A Study on the Legal Nature of Personal Information and Relief of Personal Information Breach Case - Focusing on the Perspective of Personal Rights and Property Rights and Amendments to the Civil Act -
개인정보의 가치가 높아지면서 개인정보의 보 호에 관심이 높아지고 있다. 개인정보 보호 방법 을 논의하기 위해서는 먼저 개인정보가 법적으로 어떠한 성격을 갖고 있는지에 대하여 논의할 필 요가 있다. 개인정보에 대한 정보주체의 권리를 인격권으로 파악하는 관점은 개인이 자유로운 의 사에 의하여 개인정보를 제공할지 여부를 결정하 여 제공한 것이므로 이에 대한 법적 보호가 이루 어진다고 파악한다. 미국에서는 개인정보를 재산 권의 대상으로 보는 관점이 있는데 이는 개인이 개인정보 제공에 대한 결정을 내리고 개인정보를 제공받는 상대로부터 개인정보의 제공과 사용에 대한 보상을 받아 개인정보 사용에 대한 외부 효 과를 정보주체인 자신에게 이전한다는 것을 내용 으로 한다. 생각건대개인정보가개인에게 재산적 가치를 가질 수 있더라도 명시적 근거 없이 개인 정보의 법적 성격을 재산권으로 해석하기는 어렵 고, 인격권의대상으로 보아개인정보를 인격권적 측면에서 보호하는 것이 보다 타당하다고 할 것 이다. 정보주체는 개인정보처리자로부터 서비스를 제공받기 위해서 일정한 개인정보를 제공하게 된 다. 이렇게 제공된 개인정보가 유출되는 사고가 발생하였을 때 정보주체는 피해가 현실화되는 상 황을 기다리기보다는 유출 사고 발생에 초점을 맞추어피해의구제를꾀하게된다. 우리나라에서 개인정보 유출 사고에 대한 소송은 개인정보가 유출된 정보주체들이 공동으로 소송을 제기하여 개인정보처리자에게 정신적 손해에 대한 위자료 를 청구하는 특징이 있다. 이렇게 제기된 소송은 장기간에 걸쳐 진행되고 개인정보 유출 사고 발 생 자체를 정보주체에 대한 손해 발생으로 보아 정보주체 1인당10만원상당의배상금을 인정하 는 경우가 많다. 정보주체에 대한 보호를 강화하 기 위하여 개인정보보호법에 법정손해배상제도, 징벌적손해배상제도가 도입되었으나 이러한 제도 가 활용된 사례를 찾기 어렵다. 최근 발표된 민법 개정안은 인격권을 명문화하 면서 인격권의 예시로 개인정보를 들고 있다. 개 정안이 통과된다면 우리나라에서 개인정보의 법 적 성격은 입법적으로 인격권이 된다. 다만 인격 권으로서의 개인정보 보호를 위해 개정안에 포함된 침해예방청구권 등을 활용하고자 한다면 청구 의 상대방에 개인정보처리자가 포함되는지 여부 에 대한 추가적인 논의가 필요하다. 개인정보 유 출 사고 예방과 사고 발생 시 침해된 이익 회복을 위한 적당한 조치 등에 있어 개인정보처리자를 청구의 상대방으로 포함할 수 있을 것인지에 대 한 보완이 이루어질 때 개인정보 보호가 더 강화 될 수 있을 것이다.
As the value of personal information increases, interest in the protection of personal information is increasing. In order to discuss how to protect personal information, it is necessary to first discuss the legal nature of personal information. There is a theory that the right of the data subject to personal information is a ‘personal right’. According to this perspective, it is understood that legal protection is provided because an individual decides whether to provide personal information according to individual’s free will. Meanwhile, In the United States, there is a view that personal information is subject to property rights, in which individuals make decisions about providing personal information, receive compensation for the provision and use of personal information from the recipient, and transfer external effects of personal information to the data subject. Even if personal information can have property value to an individual, it would be difficult to interpret the legal nature of personal information as property rights without explicit grounds, and it is more reasonable to protect personal information in terms of personal rights. When an accident in which personal information is breached occurs, the data subject seeks to remedy the damage by focusing on the occurrence of the personal information breach rather than waiting for the situation in which the damage becomes a reality. In Korea, lawsuits for personal information breach cases are characterized by jointly filing lawsuits by information subjects with personal information leakage and claiming alimony for mental damage to the personal information controller. The lawsuits filed in this way are carried out for a long period of time, and in many cases, compensation of 100,000 won per person is sentenced. In order to strengthen the protection of information subjects, a legal damage compensation system and a punitive damage compensation system were introduced in the Personal Information Protection Act, but it is difficult to find a case in which these systems were used. The recently announced amendment to the Civil Act stipulates the right to personality and uses personal information as an example of the right to personality. If the amendment is passed, the legal nature of personal information in Korea becomes a personal right by legislation. However, in order to strengthen the protection of personal information, additional discussion is needed on whether the right to claim infringement prevention and the right to seek appropriate measures for the recovery of the infringed interests included in the Civil Act amendment can be claimed against the personal information controller.