| [글로벌 개인정보보호③] 개인정보 유출 기각사례 | 2014.06.09 | ||||
정보유출로 인한 남용 피해 구체적으로 입증해야 배상 가능 ‘피해가능성’ 아닌 ‘실제 피해’가 있어야 한다는 측면에 초점 [보안뉴스 민세아] 지금까지 외국기업의 개인정보 유출시 제재·화해사례를 살펴봤지만, 앞서의 사례처럼 유출 피해자에게 항상 유리한 결과가 나오는 것은 아니다. 개인정보 유출사고가 잇달아 발생하면서 피해자들이 자신들의 권리를 찾으려 집단소송을 추진하고 있지만 법원은 대부분 기업의 손을 들어주고 있다.
이에 본지에서는 ‘글로벌 개인정보보호’ 마지막 사례로 테크앤로 법률사무소 구태언 대표변호사의 도움을 받아 해외에서의 개인정보 유출사고에서 집단소송이 기각된 사례를 살펴봤다.
[미국, 2003년, 16억 건) 미국의 마케팅 회사 액시엄(Acxiom)은 지난 2002년부터 약 2년간 데이터베이스에 기록된 고객 소비자 정보 16억 건을 해커에게 꾸준히 탈취당했다. 유출된 정보는 이름, 주소, 이메일 주소 등으로, 사상 최대의 개인정보 유출사고로 꼽히고 있다. 검찰은 액시엄의 개인정보관리 부주의로 인한 침해를 인정했으나, 액시엄 측에서 해커를 추궁하고 당국과의 협조에 적극적이었다는 점과 네트워크 침입이 있었다고 판단한 후, 연방 수사관에게 직접 연락을 취하는 등 액시엄 측이 발빠르게 대처한 점은 높이 평가했다. 검찰 측은 조사결과 개인 신원 도용이나 피해의 위험이 없음을 밝혔고, 소비자들이 정보유출로 인한 남용 피해를 구체적으로 입증하지 못하였다는 이유로 집단소송은 기각됐다. 해당 기각사례는 ‘피해가능성’이 아닌 ‘실제 피해’가 있어야 한다는 점을 명확히 보여주는 사례다. 한편, 고객정보 16억건을 유출한 해커는 징역 8년을 선고받았다.
[미국, 2006년, 240만 건] 미국 대형 융자업체 컨트리와이드(Countrywide)사의 직원이 고객 240만 명의 민감정보와 금융정보를 빼돌려 제3자에게 판매했다. 유출된 정보는 고객 이름, 주소, 사회보장번호, 담보대출 번호 및 기타 다양한 대출신청 정보를 포함하고 있는 것으로 밝혀졌다. 원고는 자신의 정보가 도난된 이후 추가적인 명의도용을 방지하기 위해 신용모니터링 서비스를 신청했고, 명의도용에 관한 조사로 시간을 소비했으며, 텔레마케팅 전화가 폭주해 전화서비스를 취소해야 했다며 이에 대한 손해배상을 주장했다. 또한 컨트리와이드가 뉴저지 정보유출통지법과 공정신용보고법(FCRA)를 위반했다고 주장했다.
그러나 켄터키 지방법원은 명백한 경제적 손실이 없었다는 이유로 해당 소송을 기각했다. 더불어 정보의 도난은 정보의 제3자 제공이 아니므로 FCRA를 위반한 것이 아니라고 판결했다.
[미국, 2007년, 420만 건] 미국의 식료품 소매점인 한나포드(Hannaford)는 지난 2007년 12월 7일부터 2008년 3월 10일까지 소비자 직불카드 및 신용카드 정보 420만 건이 유출됐다. 1차 순회법원은 소비자들의 집단소송 제기에 대해 한나포드의 개인정보보호 위반행위는 집단에 대한 공통적인 피해가 될 수 있음을 인정했다. 처음으로 해킹으로 인한 비용지출 청구 집단소송을 인정했으나, 집단소송을 통해 피해자들의 발생비용 입증이 어렵다고 지난 2011년 결정했다. 그러나 신용카드 정보 해킹 후 소비자가 지출한 신용보험 가입 및 새로운 신용카드 발급 관련 비용은 해킹 사건으로 인해 지출되는 ‘합리적으로 예측 가능한 비용’이므로, 법적으로 배상 가능한 손해임을 인정했다. 이와 관련 미국 메인(Maine) 주 지방법원은 신용카드 발급 및 신용보험 가입비용을 제외한 신용감시 비용을 집단소송으로 입증하는 것은 불가능하며, 이는 개별소송을 통해 판단해야 하는 사안이라고 지난 2013년 최종 결정했다. [민세아 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
