최근 개인정보 유출 사고가 빈번히 문제되고 있다. 실제로 온라인 지식거래 사이트가 해킹을 당해 수십만 명의 개인정보가 유출된 사건이 있었는데, 그 중 한 명인 원고는 자신의 암호화된 비밀번호와 이메일 주소가 유출된 것에 대해 개인정보보호법 제39조의2 제1항에 따른 법정손해배상을 청구했다. 그러나 1·2심은 물론 대법원 역시 원고의 청구를 기각했다(대법원 2025. 12. 4. 선고 2023다311184 판결).

청구금액이 3000만원 이하인 소액사건은 원칙적으로 '대법원 판례와 상반되는 판단'이 있어야 상고가 가능하다. 그러나 이 사건에서 대법원은 소액사건이라도 법령 해석의 통일 필요성이 있으면 적극적으로 판단할 수 있음을 확인한 후, 개인정보보호법에 따른 법정손해배상의 해석과 적용 범위를 살펴보았다.

개인정보보호법 제39조의2 제1항은 손해 발생 사실을 증명하지 않아도 배상을 청구할 수 있도록 규정하고 있다. 이는 피해자가 손해 입증의 어려움 없이 권리구제를 받을 수 있도록 하기 위한 입법 취지다. 대법원은 이 사건을 통해 "단순히 개인정보가 유출되었다는 사실만으로 무조건 배상책임이 인정되는 것은 아니며, 손해가 발생하지 않은 것이 명백한 경우에는 배상책임을 인정할 수 없다"고 판단했다. 즉, 정보주체인 원고로서는 손해 발생을 구체적으로 증명할 필요 없이 개인정보 유출 사실만 주장·증명하면 되지만, 개인정보처리자인 피고가 정신적 손해가 발생하지 않았음을 주장·증명하면 그 책임을 면할 수 있다는 것이다.

이 사건 사고에서는 이메일 주소가 성명 등 다른 개인정보와 결합된 상태로 유출되지 않았고, 추가적인 정보가 없는 한 유출된 이메일 주소만으로는 정보주체를 식별하기 어려웠다. 더욱이 해당 사이트는 지식공유 사이트로서 가입자의 유형이 매우 폭넓고 다양해, 가입 시기나 이용내역 등이 함께 유출되지 않은 이상 이메일 주소만으로 가입자의 성향이나 수요를 파악하기도 어려웠다. 따라서 이메일 주소가 유출됐다고 해 정보주체에게 사생활·명예의 침해나 재산적 피해 등이 발생할 위험성은 낮았고, 유출된 개인정보가 마케팅 등 영리 목적으로 이용되거나 확산될 가능성도 낮았다. 실제로 이 사건 사고 이후 2년 이상 스팸메일 증가나 2차 피해가 발생하지 않았다.

피고는 사고 직후 개인정보보호위원회와 사이버경찰청에 사고 발생 사실을 신고하고, 원고에게도 정보 유출 사실을 통보하며 비밀번호 변경을 요청하는 등 피해 발생 및 확산을 방지하기 위한 조치를 취했다.

이러한 점들을 종합적으로 고려해 대법원은 원고에게 손해가 발생하지 않았음이 명백하다고 보았다. 법정손해배상은 손해 입증이 어려운 피해자를 보호하기 위한 장치이지만, 실제 손해가 발생하지 않은 경우까지 배상책임을 인정하지는 않는다는 점을 명확히 한 것이다.

이번 판결은 개인정보보호법상 법정손해배상 제도의 보호 기능과 책임 제한 사이의 균형을 모색한 사건이다. 피해자 보호를 위해 손해 입증을 완화하면서도, 실제 손해가 없음을 기업이 입증하면 책임을 면할 수 있도록 해 제도의 남용을 방지했다. 앞으로 개인정보 유출 사건에서 실질적 피해 발생 여부가 핵심 쟁점으로 자리 잡게 될 것이다.