인도 데이터 유출 분쟁에서의 크로스보더 보험 청구

현대의 초연결 경제에서 국경을 초월한 데이터 흐름은 무단 접근 및 데이터 유출을 통한 사이버 보안 침해 발생 시 복잡한 법적 문제를 야기한다. 데이터 주체, 처리자, 그리고 관리인이 서로 다른 관할권에서 활동할 경우, 개인정보 보호와 관련한 법적 의무가 일관되지 않아 그 복잡성이 더욱 심화된다.

이와 같은 다수 당사자 및 다관할권적 역학 관계는 관련 당사자들과 그들의 보험사 및 재보험사 사이에서 적용 법률과 판결·중재판정·명령의 집행 가능성과 관련한 도전에 직면하기 쉽다.

이러한 분쟁의 이해관계는 막대하다. 단 한 번의 불법적 데이터 유출 사건만으로도 개인 식별 가능 데이터가 암시장에서 국경을 넘어 거래되는 연쇄적 파급 효과가 발생할 수 있으며, 이는 전 세계적 차원에서 데이터 무결성과 개인의 안전을 위협한다.

멀웨어 침입, 랜섬웨어 공격, 신원 도용, 디지털 갈취 등 급증하는 사이버 범죄 유형을 배경으로, 피해를 입은 데이터 주체들은 종종 손해배상과 징벌적 손해배상, 금지명령 및 형평적 구제를 구하는 집단소송 형태로 청구를 집합한다.

인도는 IT와 백엔드 서비스의 글로벌 허브로서, 특히 미국을 비롯한 거대 기술·금융 기업이 집중된 관할권과 연계될 때 이러한 분쟁은 필연적으로 국경을 초월한 차원을 갖게 된다. 이는 특히 인도의 사이버 책임 및 보험 정책과 맞물려 있다.

사이버 책임 분쟁은 일반적인 불법행위 소송과는 달리, 해당 분야를 규율하는 특수한 법률의 적용을 받는다. 데이터 유출 소송은 대규모 청구, 규제 노출, 평판 위험, 그리고 소송 비용·디지털 포렌식·의무적 통지·신용 모니터링과 같은 부수 비용을 발생시킨다.

집단소송은 책임 노출, 전면 재판에 소요되는 시간과 비용을 고려할 때 대체로 합의로 귀결된다. 따라서 집단 전체에 적용되는 합의가 선호된다. 실증 연구 역시 대부분의 사이버 사건이 전면적인 재판이 아니라 협상된 합의를 통해 해결된다는 점을 확인하고 있다.

인도에서는 합의가 종료된 이후에야 종종 보장 범위 분쟁이 발생하며, 법원이나 재판소의 관할권이 발동되어 보험 계약 조건 해석이 이루어진다. 이 과정에서 합의금의 보상 여부, 보안 침해 예외조항과 보상 배제 조건, 보상 청구가 쟁점으로 떠오른다.

논란이 되는 사안에는 사전 승인 여부, 합의 권한 및 상한, 방어 비용 및 보상 의무 발생 등이 포함되며, 특히 보험사가 자신이 1차 소송 절차에 참여하지 않았음을 이유로 보장을 거부하고, 따라서 어떠한 판결이나 결정에도 구속되지 않는다고 주장할 때 문제가 된다.

인도 대법원은 National Insurance Company v. Nippon Paper Foodpac Pvt Ltd 사건에서, 보험 청구와 관련된 사안 분할 문제를 다루며 “이는 필연적으로 혼란, 다수의 소송, 단편적 결정, 상충되는 명령의 가능성으로 이어진다”고 판시한 바 있다.

크로스보더 청구는 국내 보장 범위와 해외 절차를 조율하는 데 어려움을 야기하며, 종종 불일치한 결론으로 이어져 보험사가 청구를 거부할 수 있는 여지를 만든다. 해외 관할권에서 책임 관련 1차 재판이 종결되면, 인도 내 법원이나 재판소는 해당 외국 판결이나 합의 결정의 구속력(혹은 비구속력)을 우선적으로 판단해야 한다.

특히 그 판결이나 결정이 확정된 채무를 대상으로 하더라도, 당사자가 동일하지 않고 보험사가 1차 소송에 참여하지 않은 경우, 그것이 보상 및 보험 청구 분쟁에서 기판력 또는 증거력을 가지는지가 문제된다.

외국 판결의 최종적 효력을 입증할 책임은 이를 주장하는 당사자에게 있다. 국제예양, 기판력, 금반언 원칙에 기초하여, 인도 법원과 중재재판소는 외국 판결이나 결정에서 판단된 쟁점이나 청구에 기판적 효력이 미칠 수 있는지를 검토해야 한다.

이 검토 범위에는 중재 가능성, 승인 여부, 양립 가능성, 증거력, 그리고 외국 판결과의 상호성 및 일관성이 포함된다. Nippon Paper 사건에서 인도 대법원은 인도 보험규제개발청(Insurance Regulatory and Development Authority of India, IRDAI)이 손해액 산정은 중재 가능하다고 보면서도, 보험금 청구 거절 및 지급 거부는 중재 범위에서 제외하는 접근을 문제 삼았다. 대법원은 이러한 불합리한 사안 분리가 중재 가능성을 복잡하게 만들고, 외국 판결의 최종적 효력에 불확실성을 초래한다고 지적하였다.

인도에서 외국 판결 및 결정(합의서 포함)의 효력은 1908년 민사소송법(Code of Civil Procedure, CPC)에 규정되어 있다. CPC 제13조는 외국 판결이 ‘동일 당사자 간에 직접적으로 재판된 사항에 대해서는’ 확정적 효력을 가진다고 규정하면서도, 판결이 인도법에 반하는 청구를 인정하는 경우 등 몇 가지 예외를 두고 있다.

또한 CPC 제44A조는 상호주의 국가의 판결에 대한 집행 절차를 규정하고 있다. 한편, 1996년 중재조정법 제19조는 중재재판소가 CPC에 구속되지 않고, 절차적 자율성을 가지고 증거의 허용 여부와 증거 가치를 판단할 수 있도록 허용한다.

따라서 상호주의 국가에서 내려진 법원의 승인 합의라 하더라도, 인도에서 자동적으로 확정적 효력을 가지는 것은 아니다. 그 승인 여부는 CPC 제13조의 요건 충족 여부에 달려 있으며, 구속력은 동일 당사자 간의 문제에 한정되고, 인도법을 훼손하지 않는 경우에만 인정된다.

보험 분쟁에서는 최종 판결이 일반적으로 피고와 청구인 간에만 내려지고, 다른 관할권의 보험자나 재보험자가 반드시 당사자로 포함되지 않는 경우가 많다. 이로 인해 보험자들이 보장책임이나 비용 상환 의무를 부인할 수 있는 여지가 생기며, 이는 분쟁의 구조적 어려움을 초래한다.

캐나다 대법원은 서로 다른 관할권에서 제기된 두 건의 병행적 보장 소송 중 하나의 절차를 정지하는 문제를 검토하면서, 이와 같은 문제를 해결하기 위한 다양한 접근 방식을 살펴본 바 있다.

또한 국제법협회가 2006년 발표한 기판력과 중재에 관한 최종 보고서에서는, 중재재판소가 기판력을 ‘자율적’으로 다루어야 한다고 권고하였다. 즉, 특정 국내 법체계의 국제사법 규칙에 종속되는 것이 아니라, 중재 실무를 위해 개발된 초국적 실체적·절차적 규범에 의해 지배되어야 한다는 것이다.

인도의 보험자들은 종종 보험 약관에 규정된 계약상 조건의 엄격한 준수를 요구한다. 특히 통지 요건, 사전 승인 및 동의, 그리고 면책 조항의 해석과 관련해서 그러하다. 그러나 이러한 조건 위반이 실제로 적용되지 않거나(예외조항·불명확성으로 인한 경우), 중요하지 않거나, 불이익을 주지 않는 경우에도 보험자들은 이를 근거로 보장이나 상환 책임을 부당하게 거부하려 한다. 이는 이미 피보험자에게 책임을 확정하는 판결이 내려진 경우에도 마찬가지다.

보험자들은 또한 방어 비용 지출, 소송 방어, 합의와 관련된 동의나 승인을 이유 없이 보류하거나 지연시켜 소송이 장기화되도록 만들기도 한다. 더 나아가 보험자들은 피보험자에게 명백한 진술, 유죄 인정 또는 과실 인정을 요구하는데, 이는 기본 책임소송이 아직 계류 중인 상황에서는 피보험자가 제공할 수 없는 것이다.

주목할 점은, 인도 대법원이 최근 판례에서 이행이 불가능하거나 좌절된 보험 약관상의 조건 위반을 이유로 보험금 청구를 거절할 수 없다고 판시하였다는 것이다.

보장 중재에서 제3자와의 사적 합의는 일반적으로 보험자를 구속하지 않는다. 합의나 동의 판결에서 책임이나 인과관계에 관한 판단이 있더라도 이는 초기 단계에서 설득력을 가질 수 있을 뿐이다. 그러나 청구와 보장 전반, 면책, 보험 약관 이행 여부와 같은 문제는 여전히 중재판정부의 독자적 판단 범위에 속한다.

데이터 유출 사건에서 발생하는 크로스보더 집단소송의 증가로 인해 사이버 보험의 심각한 불일치가 드러났으며, 이는 종종 피보험자를 대규모 책임으로부터 보호하기 위해 설계된 보험이 제 기능을 하지 못하게 만든다. 외국 원고들은 일반적으로 보험자나 재보험자를 제외하고 피보험자인 기업만을 상대로 소송을 제기한다.

그 결과, 소송지 관할에서 기판력을 가지게 된 판결이나 합의라도 위험 부담자인 보험자들과의 당사자 관계가 결여되는 경우가 많다. 이는 피보험자로 하여금 다른 관할권에서 별도의 보장 소송을 제기해야만 배상을 확보할 수 있도록 만들며, 비효율성과 불확실성을 야기한다.

이 문제는 특히 합의 동의, 협력, 자발적 지급 금지 조항과 같은 표준 보험 약관들로 인해 더욱 악화된다. 이러한 조항들은 집단소송 합의의 빠른 타임라인과 거의 일치하지 않기 때문이다.

합의가 법원의 승인을 앞두게 되면, 인증 기한과 옵트아웃 권리에 의해 추진되는 경우가 많다. 그러나 보험자의 통지 및 동의 요건은 종종 뒤처지며, 보험자가 스스로 비용을 지불하면서까지 이를 신속히 처리할 유인은 거의 없다. 보험자가 동의를 지연하거나 거부할 경우, 피보험자는 합의를 위험에 빠뜨리거나 보험자의 동의 없이 진행할지 선택해야 하며, 이는 조건 선행 위반으로 인해 보장을 상실할 위험을 초래한다.

따라서 보험 약관을 엄격하게 집행하는 것은 사이버 보험의 핵심 기능인 위험 이전 기능 자체를 위협한다. 법원과 중재판정부는 이러한 조항들을 상업적 합리성의 관점에서 해석하고, 선의와 협력 의무를 내포시켜야 한다.

보험자가 통지받았고, 참여할 기회가 있었으며, 아무런 불이익을 입지 않았음에도 단지 형식적 사유로 보장을 거절하는 것은 금지되어야 한다. 법원은 보험자와 재보험자가 처음부터 소송에 참여하도록 요구해, 그들의 이해관계가 대표되도록 하고 이후 분쟁의 가능성을 줄여야 한다.

또한 판결·합의 인정을 위한 제도는 보험자가 직접 배상 의무를 집행할 수 있도록 허용해야 한다. 이러한 개혁 없이는 데이터 유출 보험은 신뢰할 수 없는 수단으로 남게 되며, 피보험자는 여전히 다수 관할권에서의 분쟁 위험에 노출되게 된다.

SHARDUL AMARCHAND MANGALDAS & CO
Amarchand Towers 216
Okhla Industrial Estate
Phase III New Delhi 110 020, India
전화: +91 11 4159 0700
이메일: connect@amsshardul.com
www.amsshardul.com