개인정보 피해 구제, 법만으로는 소비자 권리 못 지켜…‘제도 개선 시급‘

By곽중희

이통3사 사례로 드러난 개인정보 피해 구제 제도의 빈틈

개인정보 피해 구제가 법적으로는 마련돼 있지만 실제로 소비자 권리를 지키기에는 한계가 뚜렷해 제도 개선이 필요하다는 전문가들의 지적이 나왔다.

17일 개인정보보호위원회(위원장 고학수, 이하 개인정보위)가 서울에서 주최한 ‘글로벌 프라이버시 총회 2025 서울(GPA 2025 Seoul)’에서 열린 ‘데이터 보호 구제와 상호 운용성’ 세션에서 국제 개인정보 전문가들은 “법적 장치가 존재하더라도 집행력이 뒷받침되지 않으면 실질적 권리 보호는 어렵다”고 강조했다. 특히 최근 대량의 개인정보 유출 사태를 빚고 있는 국내 이동통신 3사의 개인정보 관련 분쟁 사례는 구제 절차의 구조적 한계를 드러낸 대표적 사례로 소개됐다.

개인정보 구제, 국경 넘으면 멈춰서 ‘한계 뚜렷‘

유럽 당국자들은 개인정보 피해 구제에 대해 “문제는 법이 아니라 집행”이라고 지적했다. 구이도 스코르차 이탈리아 개인정보보호위원회 위원은 얼굴인식 기업 ‘클리어뷰 AI(Clearview AI)’ 사례를 들었다. 이탈리아 당국은 2022년 데이터 삭제 명령과 2000만유로의 벌금을 부과했지만, 본사가 미국에 있다는 이유로 제재를 끝내 집행하지 못했다. 그는 “국가 간 협약이 없어 행정명령이 공중에 떠버린 셈”이라며 “소비자 권리가 사실상 방치됐다”고 말했다. 이 사건은 국경을 넘는 데이터 규제에서 집행 공백이 가장 큰 취약점임을 보여준다.

국가간 구제 기준의 차이도 혼란을 키운다. 미야시타 히로시 일본 중앙대 교수는 “유럽연합(EU)은 데이터가 보관되는 것만으로도 위험이 발생한다고 보고 법원이 개입할 수 있다”며 ‘위험 기반 접근(Risk-based approach)‘을 설명했다. 반면 미국은 실질적 피해가 입증되지 않으면 소송이 불가능한 ‘피해 기반 접근(Harm-based approach)‘을 택한다. 같은 사건이 유럽에서는 ‘권리 침해’로 다뤄지지만, 미국에서는 ‘피해 없음’으로 종결되는 경우가 발생한다는 것이다.

한국은 이 가운데 미국식 접근에 더 가깝다. 현행 개인정보보호법상 손해배상 청구는 피해자가 재산적·정신적 손해를 입증해야만 가능하다. 2020년 개정으로 입증책임이 일부 전환되긴 했지만, 피해 규모가 작거나 정신적 피해만 있는 경우에는 구제가 쉽지 않다. 최근 SK텔레콤의 가명처리 사건에서 대법원이 “가명처리는 개인정보 처리와 다르다”며 하급심 승소 판결을 뒤집은 것도 위험 자체만으로는 구제를 인정하지 않은 대표 사례다. 이 때문에 국내에서는 집단소송제 도입 요구가 꾸준히 제기되고 있다.

개인정보보호위원회가 9월 17일 서울에서 주최한 ‘글로벌 프라이버시 총회 2025 서울(GPA 2025 Seoul)‘의 ‘데이터 보호 구제와 상호 운용성’ 세션에서 국제 개인정보 전문가들이 발언하고 있는 모습(사진=바이라인네트워크)

소비자와 기업의 개인정보 인식에 대한 관점 차이도 문제로 꼽혔다. 하비에르 루이스 디아즈 아시아태평양 디지털 소비자 대화 고문은 “기업은 합법성을 보증하는 문서만 확보하면 안심하지만, 소비자는 실제 문제가 발생했을 때 어떻게 해결되는지가 더 중요하다”고 지적했다. 나타샤 겔라흐 CIPL 이사는 “소비자가 손쉽게 구제 절차에 접근할 수 있어야 데이터 처리 신뢰가 형성된다”며 “일반개인정보보호법(GDPR) 이후 소송이 늘어난 것은 권리를 행사하기 쉽게 만든 절차 덕분”이라고 강조했다.

이통 3사 사례로 드러난 제도적 빈틈

한국 사례는 개인정보 구제의 제도적 한계를 더욱 뚜렷하게 보여줬다. 오병일 진보네트워크센터 대표는 2020년 SK텔레콤·KT·LG유플러스에 개인정보 열람과 처리 중단을 요구하는 과정에서 드러난 개인정보 피해 구제의 한계점을 소개했다.

KT의 경우, 개인정보 분쟁조정위원회에 분쟁을 제기한 지 약 4개월 만에 ‘접근 권리 보장 및 처리 중단’ 결정이 이뤄졌다. 그러나 피해자가 즉각적으로 권리를 행사하기에는 여전히 긴 시간이 소요됐다. LG유플러스의 경우, 개인정보침해신고센터에 꾸준히 문제가 제기됐으나, 사측에서 “웹사이트에 안내돼 있다”는 형식적 답변으로 사건을 종결해 실질적 구제로 이어지지 못했다. SK텔레콤은 소송으로 이어져 1·2심에서는 구제를 요청한 원고 승소 판결이 났으나, 대법원은 “가명처리는 개인정보 처리와 다르다”며 원심을 뒤집으면서 SK텔레콤측 손을 들어줘 상황이 뒤집혔다.

글로벌 기업과의 분쟁도 마찬가지다. 2021년 페이스북(현 메타)이 개인정보를 제3자에게 무단 제공한 사건에서 분쟁조정위는 피해자 181명에게 1인당 30만원 배상안을 제시했지만, 메타가 거부하면서 현재까지 소송이 이어지고 있다.

오 대표는 “소비자는 분쟁조정에서 승리해도 기업이 거부하면 다시 소송으로 가야 한다”며 “시간과 비용을 감당하기 어려운 구조가 가장 큰 문제”라고 지적했다. 이어 “개인정보 유출 등 피해가 늘어나는 상황에서 감독 기구가 명확한 구제 기준과 해법을 내놓을 필요가 있다”고 강조했다.

개인정보 유출은 피해자가 수만명에 이르는 경우가 많지만, 개별 피해액이 작아 소비자가 직접 소송을 제기하기 어렵다. 현행 개인정보보호법은 대표소송 제도를 규정하고 있으나 일정 요건을 충족한 단체만 제기할 수 있고, 손해배상 청구는 허용되지 않는다. 그 결과 지금까지 개인정보보호법에 따른 대표소송은 단 한 건도 제기되지 않았다. 오 대표는 “소송비용 장벽을 낮추고 집단소송 제도를 도입해야만 소비자가 실질적인 권리를 회복할 수 있다”고 말했다.

국제 개인정보 전문가들은 구제의 실효성을 높이는 동시에 예방적 접근이 필요하다고 입을 모았다. 스코르차 위원은 “데이터 보호를 하나의 ‘서비스’처럼 손쉽게 이용할 수 있어야 한다”며 “클릭 한 번으로 개인정보를 잃을 수 있지만, 되찾기 위해서는 몇 년과 막대한 비용이 드는 현실을 바꿔야 한다”고 말했다. 결국 소비자가 이해하기 쉬운 구제 절차, 신속한 처리, 사전적 투명성이 함께 보장돼야 한다는 것이다.

한편, 개인정보위는 최근 EU와의 데이터 이전 체계를 공식적으로 완성했다고 밝혔다. 이번 조치로 국내 기업과 기관은 별도의 동의 절차 없이도 EU에서 지정한 국가로 개인정보를 이전할 수 있게 됐다. 이를 계기로 국제 데이터 이전뿐 아니라 국내 구제 절차를 둘러싼 논의도 한층 확대될 것으로 보인다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.