KCI등재
개인정보 침해로 인한 비재산적 손해의 인정기준에 관한 비교법적 고찰 -한국 판례와 EU GDPR의 해석을 중심으로- = Comparative Legal Analysis of the Criteria for Recognizing Non-Material Damages Arising from Personal Data Infringement -Focusing on Korean Case Law and the Interpretation of the EU GDPR-
저자
발행기관
학술지명
국제거래법연구(Korean Forum on International Trade and Business Law)
권호사항
발행연도
2025
작성언어
Korean
주제어
등재정보
KCI등재
자료형태
학술저널
발행기관 URL
수록면
227-260(34쪽)
DOI식별코드
제공처
우리나라를 비롯한 전 세계는 디지털 전환(digital transformation)의 가속화 속에서 플랫폼 기반 산업, 인공지능 서비스, 맞춤형 광고, 디지털 헬스케어 등 다양한 분야애서 개인정보를 핵심 자원으로 활용하는 사회구조로 재편되고 있다. 이러한 변화는 개인정보의 수집⋅이용이 경제⋅사회 전반에 걸쳐 더욱 일상화되고 있음을 의미하는 동시에, 그 과정에서 발생하는 정보주체의 개인정보 침해에 대한 실질적인 보호가 더욱 긴요하다는 사실을 보여준다. 특히 정보주체가 입는 피해는 대부분 비재산적 손해로 구성되는데, 우리 법원은 이에 대한 구제수단으로 위자료 청구를 원칙적으로 허용하면서도 제3자의 열람 가능성 등을 포함한 다양한 요소를 종합적으로 고려하여 위자료로 배상할 만한 정신적 손해가 발생하였는지 여부를 개별적으로 판단하고 있다. 이러한 접근은 정보주체의 인격권 보호와 함께 개인정보 활용의 공익적⋅산업적 필요, 기업의 책임 범위 사이에서 일정한 법익 균형을 도모하려는 시도로 평가될 수 있다.
한편 EU 일반개인정보보호법(General Data Protection Regulation)은 개인정보보호에 관한 국제적 기준으로 자리매김하며, 우리 개인정보 보호법의 주요 개정사항에도 실질적인 영향을 미쳐 왔다. GDPR 제82조는 재산적⋅비재산적 손해를 불문하고 정보주체가 GDPR 위반으로 손해를 입은 경우 손해배상을 청구할 수 있는 권리를 명시하고 있으며, 유럽사법재판소(Court of Justice of the European Union)는 최근의 판결들을 통해 ‘비재산적 손해’의 개념과 인정범위 및 그 발생요건에 관하여 구체적인 해석 기준을 제시하고 있다. 이 판례들은 개인정보 통제권의 상실이나 향후 악용 가능성에 대한 정당한 우려를 ‘비재산적 손해’로 인정함으로써, 정보주체 보호의 실효성을 높이는 방향으로 기능하고 있다.
이에 본 논문은 GDPR 제82조의 해석에 관한 유럽사법재판소의 주요 판례를 심층적으로 분석함으로써, 우리 법제와의 비교법적 검토를 시도하고, 정보주체 권리보장의 실질화를 위한 시사점을 도출하고자 한다. 아울러 2015년 개인정보 보호법 개정을 통해 도입된 징벌적 손해배상 및 법정손해배상 제도의 내용과 한계에 대한 분석을 바탕으로, 위자료 발생기준의 구체화 및 위자료 산정기준에 관한 보다 구체적인 가이드라인의 정립 필요성을 제안한다. 이러한 제도적 개선은 정보주체의 권리를 실질적으로 보장하는 동시에 개인정보 침해에 대한 기업의 책임 인식을 제고하고 예방적 관리체계의 구축을 촉진하는 핵심적인 원동력이 될 것이다.
Amid accelerating digital transformation, countries around the world, including Korea, are increasingly reorganizing their social and economic structures around the use of personal data as a core resource. Sectors such as platform-based industries, artificial intelligence services, targeted advertising, and digital healthcare actively rely on personal data, rendering its collection and utilization an everyday occurrence. This shift underscores the increasing need for substantive legal protection of data subjects against infringements of their informational privacy.
In many cases, the harm suffered by data subjects takes the form of non-material damage. Korean courts, while in principle allowing claims for compensation for non-material damage, determine on a case-by-case basis whether such damage has actually occurred, taking into account various factors including the possibility of third-party access. This approach reflects an effort to strike a legal balance between the protection of the data subject’s personality rights and the societal or industrial necessity of utilizing personal data, while also delimiting the scope of corporate liability.
Meanwhile, the European Union’s General Data Protection Regulation (GDPR) has become a global standard for personal data protection and has substantively influenced the development and revision of Korea’s Personal Information Protection Act. Article 82 of the GDPR provides that data subjects who have suffered either material or non-material damage as a result of a GDPR infringement are entitled to compensation. The Court of Justice of the European Union (CJEU) has, through recent rulings, provided concrete interpretative criteria regarding the concept of non-material damage, the scope of its recognition, and the conditions under which it arises. These rulings recognize the loss of control over personal data and reasonable fears of potential future misuse as forms of non-material damage, thereby enhancing the effectiveness of data subject protection.
This article undertakes an in-depth analysis of key rulings by the CJEU interpreting Article 82 of the GDPR, with the aim of conducting a comparative legal examination in light of the Korean legal framework and drawing implications for the substantive enhancement of data subject protection. In addition, based on an analysis of the content and limitations of the punitive damages and statutory damages schemes introduced through the 2015 amendment to the Personal Information Protection Act, this article highlights the need to clarify the legal criteria for recognizing emotional distress and to develop concrete guidelines for calculating the amount of non-material damages. Such institutional reforms would serve as a key foundation for not only ensuring the substantive protection of data subjects’ rights, but also enhancing corporate accountability for personal data infringements and promoting the establishment of preventive compliance systems.
분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
| 주요 개정내역 | 변경 사유 |
|---|---|
| · 수탁업체 콘소시엄 기관명 및 위탁기간 명시 | · 제6조(개인정보 처리업무의 위탁) 구체화 |
한국교육학술정보원은 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
제1조(개인정보의 처리 목적)
제2조(개인정보의 처리 및 보유 기간)
제3조(처리하는 개인정보의 항목)
제4조(개인정보파일 등록 현황)
제5조(개인정보의 제3자 제공)
제6조(개인정보 처리업무의 위탁)
제7조(개인정보의 파기 절차 및 방법)
제8조(정보주체와 법정대리인의 권리·의무 및 그 행사 방법)
제9조(개인정보의 안전성 확보조치)
제10조(개인정보 자동 수집 장치의 설치·운영 및 거부)
제11조(개인정보 보호책임자)
제12조(개인정보의 열람청구를 접수·처리하는 부서)
제13조(정보주체의 권익침해에 대한 구제방법)
제14조(추가적 이용·제공 판단기준)
제15조(개인정보 처리방침의 변경)
제1조(개인정보의 처리 목적)
제2조(개인정보의 처리 및 보유 기간)
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)
제3조(처리하는 개인정보의 항목)
제4조(개인정보파일 등록 현황)
개인정보파일 검색(privacy.go.kr)| 개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 |
보유기간 | |
|---|---|---|---|---|
| 학술연구정보서비스 이용자 가입정보 | 한국교육학술정보원법 정보추제 동의 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
| 선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 | |||
제5조(개인정보의 제3자 제공)
제6조(개인정보 처리업무의 위탁)
제7조(개인정보의 파기 절차 및 방법)
제8조(정보주체와 법정대리인의 권리·의무 및 그 행사 방법)
제9조(개인정보의 안전성 확보조치)
제10조(개인정보 자동 수집 장치의 설치·운영 및 거부)
제11조(개인정보 보호책임자)
| 구분 | 담당자 | 연락처 |
|---|---|---|
| KERIS 개인정보 보호책임자 | 정보보호본부 안재호 |
- 이메일 : jinuk@keris.or.kr - 전화번호 : 053-714-0158 - 팩스번호 : 053-714-0195 |
| KERIS 개인정보 보호담당자 | 개인정보보호부 송진욱 | |
| RISS 개인정보 보호책임자 | 교육학술데이터본부 정광훈 |
- 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
| RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
제12조(개인정보의 열람청구를 접수·처리하는 부서)
제13조(정보주체의 권익침해에 대한 구제방법)
제14조(추가적인 이용ㆍ제공 판단기준)
제15조(개인정보 처리방침의 변경)
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)