酷澎个人信息泄露事故，惩罚性损害赔偿会成为现实吗

Published 08 Dec.2025 14:10(KST)

Updated 08 Dec.2025 15:07(KST)

open/close

2023年修法可索赔5倍
集体泄露惩罚性赔偿判例罕见
亟需明确受害者义务与集体诉讼

围绕Coupang个人信息泄露事件，如何将惩罚性损害赔偿制度落到实处成为一大课题。惩罚性损害赔偿请求获法院支持的判例几乎不存在。若不是个人信息被泄露，而是企业将个人信息出售或挪用给第三方，则甚至没有通知受害事实的义务，导致受害者提出损害赔偿请求本身就十分困难。

惩罚性赔偿的首次试金石

依据《个人信息保护法》的惩罚性损害赔偿组合。法律新闻报提供

《个人信息保护法》规定，若个人信息处理者违反法律规定的义务，可向受害者赔偿最高达实际损害5倍的金额（第39条第3款）。2016年新增条款规定可赔偿至损害的3倍，2023年再次修法，将上限提高到5倍。信息泄露是否不存在故意或过失，由个人信息处理者自行举证，从而降低了受害者提起诉讼的负担。

该法制定近10年，但几乎找不到承认惩罚性损害赔偿的案例。2016年曾发生Interpark 1030万名会员信息被朝方黑客攻击的事件，但因该事件发生在修法施行前约2个月，未能适用惩罚性损害赔偿。

Coupang事件被视为事实上可能成为首例，但惩罚性损害赔偿能否获认定仍未可知。也有判决认为精神损害不能成为惩罚性损害赔偿的对象。仁川地方法院指出，财产损失可以通过客观证据计算，但精神损害则不然，难以判断应在慰抚金上乘以几倍，并判示称：“将《个人信息保护法》第39条第3款解释为仅限于财产损害赔偿请求是妥当的”（2021Na74344）。合议庭认为，在确定慰抚金时已综合考虑各种情形，几倍赔偿的标准事实上已被重复包含在内。

精神损害也应纳入“惩罚”对象？

阻碍因素还有不少。《个人信息保护法》规定，如难以主张具体损失金额，则免除受害者对此的举证责任。取而代之的是，法院将损失金额确定在300万韩元以下，并不作出惩罚性损害赔偿判决（法定损害赔偿，第39条之2）。精神损害赔偿性质的慰抚金，多数也在300万韩元以下。

围绕Coupang事件，目前多起集体诉讼正在同时推进。预计损失金额大致为每名原告10万至50万韩元。律师事务所LKB平山的律师Jung Taewon（司法研修院第33期）表示：“我们正在收集资料，例如家中收到可疑包裹、公共门禁密码泄露导致财产损失等案例”，并称“计划与主张精神损害的原告分开，另行提起集体诉讼”。

还需要通过修法，使因黑客攻击以外情形导致的信息泄露也能适用惩罚性损害赔偿。2011年至2014年，Homeplus在为会员办理会员卡时，将712万条个人信息以148亿韩元的价格出售给7家保险公司。调查结果显示，约半数受害者并未同意向第三方提供信息。2024年5月，大法院在280余名会员对Homeplus提起的损害赔偿诉讼案（2018Da262103）中，仅对其中4名原告分别认定5万至30万韩元的慰抚金。

当时大法院判示称，信息泄露是否不存在故意或过失由被告举证，但最初是否存在受害事实则须由原告证明。《个人信息保护法》规定，一旦知悉发生泄露，应当毫不迟延地通知受害者（第34条）。Homeplus并非发生泄露事故，而是有意利用信息，因此不负通知义务。若无侦查机关或被告Homeplus的协助，受害事实根本无从得知，自一审判决起便引发强烈批评，但制度并未得到改善。

律师事务所Yulchon的律师Jung Sejin（律师考试第3期）表示：“即便是在未经同意擅自向第三方提供个人信息、导致受害事实未被告知的情形下，也应当能够提起损害赔偿请求。”Jung律师还称：“为营销等目的而超出客户同意范围使用个人信息，同样侵犯了信息主体的权利”，“虽说相较于向第三方泄露，损害程度可能较小，但仍有必要通过制度完善，使受害事实得以被知悉”。

“韩国版集体诉讼”的引入必要性

无法实行集体诉讼也是亟待解决的课题。集体诉讼是指，少数代表当事人一旦胜诉，其法律效果及于未参与诉讼的其他人。虽然在个人信息纠纷调解委员会达成调解时，可以取得类似集体诉讼的效果（《个人信息保护法》第49条），但企业可以拒绝调解方案，实效性有限。