개인정보의 기술적⋅관리적 보호조치에 대한 공적집행과 사적집행

Abstract

우리나라는 개인정보 보호법 하위의 「개인정보의 안전성 확보조치 기준」, 정보통신망법 하위의 「개인정보의 기술적ㆍ관리적 보호조치 기준」 등을 통해 정보보호 규범을 정부가 선제적으로 제시하고 있다. 본질적으로 이러한 행정규칙은 위반 시 과태료ㆍ과징금 등 공법적 제재를 부과하기 위한 기준이다. 그런데 이것이 한 때 민사소송에서 개인정보처리자의 과실판단 기준과 동일시되어 행정입법의 흠결이 피해자 구제의 흠결로 이어진바 있었는데, 2015년 대법원 판결이 선고된 옥션 해킹 사건이 그것이다. 그러다가 2018년 1월 선고된 싸이월드 해킹 사건의 대법원 판결은 공법상 책임의 기준과 사법상 책임의 기준이 다르다고 판시하면서 종전의 법리를 바로잡았다. 그런데 하급심에서는 여전히 양자의 기준을 동일시하는 듯한 경향이 계속되고 있는데, 2018년 행정사건과 민사사건의 항소심 판결이 연이어 선고된 KT 마이올레 해킹 사건이 그것이다. 통상 방어하기 어려운 유형의 Advanced Persistent Threat 공격을 당했던 2011년의 싸이월드는 법적 책임이 없다고 판단되었던 것과 달리, 같은 유형의 해킹을 당한 2016년의 인터파크는 책임이 있다는 서울행정법원의 판결이 2018년 7월에 선고되기도 했다. 이는 최근 정보보호 규제가 급격히 강화된 탓이다. 정부가 마련한 규범은 공적집행의 영역에서 필요최소한의 기준으로서 운영하고, 사적집행의 영역에서는 개별 사건별로 업계의 정보보호 수준을 민사법원이 심리하는 체계로 이원화할 필요가 있다. 법집행의 유연성은 첨단기술에 대한 적확한 규제 및 개별 사건에서의 구체적 타당성과 직결된다. 이를 실현하기 위해서는 전문심리위원 제도 등을 통해 사법부의 기술적 전문성을 보완해야 한다.