n     비트코인 등 인터넷거래관련 개인정보유출 피해 속출

 

ICT의 발달과 4차 산업혁명 가속화에 따라, 전통적인 off-line 시장으로부터 전자상거래/통신판매 중심으로 급격한 변화를 보여 왔고, 결제방법에서도 인터넷결제, 모바일결제 비중이 급격히 늘고, 최근에는 전통적인 화폐 또는 재화를 대체할 비트코인 등 가상화폐가 새로운 투자 및 결제수단으로 등장하고 있으며, big data를 통한 비즈니스모델이 각광받고 있다. 이러한 새로운 상거래 방식과 이를 통해 수집된 개인정보를 활용한 비즈니스모델의 확산, 대중화에 따라 종전의 법제도상의 규제와 보호의 사각지대가 발생하여 이로 인한 피해가 속출하고 있어, 관련 입법의 보완/정비와 함께 예방/보호책이 절실히 요구되고 있다.

최근 보도에 따르면, 국내 최대 비트코인 거래소 '빗썸'이 사이버 공격으로 3만명 넘는 고객의 정보를 도난 당하는 사건이 발생했고, 유출된 일부 이용자의 개인정보 유출로 인해 보이스 피싱 또는 기타 사기범 등에게 가상화폐가 유출되는 2차 피해자가 발생하였음에도, 우리나라 법제상으로는 비트코인 등 가상화폐는 화폐나 재화로 인정받지 못하고 있는 관계로, 이들 가상화폐 거래소 등은 설립과정상 금융감독원 등 금융당국의 허가/신고 대상업체도 아니고, 관련 영업행위에 대한  조사, 제재 대상도 아닌, 통신판매업체에 불과하므로, 소비자들의 이런 피해발생에도 금융관련 법규상 보상/보호가  적용되지 않아, 이들 통신판매/온라인서비스 업체들의 자발적인 보상이 만족스럽지 못한 경우는, 피해자별로 피해사례에 따른 개별, 구체적인 소송에 따른 손해배상에 의존할 수 밖에 없을 것이다.

 

n     개인정보유출 피해관련 배상책임

 

이러한 피해의 1차적인 원인은 i) 해킹이나 ii) 서비스/판매 업체 직원의 과실로 인한, 관련정보에서 비롯된 바, 그 책임의 주된 근거는 정보통신망법, 신용정보보호법 및 개인정보보호법 등에 따른 개인정보 보호의무에 초점이 맞춰지게 될 것이고, 이에 대해 판례는, “정보통신 서비스 제공자는 사회통념상 합리적으로 기대가능한 기술수준으로 개인정보를 관리하였는가?”를 기준으로 구체적인 사안에 따른 과실 여부 및 배상책임을 결정하고 있으므로, ICT 기술과 온라인 거래에 익숙한 전문 변호사들과의 구체적인 상담을 통해 법적 조치를 강구하여야 할 것이다.   

최근 정보보호관련 법규개정안 시행에 따라, 개인정보 유출에 따른 피해자는 피해액의 최대 3배까지 보상이 가능한 징벌적 배상제도(2016 7)와 함께 피해자의 피해액 입증 없이도 300만원까지는 배상판결이 가능하도록 규정한 법정손해배상제도 (2014 11)의 적용으로 과거 10~20만원 수준의 실효성 없는 배상에서 벗어나 실질적인 피해보상이 가능한 높은 금액의 새로운 판례들이 속출할 것으로 예상된다 

 

39조 손해배상책임

정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게  손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

삭제<2015.7.24.>

개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경 우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015.7.24.>

법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.             <신설 2015.7.24.>

1. 고의 또는 손해 발생의 우려를 인식한 정도

2. 위반행위로 인하여 입은 피해 규모

3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익

4. 위반행위에 따른 벌금 및 과징금

5. 위반행위의 기간ㆍ횟수 등

6. 개인정보처리자의 재산상태

7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도

[시행일 : 2016.7.25.] 39조제3, 39조제4

39조의2  법정손해배상의 청구

39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.

[본조신설 2015.7.24.] [시행일 : 2016.7.25.] 39조의2

 

*정보통신서비스 제공자를 규제대상으로 하는 정보통신망법에서도 사실상 동일한 내용으로 손해배상책임 (징벌적손해배상 및 법정손해배상)을 규정하고 있음 [정보통신망법 제32조 및 32조의 2 참조]

 

특히, 신용정보법 또한 개인정보 유출시 관련 매출액의 3%까지 과징금을 부과할 수 있도록 대폭 강화되어, 이러한 개인정보를 취급하는 업체 입장에서는 향후 관리, 감독에 철저한 주의가 요구된다.

 

n     국제거래상 개인정보보호와 유럽연합의 GDPR(일반정보보호법) 준수의무

 

이러한 통신판매, 온라인, 사이버 거래로 인해 국가간 영역 파괴 현상은 더욱 가속화 되어, 국제상거래 비중 또한 높아지고 있어, 그 피해 또한 특정국가에 한정키 어려운 특수성에 따라, 국제거래에서의 risk management 차원에서 요구되는 컴플라이언스 중점영역으로 종전의 공정거래법 (Anti-trust Laws), 해외부패방지법 (Foreign Corrupt Practices Act)에 이어 개인정보보호법 (Data Protection/Security Laws) 준수가 요구되고 있다. 공정거래법 및 해외부패방지법에서와 마찬가지로, 국가간 영역을 넘나드는 통신/인터넷 판매 및 온라인 거래의 특성상, 이들 법규는 특정국내의 거래에 한정되지 않고 역외관할 (Extraterritorial Jurisdiction) 적용이 확산되고 있는 대표적인 영역이므로 해당업체의 설립지국 뿐만 아니라, 거래행위 및 영향이 미치는 지역의 관련 법규에 대한 준수도 간과하여서는 안될 것이다.   

이러한 관점에서 국제거래상 가장 유의를 요하는 대표적인 개인정보보호법규로, 유럽연합(EU)에서 제정되어 시행(2018 5 25)을 앞두고 있는 유럽 일반개인정보보호법(General Data Protection Regulation, GDPR)을 들 수 있을 것이다. 공정거래법규나 해외부패방지법의 경우, 미국의 법규와 기준이 국제거래에서의 선제적, 대표적 기준으로 작용해 왔다면, 개인정보보호법규의 경우는 미국의 구체적/통일적 기준이 아직 정립되지 않은 단계에서 유럽연합이 구체적인 기준과 함께 강화된 강행법규의 시행을 선언하고 있어, 향후 각국의 입법에 상당한 영향을 미칠 국제적인 기준으로 확산될 가능성이 높아지고 있다.

1995년부터 시행되었던 종전의 유럽 개인정보보호지침(Personal Data Protection Directive)Directive(지침) 성격상, EU회원국에 대한 입법지침으로서 구체적인 법적 방식과 수단 등은 각국에 위임되었던 반면, 이를 대체하기 위헤 제정된 EUGDPR  최상위 단계의 입법인 Regulation으로서 EU역내 모든 회원국에 직접적인 법적 효력을 미치는 강행법규로써, 유럽연합(EU) 회원국들간의 개인정보에 대한 관리기준을 통일성 있게 강화하기 위해 제정되었으며, 개인정보가 저장되거나 이전되는 위치 및 방법, 정보에 접근할 시 적용되는 정책 및 감사에 관한 철저한 관리감독을 요구하고 있어 관련 기업들에게 상당한 부담으로 작용할 것으로 예상됨은 물론, EU 집행위는 현재 EU 기업들은 유럽에서 활동 중인 역외기업들에 비해 매우 엄격한 기준을 준수하고 있다고 언급하며,  금번 개정으로 역외기업들 역시 EU 기업과 동일한 법이 적용돼 EU 기업들과 동등하게 경쟁할 수 있는 계기가 될 것이라 밝힌 바 있어 과거의 공정거래에서 보았던 것과 같은 비관세 장벽으로 작용할 소지도 있다.

EU 내 사업장이 있는 기업뿐만 아니라 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링하는 기업에까지 전 세계적으로 확대 적용되어, 그 대상 기업들은 다음과 같은 조치와 책임을 부담하게 된다:

 

i)              개인정보 처리활동 기록 (records of processing activities),

ii)            개인정보보호를 위한 기술적, 조직적 조치 (data protection by design and by default)

iii)           개인정보 영향평가 실시 (data protection impact assessment),

iv)           DPO(Data Protection Officer) 지정,

v)            행동강령 및 인증제도 (codes of conduct and certification mechanism)

vi)           개인정보 침해발생 시 침해 인지 후 72시간 이내에 감독기구 통보 및 정보주체에게도 지체없이 통보,

vii)          EU 시민의 개인정보는 GDPR의 규정에 부합할 경우(적정성 결정에 따른 이전, 적절한 보호조치에 의한 이전, 구속력 있는 기업규칙 등) EU 역외  이전.

 

우리나라의 경우, 2017년 하반기까지 EU 승인을 받는 것을 목표로, 현재 EU로부터 개인정보체계를 인정받기 위해 행정자치부를 중심으로 정부 차원의 협의가 이루어지고 있으며, EU의 적합성 평가를 통과해 인정되는 경우, 별도의 추가절차 없이 개인정보의 역외이동이 가능해지게 되나, 그러지 못하게 되는 경우는 개별 관련기업벌로 이전 적합성 평가/인정을 받아야 하는 부담을 안게 된다.

GDPR 위반시는 최대 2천만 유로( 245억원) 또는 전 세계 연간 매출액의 4% 중 높은 금액으로 과징금을 부과 받게 되므로, 우리나라의 관련 기업들도 내년 시행될 GDPR 법규 숙지 및 사내 컴플라이언스 규정 점검/보완을 통한 준수 및 위반 예방활동에 만전을 기해야 할 것이다.

GDPR 관련 컴플라이언스 점검차원에서 아래 자료를 적극 참조하시길 권장한다.

 

[참조 1]  우리 기업을 위한 「유럽 일반 개인정보 보호법」 안내서 (행정자치부/한국인터넷진흥원)

https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000828490&fileSn=0&nttId=7875&toolVer=&toolCntKey_1=

 

[참조 2]  EU GDPR 공식 포털

http://www.eugdpr.org/eugdpr.org.html

 

20170508_-_우리_기업을_위한_GDPR_안내서(최종)v2.pdf

 

이용태 미국변호사

 

 

 

 

 

작성일시 : 2017.07.12 16:00
Trackback 0 : Comment 0

댓글을 달아 주세요


-- 고의 특허침해에 대한 징벌적 3배 손해배상 부과 기준: 미연방대법원 Halo v. Pulse 판결 -- 

 

우리나라 특허법에 없는 미국특허법상의 징벌적 손해배상 판단기준에 관한 미연방대법원 판결이지만 참고자료로 첨부합니다. 소수의견 없는 unanimous 판결입니다.

 

판결요지는, 원심 CAFC에서 그동안 적용하여 온 징벌적 손해배상 적용기준이 과도하게 엄격하여 미국특허법 제284조에 어긋난다는 판결입니다. 미국법원에서 판결요지를 정리하여 첨부한 Syllabus를 먼저 읽어 보시기 바랍니다.

 

원심 CAFC의 징벌적 손해배상 부과기준은 다음과 같습니다. "First, a patent owner must show by clear and convincing evidence that the infringer acted despite an objective­ly high likelihood that its actions constituted infringement of a valid patent. Sec­ond, the patentee must demonstrate, also by clear and convincing ev­idence, that the risk of infringement was either known or so obvious that it should have been known to the accused infringer.”

 

미연방대법원은 위와 같은 판단기준은 미국 특허법 제284조의 문언 "may"로 표현되는 1심 법원의 재량(discretion)을 과도하게 제한한다고 판결하였습니다. 1심 법원의 자의적 판단까지 허용하는 것은 아니지만 위와 같은 엄격한 기준을 적용하는 것은 그 "재량"을 과도하게 제한하는 것으로서 위법하다 판시하였습니다. , 고의 특허침해를 원인으로 하는 징벌적 손해배상 적용범위를 현행보다 확대하는 판결입니다.

 

한편, 미연방대법원 대법관 3인은 위 판결로 징벌적 손해배상의 적용기준을 완화하는 결과가 남용되는 것을 우려하여, 다음과 같은 징벌적 손해배상의 적용범위 한계를 제시하는 concurring opinion을 붙였습니다.

 

Concurring opinion: "(1) mere knowledge of the patent is insufficient to prove willfulness; (2) failure to obtain advice of counsel cannot be used to prove recklessness; and (3) enhanced damages are not to be used to compensate the patentee for either the infringement or the hassle/cost of litigation."

 

첨부: 미연방대법원 Halo v. Pulse 판결

미연방대법원 Halo vs Pulse 판결.pdf 

 

작성일시 : 2016.06.14 09:15
Trackback 0 : Comment 0

댓글을 달아 주세요


-- 2016. 7. 25.부터 적용되는 개인정보 보호법 개정내용 - 징벌적 손해배상 규정과 법정손해배상 규정 --

 

1.     징벌적 손해배상제도 도입 - 개정 개인정보 보호법 제39조 제3항 및 제4항 신설

 

개인정보 처리자의 고의 또는 중과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 실제 발생한 손해를 초과하여 최대 그 실제 손해액의 3배까지 징벌적 손해배상을 부과할 수 있습니다(39조 제3항 본문).

 

징벌적 손해배상액은 (i) 개인정보처리자가 고의 또는 손해 발생의 우려를 인식한 정도 (ii) 정보주체가 입은 피해 규모 (iii) 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익 (iv) 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 등을 고려하여 결정합니다(39조 제4).

 

당연히 개인정보처리자가 고의 또는 중대한 과실이 없었음을 입증한 경우에는 손해배상책임이 없습니다(39조 제3항 단서).

 

2.     법정손해배상제도 도입 - 개정 개인정보 보호법 제39조의2 신설

 

실제 사건에서 구체적 손해액을 입증하는 것은 매우 어렵습니다. 개정법은 이와 같은 문제를 감안하여, 피해자가 구체적 손해액을 입증하지 못한 경우에도 최대 300만까지 법정 손해배상을 명할 수 있도록 하였습니다(39조의2 1항 제1). 다만, 개인정보처리자는 고의 또는 과실이 없었음을 입증하면 법정손해배상책임을 면하게 됩니다(39조의2 1항 제2).

 

3.     적용범위 - 부칙 제2

 

징벌적 손해배상 규정과 법정손해배상 규정은 특별히 새로운 제도이므로 홍보와 준비기간을 부여하는 취지에서, 개정법의 다른 규정 시행일(2015. 7. 24.)로부터 1년이 경과한 날 2016. 7. 25.부터 시행되고, 그 시행일부터 발생한 분실, 도난, 유출, 위조, 변조 또는 훼손된 개인정보 관한 손해배상 청구부터 적용합니다.

 

작성일시 : 2015.08.27 09:09
Trackback 0 : Comment 0

댓글을 달아 주세요