美는 집단소송이면 '끝', 韓은 건건이 피해자가 입증

집단소송 인정 미국에선 동일판결로 구제 가능
 
지난해 12월23일 미국 내 2위 소매업체인 타겟(Tarket)에서 고객정보 유출사건이 발생했다. 미국 최대 명절인 추수감사절 전날인 11월27일부터 12월15일까지 오프라인 매장에서 카드로 물품을 구입한 사람들의 개인정보가 유출된 것. 이 사건으로 인해 7000만명에 달하는 고객의 이름과 전화번호, 주소, 이메일 등의 정보가 외부로 유출됐다.

타겟에서 고객정보가 유출되자 체이스맨해튼은행은 전체 3분의 1에 달하는 지점이 일요일에도 문을 열고 고객들의 카드 재발급 업무를 수행했다. 자신들의 잘못으로 고객정보가 유출된 것이 아님에도 불구하고 일요일 업무를 통해 고객들의 불안감을 해소했다.


◆"고객불안 해소" 주말도 근무하는 은행

사상 초유의 카드 3사 개인정보 유출사고 직후 네티즌들은 체이스맨해튼은행의 고객 서비스 행보를 소셜네트워크서비스(SNS)를 통해 퍼날랐다. 이 내용이 알려지면서 국내 카드 3사와는 대조적인 행보라며 소비자들 사이에 비난이 들끓었다.

유통업체 타겟의 사례처럼 고객 개인정보유출은 국내 문제만이 아니다. 인터넷 등 IT기술이 발달하면서 개인의 정보를 노리는 집단은 전세계에 널리 퍼져있다. 그러나 고객의 개인정보를 보호하고 다루는데 있어 우리나라는 선진국과 천지차이다.

개인정보 유출 이후 이에 대응하는 금융사들의 태도 역시 체이스맨해튼은행과 국내 카드 3사와는 대조적인 모습을 보이고 있는 것이 현실이다.

이번 사상 초유의 카드사 개인정보유출 사태에서 고객들은 본인도 모르는 개인정보가 유출됐다는 점에서 큰 충격을 받았다. 이름과 주민등록번호, 집 전화번호, 휴대폰번호는 물론이고 카드거래내역(타사 포함), 신용등급 등 개인의 거래내용 대부분이 유출됐다.

고객들은 “나도 모르는 개인정보가 유출됐다”며 “더 분통이 터지는 것은 내 개인정보가 어디에 사용됐는지 조차 모른다는 점”이라고 입을 모으고 있다.

◆"내 정보 어디에 이용했는지 내놔"

해외는 어떨까. 미국의 경우에는 고객이 원할 경우 나의 어떤 개인정보가 어디에서 어떻게 사용되는지 알 수 있도록 법제화돼 있다.

최계연 금융정의연대 사무국장에 따르면 지난 2003년 미국 캘리포니아주에서는 개인정보유출고지법이 처음 도입됐다. 이후 2010년 46개주로 확대됐다.

이 법률은 고객이 본인의 개인정보가 어떻게 쓰이는지 확인을 요청하면 고지하도록 하고 있다. 고객의 요청이 있으면 기업은 고객의 개인정보가 어느 기업이나 기관에 어떻게 쓰였는지 그 범위를 알려줘야 한다. 고객의 개인정보가 몇 번 쓰였는지도 요구하면 확인이 가능하다.

이에 반해 현재 국내 실정은 고객이 개인정보에 대해 마케팅 사용동의를 했다고 해도 어떤 업체에 어떻게 쓰였는지 전혀 알 길이 없다.

최 사무국장은 “이 법은 미국 내에서도 연방법화가 추진되고 있다”며 “개인정보 유출사건이 아니더라도 고객이 원할 때 정보이용 여부를 확인할 수 있다면, 기업은 고객의 개인정보를 좀 더 철저하게 관리하게 된다”고 말했다.

캘리포니아주에서는 지난해 4월 ‘알권리에 관한 법률’(Right to Know Act of 2013)이 발의됐다. 이 법안의 핵심은 소비자가 자신의 개인정보가 어떻게 이용되고 있는 지 알 권리가 있다는 내용이다.

특히 소비자의 개인정보를 보유한 사업자는 소비자가 요청하는 경우 30일 이내에 지난 1년간의 개인정보 이용 및 공유 현황을 제공해야 한다. 소비자는 온라인 광고나 데이터브로커 등 자신의 개인정보가 이용되고 유통된 전반적인 사항에 관해 알권리가 있다는 내용을 담고 있다.

◆집단소송제 인정, 어떤 차이?

지난 2007년 미국의 금융서비스 회사 서티지 체크 서비스(Certegy Check Services)의 개인정보관리 책임자는 고객의 개인정보를 빼돌렸다. 이 책임자는 빼돌린 850만명의 고객정보를 정보브로커에게 돈을 받고 팔았다. 그가 유통시킨 개인정보에는 인적사항과 계좌정보, 신용카드번호 등이 포함돼 있었다. 이러한 사실을 알게 된 고객들은 서티지 체크 서비스를 상대로 집단소송을 제기했다.

구글은 지난 2010년 자신들의 SNS인 ‘버즈’(Buzz)에 고객의 이메일이 자동으로 공개되도록 했다. 이에 고객들은 개인정보를 동의 없이 공개해 사생활을 침해했다며 집단소송을 냈다.

서티지 체크 서비스와 구글의 집단소송은 이후 어떻게 됐을까. 미국 언론 등에 따르면 서티지 체크 서비스는 법원의 당사자간 화해 권고를 통해 피해보상에 합의했다. 회사는 당시 정보유출사고로 피해자에게 추가 피해가 발생하면 1인당 2만달러까지 지불하기로 했다. 새로운 계좌 개설을 위해 지출한 비용도 보상하기로 약속했다.

구글의 경우도 비슷하다. 법원의 화해권고를 받아들여 원고인 고객들과 850만달러에 합의했다.

집단 소송제를 인정하는 미국에서는 개인정보유출 등 집단소송이 발생했을 때 법원에서 적극적인 화해를 권고한다. 또한 고객정보가 털린 회사는 이를 수용하는 경우가 많다.

집단 소송제는 피해자 중 한사람이 회사를 상대로 소송을 해 승소하면, 다른 피해자들은 소송 없이 동일한 판결로 피해를 구제받을 수 있는 제도다. 기업이 자칫 소송에서 패소할 경우 소송을 제기한 측보다 더 많은 고객에게 배상을 해줘야 해 많은 비용이 발생한다. 이에 기업은 고객과 화해하기 위한 적극적인 행보를 보이는 것이다.

국내의 모습은 어떠할까. 카드 3사의 개인정보 유출 사건이 발생한 이후 고객들은 힘을 모아 집단 소송을 벌이고 있다. 그러나 고객들은 이번 개인정보 유출 사건으로 인한 ‘2차 피해’를 자신이 직접 입증해야 하는 어려움을 안고 있다. 카드사의 인정이나 고객의 피해입증 없이는 피해보상을 받기 어려운 것이 현실이다.

금융권 한 관계자는 “카드 3사 사장들이 고객 앞에 머리를 숙이고 정신적 피해까지 보상을 검토하기로 약속했지만 고객이 피해의 정도를 어떻게 입증하겠느냐”고 반문했다.
 
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제317호에 실린 기사입니다.