개인정보보호법상의 개인정보란?


개인정보보호법의 제정으로 개인정보에 대하여 보호를 해야 하는 것은 알고 있지만, 보호해야 하는 개인정보의 범위는 어디까지인지가 모호하다는 말이 있다. 이번 컬럼에서는 개인정보보호법상의 개인정보에 대한 개념을 고찰해 보기로 한다.

개인정보에 대하여 개인정보보호법은 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”라고 규정하고 있다(제2조 제1호).

위 정의에 의하면, 개인정보로 인정받으려면, 1) 살아 있는 특정 개인에 관한 정보이어야 하고, 2) 그 정보로 인하여 특정 개인을 식별할 수 있어야 한다. 여기서 핵심은 2) 식별가능성이다.

1) 살아 있는 특정개인에 관한 정보

①살아 있는 개인에 관한 정보이어야 하므로, 죽은 사람의 정보는 개인정보에 해당하지 않는다. 예컨대 사망한 대통령의 정보는 개인정보보호법상의 개인정보에 해당하지 않는다.

②개인에 관한 정보이므로, 법인이나 단체에 관한 정보는 개인정보로 보지 않는다. 예컨대 법인의 자산 규모, 영업실적, 납세실적, 법인의 어음이 부도났다는 정보 등은 개인정보보호법상의 개인정보로 보지 않는다.

③특정 개인에 관한 정보이어야 하므로, 특정 개인을 알아볼 수 없도록 가공되어 있는 정보는 개인정보에 해당하지 않는다. 예컨대 2010년도 K대 졸업생들의 평균 신장이나 취업률 등은 개인정보에 해당하지 않는다.

2) 식별할 수 있는 정보

식별할 수 있는 정보만이 개인정보에 해당한다. 식별할 수 있다는 의미는 특정 개인을 다른 개인과 구별할 수 있다는 의미이다. 따라서 성명, 주민등록번호, 주소, 학번, 아이디, 이메일 주소, CCTV 정보 등은 개인정보로 볼 수 있다. 구체적으로는 신용정보, 고용정보, 의료정보, 위치정보, 통신정보, 영상정보, 신체정보, 기호정보 등이 여기에 속한다.

다만 해당정보로 특정개인을 알아내기에 부족하여 그 상태로는 식별성을 갖추고 있지 않더라도, 다른 정보와 쉽게 결합하여 알아볼 수 있으면 개인정보보호법상의 개인정보에 해당함에 유의하여야 한다.

‘쉽게 결합하여 알아 볼 수 있다’의 의미에 대하여 서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결에서는 쉽게 다른 정보를 구한다는 의미이기 보다는 구하기 쉬운지 어려운지와는 상관없이 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것을 말한다고 판시한 적이 있다. 즉 해당 정보와 다른 정보가 기술적으로 별다른 제약이나 어려움 없이 결합되어 특정 개인을 알아볼 수 있다면 정보 결합이 용이하다는 것이다.

예컨대 흔한 성명에 관한 정보가 단독으로 존재한다고 하여도 동성이인이 존재하는 한 특정개인을 식별할 수 없으므로, 그 성명 정보만으로는 개인정보보호법상의 개인정보로 보지 않는다. 하지만 스마트폰에서 주식시세정보를 제공하는 앱이 사용자들의 동의를 얻지 않고 사용자들의 휴대폰에서 IMEI(International Mobile Equipment Identity, 국제단말기인증번호로서 휴대폰 기기 고유번호임)와 USIM(Universal Subscriber Identiry Module, 범용가입자식별모듈) 시리얼번호를 취득하는 경우 이러한 고유번호와 시리얼번호는 기계적인 정보라 하더라도 특정 개인에게 부여되어 있음이 객관적으로 명백하므로 이는 개인정보 취득에 해당하고 따라서 반드시 동의를 얻어야 한다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결 참조).

식별할 수 없는 정보로서 문제되는 것이 로그기록이나 쿠키파일 정보이다. 특정 시간에 특정 사이트에 접속하게 되면, 그 웹사이트의 로그기록에 접속에 관한 정보가 저장되는 것과 동시에 접속에 관한 정보가 접속자의 PC에 쿠키파일로 저장될 수 있는데, 로그기록이나 쿠키파일로는 특정개인을 식별할 수 없다면 로그기록이나 쿠키파일정보는 개인정보보호법상의 개인정보로 보지 않는다.

그러나 로그기록이나 쿠키파일정보라도 이메일 주소, 주민등록번호 등과 결합한다면 통틀어 식별성을 가지게 되므로 이 때에는 식별정보로 파악될 수 있다.

3) 참고사항

개인정보보호법에는 필요정보와 최소정보를 혼용하고 있어 그 차이가 무엇인지 궁금증을 가지게 한다. 개인정보보호법에는 필요한 정보 중에서 최소한 수집하라고 되어 있으므로(개인정보보호법 제16조 제1항, 정보통신망법 제23조 제2항), 필요정보가 최소정보보다 더 넓은 개념에 해당한다. 즉 서비스 제공에 필요한 정보가 필요정보라면, 그 중에서 반드시 필요한 정보를 최소정보라 할 수 있다.

한편 개인정보는 필수정보와 선택정보로 구분하기도 하는데, 이는 기업이 서비스를 제공할 때 사용되는 개념으로, 서비스에 꼭 필요한 정보가 필수정보이고, 홍보 등 추가적인 목적에 사용되는 정보가 선택정보이다.

원칙적으로 필수정보나 선택정보 모두 기업이 이용자로부터 수집할 때 동의를 얻어야 하지만, 다만 필수정보가 계약이행에 불가피할 때는 동의 없이 수집할 수 있으며, 선택정보에 대하여는 동의를 하지 않아도 서비스 제공을 거부해서는 아니된다.

* 법무법인 민후 김경환 대표변호사 작성, 로앤비(2012. 8. 20.), 보안뉴스(2012. 9. 24.) 기고.

HOT 게시물