국내에서 개인정보 유출 사고가 잇따르는 가운데 한국의 제재와 배상 수준을 선진국 수준으로 끌어올려야 한다는 지적이 나온다.
유럽연합(EU)의 일반개인정보보호규정(GDPR)은 중대한 위반 시 전 세계 매출의 4% 또는 2000만유로(약 343억원) 중 더 높은 금액을 과징금으로 부과하도록 규정하고 있다. 2023년 아일랜드 데이터보호위원회는 메타가 개인정보 이전을 위반했다며 이 규정을 적용해 12억유로(약 2조원) 과징금을 부과했고, 작년 네덜란드 정보보호 당국도 우버에 같은 이유로 2억9000만유로(약 5000억원) 과징금을 부과했다. 미국은 정부 과징금보다 집단소송 합의금에 대한 부담이 훨씬 크다. 2021년 7600만명의 정보가 유출된 T모바일은 집단소송 합의금만 3억5000만달러(약 4800억원)에 달했다.
한국도 2023년 개인정보보호법 개정으로 과징금 한도가 매출액의 3%까지 상향되는 등 행정적 제재 수준을 높였다. 고의·중과실 시 최대 5배 징벌 배상, 법정 손해배상 등의 규정도 마련되어 있다. 그러나 징벌적 손해배상 제도의 경우 개인정보 처리자의 고의·중과실 입증이 어려워 실제로 적용된 사례가 없어 실효성 논란이 제기되어 왔다. 법정 손해배상의 경우에도 최대 배상액이 300만원이지만, 과거 카드사(2014년)·인터파크(2016년)·모두투어(2024년) 개인정보 유출 사건 당시 실제 배상액은 1인당 10만원에 그쳤다.
이처럼 소액·다수 피해의 경우 소송에 참여하는 피해자의 부담 대비 실제 이익이 적어 제도적인 개선이 필요하다는 지적도 나온다. 국회입법조사처는 최근 보고서에서 “판결의 효력이 소송을 신청한 사람뿐 아니라 모든 피해자에게 영향을 미치고 손해배상을 청구할 수 있는 형태의 집단소송을 개인정보 분야로 확대해 도입할 필요가 있다”고 분석했다. 현재 한국에서는 이 같은 집단소송이 증권 분야에서만 허용된다.