AI·디지털 시대에 개인정보권은 국민의 핵심적 권리로 확고히 자리잡았다. 하지만 현행 법제에서 정보주체의 권리가 실질적으로 보장되는지는 다시 점검할 필요가 있다. 그 핵심 중 하나가 손해배상제도다. 현재 개인정보 유출로 손해배상을 받기 위해서는 정보주체가 손해가 발생했다는 사실을 직접 입증해야 한다. 그러나 현실적으로 정보 비대칭성과 기술적 장벽으로 이를 입증하는 것은 현실적으로 극히 어렵다. 이러한 어려움을 완화하기 위해 법정손해배상제도를 도입했지만 하한이 없고 손해발생 증명 자체를 요구하는 식의 접근은 제도의 취지를 무색하게 만든다. 최소한의 위자료 성격으로 하한을 도입할 필요가 있다.
한미 FTA를 통해 도입한 법정손해배상의 원조격인 미국의 저작권법이나 상표법처럼 위법행위가 확인되면 일정금액 이상을 판사가 인정할 수 있어야 한다. 지금까지 판결이나 개인정보분쟁조정 사례를 종합할 때 현실적으로는 5만원에서 10만원 사이의 하한이 적절할 것으로 보인다. 다만 구체적인 하한의 결정은 국민의 법감정, 위자료 산정에 대한 일반원칙, 그동안 법원이나 조정 등 피해구제절차에서 인정된 사례 등을 종합적으로 검토해 최종 결정해야 한다. 결국 실효적인 권리구제를 위해서는 '배상액 0원'이 가능한 현행 제도의 한계를 반드시 극복해야 한다.
법적 구제수단으로서 조정제도의 실효성도 강화해나가야 한다. 2023년 개정을 통해 개인정보분쟁조정위원회의 조정안에 대한 당사자의 의사표시가 없는 경우의 기본값을 수락으로 변경하거나 원칙적으로 모든 개인정보처리자가 조정개시에 불응할 수 없도록 하는 등 절차개선이 이뤄졌지만 최종적으로 조정안이 명시적으로 불수락되면 조정을 통한 구제는 불가능하게 된다. 특히 집단분쟁 조정의 경우 선례형성에 따른 부담으로 사업자 측의 협조가 어렵다. 이처럼 정보주체가 현실적으로 소송을 제기하기 어려운 구조에선 조정제도가 사실상 유일한 구제수단이므로 실효성 확보가 절실하다.
조정의 실효성을 높이기 위해서는 동의명령제도와 같은 인센티브 기반 접근이 필요하다. 예컨대 과징금 부과 대신 자발적 시정과 피해자 구제를 조건으로 동의명령을 인정하고 이에 따라 과징금을 감경하거나 면제하는 방식이 가능하다. 사업자가 피해자에 대해 일정금액의 보상을 하고 재발방지를 위한 제도개선을 약속하면 이를 정식 절차로 인정해 법적 리스크를 줄이는 방식이다. 이러한 동의명령제도는 정보주체엔 실질적인 구제효과를, 사업자엔 자발적 시정을 유도하는 긍정적 구조를 형성할 수 있다. 이와 연계해 '개인정보보호기금'을 조성해 실질적 피해자 구제와 공익적 시스템 개선에 활용하는 방안도 함께 고려할 수 있다. 기금은 정부 재원이 아니라 동의명령절차 등을 통해 조성된 재원을 활용해 정보주체의 권리회복과 사회적 보호 기반을 확충하는 방향으로 설계될 수 있다.
한편 조정이 성립된 경우 조정서를 바탕으로 보험금 지급이 가능하도록 개인정보보호배상책임보험 표준약관을 만들어 모든 보험사가 채택하도록 유도해 국민적 요구에 미치지 못한다고 비판받은 개인정보 손해배상책임 보장제도의 실효성을 확보해야 한다. 일부 보험사만 예외적으로 조정안을 보험금 지급범위에 포함하는 현행 구조는 시급히 개선돼야 한다.
결국 개인정보 규제는 사업자에 대한 제재 중심에서 벗어나 정보주체인 국민에게 실질적 혜택이 돌아가는 방향으로 전환돼야 한다. 피해자가 체감할 수 있는 손해배상과 구제절차는 국민 신뢰의 핵심 기반이다. 형식적인 법적 구제가 아니라 국민이 피부로 느낄 수 있는 실효성 있는 보호체계가 필요하다. 국민 중심의 피해구제 체계로의 전환 없이는 디지털 시대의 기본권 보호도 공허할 수밖에 없다. 지금은 개인정보 보호의 패러다임을 국민 중심으로 전환할 때다.