판단기준형은 개념형과 달리 개인정보에 대한 판단기준을 정의규정에서 명시적으로 제공하고 있는데, 이 점에서 개념형 또는 개념서술형과는 근본적으로 차이가 있다.

대표적으로 판단기준형을 취하고 있는 영국의 법조문을 살펴보면, 1) 당해 데이터, 2) 당해 개인정보처리자가 보유하고 있는 데이터, 3) 당해 개인정보처리자가 보유할 수 있는 데이터를 근거로 특정 개인을 식별할 수 있다면 이를 개인정보로 보고 있다.

위 영국의 판단기준은 매우 간명하다는 장점이 있다. 1) 당해 데이터로 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당하고, 2) 당해 데이터로 특정 개인을 식별할 수 없더라도 당해 개인정보처리자가 보유하고 있는 다른 데이터를 통하여 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당하며, 3) 현재 당해 개인정보처리자가 보유하고 있지 않더라도 당해 개인정보처리자가 보유할 수 있는 가능성이 있는 데이터로부터 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당한다는 것이다.

여기서 우리나라 개인정보 정의규정과 중요한 차이가 나타나는데, 우리나라 개인정보 규정은 결합가능성의 주체를 당해 개인정보처리자로 보지 않아도 되게끔 기술되어 있는 반면, 영국법은 다른 데이터의 보유가능성의 주체를 당해 개인정보처리자로 명시적으로 제한하고 있다는 점이다.

즉 우리나라 법의 개인정보 정의규정은 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함’이라고 하여 결합을 하는 사람을 당해 개인정보처리자에 한정하지 않음으로써, 당해 개인정보처리자는 보유하거나 보유할 가능성이 없더라도 다른 사람이 보유하거나 보유할 가능성이 있는 정보가 있고 그 정보와 결합을 하여 식별가능성이 생기면 당해 데이터(‘해당 정보’)를 개인정보로 보고 있다. 반면, 영국법은 ‘from those data and other information which is in the possession of, or is likely to come into the possession of, the data controller’라고 하여 다른 데이터의 보유가능성의 주체를 당해 개인정보처리자로 제한하고 있다.

판단기준형을 취하고 있는 나라 역시 적지 않다. 그 구체적인 국가들을 살펴보면 아래와 같다.

혼합형은 우리나라와 같이 개념을 기술하고 그 다음에 판단기준을 제시하는 방식이기에 한국형이라 칭하기로 한다.

<개인정보보호법 제2조 제1호>

"개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

<정보통신망법 제2조 제1항 제6호>

"개인정보"란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

위 규정에서 괄호 밖의 본문 규정은 개념에 대한 서술이고, 괄호 안의 단서 규정은 판단기준에 관한 서술이다.

우리나라 개인정보보호법의 조문을 좀 더 구조적으로 살펴보기로 한다.

‘살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보’는 개념형과 동일한 내용을 담고 있음을 알 수 있다.

다만 ‘살아 있는 개인에 관한 정보’와 ‘개인을 알아볼 수 있는 정보’ 사이에 <성명, 주민등록번호 및 영상 등을 통하여>란 문구가 중간에 삽입되어 있음을 알 수 있는데, 중간에 삽입된 <성명, 주민등록번호 및 영상 등을 통하여>란 문구는 개념서술형의 영향을 받았음을 알 수 있다. 즉 괄호 밖의 본문은 개념형과 개념서술형을 섞어 놓은 형태를 띠고 있다.

한편 괄호 안의 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다’라는 문구는 판단기준을 제시하고 있기에 영국의 영향을 받은 것으로 보인다.

정리하면 괄호 밖의 본문 내용은 개념형과 개념서술형의 결합이고, 괄호 안의 단서 내용은 영국형을 참조하여 담은 것으로서, 가장 광범위하게 이용되는 3가지의 모든 개인정보 정의규정의 유형이 우리나라 법에 모두 포함되어 있다.

문제는 이렇게 혼합함으로써 앞서 살펴본 3가지 유형보다 개선된 개인정보의 정의규정이 된 것이라고 볼 수 없다는 점인데, 구체적인 문제점은 아래와 같다.

첫째, 괄호 밖의 본문과 괄호 안의 단서의 정합성이 부족해 보인다. 괄호 밖의 본문에서는 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’라고 기술하고 있는데, 성명, 주민등록번호 및 영상 등을 통할 경우 어떤 정보라도 개인을 식별할 수 있기 때문에 사실상 모든 개인에 관한 정보는 개인정보가 될 수 있다.

그럼에도 다시 괄호 안의 단서에는 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도’라고 전제하는바, 사실상 괄호 밖의 본문 내용에 어떤 정보를 대입하면 특정 개인을 식별할 수 없는 정보는 없음에도 불구하고, 이와 모순되게 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수’ 없는 정보가 존재한다는 것을 전제로 법문언이 구성되어 있다.

이렇게 모순되게 보이는 것은 괄호 밖의 본문은 개인정보의 개념이고 괄호 안의 단서는 개인정보의 판단기준인데, 개념과 판단기준이 혼재되어 있어서 발생하는 문제이다.

특히 a라는 하나의 특정 정보가, 괄호 밖의 본문에 따르면 개인정보가 되지만(성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 없는 정보는 사실상 거의 없기 때문이다), 괄호 안의 단서를 적용하면 개인정보가 아닐 수 있는(a만으로는 개인을 알아볼 수 없고, 성명, 주민등록번호 및 영상을 포함한 다른 정보와 쉽게 결합하여 알아볼 수 없는 경우가 있을 수 있기 때문이다) 불합리한 현상이 발생하게 된다.

즉 개인정보의 개념에는 속하지만 개인정보의 법적 판단기준 내지 법적 보호범위는 충족하지 못하는 정보가 있을 수 있는바, 개념과 판단기준을 개념과 판단기준을 명확하게 분리하여 기술하는 것이 필요하다.

둘째, 괄호 밖의 본문 내용은 개념서술형을 참조하긴 했으나 그 원형인 EU 규정처럼 직접 또는 간접 개인정보를 포함한다는 명확한 의미를 전달하지 못하고 있다.

즉 EU의 경우는 1) 이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier)와 2) 그 사람의 물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상의 요소를 나누어 기술하고 있는데, 우리나라 조문에 있는 ‘성명, 주민등록번호 및 영상’은 EU의 1)만을 의미하는 것처럼 보여, 2)에 관한 내용은 어디에 있는 것인지 의문이 간다.

셋째, 더 큰 문제점은 괄호 안의 단서 내용인데, 괄호 안의 내용의 원형인 영국의 규정은 당해 개인정보처리자의 보유 가능성을 기준으로 식별성을 부여하고 있는데, 우리나라의 괄호 안의 내용은 보유의 주체로서 ‘당해 개인정보처리자’란 말을 빼놓고 기재함으로써 결합가능성의 주체를 당해 개인정보처리자 외의 사람까지 광범위하게 인정할 수 있게끔 하고 있다. 때문에 이 방식이라면 이 세상에서 개인정보 아닌 것이 없다는 비판까지 나오게 되었다.

넷째, ‘쉽게 결합’이란 단어의 모호성이다. 이미 살펴보았듯이 EU 규정은 ‘결합’이라는 용어를 쓰지 않고 ‘보유’라는 단어를 쓰고 있다. 참고로 싱가폴은 ‘보유’라는 단어 대신에 ‘접근’이라는 단어를 쓰고 있다.

‘보유’나 ‘접근’이라는 개념은 이해하기 쉽고 판단이 용이하며 그 안에 개인정보처리자의 입수나 열람이라는 뜻이 내포되어 있지만, ‘결합’이라는 개념은 이해가 쉽지 않으며 판단도 용이하지 않고 결합이라는 단어로써 개인정보처리자의 입수나 열람을 추출하기는 쉽지 않다. 거기에 ‘쉽게’까지 추가되어 있으니 더더욱 이러한 문제점은 가중될 수밖에 없다.

이런 이유로 많은 해석상 난점을 내포하고 있고, 해석하는 사람에 따라 개인정보 포섭범위에 있어 천차만별의 결론이 나오고 있다.

나아가 ‘쉽게 결합’ 등을 포함한 개인정보 정의규정의 모호함은 빅데이터 등 산업에도 악영향을 주고 있다. 개인정보나 식별정보의 범위를 손쉽게 획정할 수 없기 때문에 기업들은 보수적인 해석론에 따라 개인정보나 식별정보의 범위를 넓게 해석하고 있고, 그 결과, 정보의 이용에 대하여 소극적일 수밖에 없게 되었다.

다섯째, ‘통하여’와 ‘결합하여’의 모호성에 대하여 지적하지 않을 수 없다. 우리법은 ‘성명, 주민등록번호 및 영상 등을 통하여’와 ‘다른 정보와 쉽게 결합하여’라고 규정하고 있는바, 문언적으로는 이 둘의 차이점이 있어 보이지만 실제로 그 차이점을 명확하게 결론내리기 어려울 정도로 모호하다.

괄호 밖에 있는 ‘통하여’는 개념서술형으로부터 기원한 것이고, 괄호 안에 있는 ‘결합하여’는 영국형으로부터 기원한 것이지만, 문언적으로 보면 전자가 후자보다 훨씬 더 모호하고 광범위해 보인다.

여섯째, ‘결합하여’는 해석상 결합‘가능성’을 의미하는데, 법조문의 문언은 그렇게 읽히지 않는다는 점이다. 마치 당연히 결합을 ‘전제로’ 하는 것처럼 보이는바, 결합‘가능성’을 따져야 함을 명확하게 법조문에 밝힐 필요가 있다.

혼합형(한국형)을 취하고 있는 나라는 많지 않다. 우리나라, 일본, 중국, 필리핀 정도에 불과하다.

지금까지 전세계 100여개 국가의 개인정보 정의규정을 살펴보았다.

글로벌 표준은 개념형 또는 개념서술형이라 할 수 있는 반면, 우리나라는 개념과 판단기준이 섞여 있는 형태를 보이고 있다. 이것 자체를 문제점이라 하기는 어렵지만, 개념과 판단기준을 명확하게 또는 정합적으로 규정하고 있지 않아 해석상 문제점이 많다는 것은 지적할 수 있다.

개인정보보호법이 시행된 지 이제 5년째가 되어 가고 있다. 그 동안의 문제점을 한번 떨고 가야 할 때가 된 것 같다. 특히 개인정보 정의규정은 수많은 비판을 받아 왔고 그로 인하여 다른 개인정보보호 규정도 규범력이 손상되고 있는 실정이다.

따라서 개인정보 정의규정부터 개선작업을 시작해야 할 것이며, 이 개선작업은 빅데이터의 활용 등 신산업과 연관시켜서 진행함으로써, 사회적 합의 하에 보호와 활용의 균형을 맞추기 위한 유기적인 법정비가 이루어지도록 해야 할 것이다.

* 법무법인 민후 김경환 대표변호사, 최주선 변호사 작성, 디지털데일리(2016. 3. 22.), 리걸인사이트(2016. 3. 24.) 기고.