피해가 입증되지 않더라도 유출된 사실만으로 300만원 이내의 배상금을 물어야 한다. 현행 개인정보보호법과 신용정보법은 정보 유출에 따른 피해액 입증 책임을 피해자에게 부여하고 있고, 정신적 피해에 대한 배상 규정도 없다.

따라서 소송으로 간다 해도 통상 ‘위자료’ 명목으로 10만~20만원을 받는 데 그치는 게 현실이다.

개인정보보호법뿐 아니라 신용정보보호법과 정보통신망법에도 두 제도를 함께 도입하기 때문에 은행·카드 등 금융회사 및 이동통신사 등에서 개인정보 유출이 다시 생길 경우 손해배상 규모가 천문학적으로 커질 것으로 전망된다. 다만 정부는 개정법 시행 이전에 발생한 정보유출 사고에 대해서는 소급적용을 하지 않겠다는 방침이다.

금융회사들은 반발하고 있다. 개인정보를 보호해야 할 의무를 강화해야 한다는 데는 동의하지만 책임이 너무 과도하다는 반응이다. 한 은행 임원은 “금융소비자 보호 분위기가 강화되는 틈을 탄 악성 민원도 크게 늘고 있다”며 “손해배상 책임이 커지면 이를 악용한 고소가 난무할 것”이라고 우려했다. 1만명의 개인 정보가 유출됐을 경우 구체적인 피해가 입증되지 않아도 최대 300억원을 물어줘야 한다는 설명이다.

박신영 기자 nyusos@hankyung.com