개인정보 유출 시 받을 수 있는 손해배상 청구 방법과 기준을 알아봅니다. 개인정보보호법에 따른 법적 구제절차와 배상액 산정 기준, 실제 사례를 통한 배상금액을 확인해보세요.
개인정보 유출로 인한 손해배상은 개인정보보호법 제39조에 근거하여 정보주체가 개인정보처리자에게 손해배상을 청구할 수 있는 권리입니다. 개인정보처리자가 개인정보를 유출한 경우, 해당 정보주체는 정신적 손해와 재산적 손해에 대한 배상을 청구할 수 있으며, 개인정보처리자의 고의 또는 중과실이 인정되는 경우 실제 손해액의 3배까지 배상받을 수 있습니다.
손해배상 청구를 위해서는 먼저 개인정보 유출 사실과 그로 인한 구체적인 피해 발생을 입증해야 합니다. 법원은 일반적으로 개인정보 유출로 인한 정신적 손해를 인정하고 있으며, 추가적으로 금전적 손실이 발생한 경우 이에 대한 배상도 가능합니다. 특히 기업의 안전조치 의무 위반이 입증되면 배상 가능성이 더욱 높아집니다.
최근 법원의 판례 경향을 보면, 개인정보 유출 사건에서 1인당 평균 30만원에서 100만원 정도의 위자료가 인정되고 있습니다. 2014년 카드사 개인정보 유출 사건에서는 1인당 10만원, 2016년 인터넷 쇼핑몰 개인정보 유출 사건에서는 1인당 50만원의 배상금이 인정된 바 있습니다. 다만, 실제 금전적 피해가 발생한 경우에는 그 피해액에 따라 더 높은 배상액이 인정될 수 있습니다.
개인정보 유출 피해를 입은 경우, 우선 해당 기업에 피해 사실을 통지하고 한국인터넷진흥원(KISA)이나 개인정보침해신고센터에 신고하는 것이 좋습니다. 배상 청구는 소송 또는 집단분쟁조정을 통해 진행할 수 있으며, 소멸시효는 피해자가 손해 및 가해자를 안 날로부터 3년, 불법행위가 있는 날로부터 10년입니다. 증거자료 확보를 위해 개인정보 유출 통지메일, 피해 내역, 관련 증빙서류 등을 잘 보관해두는 것이 중요합니다.
고등학교 교사인 피고인이 담임을 맡고 있는 학급의 여학생 3명의 피해자들에게 ‘남자 친구 대신 사랑을 주면 안 되냐?’, ‘너는 왜 애교를 부리지 않니?’ 등과 같이 말하면서 몸을 밀착시키고, 등을 쓰다듬고, 어깨를 주무르고, 양팔로 끌어안고, 볼을 서로 닿게 하는 등의 행위를 함으로써 위력으로 청소년인 피해자들을 추행하고, 이러한 행위에 대한 수사가 시작되어 담임교사의 업무를 수행하지 않게 되었음에도 학생들의 개인정보를 이용하여 학부모들에게 내용증명서를 발송하거나 발송 의뢰하는 방법으로 개인정보를 제공받은 목적 외의 용도로 이용하였다고 하여 아동·청소년의 성보호에 관한 법률 위반 및 개인정보 보호법 위반으로 기소된 사안에서, 피해자들 진술의 전후 내용이 자연스러우며 상세한 점, 피해자들이 우연한 계기로 학교에 피해사실을 진술하게 되었던 점, 피해자들이 피고인에 대하여 허위로 진술할 만한 특별한 사정이 있다고 보기 어려운 점 등을 종합하면 공소사실에 부합하는 피해자들 진술에 신빙성이 있고, 과거 교육현장에서 훈계 혹은 친밀감의 표시로서 관행적으로 묵인되어 오던 언행이라도 피해자인 아동·청소년의 시각에서 수치심이나 혐오감을 느낄 수 있는 행위라면 형법이 정한 ‘추행’에 해당하는 점에 비추어 피고인의 행위는 교사에게 허용되는 범위를 넘어선 추행에 해당하고, 피고인의 행위 태양 및 그 강도에 비추어 추행의 고의도 인정되며, 나아가 피고인이 내용증명을 보내기 위하여 학생들의 개인정보를 이용한 것은 목적의 정당성, 긴급성 또는 보충성의 요건을 충족하지 못한 행위이므로 정당행위에 해당하지 않는다는 이유로, 피고인에게 유죄를 선고한 사례.<br/>
2018. 2. 20.구 영유아보육법(2020. 12. 29. 법률 제17785호로 개정되기 전의 것, 이하 같다) 제15조의4 제1항은 “어린이집을 설치·운영하는 자는 아동학대 방지 등 영유아의 안전과 어린이집의 보안을 위하여 개인정보 보호법 및 관련 법령에 따른 폐쇄회로 텔레비전을 설치·관리하여야 한다.”라고 정하고, 구 영유아보육법 제15조의5 제3항은 “어린이집을 설치·운영하는 자는 제15조의4 제1항의 영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획의 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.”라고 정한다. 그리고 구 영유아보육법 제54조 제3항은 “제15조의5 제3항에 따른 안전성 확보에 필요한 조치를 하지 아니하여 영상정보를 분실·도난·유출·변조 또는 훼손당한 자는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다.”라고 정한다.<br/> 여기서 처벌의 대상이 되는 자 중 ‘영상정보를 훼손당한 자’란 어린이집을 설치·운영하는 자로서 구 영유아보육법 제15조의5 제3항에서 정한 폐쇄회로 영상정보에 대한 안전성 확보에 필요한 조치를 하지 않았고 그로 인해 영상정보를 훼손당한 자를 뜻한다. 영상정보를 삭제·은닉 등의 방법으로 직접 훼손하는 행위를 한 자는 위 규정의 처벌대상이 아니고 행위자가 어린이집을 설치·운영하는 자라고 해도 마찬가지이다.<br/>
2022. 3. 17.개인정보 보호법 제37조 제1항 제1문은 "정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다."라고 하여 처리정지의 대상이 개인정보에 대한 "처리"임을 전제로 하고 있고, 2020. 2. 4. 법률 제16930호로 개정되기 전의 구 개인정보 보호법 제2조 제2호는 "처리"를 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위’로 정의하였다. 그런데 2020. 2. 4. 법률 제16930호로 개정된 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제28조의2 제1항은 "개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다."라고 규정하여 가명정보의 활용범위를 정하였고, 같은 법 제2조는 "가명정보"를 ‘가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보’[제1호 (다)목]로, "가명처리"를 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’(제1호의2)으로 정의함으로써 "가명처리"를 같은 법 제2조 제2호의 "처리"와는 별도로 규정하였다. <br/> "가명처리"는 그 개념적 정의에 의하더라도 개인정보에 대한 식별의 위험성을 낮추는 방법이므로, 정보주체에 대한 권리 또는 사생활 침해의 위험을 발생시킬 수 있는 개인정보 보호법 제2조 제2호에서 규정한 여러 유형의 개인정보 "처리"와는 구별된다. 같은 법 제3조 제7항에서 "개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다."라고 규정한 것은 가명처리를 익명처리에 준하는 개인정보 보호조치로 분류한 것으로 볼 수 있다. 또한 "가명처리"는 더 이상의 처리가 가능하지 않도록 개인정보 자체를 삭제하거나 파쇄 또는 소각하는 개인정보의 파기와도 개념적으로 구분이 되는 행위이다. <br/> 이러한 사정에다가 데이터 관련 신산업 육성이 범국가적 과제로 대두되고 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 상황에서 데이터의 이용을 활성화하기 위한 가명정보조항의 입법취지를 고려하면, "가명처리"는 개인정보 보호법 제37조 제1항 제1문에서 처리정지 요구의 대상으로 정한 개인정보 "처리"에 해당하지 않는다고 보아야 한다.<br/>
2025. 7. 18.피해자가 손해 및 가해자를 안 날로부터 3년, 불법행위가 있는 날로부터 10년입니다. 기간 내에 소송을 제기해야 합니다.
네, 법원은 개인정보 유출로 인한 정신적 고통에 대해 위자료 지급을 인정하고 있으며, 보통 10만원에서 100만원 정도가 인정됩니다.
기업의 유출 통지메일, 개인정보침해신고센터 신고기록, 언론보도자료, 피해 관련 증빙서류 등을 통해 입증할 수 있습니다.
개인정보 유출 배상 관련 궁금한 점을 물어보세요