[김경환 변호사의 IT법] 〈12〉개인정보 열람청구권의 한계

김경환 법무법인 민후 변호사
김경환 법무법인 민후 변호사

개인정보보호규정(GDPR)의 시행 이후, 글로벌 비즈니스 환경에서 개인정보 보호는 기업의 생존을 좌우하는 핵심 리스크로 자리 잡았다. 특히 GDPR 제15조가 보장하는 열람청구권은 정보주체가 자신의 데이터 통제권을 행사할 수 있는 가장 강력한 무기였다. 그러나 최근 유럽 전역에서는 사소한 절차 위반이나 대응 지연을 빌미로 기업에 거액의 정신적 손해배상(위자료)을 청구하는 이른바 '개인정보 기획 소송(GDPR Hopping)'이 하나의 거대한 투기적 비즈니스로 변질돼 기업을 위협해 왔다.

이러한 사법적 혼란에 대해 유럽사법재판소가 마침내 확고한 브레이크를 걸었다. 3월 19일 선고된 유럽사법재판소의 브릴렌 로틀러 사건(Brillen Rottler v TC, Case C-526/24) 판결이 그것이다.

사건의 발단은 오스트리아의 한 개인이 독일의 안경 유통업체인 브릴렌 로틀러의 뉴스레터를 자발적으로 구독하면서 시작됐다. 예정됐던 것처럼 그는 구독 후 불과 13일 만에 회사 측에 자신의 개인정보 일체를 공개하라는 열람청구권을 행사했다. 회사는 즉각 대응하지 못했고, 정보주체는 기다렸다는 듯이 GDPR 위반으로 인한 정신적 손해배상 소송을 제기했다.

참고로 원고는 이미 다수의 기업을 상대로 '뉴스레터 구독→즉시 정보열람 청구→대응 미비를 빌미로 한 위자료 청구'라는 고의적이고 정형화된 패턴을 반복해 온 인물이었다. 독일 아른스베르크 지방법원은 첫 번째 정보열람 청구라 할지라도 그 동기가 불순하다면 거부할 수 있는지 여부를 유럽사법재판소에 선결 심리로 회부했다. 기존의 하급심 법원들은 “반복적 청구가 아니라면 첫 번째 청구는 동기를 묻지 않고 들어줘야 한다”는 기계적 해석을 고수해 왔기에, 이 사건에 전 유럽 법조계의 이목이 집중됐다.

유럽사법재판소는 정보주체의 권리를 무제한으로 확장하던 기존의 낙관적 태도에서 벗어나, 법의 일반 원칙인 '권리남용 금지의 원칙'을 개인정보 영역에 과감히 도입했다. 재판부의 판단은 크게 세 가지 핵심 법리로 요약된다.

첫째, 단 1회차의 청구라도 주관적 의도에 따라 '권리남용'으로 인정될 수 있다. 열람청구의 진정한 목적이 자신의 개인정보 처리 적법성을 확인하려는 GDPR 본연의 취지가 아니라, 오직 상대방의 과실을 유도해 손해배상 청구 소송이라는 인위적 조건을 창출하려는 데 있다면, 이는 법이 보호할 가치가 없는 남용적 행위로서 기업이 거부할 수 있다고 판시했다.

둘째, 입증책임의 현실화와 증거 범위의 확장이다. 사법부는 악의적 의도에 대한 입증 책임을 개인정보처리자에게 지우면서도, 그 증거의 범위를 넓혀줬다. 언론 보도, 블로그 기사, 법률가 네트워크를 통해 공유된 원고의 과거 유사 소송 행적 등 '공개된 정보'를 정황 증거로 적극 인정함으로써, 기업이 현실적으로 악의적 기획 소송을 방어할 수 있는 길을 열어줬다.

셋째, 정보주체가 오직 금전 취득을 목적으로 스스로 개인정보를 제공하고 통제권 상실이라는 '불안감'을 자초했다면, 그 손해의 결정적 원인은 기업이 아닌 정보주체 자신의 고의적 행동에 있다고 봤다. 이로써 설령 기업의 대응 과정에 미흡한 점이 있었다 하더라도 손해배상 책임은 전면 기각된다는 논리를 완성했다.

이번 판결은 디지털 권리의 비대칭적 비대화가 가져온 사법 자원의 낭비를 막고, '비례의 원칙'과 '실체적 진실'이라는 법의 대원칙을 개인정보보호법 체계 내에 성공적으로 이식했다는 데 있다. 권리 보호라는 명분이 법적 안정성과 신의성실의 원칙을 압도할 수 없음을 명확히 한 것이다.

김경환 법무법인 민후 변호사