2024-03-29 18:14 (금)
미국에서의 개인정보 유출사고와 법적처리
상태바
미국에서의 개인정보 유출사고와 법적처리
  • 강주희 기자
  • 승인 2014.01.24 09:25
  • 댓글 0
이 기사를 공유합니다

유영근 미국변호사 칼럼
 
미국에서 개인정보유출사고는 엄한 책임을 묻고 있으므로 우리나라의 경우에도 이런 사고에 엄한 책임을 물을 필요가 있다

사상 최악의 개인정보 유출사고가 발생했다. 이번 사건에 연루된 한 은행을 다른 업무차 방문하였는데, 평소보다 많은 손님들로 객장이 북적거렸고 많은 손님들이 카드를 취소하거나 비밀번호 변경을 요청하는 모습을 볼 수 있었다.
 
필자도 문제가 된 카드사의 카드를 가지고 있어 은행을 찾은 김에 직원에게 어떻게 하는 것이 좋겠냐고 물으니 카드번호와 비밀번호는 유출되지 않아 괜찮을 거라고 하면서 문제가 생기면 은행에서 책임지겠다고 발표하지 않았냐고 했다.

책임지겠다는 발표를 믿어야 할지, 책임질 능력은 있는 것인지, 어떻게 책임을 지겠다는 것인지 하나도 신뢰가 가지 않았지만 사용하던 카드를 폐기하고 재발급 받을 경우 발생하는 불편함 때문에 일단은 찜찜함을 안고 그대로 은행을 나왔다.

오늘날 개인 정보는 단지 ‘사생활‘의 문제가 아니라 중요한 ‘자산적 가치’를 갖는다. 자산적 가치를 갖는 것에는 어김없이 ‘검은 손’이 접근한다. 미국에서도 ‘identity theft’라고 하는 개인정보 관련 범죄가 날로 늘어나고 있다.

지난 12월 연말 쇼핑 시즌에 1800개의 매장을 가진 미국 대형 소매 체인업체 타겟(Target)의 고객 개인정보가 해킹 당했다. 약 4000만명에 이르는 고객 정보가 유출된 사고이다. 사고 발생 후 타겟측은 고객들에게 개인 정보 보호를 위한 새로운 모니터 시스템을 제공하겠다고 하였고 ‘사과 할인 행사’도 하였으나 이미 타겟을 상대로 한 집단 소송 및 개별 소송이 수십 건 법원에 접수되었거나 접수될 예정이다. 한 예로, 노스다코타 주 거주 타겟 고객들은 지난 15일 500만 달러을 청구하는 집단 소송을 연방법원에 접수하였다.
 
미국에서 개인정보를 모아 카드를 발행해 주고 그것을 결제수단으로 사용하는 업체가 개인정보를 유출했거나 유출당하는 사고를 당했을 경우, 개인정보를 그 업체에 제공한 소비자들이 법적으로 책임을 물을 수 있는 근거로는 연방법인 Stored Communication Act가 있다. 그리고 주별로 이에 상응하는 법이 있는데 예컨대 미조리주에는 Merchandising Practice Act가 일리노이주에는 Personal Information Protection Act라는 것이 있다.
 
이러한 법적 근거 이외에도 소비자들은 Payment Card Industry Security Standards Council Data Security Standard등에 의거하여 과연 그 업체가 고객정보를 유사 업체들에서 기준으로 내세우는 정도로 조심스럽게 다루었는지를 따져 볼 수 있다. 그리고 일반적인 민사소송의 근거가 되는 과실로 책임을 물을 수도 있고, 비록 명시적 계약은 없었지만 고객의 정보를 보호하겠다는 암묵적 계약이 있었다고 가정하고 암묵적 계약 위반 책임을 물을 수도 있다.
 
미국에서 이러한 소송을 통하여 소송에 참가한 소비자가 얻을 수 있는 것은 유출된 정보로 인하여 실제로 금전적 피해를 입은 것에 대한 보상뿐만이 아니다. 정보에 안전장치를 더하기 위하여 들인 비용, 카드를 교체하기 위하여 들인 비용과 시간, 그리고 카드 교체로 인하여 그 카드와 연결된 자동 지급 시스템 변경을 위하여 들인 시간 등에 대한 보상도 청구할 수 있다.
 
하지만 2006년 Acxiom이라는 회사에서 개인정보가 유출되어 제기된 집단소송에서 미국 연방 법원은 Acxiom이 정보를 주의를 기울여 다루지 못한 것은 사실이지만, 원고가 정보 유출로 인한 남용 피해를 구체적으로 입증하지 못하였다고 하였다. 정보를 빼낸 사람은 그 범죄행위에 대하여 8년 징역형은 선고 받았지만, 민사소송에서는 ‘구체적 피해 입증’의 결여로 인하여 원고가 패소했다. 즉 ‘피해 가능성’이 아니라 ‘실제 피해’가 있어야 보상받을 수 있다. 민사소송의 기본에 충실한 판결로 보인다.
 
앞서 이야기 한 것처럼 개인정보 유출과 관련된 범죄행위가 미국사회에서 증가하면서 미국법원에는 이와 관련된 판례가 적지 않게 쌓이고 있다. 미국 법원은 이 같은 사례들을 다루면서 정보를 수집, 보관한 기관의 유책근거로, 불필요한 정보까지 수집하여 너무 오랜 기간 보관하고 있었던 것은 아닌지, 그러한 정보를 다루는 직원들에 대한 교육을 적절히 하였는지, 관련 컴퓨터 시스템에 보안장치가 적절하게 설치되었는지 등을 하나의 판결 기준으로 삼는다.
 
우리나라에서 일어난 이번 사건에 대하여 집단 소송이 이미 준비되어 소송단을 모집하고 있다는 소식을 접하였다. 어떻게 소송이 진행될지 귀추가 주목된다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사
이슈포토