I. 서론
1.1 연구의 배경 및 목적
4차산업혁명 시대에 도래한 초연결사회에서 정보보호는 초연결사회를 존속 가능하게 하는 플랫폼으로서의 중요성이 더욱 더 강조되고 있다. 이에 맞추어 개인정보 역시 안전한 이용과 침해의 방지를 위하여 개인정보보호법 등 관계법령을 통하여 각종 형사법적(형벌)⋅행정법적(과징금, 과태료) 규제가 종횡으로 마련되어 있고, “개인정보의 안전성확보조치 기준(행정안전부 고시)”과 “개인정보의 기술적⋅관리적 보호조치 기준(방송통신위원회 고시)” 같은 행정규칙도 마련되어 있다. 그러나 아무리 개인정보보호를 위한 법적⋅제도적장치가 철저하게 마련된다 하더라도 현실적으로 개인정보의 침해사고는 다양한 형태로 발생할 수 밖에 없고, 이 경우 그로 인한 정보주체의 재산적⋅정신적 손해는 궁극적으로는 손해배상이라는 민사적 수단에 의해 사후적으로 보전받을 수 밖에 없을 것이다.
이러한 개인정보침해사고를 손해배상책임과 관련된 주체들의 관점에서 보면 해커(hacker)와 같은 정보침해행위자, 정보를 수집⋅이용⋅관리하는 정보처리자, 그리고 정보를 보유하고 있는 정보주체 사이에 삼각구도를 형성한다고 볼 수 있고[1], 나아가 대부분의 정보처리자들이 보안관제업체와 같은 정보보호기업들에게 정보보호업무의 전부 또는 일부를 위탁하는 경우를 고려한다면 정보보호기업을 포함하는 사각구도로 확대해 볼 수 있다.
물론 이와 같은 사각구도를 구성하는 주체 중에서 개인정보침해사고에 있어서 궁극적으로 손해배상책임을 부담하여야 할 주체는 당연히 정보침해행위자이지만, 침해행위의 입증이 쉽지 않을 뿐 아니라 설사 입증을 하더라도 현실적으로 손해배상을 청구하기가 불가능하거나(예컨대 테러단체에 의한 조직적 침해나 적국의 정보기관에 의한 국가적 침해의 경우), 거액일 것으로 예상되는 손해배상을 할 만한 자력을 기대하기는 어려운 경우(개인적 침해의 경우)가 대부분일 것이다. 따라서 정보주체는 상대적으로 높은 자력을 가진 기업들인 정보처리자를 상대로 손해배상을 청구할 것이고, 정보주체로부터 손해배상 청구를 당한 정보처리자는 자신이 정보보호업무를 위탁한 정보보호기업에게 구상을 함으로써 자신의 책임을 전가하려 할 것이다.
문제는 이러한 사각구도하에서 정보주체, 정보처리자, 정보보호기업 간에 진행될 것으로 예상되는 손해배상청구의 연쇄가 결국은 정보침해행위자에 의한 침해행위의 피해 당사자들 간에 서로 책임을 전가하기 위한 다툼이라는 실질을 가진다는 점이다. 이 점에서 가해자와 피해자 또는 채무자와 채권자 사이의 쌍방간 대립구조에서 피해자(채권자)를 보호하기 위하여 가해자(채무자)에게 전보배상책임을 지우면 되는 통상적인 불법행위(채무불이행)로 인한 손해배상책임구조와 달리 보아야 할 점이 있다.
더 나아가 정보침해사고로 인한 피해를 입은 정보주체들의 대규모성으로 인하여 손해배상액의 총액 규모가 천문학적일 경우에, 만약 이 손해를 전부 정보처리자가 배상하거나 또는 정보보호기업이 그대로 구상청구를 당하게 되면 정보처리자나 정보보호기업은 기업의 존속에 위협을 받게 될 수 있을 것이고 이러한 결과는 자칫 정보보호산업 생태계 자체를 위협할 수도 있다. 이러한 관점에서 볼 때 과연 정보침해로 인한 손해에 대한 책임을 이들 피해자들 간에만 배분하는 하는 것이 과연 사회경제적 관점 또는 실질적정의의 관점에서 합리적인 것인지에 대한 의문에서 사회나 국가도 어떤 형태로든 손해에 대하여 일정부분 책임을 부담하여야 할 필요성도 제기된다.
이러한 문제의식에 따라 본 연구는 개인정보침해행위로 인한 손해에 대한 배상책임을 단순히 정보주체와 정보처리자 간의 손해전보의 관점에서만 보지 않고, 정보주체, 정보처리자, 정보보호기업간에 어떻게 배분하는 것이 시대적인 법감정이나 형평성을 충족시킬 수 있는지에 대하여 고찰하고, 더 나아가 이들과 같이 피해자로서 실질을 가진 당사자들에게만 손해에 대한 모든 책임을 지울 것이 아니라 사회 또는 국가 어떤 형태로 손해를 분담하는 것이 합리적인가에 대하여 고찰해 보고자 한다.
1.2 연구의 범위
본 연구는 정보침해사고를 규율하고 있는 여러 유형의 법률관계 중 형사책임이나 행정법적 책임에 관한 논의는 뒤로 미루고, 침해사고에서 발생하는 재산적 또는 정신적 손해에 대한 민사상 배상책임의 분배문제에 대한 고찰을 연구 범위로 한다.
또한, 정보보호 관련 손해배상책임의 배분에 관한 합리적인 대안을 찾으려는 본 연구의 목적상, 연구 대상 법률관계를 단순화할 필요가 있기 때문에 현실의 다양한 정보침해사고의 유형 중에서 관련 주체 간의 독립성이 뚜렷하고 침해대상 정보 및 손해배상에 관한 실정법적 규정이 있는 개인정보에 대한 침해 사고를 모델로 상정하여 개인정보보호법을 중심으로 손해배책상임의 배분문제를 고찰해 보고자 한다.
I. 개인정보 침해사고로 인한 손해
2.1 침해사고
2.1.1 침해사고의 유형
정보침해사고의 대상정보, 침해주체, 침해행위태 양의 다양성으로 인하여 명확한 유형화와 통일된 정의가 곤란하기 때문에, 정보침해사고의 유형에 대해학계에서는 아직 그 용어나 개념을 확정하지 못하고 있고, 정보침해사고를 말할 때도 사이버테러, 사이버침해행위, 정보통신범죄, 전산망범죄, 컴퓨터범죄, 정보침해 등 다양한 표현이 사용되고 있다[2]. 본 연구는 개인정보 침해사고의 분류 및 유형화에 대한기존 연구를 참고하여 연구목적에 적합한 전형적인 개인정보침해행위를 상정하여 손해배상책임의 배분문제를 논의하고자 하며, 이에 따라 개인정보침해사고를 유형화한 기존 연구를 먼저 살펴보기로 한다.
우선 개인정보처리자가 개인정보의 유출로 인하여 민사상 손해배상책임을 부담하는 유형을 다음과 같이5가지로 분류하면서, 유형에 따라 개인정보처리자가책임을 부담하는 근거를 달리 설명하는 견해가 있다[3].
□ 제1유형:개인정보처리자{그 피용자와 그로부터 개인정보 취급위탁을 받은 자(수탁자)를 포함한다}의 과실로 개인정보가 유출된 경우
□ 제2유형:개인정보처리자의 과실과 제3자(해커 등)의 고의로 인한 불법행위가 경합하여 개인정보가 유출된 경우
□ 제3유형:개인정보처리자의 피용자, 수탁자가 고의로 개인정보를 유출한 경우
□ 제4유형:개인정보처리자가 동의를 받지 아니하고 개인정보를 제3자에게 제공하거나 이전한 경우
□ 제5유형: 개인정보처리자가 동의 없이 정보를 수집하거나, 동의 받은 목적과 달리 사용하거나, 이용자의 동의철회, 열람, 정정 등 요구를 받고도 이행하지 아니하는 경우
본 연구의 목적과 범위 비추어 보면 정보침해자와 정보처리자가 구별되는 제2유형의 정보침해행위가 연구에 부합하는 유형으로 볼 수 있다.
또 다른 견해에 의하면 대량의 개인정보 유출사고와 그에 따른 소송내용을 사고원인별로 보면 크게 내부의 관리소홀로 인한 유출과 고의적인 불법행위로 인한 유출로 나누고, 불법행위로 인한 유출의 경우는 다시 해킹에 의한 유출, 범죄목적의 유출 및 목적범위 외 사용을 위한 유출로 나누기도 한다. 이 견해는 그 동안 국내에서 진행된 대표적인 민사소송 사건들을 다음과 같이 분류하고 있다[4].
□ 내부관리소홀로 인한 유출: 리니지 사건, 국민은행 사건, LG전자 사건, LG텔레콤 사건, 다음 사건
□ 고의적인 불법행위로 인한 유출
▶ 목적범위 외 사용을 위한 유출: 하나로 텔레콤(현 SK브로드밴드) 사건
▶ 해킹에 의한 유출: 옥션 사건, 현대캐피탈 /농협사건, SK 커뮤니케이션즈/네이트 사건, 넥슨 메이플스토리 사건, KT 사건
▶ 범죄목적을 위한 유출: GS칼텍스 사건
위 분류 중에 본 연구목적에 부합하는 유형은 고의적인 불법행위로 인한 유출 중 해킹에 의한 유출에 해당하는 사건들이라고 할 수 있다.
한편, 개인정보 유출 사건은 개인정보처리자의 정보보호조치 소홀을 기화로 해커 등 외부인이 개인정보를 유출하는 이른바 “절취형” 사고와, 개인정보처리자의 피용자 등이 개인정보를 유출하는 “횡령형” 사고로 크게 분류하는 견해도 있다[5]. 본 연구는 이 견해에 따른 분류 중 “절취형” 사고를 대상으로 한다.
2.1.2 제3자의 정보침해행위로 인한 침해사고
위에서 본 침해사고 유형 분류를 참고로 본 연구에서 손해배상책임의 배분문제를 다루기 위해 상정하는 침해사고 유형은 “해커와 같은 제3자에 의한 침해행위로 인하여 정보처리자가 보관하고 있는 정보주체의 개인정보가 절취 당하여 외부로 유출된 경우”이다. 이 유형은 정보처리자를 기준으로 내부적인 원인이 아닌 외부의 제3자로부터 해킹과 같은 공격을 당하여 정보처리자가 보관중인 개인정보에 침해가 발생한 경우로서 손해의 직접적인 원인제공자가 따로 있는 점에서 다른 유형과 구별된다. 본 연구에서는 이유형의 침해사고와 관련된 주체를 현행 관계법령의정의 조항을 참조하여 다음과 같이 정의하고 논의를 진행하고자 한다. 이 아닌 외부의 제3자로부터 해킹과 같은 공격을 당하여 정보처리자가 보관중인 개인정보에 침해가 발생한 경우로서 손해의 직접적인 원인제공자가 따로 있는 점에서 다른 유형과 구별된다. 본 연구에서는 이유형의 침해사고와 관련된 주체를 현행 관계법령의정의 조항을 참조하여 다음과 같이 정의하고 논의를 진행하고자 한다.
□ 정보주체(data subject) : 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람(개인정보보호법 제2조 제3호).
□ 정보처리자(information controller) :업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등(개인정보보호법 제2조 제5호)
□ 정보보호기업(information security enterprise): 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지 및 복구하거나, 암호ㆍ인증ㆍ인식ㆍ감시 등의 보안기술을 활용하여 재난ㆍ재해ㆍ범죄 등에 대응하거나 관련 장비ㆍ시설을 안전하게 운영하는 업무를 수행하는 자(정보보호산업진흥법 제2조 참조).
□ 정보침해행위자(information infringer):위법하게 정보처리자가 보관하고 있는 개인정보를 훼손, 변조, 절취 또는 유출하는 외부의 제3자.
2.2 개인정보침해사고로 인한 손해
2.2.1 손해의 법적성질
개인정보 침해사고에서 발생하는 손해의 법적성질에 관하여, 우리 민법상 손해배상책임의 법리에 비추어 본다면 개인정보 그 자체는 시장에서 거래되어 가격이 형성되거나 객관적으로 그 금전적인 가치가 산정될 수 있는 것이 아니기 때문에 재산적 법익이라고 하기가 어려울 것이다. 또한 앞에서 침해사고 유형을 분류하면서 언급하였던 대부분의 손해배상소송들 역시 재산상의 피해가 아닌 정신적 손해로서 위자료에 대한 청구소송의 성격을 띠고 있다. 이러한 유형의 소송에서 정보처리자는 개인정보 유출로 인하여 실제로 피해가 발생한 것은 아니라고 주장하는 반면, 정보주체는 눈에 보이는 재산상의 피해 뿐 아니라 유출로 인해서 자신의 개인정보가 제3자에 의해 불법적으로 이용될 수 있다는 불안감에서부터 실제 확인되지는 않았지만 불법적으로 이용되고 있을 것이라는 가능성까지도 모두 피해의 범위에 포함되어야 한다고 주장할 것이다.[6].
위자료의 법적성질에 대하여 개인정보에 접근하여 그 정보를 열람하고, 정보처리기관에 대하여 정보의 정정⋅사용⋅중지⋅삭제를 요구할 수 있는 권리를 자기정보통제권이라고 하면서 독자적인 내용으로 언급하는 견해[7], 개인정보유출로 인하여 침해되는 개인의 권리는 인격권으로 볼 수 있고, 그 인격권의 구체적인 내용으로 프라이버시권에 포함되는 것으로 보는 견해[8] 등이 있다.
중요한 것은 위자료의 법적성격에 관하여 어떤 견해를 취하든 이러한 비재산적 손해라고 하더라도 불법행위나 채무불이행을 이유로 배상하여야 하는 손해는 재산적 손해와 마찬가지로 현실적으로 입은 확실한 손해에 한정되어야 한다는 점다.[10]
대법원도 GS칼텍스 사건에서 “개인정보가 유출되었다고 해서 곧바로 위자료로 배상할 정신적 손해가 발생하였다고 볼 수 없다”고 하여 개인정보유출로 인한 개인정보 자기결정권의 침해가 곧바로 정신적 손해 발생을 의미하는 것이 아니라는 태도를 취하고 있다.(대법원 2012.12.26 선고 2011다59834 판결).
2.2.2 손해의 특성
전항에서 본 바와 같이 개인정보침해행위로 인한 손해는 재산적 또는 정신적 손해의 형태를 띠게 될 것이나 현실적으로 주목해야 되는 것은 이러한 피해주체의 대규모성, 손해의 광범위성이다.
개인정보유출 사건의 경우, 비록 개개인이 청구하는 금액은 미미할 수도 있으나 피해를 당한 정보주체의 수가 대규모인 경우가 대부분이기 때문에 어느 한 책임주체가 감당하기 어려운 손해배상액이 산정될 수도 있다. 또한 수많은 컴퓨터 네트워크로 형성된 사이버스페이스는 시간, 공간의 제약을 뛰어넘어 모든 정보가 빠르게 전파되고 다양한 경로와 저렴한 비용으로 인터넷을 통하여 정보에 대한 접근이 가능하다. 또한 디지털화 된 정보를 인터넷을 통하여 전달하는 데 소요되는 비용은 거의 들지 않고 속도 역시 다른 어떤 매체보다 빠르다. 이러한 전파성으로 인해 개인정보침해행위를 포함한 사이버불법행위의 확대ㆍ재생산이 매우 용이하기 때문에 피해의 범위가 일정한 지역으로 한정되지 않고 무한히 확대될 가능성이 크다. 이러한 개인정보침해로 인한 피해의 전파성과 광범위성으로 인해 피해의 회복이 거의 불가능하고 손해 산정도 어려울 수 밖에 없다. 이와 같은 특성들이 개인정보침해로 인한 손해배상문제를 단지 가해자와 피해자 간의 손해전보라는 단순한 관점에서만 바라 볼 수 없게 만드는 이유이다.
II. 손해에 대한 책임분배
3.1 개인정보보호법의 손해배상책임
현행 개인정보보호법은 이 법의 규정을 위반한 행위로 인하여 정보주체가 손해를 입은 경우 정보처리자가 스스로 고의·과실이 없음을 증명하게 함으로써 입증책임의 부담을 정보처리자에게 지움으로써 정보주체의 권리를 강화하고 있다(동법 제39조 제1항).또한 일반적인 실손해 배상에 관한 제1항의 규정에 더하여 ‘개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우’에 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있도록 함으로써 정보처리자에게 징벌적 손해배상책임을 지우고 있다(동법 제39조제3항).한편 정보주체의 손해에 대한 증명 부담을 완화하기 위하여 300만원의 한도 내에서 법정손해배상제도를 도입하고 이 경우 입증책임도 전환함으로써 정보주체의 피해구제 가능성을 높이고 정보처리자의 책임성을 강화하고 있다(동법 제39조의2).
이와 같이 현행 개인정보보호법은 정보주체가 피해구제를 받을 수 있는 권리를 실질적으로 보장하기 위하여 입증책임전환, 징벌적 손해배상 및 법정손해배상 제도를 도입하고 있다. 그러나 정보주체의 권리를 보장하기 위하여 도입된 이 제도가 반대편에서 청구를 당하는 또 다른 피해자인 정보처리자의 입장에선 과도한 부담으로 작용할 수 밖에 없고, 특히 피해자의 수가 막대할 경우 그 손해액을 정보처리자가 전부 부담한다면 비례의 원칙이나 형평의 원리에 반할 가능성도 있다. 이와 같은 이유로 개인정보침해사고의 손해배상문제를 피해자의 구제라는 측면만 볼 것이 아니라 사고의 당사 주체들을 아우르는 전체적 관점에서 합리적으로 책임을 분배하는 방안을 논의할 필요가 있다.
3.2 합리적 책임분배의 근거 및 필요성
현대 위험사회에서는 각종 위험원으로부터 예상치 않은 사고가 빈번하게 발생하며, 그 손해배상액이 가해자가 감당하기 어려울 정도로 과다한 경우 사고에 따른 모든 손해를 가해자에게 배상시키는 것은 가해자에게 지나치게 가혹할 뿐 아니라 지배적인 법감정이나 정의감에도 반할 수 있기 때문에 분배적 정의의 관점에서 당사자의 경제적 사정 등 제반 사정을 고려하고 손해배상이 당사자들에게 미칠 결과를 고려하여 손해의 공평타당한 분배를 도모할 필요성을 주장하는 견해가 있다[11].
이 견해에 의하면 “형평의 원칙”에 근거하여 또는 “손해발생의 위험을 피해자가 용인”했거나 인수한 경우, 손해의 발생 내지 확대에 피해자의 신체적 요인 또는 자연력 등이 개입된 경우, 가해자의 행위가 “타인의 불법행위로 인해 책임을 지는 경우”, 의료처치나 변론행위처럼 행위의 결과가 보증되지 않는 경우, 인과관계 및 위법성과의 근접성 등에서 ”가해자가 저지른 불법의 정도에 비하여 과도한 손해가 발생하는 경우“에 책임제한의 필요성을 인정하고 있다.
이러한 책임제한의 필요성은 현재와 같은 4차산업혁명 시대의 초연결사회에서 다양한 위험원으로부터 발생하는 개인정보침해사고에 있어서도 더욱 강하게 요구된다. 즉 현대사회에 있어서 정보주체들은 정보침해행위로 인한 손해발생의 위험을 어느 정도 용인할 수 밖에 없다는 점, 정보처리자나 정보보호기업모두 제3자인 정보침해행위자의 불법행위로 인해 책임을 지게 된 피해자 중 하나라는 점, 그리고 그 손해의 대규모성과 광범위성으로 인하여 그 손해배상액도 한 주체가 모두 감당하기에 과다한 경우가 적지 않을 것이라는 점에서 정보처리자나 정보보호기업의 손해배상책임을 제한하여야 할 필요성에 주목할 수밖에 없다. 이렇게 볼 때 정보주체의 피해에 대한 충실한 구제라는 측면과 함께 정보보호산업 생태계의지속이라는 관점에서 각 주체들에게 손해배상책임을 합리적으로 분배하는 것이 필요하다. 이러한 관점에서 제3자의 정보침해행위로 인한 개인정보침해사고에 있어 관련되는 각 주체와 책임관계를 간략히 도식화하면 다음 그림과 같다.
3.3 각 주체별 책임 배분
3.3.1 정보주체와 정보침해행위자간(Fig. 1 ①번 책임관계)
Fig. 1. Related Subjects and Responsibility of compensation
해커와 같은 정보침해행위자의 고의에 의한 침해행위로 정보처리자가 보관하고 있는 개인정보가 절취 당하여
외부로 유출된 경우, 만약 정보주체가 정보침해행위자에게 손해배상을 청구할 수 있는 상황이라면 민법상 불법행위를 근거로 책임을 묻게 될 것이다. 이경우 정보침해행위자의 불법행위를 구성하는 주관적 구성요건 및 행위태양의 관점에서 볼 때, 정보침해행위자 행위는 사전 준비가 수반된 의도적인 고의에 의한 적극적이고 작위적인 침해행위로서 통상 형법상 범죄구성요건을 충족하는 위법한 행위로서 비난가능성이 크다. 만약 입증가능성이 용이하고 정보침해행위자의 변제자력만 충분하다면 민법상 손해배상법리에 따라 피해자인 정보주체의 손해에 대한 완전한 전보를 추구하면 될 것이고 양자사이에 손해배상책임의 합리적 배분 문제를 논할 필요는 크지 않을 것이다. 그렇지만 현실적으로 정보침해행위자를 찾아내는 것은 물론 불법행위를 입증하는 것도 불가능할 뿐 아니라 입증에 성공한다 하더라도 실제로 손해배상을 받기는 불가능한 경우가 대부분일 것이므로 정보주체는 정보침해자에 대하여 손해배상청구를 하는 대신 다음항에서 보는 바와 같이 다른 피해자들에게 손해배상청구를 하게 될 것이다.
3.3.2 정보주체와 정보처리자간(Fig. 1 ②번 책임관계)
대부분의 개인정보침해사고에서 피해를 당한 정보주체는 현실적으로 불가피하게 정보침해행위자가 아닌 정보처리자에게 손해배상책임을 물을 수 밖에 없을 것이다. 물론 정보주체와 정보처리자 사이에 개인정보의 보관에 관한 의무의 근거가 되는 계약이 체결되어 있는 경우 그 계약에 근거하여 채무불이행 책임을 물을 수도 있고 이 경우 불법행위 책임과 채무불이행 책임이 경합을 하게 된다. 전항에서 살펴본 정보침해행위자의 불법행위와 달리, 정보처리자의 불법행위 또는 채무불이행은 정보침해행위자의 침해행위를 막지 못한 과실을 주관적 요건으로 하는 부작위적 행태를 띨 것이다. 물론 민법의 손해배상법리상 과실책임주의는 불법행위 또는 채무불이행의 성립을 위한 주관적 구성요건으로서 고의 또는 과실 중 하나면 있으면 충분하기 때문에 그 사이에 구별의 실익은 크지 않다고 볼 수 있다.
이러한 이유로 개인정보침해사고로 인한 민사상손해배상책임을 다루는 많은 연구들도 정보침해행위자의 불법행위에 근거하건 또는 정보처리자의 불법행위나 채무불이행에 근거하건 정보주체의 손해에 대한 전보 및 완전배상에만 주목하고 정보침해행위자의 행위에 이한 정보침해와 정보처리자의 행위에 이한 정보침해 간의 차이점에 크게 주목하고 있는 것 같지 않다.
그러나 직접 불법행위를 저지른 정보침해자에게 손해배상책임을 묻는 것과, 그 불법행위를 막지 못한 정보처리자에게 손해배상책임을 묻는 것에 아무런 차이를 두지 않는 것은 일반적인 법감정은 물론이고 민법상 손해배상에 있어서도 형평의 원리에 반할 수 있다. 따라서 정보처리자에게 정보침해행위자와 동등한 수준의 손해배상책임을 지우는 것은 가혹하므로 정보처리자의 손해배상책임에 대하여 일정한 제한을 둠으로써 정보처리자를 보호할 필요가 있다고 본다.
또한 최호진(2014)이 지적하는 바와 같이 정보화 사회를 넘어서 초연결 사회로 진화하고 있는 현대사회에서 정보주체가 자신의 개인정보를 제공하는 것이 현실적으로 불가피할 뿐 아니라, 정보주체 역시 자신의 이익을 위해서 개인정보를 제공하는 측면이 강하다. 그리고 수집된 개인정보를 해킹으로부터 완벽하게 보호하기 위해서는 그에 비례하여 높은 수준의 기술적 보안조치가 필요하고 이러한 보안조치는 시간의 경과에 따라 계속 발전될 것을 요구하기 때문에 이를 위해서는 막대한 비용이 소요될 수 밖에 없고 결국이 비용은 정보주체에 귀속될 수 밖에 없다. 침해사고는 이러한 비용 부담 대신 위험을 부담하는 것을 선택한 결과로 볼 수 있으므로 정보주체도 일정한 정도의 손해를 부담하는 것이 공평의 원칙에 부합한다[13].
더 나아가 생각해보면, 개인정보유출 사건의 경우 1인당 청구하는 금액은 비록 소액인 경우라 할지라도 그 정보주체의 수가 대규모인 경우가 많기 때문에 한 기업이 감당하기 어려운 손해배상액이 인정될 가능성이 크다. 정보주체의 개인정보도 보호가 필요한 중요한 가치라는 점에 이론이 있을 수 없지만, 한 사회에서 기업이 가지는 가치 역시 경시되어선 안 될 것이다. 어떠한 개인정보의 유출이 발생한 경우 그 손해나 책임이 인정되는 정도에 따라서 그 기업의 존속과 직결될 수 있는 문제이므로, 그 양쪽 가치를 비교 형량해 볼 필요가 있다.
위와 같은 점을 고려한다면 개인정보주체의 손해에 대한 전보배상이라는 근대 민법의 손해배상의 원칙만을 고집할 것이 아니라 일정 부분 정보주체도 손해를 부담하는 것이 합리적이다. 대법원도 구체적인 사건에서 판결을 통하여 이러한 태도를 보이고 있다. 예를 들어 2008년 1월에 발생한 옥션 회원 1080만 명의 개인정보유출사건에서 정보보호 관련 행정법규상의 관리적 및 기술적 주의 의무를 다한 경우 과실을 인정하지 않는 취지의 판결(대법원 2015. 2. 12.선고 2013다43994 판결)도 -이 판결에 대하여 비판적 견해도 있을 수 있지만[14], 불법행위 성립 요건인 과실의 판단기준을 구체적 사안에 의존하지 않고 객관적 획일적 기준을 적용함으로써 정보처리자의 과실 인정에 있어 예견가능성을 줌으로써 정보처리자를 보호하기 위한 취지로도 이해할 수도 있을 것이다. 또한 2011년 7월에 발생한 네이트 및 사이월드회원 약 3,500만 명의 개인정보가 유출된 SK컴즈사건에 있어서도 ”정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다“라고 하면서도 ”정보통신서비스제공자가 고시(방통위 제정 ‘개인정보의 기술적· 관리적 보호조치 기준’)에서 정하고 있는 기술적·관리적 보호조치를 다하였다면 특별한 사정이 없는 한 정보통신 서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다“고 판시하여 최종적으로 그 책임을 부인하였다(대법원 2018.1.25. 선고 2015다24904, 24911, 24928, 24935 판결).
또한 전술한 LG칼텍스 사건에서 보듯이 개인정보의 위자료 인정 범위를 제한적으로 해석하고 있는 대법원의 판결도 위와 같은 점을 고려하여 정보처리자의 손해배상책임을 완화하기 위한 것으로 해석된다.
대법원이 정보처리자의 책임을 부정한 위 사례들은 귀책사유의 판단기준이나 정신적손해의 배상범위 등을 제한하여 정성적인 방법으로 개인정보처리자의 손해배상책임에 대하여 일정한 한도를 설정하는 역할을 하고 있다고 볼 수 있다. 그러나 현실적으로 정보처리자에게 사전에 개인정보처리를 통한 사업을 영위함에 있어 부담해야 할 위험에 대한 사전 예측가능성을 부여하고 사후적으로 과도한 손해배상책임에서 벗어날 수 있게 하려면 정량적인 기준이 필요하다. 예컨대 환경오염사고의 경우 환경오염 배상책임 및 구제에 관한 법률은 제7조에서 “사업자의 환경오염피해에 대한 배상책임한도는 2천억원의 범위에서 시설의 규모 및 발생될 피해의 결과 등을 감안하여 대통령령으로 정한다.”고 규정하고 있고 원자력사고의 경우 원자력손해배상법 제3조의 2는 “원자력사업자는 원자력사고 한 건마다 3억 계산단위 한도에서 원자력손해에 대한 배상책임을 진다.”)고 규정하고 있다. 이와 같이 개인정보침해의 경우에도 정보처리자의 유형, 정보처리를 통하여 얻게 되는 이익 규모 등을 고려하여 배상책임의 총액에 한도를 두는 입법론적 논의가 필요하다. 이러한 입법론적 논의 외에도 정보주체와 정보처리자간 정보처리위탁 계약의 근거가 되는 약관 등에 제공되는 개인정보의 유출 시 건당 손해배상액을 미리 예정하는 것도 하나의 방법이 될 수 있을 것이다.
3.3.3 정보처리자와 정보보호기업간(Fig. 1 ③번 책임관계)
한국정보보호산업협회가 발표한 2018국내정보보호산업실태조사에 의하면, 정보보호사업에 종사하고 있는 기업들을 네트워크보안 시스템 개발’, ‘시스템보안 솔루션 개발’, ‘정보유출방지 시스템 개발’, ‘암호/인증 시스템 개발’, ‘보안관리 시스템 개발’ 등 5개시스템 개발 및 공급군과 ‘보안컨설팅 서비스’, ‘보안시스템 유지관리/보안성 지속 서비스’, ‘보안관제 서비스’, ‘보안교육 및 훈련 서비스’, ‘공인/사설 인증서’ 등 5개 서비스군으로 분류하고 있고, 2018년 기준464개업체가 약3조원의 매출액 달성을 추정하고 있다.
본 연구에서 정보보호기업은 개인정보처리 자체를 위탁 받은 것이 아니라 보안관제, 보안성지속, 보안컨설팅 등 전문적인 정보보호서비스를 공급하는 업체 등을 의미하는 것으로 개인정보보호법 제26조에서 규정하고 있는 정보처리업무 자체를 위탁한 경우의 “수탁자”와 개념상 구별하여 사용하고자 한다.
이들 정보보호기업들은 정보산업 생태계에서 정보침해행위자에 대항하여 정보침해행위를 막는 핵심적역할을 수행하는 주체로서 대부분의 정보처리자들은 정보보호에 관한 모든 업무를 직접 수행하기 보다는 정보보호기업의 솔루션이나 서비스를 아웃소싱하여 활용하고 있는 경우가 대부분이다.
그럼에도 불구하고 지금까지 개인정보침해사고를 비롯한 정보침해사고에 있어 손해배상 문제를 다룬 많은 연구들은 주로 개인정보주체에 의한 개인정보처리자에 대한 손해배상청구의 관점에서 논의를 진행하고, 정보처리자와 정보보호기업들 사이의 배상책임문제는 정보처리자와 정보보호기업 양자 간의 계약에 따라 사적자치의 문제로 보고 크게 관심을 갖지 않은 것 같다. 본 연구에서는 개인정보침해사고에 있어서 정보보호기업을 손해배상책임의 주체로 포함시켜 책임배분 문제를 논하고자 한다.
정보침해행위자의 침해행위로 인하여 개인정보침해사고가 발생한 경우, 정보보호기업에 정보처리자로부터 정보보호업무를 위탁받아서 수행하고 있었으나 정보보호기업이 침해행위를 막지 못한 경우라면 정보주체가 정보침해행위를 막지 못한 정보보호기업을 상대로 불법행위에 근거한 손해배상을 직접 청구할 수도 있다. 실제로 앞에서 언급한 옥션 사건에서도 개인정보가 유출된 옥션회원 1080만명 중 3만3000여명은 옥션 운영사인 이베이코리아 뿐 아니라 당시 보안관제업무를 수행하였던 정보보호기업을 상대로 손해배상청구 소송을 제기하였고 결국 원고 패소로 판결이 확정되기도 하였다.(대법원 2015.2.12. 선고2013다43994,2013다44003(병합)판결)
하지만 대부분의 경우 정보주체는 자기와 직접적인 거래관계 또는 계약관계에 있는 정보처리자에게 손해배상을 청구하고, 정보주체로부터 손해배상청구를 당한 정보처리자가 정보보호업무위탁계약 등에 근거하여 다시 정보보호기업에게 계약불이행 책임을 근거로 손해배상청구를 통하여 구상을 하는 경우가 일반적일 것으로 예상된다. 이 경우 정보처리자와 정보보호기업은 정보보호서비스나 정보보호제품의 구매자와 공급자로서 계약당사자 관계에 있을 것이므로 정보처리자의 구상청구는 그 공급계약조건에 따라 채무불이행으로 인한 손해배상책임의 법리에 따라 해결될 것이다. 만약 특별한 감면사유가 인정되지 않는 다면정보보호기업은 원칙적으로 정보처리자가 정보주체에게 배상하는 손해액 전부에 대하여 배상책임을 부담하게 될 것이다. 이렇게 되면 정보주체 → 정보처리자 → 정보보호기업으로 이어지는 손해배상책임의 연쇄에서 정보보호기업이 정보침해사고에서 발생한 손해의 최종적인 배상책임을 부담하는 셈이 된다.
그렇지만 앞에서 언급한 정보처리자의 배상책임을 제한할 필요성은 오히려 정보보호기업에게 더 강하게 요구된다. 왜냐하면 정보처리자는 고객의 정보를 활용하여 자신의 사업을 영위하고 그로 인한 이익을 향유하는 주체이므로 이익 있는 곳에 책임이 있다는 원칙에 따라 어느 정도 그 이익에 상응하는 손해배상책임을 지는 것이 합리적이고 또한 배상할 자력도 상대적으로 더 충분할 수 있다. 그러나 정보보호기업은 정보보호시스템을 구축하거나 보안솔루션을 공급하거나 보안관제, 보안컨설팅, 보안성지속 서비스 등 정보보호서비스를 제공하고 일정한 대가를 수령하는 기업으로서 개인정보를 이용하여 직접 수익을 얻는 주체는 아니다. 따라서 정보처리자가 부담하여야 할 책임을 그대로 지우는 것은 실질적으로 정보보호기업에게 침해위험에 대하여 손해보험사와 유사한 인수책임을 지우는 것과 마찬가지이기 때문에 형평성 및 법감정에 더 반한다고 볼 수 있다.
이와 같은 관점에서 정보침해사고에 있어 정보보호기업의 손해배상책임을 제한할 필요성에 대하여 주목하고자 한다. 정보처리자와 정보보호기업간 합리적인 책임을 분배하기 위해서는 양자 간에 체결되는 정보보호위탁계약서에 면책사유나 책임제한 특히 계약금액을 배상총액의 한도로 하는 손해배상한도 조항을 명시함으로써 정보보호기업에게 위험의 규모에 대한사전 예측가능성을 부여하고 과도한 손해배상책임 부담을 지지 않도록 하는 것이 필요하다. 그러나 아직 성숙되지 않은 정보보호산업과 계약문화 특히 고객(소위“갑”)인 정보처리자의 소극적 입장으로 인해서위와 같은 면책조항이나 손해배상한도조항이 계약에 반영되기 어려운 것이 현실이다.
만약 정보처리자와 정보보호기업간 책임배분에 관한 이러한 현실적인 문제를 계약자유의 원칙이 적용되는 당사자간 사적자치의 영역으로만 보고 도외시한다면 결국 정보보호산업 생태계에서 중요한 한 축을 담당하고 있는 정보보호기업의 존속을 위협하는 상황이 발생할 수도 있고 더 나아가서 정보보호산업생태계가 건전하게 유지되지 못하게 하는 요인으로 작용될 수도 있다. 따라서 정보보호기업의 손해배상책임의 합리적 배분 문제에 대하여 정보보호법제의 관점 및 정보보호 산업정책적 관점에서 논의에 포함시킬 필요가 있다. 현행 정보보호산업진흥법 제10조제3항도 “과학기술정보통신부장관은 정보보호산업의 합리적 유통 및 공정한 거래를 위하여 공정거래위원회와 협의를 거쳐 표준계약서를 마련하고, 공공기관등에 이를 사용하도록 권고할 수 있다.”고 규정하고있다.
향후 정보보호기업의 손해배상책임에 한도를 두어야 할 필요성에 대하여 정보보호기업 및 관련 주체들 간의 논의를 통해 사회적 합의를 도출하여야 하고, 이러한 합의를 바탕으로 관련 표준계약서를 과기정통부장관이 제정하여 업계에 사용을 권고한다면 정보보호기업의 손해배상에 관한 공평하고 합리적인 책임분배가 정착될 수 있는 실질적 방안이 될 수 있다. 현행 정보보호산업진흥법 제10조 제3항은 “과학기술정보통신부장관은 정보보호산업의 합리적 유통 및 공정한 거래를 위하여 공정거래위원회와 협의를 거쳐 표준계약서를 마련하고, 공공기관 등에 이를 사용하도록 권고할 수 있다”고 규정하고 있다.
3.4 사회 또는 국가의 책임 분담.(Fig. 1 ④,⑤번 책임관계)
앞에서 살펴본 바와 같이 정보침해로 인한 손해배상의 특성상, 대규모의 개인정보 침해소송은 일단 정보처리자나 정보보호기업에게 손해배상책임이 인정되는 경우 그 배상금액이 해당 기업의 존폐에까지 영향을 미칠 정도로 커질 수 있다. 그렇기 때문에 윤주희(2013)는 손해배상책임의 인정 여부에 대한 논의보다 오히려 개인정보 침해사고의 책임을 전적으로 사업자가 지는 것으로 하되 손해의 배상에 필요한 부분을 기금이나 보험 등으로 해결해 가도록 제도적인 연구가 필요하다고 주장하고 있다[6]. 또한 개인정보의 수집과 활용은 정보처리자와 정보주체의 상호 이익, 나아가 공동체의 이익으로 귀착되는 측면이 강할 뿐 아니라 이를 통해 사회적 비용이 현저하게 감소되고 일반 국민들도 이로 인한 편익을 누리고 있다. 이러한 이유로 권영준(2012)은 개인정보처리자의 과실없이 발생한 위험을 개인정보처리자에게만 전가하는 것은 타당하지 않고 만약 이를 관철시키려면 강제보험제도나 보상기금제도 등 위험을 분산하는 별도의 장치가 필요하며, 만약 그러한 법적 장치도 마련되지 않은 상태에서 개인정보처리자에게 실질적인 무과실책임을 부과하는 방향은 타당하다고 할 수 없다고 주장하고 있다[1].
위의 두 견해는 정보처리자에게 전적인 배상책임을 지우거나 또는 무과실책임을 지우기 위한 전제로서 보험이나 보상기금과 같은 위험분산장치가 필요하다는 주장이 핵심이긴 하지만, 정보침해로 인하여 발생한 손해를 그 피해자들 사이에서 서로 전가하는 것이 아니라 사회가 어떤 형태로든 책임을 분담을 하여야 한다는 당위성과 방법론을 제시하고 있다고 볼 수 있다.
위와 같은 논의들을 바탕으로 정보통신망법은 개인정보를 다루는 정보통신서비스 사업자들이 일정한 기준에 따라 '손해배상책임보험'을 의무적으로 가입하도록 제32조의 3(손해배상의 보장)을 도입하였고, 동법 시행령의 개정을 통하여 2019년 6월부터보험 가입이 의무화되었다. 이와 같은 개인정보 유출에 따른 손해배상책임보험, 일명 '사이버보험‘의 의무화는 정보통신서비스 제공자가 개인정보보호법을 위반해 이용자에게 손해를 입힌 경우 손해배상을 할 수 있도록 개인정보보호 손해배상책임보험 또는 공제에 가입하거나 준비금을 적립하도록 하는 것이다.
그러나 계리데이터의 부족, 사이버리스크 관리에 대한 인식 부족, 손실 책임에 대한 불확실성, 손실계량화의 어려움 등 사이버보험 활성화의 장애요인으로 본 제도의 도입 전부터 지속적으로 제기되었던 문제점에 더하여 현실적으로 보장금액이 예상되는 리스크에 비하여 과소하다는 점과 보험금을 넘는 막대한 손해가 발생할 경우 그에 대한 책임은 결국 정보통신서비스제공자인 개인정보처리자가 부담할 수 밖에 없다는 점을 고려할 때 현재의 사이버보험 의무화 제도는 위험의 사회화를 실질적으로 구현하고 있는 수준에는 이르지 못하고 있다.
진정한 의미에서 사회가 책임을 분담하기 위해서는 보험금을 넘는 막대한 손해가 발생한 경우 공적기금 등으로 조성된 재원으로 손해를 보전하는 제도의 도입을 고려할 필요가 있다.
III. 결론
4.1 연구의 시사점
현대의 4차산업혁명의 시대에 있어서 개인정보는 더 이상 개인적 법익만으로 볼 수 없고 정보주체와 정보처리자의 상호 이익을 넘어서 사회적 비용감소와 편의 증진을 통하여 사회전체의 이익을 증대시키는 일종의 사회적 인프라로 보아야 한다.
그러나 개인정보침해사고에 있어서 손해배상문제에 대한 현행 개인정보보호법령이나 손해배상책임 문제를 대한 논의들은 과실책임주의에 기반하여 피해자의 손해에 대한 전보배상 또는 완전배상을 추구하는 근대 민법의 손해배상법리에서 크게 벗어나고 있지 못하고 있어 그 한계점이 노정되고 있다.
이에 대하여 본 연구는 정보침해행위자의 침해행위로 인한 침해사고에 있어서 손해를 부담해야하는 각 주체들이 실질적으로 보면 정보침해행위자의 불법행위로 인한 피해자들이라는 점, 정보주체도 개인정보를 제공함으로써 일정한 이익을 향유한다는 점에서 정보처리자의 손해배상책임에 일정한 제한을 인정함으로써 정보주체도 일정한 범위에서 손해를 분담하여야 할 당위성을 제시하였다. 또한 정보처리자 외에 또 다른 손해배상책임의 주체인 정보보호기업에 대하여도 공급계약의 불이행으로 발생하는 손해배상책임에 대하여 계약금액을 한도로 하는 책임 제한을 설정할 필요성을 제기하였다. 나아가 개인정보침해로 인한 손해의 대규모성 및 광범위성으로 인하여 천문학적인 배상책임이 발생할 경우 이를 위 피해자들이 전부 부담하는 것보다 사회나 국가가 일정한 범위에서 실질적으로 책임을 분담하여야 함을 주장하였다.
이러한 주장은 결국 이론적인 측면에서 개인정보침해로 인한 손해배상에 관한 프레임이 기존의 민법상 손해배상법리에 의한 피해자에 대한 전보배상관점으로부터 정보보호산업 생태계를 구성하고 있는 개인정보 관련 각 주체들간 손해배상책임의 공평한 분배라는 전체적 관점(holistic view)으로 전환되어야 함을 역설함에 다름 아니다. 또한 실무적인 관점에서는 향후 손해배상소송에서 위와 같은 관점이 귀책사유나 손해배상의 범위에 대한 법원의 판단에 충분히 고려되어야 할 필요성과 함께, 정보주체와 정보처리자간 체결되는 약관 또는 정보처리자와 정보보호기업간 정보보호서비스 계약 등에 있어서 손해배상책임한도의 설정이나 손해배상액의 예정을 통하여 미리 개인정보침해 발생시 손해배상책임을 당사자간에 어떻게 배분할 것인가에 관하여 사전에 합의하는 관행이 계약문화로 정착되어야 함을 시사하고자 하는 것이다.
4.2 연구의 한계점 및 향후 연구방향
개인정보에 관하여 법적 분쟁이 본격화 된 것은2000년대 초반부터의 일이고, 그 동안 몇 건의 판결이 선고되긴 하였으나 판례 수준의 통일된 법리가 형성된 것이라고 보기는 어렵다. 본 연구에 참조가 될 수 있는 대법원 판결은 2015년도 옥션 판결부터 나오기 시작했고 주목할 만한 판결인 SK컴즈 판결도2018년에 선고되었다. 따라서 아직까지는 손해배상책임의 배분에 관한 판례가 확고히 형성된 것으로 볼 수 없고 사건의 수도 많지 않은 것이 현실이므로 결국 실제 사례보다는 학술적 법이론을 근거로 연구를 진행할 수 밖에 없다는 한계가 있다.
최근에 정보처리자의 손해배상책임을 부인했던 초기의 해킹사건(옥션사건, SK컴즈사건, KT N-STEP)과 달리 이후의 사건(2015년 뽐뿌, 2016년 인터파크, 2017년 알패스)들은 정보처리자에게 손해배상책임을 인정하거나 과징금들을 부과하고 있어 법위반책임이 인정된 모습을 볼 수 있다[15]. 비록 손해배상책임이 아니라 과징금이라는 행정적 규제가 인정된 사례이지만 그 흐름을 주목해 볼 필요가 있고 민사소송으로 진행되는 지 여부를 주시할 필요가 있다.
한편 본 연구에서 주장하는 바를 관철하기 위해서는 정보주체에게 발생한 손해에 대한 전보배상 또는 완전배상이라는 손해배상의 일반 법리에 일정한 제한을 가함으로써 결국 그 부분만큼 정보주체가 손해를 부담하여야 한다. 이와 같이 정보주체의 손해배상 청구권을 제한하기 위해서는 이를 정당화할 수 있는 실정법적 근거가 뒷받침되어야 할 필요가 있다.
또한 본 논문에서 손해배상책임의 합리적 배분의 필요성에 대한 근거로 형평성, 법감정, 위험책임의 법리, 기업의 보호라는 산업정책적 필요성 등을 제시하였다. 물론 이러한 추상적 근거는 개별적인 사건이 발생할 경우 손해배상청구소송이라는 절차속에서 법관의 사법재량적 판단을 통하여 판결로서 현실화될 것이다. 그렇지만 구체적인 실정법적 기준 없이 오로지 법관의 사법재량에 의한 적용은 현실적으로 법관의 자의적 운용에 의존할 수밖에 없고, 또 개별적인 사건을 통할 수밖에 없으므로 손해배상 책임 배분에 대하여 각 주체들에게 충분한 사전 예측가능성을 주기도 어렵다.
따라서, 향후 추진하여야 할 연구방향과 시급한 법적 또는 정책적 과제는 본 연구에서 제기한 개인정보 침해사고와 관련된 주체 간 및 사회 또는 국가가 손해배상책임을 합리적으로 배분 및 분담하여야 할 필요성과 그 실행방안에 대하여 사회적인 합의를 도출하고, 이러한 합의를 사법적 판단에 있어 손해배상책임 규정의 해석에 적용할 수 있도록 해야 하고, 더 나아가 구체적이고 객관적인 책임배분이 가능하고 책임의 규모에 대한 사전 예측이 가능할 수 있도록 입법을 통해서 실정법적 근거를 마련해 나가는 것이다.
다른 한편으로 본 연구의 범위인 민사상 손해배상책임에 대한 논의를 넘어 형사적 제재나 행정적 규제 또는 나아가 사업자의 자율규제 등 제도의 통합을 통하여 개인정보보호와 손해에 대한 합리적인 배분의 요구를 충족할 수 있는 방안을 찾는 노력 역시 필요할 것이다.[16].
References
- Youngjoon Kwon, "Negligence Standard in Determining the Liability of the Personal Data Controller in Case of Hacking," The Justice, 132, pp.34-72, Oct.2012.
- Ilhwan Kim, "A Study on Standards and Contents of Legislative Maintenance on Information Security," Public Land Law Review, 26, pp.231-251, Jun.2005.
- Jongin Lim and Sookyeon Lee, "Case Study regarding Personal Information & Search for Solution to that Problem," Journal of Korea Infomation Law, 12(2), pp. 214-251, Dec. 2008.
- Daehwa Jin, "Basis for damage compensation and damage relief system for personal information infringement," INTERNET & SECURITY FOCUS, pp 5-20, Jul. 2014.
- Seungjae Jeon and Hunyeong Kwon, "A Study on Compensation System for Personal Information Leakage," Journal of Law & Economic Regulation, 11(1), pp.28-51, May. 2018.
- Juhee Yun, "The Current Status of Personal Information Infringement and Consumer Protection," The Research of Law, 33(1), pp. 327-359, Apr. 2013
- Bongrim Lee, "Study on the personal rights," doctoral dissertation, Sungkyunkwan University, Oct. 2007.
- Moongi Choi, "Study on the Liability of Damages for the Violation of Personality Rights," The Association of Theory and Practice of Private Law, 6, pp.161-206, May. 2003.
- Yunjig Gwag, Civil Code Annotation(IX): the Law of Obligations(2), Pakyoungsa, pp.481-488, Jan. 2006.
- Eunyoung Lee, "Main Factors impacting on the so-called Limitation of Liability in Precedents," The Jounal of Comparative Private Law 22(1), pp.395-430, Feb. 2015.
- Hojin Choi, "Legal Practice Study : A study on Civil liability for damages of the keeper caused by personal information that leaks or being exposed by hacking," BUP JO, 63(2), pp.123-159, Feb. 2014.
- Seungjae Jeon and Hunyeong Kwon, "Problems of Judging the Liability of Personal Information Manager Who Could Not Prevent Hacking," Journal of Korea Infomation Law, 21(2), pp. 111-157, Feb. 2017.
- Seungjae Jeon, Hacking Judgement, Dissected by a Hacker-turned-lawyer, Samilinfomine, pp.52-53, Feb. 2020.
- Seungsoo Han, "On the Criteria of Liability for Damages in Civil Cases Related to Personal Data," Culture, Meida, and Entertainment Laws, 13(1), pp.3-37, Jun. 2019.