“징벌적 손해배상제도”란 개인정보처리자가 「개인정보 보호법」 위반행위를 한 경우 위반행위의 재발을 방지하기 위하여 정보주체에게 입증된 재산상 손해보다 훨씬 많은 금액의 배상을 하도록 한 제도를 말한다.
1. 개인정보처리자의 징벌적 손해배상책임의 성립요건
개인정보처리자의 징벌적 손해배상책임이 성립하기 위해서는 첫째, 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손되어야 하고, 둘째, 개인정보의 분실 등으로 인하여 정보주체에게 손해가 발생하여야 하며, 셋째, 개인정보의 분실 등과 손해 사이의 인과관계가 있어야 한다.
(1) 고의 또는 중대한 과실로 인한 개인정보의 분실 등의 발생
개인정보처리자는 “고의 또는 중대한 과실”로 인하여 “개인정보가 분실ᆞ도난ᆞ유출ᆞ위조ᆞ변조 또는 훼손”되어야 한다.
즉, 개인정보처리자는 법령을 위반하는 사실을 알면서도 그 법령을 위반하는 행위를 하여 개인정보의 분실 등이 발생하였거나, 통상인에게 요구되는 정도의 상당한 주의를 하지 않더라도 약간의 주의만 기울여도 개인정보의 분실 등을 예견할 수 있음에도 주의를 게을리하여 이를 인식하지 못하여야 한다.
(2) 정보주체에 대한 손해의 발생
개인정보처리자의 고의 또는 중대한 과실로 발생한 개인정보의 분실 등으로 인하여 “정보주체에게 손해가 발생”하여야 한다. 여기에서의 손해에는 재산적ᆞ경제적 손해는 물론 정신적 손해를 포함한다.
분실 또는 유출된 은행계좌번호, 체크카드번호 등으로 인하여 정보주체의 예금이 불법으로 인출되어 재산적 손실이 발생하거나 분실 또는 유출된 이름, 휴대전화번호, 주소로 정보주체의 의사에 반하는 우편물, 스팸메일이 수신되는 것이 여기에 해당한다.
(3) 개인정보의 분실 등과 손해 사이의 인과관계
개인정보처리자가 고의 또는 중대한 과실로 인하여 개인정보의 분실 등이 발생하고, 그로 인하여 손해가 발생하여야 한다.
즉, 개인정보의 분실 등과 손해 사이에 상당인과관계가 성립하여야 한다.
2. 법원에 의한 손해배상액 결정
개인정보처리자는 고의 또는 중대한 과실로 인하여 개인정보의 분실 등이 발생하였고, 그로 인하여 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다.
법원이 징벌적 손해배상액을 정할 때에는 다음의 사항을 고려하여야 한다.
징벌적 손해배상 산정시 필수적 고려 사항
- 고의 또는 손해 발생의 우려를 인식한 정도
- 위반행위로 인하여 입은 피해 규모
- 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
- 위반행위에 따른 벌금 및 과징금
- 위반행위의 기간·횟수 등
- 개인정보처리자의 재산상태
- 개인정보처리자가 정보주체의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
- 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
3. 징벌적 손해배상책임의 입증책임
「민법」상 손해배상청구에 따르면 정보주체는 ① 개인정보처리자의 고의 또는 중대한 과실, ② 개인정보의 분실 등 발생, ③ 손해의 발생, ④ 개인정보의 분실 등과 손해 발생 사이의 인과관계, ⑤ 실손해액을 증명하여야 한다.
그러나, 손해배상에 관한 일반원칙인 과실책임의 원칙에 대한 불합리한 훼손을 막고, 책임이 가중된 징벌적 손해배상으로 인하여 개인정보처리자가 불합리하게 징벌적 손해배상책임을 지지 않도록 하기 위하여 개인정보처리자가 자신에게 고의 또는 중대한 과실이 없음을 증명한 경우에는 징벌적 손해배상책임으로부터 벗어날 수 있도록 허용하고 있다.