법에 의한 규율뿐만 아니라 약관규제법도 적용될 수 있다. 즉, 약관에 정하여져 있는 쿠키의 이용이 프라이버시를 현저하게 침해할 소지가 있는 경우에는, 계약의 성질상 설명이 현저하게 곤란한 경우를 제외하고는, 이용자가 이해할 수 있도록 설명하여야 한다(약관법 제3조 제2항). 이에 위반하여 사업자가 계약을 체결한 때에는 당해 약관을 계약의 내용으로 주장할 수 없다(약관법 제3조 제3항). 또한 약관에 쿠키의 활용에 대하여 이용자의 통제를 전면적으로 부인하는 조항을 규정하거나 쿠키에 의한 개인정보수집으로 프라이버시가 침해된 경우에 그에 대한 면책을 규정하는 경우에는 이용자에게 부당하게 불리한 조항으로써 공정을 잃은 것으로 추정할 수 있으며, 공정을 잃은 것으로써 신의칙에 반하는 경우에는 해당 약관 조항은 무효이다(약관법 제6조, 제7조).
(5) 쿠키에 의한 프라이버시 침해와 민사상 구제
① 사전 예방 및 방해배제 청구
쿠키로 인한 개인정보 침해는 인격권인 프라이버시권의 성격을 가지고 있기 때문에 일단 침해가 발생한 경우에는 손해배상 등의 조치를 취하더라도 완벽하게 원상회복이 되지 않을 가능성이 크다. 따라서 개인정보의 사전적인 침해 배제수단이 더욱 효과적인 구제수단이 될 수 있다.
이용자에 대한 사전고지권 및 통지권, 이용자의 동의권, 열람 및 정정청구권 등을 침해하여 이용자의 개인정보의 수집 및 가공, 제3자에의 제공 등의 행위를 하는 경우에 현실적인 피해가 발생하기 전에 이러한 침해에 대한 사전억제, 즉 방해예방청구와 이미 발생하여 계속되고 있는 침해행위의 제거, 정지 등의 금지청구권을 행사할 수 있는지 여부가 문제로 될 수 있지만, 개인정보보호는 인격권의 범위에 포함되므로 이를 인정함이 타당하다고 생각한다.
② 손해배상의 청구
쿠키에 의한 개인정보 또는 프라이버시침해에 대한 손해배상의 청구는 해당 개인과 침해자 사이에 일정한 정보통신서비스이용계약과 같은 법률상의 관계가 있는 경우와 그렇지 않은 경우로 나누어 볼 수 있다.
(ⅰ) 계약위반으로 인한 손해배상청구
침해자에게 정보통신서비스이용계약 등에 기초하여 손해배상을 구하는 경우에는 약관 및 계약서 등에서 정보통신서비스제공자에게 개인정보와 관련된 주의의무를 구체적으로 명시한 경우뿐만 아니라 침해자가 계약상의 부수적인 의무 즉 신의칙상 침해자에게 일반적으로 요구되는 계약 이행상의 개인정보보호에 관한 주의깊은 처리의무를 위반하였는지 여부가 문제된다. 정보통신망법이나 개인정보보호 관련 규정은 이러한 주의의무의 판단을 위한 중요한 기준이 될 것이다. 이와 같은 주의의무위반으로 인하여 이용자에게 재산적·정신적 손해가 발생한 경우에는 배상책임을 인정할 수 있다. 그러나 실제에 있어서는 정보처리과정에서의 주의의무위반을 입증하기가 매우 어려울 것이며, 손해의 확정도 매우 곤란할 것으로 보인다. 따라서 계약에 기한 손해배상청구에 의한 구제는 쉽지 않을 것이다.
(ⅱ) 불법행위로 인한 손해배상청구
계약관계가 없는 자 사이에 쿠키에 저장된 개인정보의 침해행위가 발생한 경우에는 불법행위에 기한 손해배상청구를 할 수 있다. 이 때 손해배상청구의 요건은 일반 불법행위의 성립요건과 동일하다. 이러한 개인정보 침해행위의 위법성 여부는 구체적 모습에 따라 차이가 발생할 수 있지만 일반적으로는 현행 개인정보보호 관련 법규에 규정된 개인정보보호 의무를 위반하는 행위의 존재로써 위법성을 쉽게 인정할 수 있을 것이다.
이와 관련하여 정보통신망법은 제32조에서 "정보통신서비스제공자등이 이 장의 규정을 위반한 행위로 손해를 입은 경우에는 그 정보통신서비스제공자등에 대하여 손해배상을 청구할 수 있다. 이 경우 당해 정보통신서비스제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다"고 규정하여 입증책임을 전환하는 규정을 두었다. 이는 이용자의 고의·과실에 대한 입증이 사실상 어려운 점을 고려하여 입증책임을 전환하도록 한 것이다.
나. 교육·홍보 기타 예방적 조치
쿠키에 의한 프라이버시 침해가 은밀하게 자동적으로 이루어지는 경우가 대부분이기 때문에 쿠키의 위험성 및 침해를 예방하는 방법 등을 이용자에게 교육·홍보 등을 통해서 널리 알리는 것이 필수적으로 요구된다
) 김철완·이민영, 인터넷 개인정보보호에 관한 법제도 연구, 정보통신정책연구원, 2000, 213-214면.
. 또한 쿠키를 활용하여 개인정보를 수집하는 사업자에게도 법규에 의한 제재 가능성 및 쿠키에 의한 프라이버시 침해의 심각성 등에 대한 행정적인 지도 내지 홍보 등을 통하여 사전적인 예방을 도모하여야 한다.
다. 안전한 개인정보유통을 위한 인프라 구축·지원
쿠키에 의한 개인정보의 수집 및 이용이나 프라이버시 침해가 실질적으로 인터넷과 컴퓨터 상에서 이루어지기 때문에 쿠키의 생성, 개인정보수집, 쿠키의 전송 등의 모든 쿠키 활용 과정에서 안전하게 개인정보가 유통되도록 하기 위하여 그리고 쿠키에 대한 개인정보주체의 결정권을 부여하기 위하여 필요한 기술의 개발 및 인프라 구축을 정책적으로 지원할 필요가 있다. 이를 통하여 자율규제에 의한 프라이버시 보호가 보다 실효성을 가지게 된다.
Ⅴ. 맺음말
개인정보의 유통과 프라이버시 보호라는 문제는 상충되는 법익을 내포하고 있으며, 이러한 논의의 중심에 쿠키의 활용이라는 문제가 있다. 즉, 쿠키는 우리에게 편리함을 가져다 주었지만 동시에 개인정보가 유출되어 프라이버시가 침해될 수 있는 가능성도 열어 두었다. 이 글에서는 이러한 상충되는 법익의 조화를 위하여 자율규제, 계약법적 접근 및 법·정책적 접근에 의한 해결을 모색해보았다. 프라이버시의 보호는 사후 구제보다 사전 예방이 더욱 중요하기 때문에 법에 의한 규제만 강조하지 않고 자율규제 및 계약적 접근에 의한 해결을 함께 고려하여 각 영역에서의 적정한 역할을 확정하여야 한다. 특히 법적 측면에 있어서 현행 정보통신망법은 일반적인 개인정보보호관련규정을 담고 있기는 하지만, 쿠키의 특성을 고려한 개별적인 규율에 관하여는 미흡한 점이 있다. 앞으로 이러한 점을 포함한 다른 개인정보보호 관련 규정과의 조화 문제 및 보다 실효성 있는 프라이버시 보호를 위하여 앞으로 더 깊은 논의가 필요할 것이다.