2011년 9월 30일 개인정보보호법이 시행되어 현재는 1년이 넘어가고 있다. 짧은 1년이었지만 그 동안 국민들에게 많은 인식의 변화를 유도했고, 많은 개선과 발전을 가져온 것은 큰 성과라고 할 수 있다. 그러나 여전히 몇 가지 문제점을 안고 있고, 또한 현실에 부합하지 않은 점도 나타나고 있으며, 앞으로 개선되어야 할 점도 있어 보인다. 이 글에서는 개인정보보호법 시행 1년을 맞이하여 그간의 문제점을 짚어보고 앞으로 풀어야 할 과제를 제시하고자 한다. 6. CCTV 관리 및 통합의 규제 앞으로 정보주체의 프라이버시를 가장 많이 침해할 것으로 예상되는 것이 영상정보를 활용한 CCTV이다. 정부, 지자체, 기업들은 하루가 다르게 CCTV의 양을 늘리고 있고, 그 CCTV로 인하여 생긴 정보들은 계속 쌓이고 있는 추세이며, 지금은 CCTV를 통합하여 운영·관리하도록 체계를 바꾸는 데에도 주력하고 있다. 예컨대 자치구 내에 CCTV가 5,000개라면, 이를 통합관리하여 하나의 관리센터에서 모든 CCTV의 정보를 파악할 수 있게끔 한다는 것이다. CCTV의 증대와 통합은 범죄로부터 자유롭고 안전한 거리를 만들기 위한 것으로서 충분히 그 기여점을 인정하지만, 마음만 먹으면 한 사람의 모든 동선을 파악하고 관리할 수 있는 위험이 있으며, 특히 네트워크망을 이용한 CCTV가 주류를 이루고 있다는 점에서 관리소홀이나 해킹으로 인해 외부로 유출된다면 그 파장은 만만치 않을 것이다. CCTV에 대한 합리적 규제가 이루어지지 않은 상태에서 여건의 변화로 ‘얼굴인식 기술’까지 겹치게 된다면 국민의 사생활이라는 것이 존재하지 않을 수도 있고, 빅브라더의 출현도 당겨질 것으로 예상된다. CCTV, 우리의 빅브라더가 될 수 있다. 7. 보안담당자의 과실책임에 대한 재고 개인정보 유출 사고 등이 있는 경우, 현재 양벌규정에 의하여 기업뿐만 아니라 보안담당자도 형사상 처벌을 받게끔 규정되어 있지만, 보안담당자가 가장 많이 반발하고 이해할 수 없어 하는 조문이 바로 이 보안담당자 형사처벌 조항이다. 특히 해킹 사고 등에서는 보안담당자의 고의적 해태뿐만 아니라 과실의 경우까지도 처벌할 수 있도록 되어 있기 때문에 더더욱 그렇다. 기업에 고용된 보안담당자의 지위는 개인정보보호법상의 ‘개인정보처리자(개인정보보호법 제2조 제5호)’나 정보통신망법의 ‘정보통신서비스제공자(정보통신망법 제2조 제1항 제3호)’는 아니므로 기업의 보안담당자를 이들과 동등하게 취급하는 것은 부당하다. 그리고 보안이라는 것은 보안담당자가 제어할 수 없는 기업의 보안투자 수준이나 기업 CEO의 보안의지, 기업의 개인정보 관리체계의 정비 수준, 개인정보취급자나 서버접근자의 보안의식, 외부해커의 수준 등 여러 가지 요소에 의하여 결정되는 것이다. 또한 건축법 등의 오프라인적 행정법규상의 사실관계와 기술적이며 온라인적인 보안의 사실관계는 그 상황이 다름이 명확하므로 양벌규정에 있어서도 접근방식을 달리하는 것이 타당하다. 이러한 제반 사정을 무시하고 일의적으로, 고의ㆍ과실을 불문하고 유출책임에 대하여 보안담당자를 처벌할 수 있도록 규정한 것은 형법상의 ‘책임주의’에 반할 소지가 있어 보인다. 나아가 보안담당자에 대한 법처우 개선은 정책적으로도 컨설팅 업체로 빠져나가는 고급인력인 보안담당자에 대한 지원과 관심에 크게 기여할 수 있을 것이다. 8. 개인정보의 국외 이전 현재 개인정보 영역에서 가장 뜨거운 이슈라면, 개인정보의 국외 이전 문제이다. 개인정보의 국외 이전에 관하여 정보통신망법 제63조에 규정이 있기는 하지만 이 조문이 현실적인 문제를 해결하지 못하고 있다. 예컨대, IT기술의 발전에 따른 정보시장 및 정보기업의 글로벌화, FTA 체결에 따른 내국민 개인정보의 해외 이전이나 외국민 개인정보의 유입, 개인정보 수집과 저장이 국내외에 분산되는 현상, 개인정보 분쟁이 있을 경우 분쟁의 해결방안, 분쟁에 관한 소송관할 문제, 개인정보 유출사고에 대한 수사관할 문제 등 다양한 문제가 쌓여있다. 나아가 개인정보영향평가의 국제표준화, 개인정보보호에 관한 국제간 협조, 우리나라와 다른 개인정보보호법제 국가 사이의 세이프하버 프레임워크 문제도 같이 생각해 보아야 할 때가 도래하였다. 9. SNS, 클라우드, 빅데이터 시대에 맞는 개인정보보호법제 정비 빅데이터의 일반적인 개념 요소는 정보의 집적, 정보의 결합, 정보의 분석이라 정의할 수 있다. 즉 정보의 자유로운 축적, 결합, 분석이 전제되어야 실질적인 빅데이터가 이루어지는 것이다. 하지만 현행 개인정보보호법제는 지나치게 엄격하게 규정되어 있어 자칫 빅데이터의 달성과 활용을 저해할 수도 있다. 예컨대 빅데이터의 정보 분석으로 인한 새로운 효용가치 창출의 개념, 이용 목적의 유연성은 ‘개인정보보호법 제3조 제2항’의 이용제한의 원칙과 충돌하는 듯 보인다. 이러한 문제들을 어떻게 풀어가야 하는지에 대하여 고민해 보아야 할 것이다. 더불어 데이터 이용 목적이 확대되고 전환될 때에 개인정보 주체에게 별도의 동의를 얻어야 하는지에 대한 절차적인 측면도 같이 고민해 보아야 할 것이다. 10. 개인정보보호위원회의 실질적 역할 및 자율규제 촉진 개인정보에 대한 법제도 좀 더 다듬어가야 할 것이지만, 이를 관장하고 수범할 수 있도록 관리기구나 관장체계의 정비도 필수적이다. 통합적이고 체계적이며, 실질적인 해결책을 제시할 수 있는 기관이 주도적으로 모든 개인정보보호 영역을 관장하는 게 필요하다. 현재 개인정보보호위원회는 조직상 대통령 소속으로 되어 있지만, 여러 가지 이유로 아직 그 위상을 정립하지 못하고 있는 실정이다. 개인정보보호위원회가 하루빨리 자리를 잡아가서 선진국의 관리기구와 같은 역할을 할 수 있기를 기대한다. 이러한 국가의 체계적인 관리로는 변화하는 개인정보 환경에 대응할 수 없을 수 있는 바, 개인정보의 직접 활용하는 기업들의 자율규제도 필수적으로 챙겨야 할 과제이다. 기술과 경영 기법의 발전이 자칫 협소하고 폐쇄적인 법경계 때문에 저해될 수도 있다. 그리고 타율적인 규제는 항상 불만을 수반하는 것이다. 다양한 영역별로 자율기구의 역할이 증대될 때, 정보기업의 선진화, IT 산업의 발전뿐만 아니라 소비자의 기업에 대한 신뢰도 증대될 수 있을 것이다. 개인정보보호법 시행 1년째, 앞으로의 과제를 10가지 정도 살펴보았다. 어떤 사람들은 개인정보에 관하여 ‘파파라치 포상금 제도’를 활용하면 국민의식이 금방 좋아질 것이라고 이야기하고, 어떤 사람들은 한 개인이 갖고 있는 타인 개인정보의 악의적 제공이라는 사소한 일탈까지도 법으로 규율해야 한다고 주장한다. 모두 다 개인정보보호를 통한 프라이버시의 중요성을 언급하는 것이라서 개인정보보호 업무를 하는 필자로서는 일단 기분 좋게 들리기는 한다. 사적 영역에서 개인정보보호란 기본적으로 기업과 소비자 사이의 신뢰의 줄이라고 생각한다. 기업에게 너무 당겨준 줄은 소비자의 불만을 가져올 것이고, 소비자에게 너무 당겨준 줄은 기업의 위축을 가져올 것이다. 기업과 소비자가 모두 만족할 수 있는 텐션(tension)을 찾아가는 것이야말로 개인정보보호에서 가장 중요한 과제가 되어야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 12. 3.) 기고.

오픈소스소프트웨어는 무료 소프트웨어의 공유라는 단순한 의미를 넘어 안드로이드 스마트폰에서 보았듯이 어느덧 기업의 비즈니스 모델로 확고하게 자리잡고 있으며, 나아가 앞으로 상용 소프트웨어를 대체할 것으로 예상하는 사람들도 있는 실정입니다. 이에 4부로 나누어오픈소스소프트웨어를 이해하고, 이를 기초로 앞으로의 전망 및 법률적 검토를 해 보고자 합니다. □ 1부 :오픈소스소프트웨어의 역사 (과거) □ 2부 :오픈소스소프트웨어에 대한 오해 (현재) □ 3부 :오픈소스소프트웨어의 앞으로의 전망 (미래) ☑ 4부 :오픈소스소프트웨어의 법률적 문제 (사례) 오픈소스소프트웨어와 관련된 법적 구조 오픈소스소프트웨어를 개발하여 배포ㆍ이용하는 과정을 살펴보면, 원개발자는 오픈소스를 이용하여 프로그램 등을 개발하고, 이용자는 원개발자로부터 프로그램을 배포받아 이용하며, 2차개발자는 원개발자로부터 배포받은 오픈소스프로그램을 응용하여 새로운 프로그램을 개발한다. 물론 2차개발자로부터 프로그램을 배포받아 사용하는 이용자도 있겠지만 위 이용자와 법적인 지위를 달리하지 않으므로 아래의 논의에서 생략하기로 한다. 결국 오픈소스소프트웨어의 법적 문제는 두 측면에서 고찰하면 될 것이다. 첫째가 개발자(원개발자 또는 2차개발자)와 이용자 사이, 둘째가 원개발자와 2차개발자 사이가 그것이다. 이 중 법적 분쟁이 가장 많이 발생하고 분쟁의 크기도 상당한 영역은 바로 원개발자와 2차개발자 사이이다. 개발자ㆍ이용자 사이 또는 원개발자ㆍ2차개발자 사이를 계약의 형태에 따라 분류하면, 이용자 또는 2차개발자에게 저작권을 넘기는 저작권양도 형태도 있을 수 있으나 대체로 개발자나 원개발자가 저작권을 그대로 갖고 있으면서 이용자 또는 2차개발자에게 이용권만 넘기는 저작물이용허락 형태가 일반적이다. 저작권양도 형태에서는 이용자 또는 2차개발자에게 저작권이 귀속되므로 개발자ㆍ원개발자의 저작권 침해와 계약책임이 문제되고, 저작물이용허락 형태에서는 개발자나 원개발자가 저작권을 보유하므로 이용자ㆍ2차개발자의 저작권 침해와 상호간의 이용허락계약(= 라이선스계약)상의 법적책임이 문제된다. 아래에서는 위 다양한 책임을 유형화하되, 특히 법적으로 문제되는 이용자의 저작권 침해, 이용자의 계약책임, 2차개발자의 계약책임, 개발자의 담보책임, 개발자의 제조물책임에 대하여 살펴보기로 한다. 다만 논의의 체계상오픈소스가 C나 Java 등과 같은 고급언어일 때 또는 운영체제ㆍ응용프로그램 사이의 통신에 사용되는 언어나 메시지 형식인 API(application programming interface)인 경우에도 저작권으로 보호받을 수 있는지에 대하여 먼저 살펴보기로 한다. 오픈소스의 보호범위 오픈소스가 C나 Java 등과 같은 프로그래밍 언어인 경우 또는오픈소스가 API인 경우에도 저작권의 보호대상인지에 대하여 최근에 EU와 미국에서 중요한 판례가 나와 소개하기로 한다. EU 최고재판소(European Court of Justice)는 최근 SAS vs. World Programming Limited 사건에서 프로그래밍 언어나 그 기능은 법으로 보호되지 않는다고 판시하였다. 이는 우리나라 저작권법의 태도와 일치한다. 따라서오픈소스가 프로그래밍 언어일 때는 저작권법으로 보호받지 못한다. <출처 : http://curia.europa.eu/juris/document> 한편 미국에서는 Google이 스마트폰의 안드로이드 OS를 구축할 때 Oracle의 허락 없이 Oracle의 Java API를 무단으로 사용한 것에 대하여 Oracle이 Google을 상대로 거액의 손해배상을 구한 사건(Oracle vs. Google case)이 IT업계의 큰 관심사인데, 최근 1심의 배심원들은 API 자체에 대하여 저작권을 인정한 바 있다. 다만 Google이 주장하는 API의 공정이용(fair use)인지 여부에 대하여는 아직 결론이 나와 있지 않다. 이상의 논의를 근거로 오픈소스의 보호범위에 대하여 간단하게 정리하면, 오픈소스라도 프로그래밍 언어, 특정한 프로그램에서 프로그램 언어의 용법에 관한 특별한 약속인 규약, 프로그램에서 지시ㆍ명령의 조합방법인 알고리즘 등은 아이디어 또는 사상으로서 저작권법으로 보호받지 못하고, 사람이 읽을 수 있는 고급 프로그래밍 언어로 기술한 글인 소스코드(source code) 등은 저작권법으로 보호받을 수 있다. 이용자의 저작권 침해 저작권을 양도하는 경우에는 이용자가 저작권을 취득하게 되므로 이용자의 저작권 침해 문제가 발생하지는 않겠지만, 저작물이용허락 형태의 경우에는 이용자의 저작권 침해 문제가 발생할 수 있다. 왜냐하면 오픈소스소프트웨어의 라이선스 조건에 따라 이용자가 2차 저작물 작성권, 배포권 등을 가지게 된다 하더라도 오픈소스소프트웨어 개발자가 그러한 권리를 포기하였다고 보지는 않기 때문이다. 즉 30이라는 저작권 다발을 이용자가 가지고 있다 하더라도, 30을 포함한 100 전부를 개발자가 가지고 있다고 보는 게 일반적이기 때문이다. 한편 이용자의 저작권 침해는 이용자가 취득한 프로그램을 제3자에게 양도하였을 때 특히 문제된다. 이용자가 개발자로부터 저작권을 양도받은 경우에는 이용자는 제3자에게 자신이 양수한 저작물을 양도할 수 있다(권리소진이론, first-sale doctrine, Bobbs Merrill Co 사건). 그렇다면 저작물이용허락 형태로 취득한 이용자도 제3자에게 저작물을 양도할 수 있을까? 이에 대하여 미국 판례는 저작권 양도와 달리 권리소진이론의 적용을 부정하고 있다(Vernor vs. Autodesk 사건). <출처 : http://www.ca9.uscourts.gov/> 이용자의 계약책임 이용자가 저작물이용허락 형태로 저작물을 취득하는 경우에 반드시 라이선스 조건을 준수하여야 함은 당연하다. 그런데 문제는 이용자가 포장되어 있는 비닐을 벗겨내는 shrinkwrap 형태의 구매 또는 이용자가 온라인상에서 클릭하여 프로그램을 다운받는 clickwrap 형태의 구매에서도 이용자에게 라이선스 조건을 준수할 의무가 있는가이다. 미국 판례는 이러한 형태의 라이선스에 대하여 유효성을 인정하였는바, 따라서 이용자는 이러한 구매 형태에서도 라이선스 조건을 준수할 의무가 있다(Pro CD vs. Zeidenberg 사건, Groff vs. America Online 사건). <출처 : http://www.supremecourt.gov/default.aspx> 2차개발자의 계약책임 2차개발자는 무료인 오픈소스소프트웨어를 이용하면서 많은 비용과 노력을 줄일 수 있지만 무서운 함정이 있다는 것을 보통 망각한다. 예컨대 소소코드 공개의무가 있음에도 이를 하지 않은 경우, 원개발자에게 소소코드를 제공하여야 함에도 불구하고 이를 하지 않은 경우 등이 그것이다. 대체로 원개발자가 외국 기업이나 단체인 점을 고려하면 2차개발자인 우리나라 기업이 앞으로 가장 많이 신경써야 하는 부분이 바로 GPL 등의 라이선스 조건이다. 예컨대 2007년 Busybox사 및 Software Freedom Law Center는 멀티미디어 소프트웨어 제작사인 Monsoon사가 자신의 제품에 리눅스 어플리케이션인 Busybox가 설치되어 있다고는 공지하였지만 다운스트림의 수신자들에게 프로그램 소스코드에 대한 엑세스를 제공하여야 하는 GPLv2 규정을 어겼다고 하면서 소송을 제기하였고, 결국 Monsoon사의 배상 및 화해로 종결되었다. <출처 : http://www.softwarefreedom.org/> 이러한 형태의 소송은 FSF(Free Software Foundation)이나 Herald Welte가 설립한 gpl-violations.org 등에 주도하에 이루어지고 있다. <출처 : http://gpl-violations.org/> 개발자의 담보책임 소프트웨어에 대하여 하자가 있는 경우 그 제공자는 담보책임을 부담한다. 소프트웨어 자체에 하자가 있는 경우에는 물건의 하자로 취급하고, 소프트웨어가 타인의 권리대상인 경우에는 권리의 하자로 다루면 될 것이다. 담보책임에 대한 적용 조문은 소프트웨어의 거래형태가 매매인지, 증여인지, 이용허락계약인지, 도급인지 등에 따라 달라진다. 한편 오픈소스소프트웨어의 경우 통상 담보책임의 면책약관이 수반되는데 이러한 면책약관이 유효한지가 법적으로 문제가 된다. 대체로 과도한 면책약관은 무효라고 본다. 예컨대 고의ㆍ중과실에 의하여 발생한 하자인 경우에도 담보책임을 지지 않는다는 면책약관이 있다면,오픈소스소프트웨어가 무상이라는 점을 고려하더라도 지나치게 개발자의 이익에 치중한 면이 있어 약관규제법상 무효로 보아야 할 것이다. 개발자의 제조물책임 개발자가 제공한 소프트웨어에 하자가 있는 경우, 이용자는 개발자에게 불법행위책임을 물을 수있다. 한편 이용자가 ‘제조물책임법’에 근거한 불법행위책임을 물을 수 있는지가 문제된다. 제조물책임을 적용하는 것이 일반불법행위책임을 적용하는 것보다 이용자에게 유리하기 때문이다. 이에 대하여 대체로 제조물책임법에 소프트웨어에 대한 명시적 조문이 없다는 이유로 소프트웨어 하자에 대한 제조물책임의 적용을 부정하고 있다. 오픈소스소프트웨어 특허의 문제 컴퓨터프로그램은 하드웨어적 기술과 달리 도용개작이 매우 용이하여 저작권법적인 보호로는 미흡하므로, 소프트웨어 특허제도를 활성화함으로써 소프트웨어 산업을 효율적으로 보호할 수 있다는 주장이 강하다. 이에 대하여 소프트웨어를 특허로서 보호하게 되면 사상인 알고리즘까지 독점할 수 있는 병폐가 발생할 수 있고, 소프트웨어는 자연법칙을 이용하지 않은 계산방법에 불과하므로 특허가 성립할 수 없다는 반대견해도 있다. 우리나라는 현재 절충적으로, 프로그램 그 자체로는 특허가 될 수 없지만 하드웨어와 결합하여 아이디어를 실현하는 경우에는 특허가 될 수 있다고 본다.오픈소스소프트웨어도 위의 요건을 갖추면 특허로서 보호받을 수 있다. 마치면서 : FTA에 따른 외부위협 증가 오픈소스소프트웨어에 대하여 ‘지적재산권의 파괴자’라고 비판하였던 미국 마이크로소프트사도오픈소스소프트웨어을 끌어안을 수밖을 없을 정도로오픈소스소프트웨어는 대세가 되어 가고 있다. 특히 클라우드 가상화(VM) 환경이나 빅데이터 시대가 도래함에 따라 이러한 추세는 더욱 더 탄력을 받고 있다. 이러한오픈소스소프트웨어 이용 추세에 있어 우리나라의 개발자와 이용자의 이익을 보호하기 위해서는 법조인들의 능동적이고 시대에 맞는 적절한 연구와 정부의 합리적인 법제도 정비가 동반되어야 할 것이다. <출처 : http://www.oss.kr/oss_main> 특히 FTA에 따른 IT 시장 개방이 불가피한데, 다른 IT 분야와 달리오픈소스소프트웨어 분야는 즉각적인 위협과 많은 소송에 처할 것이라는 중론이다. 소프트웨어 산업이 국가성장의 중핵이라는 점을 고려하여 소프트웨어 업계와 법조계가 하나가 되어서 외부의 위협으로부터 국부를 지키고 국부유출을 예방하는 노력을 다하여야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 5. 13.), 로앤비(2012. 5. 15.) 기고.

◯ 정부 : 실효성 있는 자살예방 및 사후대책 - 프로파일러나 심리전문가의 심리적 부검 절차의 의무화 (경찰과 유족의 도움이 필수) - 자살시도자에 대한 관리가 매우 중요 (자살자 중 사전에 자살시도를 했던 사람이 46.4%) - 자살유해정보의 일관성 있고, 체계적이며 합헌적인 단속이 필요 - 자살예방 및 생명존중문화조성을 위한 법률은 의무·책무규정만 있고, 단속 및 처벌규정이 존재하지 않아, 공허한 외침만을 담고 있는 법이 되었을뿐 아니라 예산배분을 위한 근거법률로서만 역할을 하고 있는 실정 - 자살의도자에 대한 관리도 매우 중요 : 자살 암시 게시글 올린 사람에 대하여 게시글을 삭제하기에 앞서 자살예방대책도 병행되어야 함 (경찰출동, 상담 등) --> 결국 예방과 단속은 같은 기관에서 병행되어야 함 ◯ 언론 : 자살에 대한 관심이 오히려 자살을 증폭시키고 있음 - 기사에서 구체적인 자살수단에 관한 정보 차단 의무화 (연탄자살 등 모방자살의 방지) - 연예인이나 공인에 대한 자살 기사의 확대 방지 (자살의 상품화 방지, 청소년에게 심대한 영향을 줌) - 자살보도가 사회의 관심을 끄는 계기가 되어서는 아니 됨 (언론의 자살자 관심 통로화 방지) ◯ 자살자 : 자살은 범죄인가? / 자살자 관대에서 벗어나야 함 - 자살은 법정책ㆍ법철학적으로 스스로 목숨을 끊는 것에 불과한 것이 아니라, 반사회적이고, 타인에게 피해를 주는 행위가 명백 (예컨대 마약하는 것도 자신을 망치는 것이지만 범죄로 보고 있음) - 자살은 법정책ㆍ법철학적으로 범죄로 규명지어야 함. 다만 처벌할 사람이 없는 것임 (사회적 인식전환이 필수. 자살예방은 자살자에 대한 비난이 선결문제 / 불가피한 선택이라고 옹호하게 되면 자살자만 양산하게 되므로) - 자살이 범죄라면, 자살방조사이트나 자살유해정보에 대한 단속 근거가 명확해짐 ◯ 자살방조자 : 자살유해정보 대책 - 자실에 대한 관한 관심이 자살유해정보를 증폭시키는 것이므로, 자살유해정보 대책의 핵심은 자살에 대한 관심을 줄이는 것이 관건. 결국 자살방지대책과 일맥상통함 - 다만, 자칫 표현의 자유를 침해할 수 있으므로 자살유해정보의 개념에 대한 명확한 법규정이 필수 - 자살자가 발생한 경우 : 오프라인상에서 자살을 방조하는 경우 처벌되므로, 온라인상에서도 자살을 방조하는 경우 처벌할 수 있음. 다만 오프라인의 경우와 달리 온라인의 특성상 불특정 다수에게 자살을 방조하므로 카페개설 자체를 자살방조로 처벌하기에는 자살에 대한 인과관계 규명에서 문제점이 발생함 / 우리 대법원 판례는 강원도지역 집단자살 관련 자살사이트(suicide04 카페)의 경우 자살교사방조로 처벌한 예가 있음(자살자가 있고 인과관계가 밝혀진 경우에는 당연히 처벌할 수 있다고 보아야 함) - 자살자가 아직 발생하지 않는 경우 : 자살방조죄로는 처벌할 수 없고, 단지 현행법으로도 자살유해정보의 제공이나 자살사이트 운영은 범죄행위로 볼 여지는 있음(정보통신망법 제44조의 7 제1항 제9호) / 그러나 명확한 단속규정이 절실함 - 최근에 급증하는 지식인, SNS에 대한 규제도 필수적임 - 자율규제(우선이 되어야 함) : 시민신고에 대한 근거규정 필요 / 게시글 차단, 게시글 삭제, 사이트 폐쇄 - 행정적 제재 : 시민고발에 대한 근거규정 필요 / 게시글 삭제, 사이트 폐쇄 - 사법적 제재 : 자살방조행위로 검거 / 게시글 삭제, 사이트 폐쇄 (최근 2012. 4. 30. 서부지방법원은 하얀미소가 머무는 곳 다음 카페 사건에서 명예훼손 카페에 대한 폐쇄 가처분 명령을 내린바 있음. 2011년 7월 경남 합천경찰서는 자살카페개설자에 대한 구속을 한 바 있음) ◯ 사회ㆍ가정 : 자살에 대한 인식전환 - 자살예방 등에 대한 참여주체를 사회ㆍ가정에까지 확대할 필요가 강함 - 자살은 무관심이나 곤궁, 궁박, 폭력, 왕따 등에서 비롯된 것임. 따라서 사회나 가정도 자살에 어느 정도 방조를 하고 있음 - 자살장소가 집이고, 자살자는 자신의 주변에 사람이 없다고 생각하고, 통상 사전에 자살사인을 보내며, 자살에 대하여 사전에 의사표현을 한다는 점에서 ‘주변의 관심’이 자살을 방지할 수 있는 획기적인 방안이 될 수 있음 * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 11 24.) 기고.

현재 가장 빨리 확장하고 있는 새로운 IT 산업은 사물인터넷(IoT, Internet of Things) 영역이다. 사물인터넷이란 사물에 부착된 센서를 이용하여 정보를 수집한 다음 이를 분석ㆍ가공하여 서비스하는 것을 말하는데, IoT 개념이 이제는 IoE(Internet of Everything, 만물인터넷)로 확장되어 가고 있다. 사물인터넷은 스마트홈, 스마트카, 스마트그리드 등을 구축하는 데 핵심적인 기술로서 인류에게 새로운 편의를 제공할 것이다. 하지만 부정적인 면이 있는데 IoT는 본질적으로 보안 문제와 개인정보 문제가 심각하다는 점이다. 기존의 IT 시스템이 해킹된다면 그 시스템만 데미지를 입고 단지 정보가 멸실된다든지 등의 한정적인 온라인 피해가 발생한다면, IoT의 경우는 온라인 피해가 아니라 현실적인 오프라인 피해까지 발생할 수 있고, IoT 센서를 통하여 수집되는 개인정보로 인하여 발생하는 프라이버시 침해가 심각하기에 이 영역에서 정보보호는 중차대한 이슈가 아닐 수 없다. 예컨대 심장 주변에 부착된 IoT 센서가 해킹되어 과전류를 발생하게끔 한다면 그 센서를 부착한 사람에게 심장마비가 발생할 수 있고, 도로에 부착된 IoT 센서가 해킹되어 자동차에게 역주행 신호를 준다면 운전자는 대형사고를 겪을 수 있다. 개인정보는 도처에 설치된 IoT 센서를 통하여 정보주체의 동의는커녕 인지 없이 수집될 수 있고 그 과정에서 정보주체의 프라이버시는 소외될 수 있다. 나아가 IoT 센서가 저사양인 경우가 대부분이기 때문에 기본의 정보보호 체계로는 효율적인 정보보호를 행할 수 없는 단점이 있다. 기존 정보보호 시스템이 아닌 IoT에 최적화된 경량화된 암호화 체계라든지 저사양에 맞는 프로토콜 등의 개발이 병행되어야 비로소 안전한 시스템이 될 수 있다. 향후 수년 사이에 우리는 많은 IoT 센서를 주변에서 볼 것인데, 정보보호가 이루어지지 않으면 원하는 IoT 세상은 현실화되기 어렵다는 점을 인식하여야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 2. 16.) 기고.

앞으로는 상표권도 상속세를 납부해야 한다. 상표권도 재산적 가치가 있고 상속의 대상이 되기 때문에 너무나 당연한 것이지만, 그동안 통상 상표권에는 상속세가 부과되지 않았었다. 그런데 최근 상표권도 상속세 부과대상이라는 판결이 나왔다. 지난 1월 故 앙드레 김의 아들 김 씨와 비서 임 씨는 故앙드레 김에게 물려받은 155억여 원의 재산에 대해 41억여원의 상속세를 냈지만, 과세당국은 상표권에 대한 상속세를 추가로 부과했다. 이에 김씨는 과세당국을 상대로 '상속세 등 부과처분취소소송'을 제기했지만, 서울행정법원 행정 5부 재판부는 김씨에게 상표권에 대한 상속세 7억 5천여만 원을 납부하라는 판결을 내렸다. 재판부는 "상표권도 별개의 증여대상으로 봐야한다"며, "2007년~2009년 故앙드레 김이 운영하던 의상실의 수입 중 92%가 앙드레 김 상표권을 다른 제조업체에 대여해 받은 것"이기 때문에, "상표권을 앙드레김 의상실 영업권과는 별개의 독립된 재산권으로 보고 상속세 등을 부과하는 것은 적법하다"라고 판단했다. 한편 상표법 제64조는 "상표권자가 사망한 날로부터 3년 이내에 상속인이 그 상표권의 이전등록을 하지 아니한 경우에는 상표권자가 사망한 날부터 3년이 되는 날의 다음날에 상표권이 소멸된다"고 규정하고 있다. 이 규정에 따라 이전에는 특허청에 양도 관련 서류를 제출하고 양도세를 납부하면 상표권의 양도가 이루어졌다. 그렇기 때문에 상표권은 과세 대상이 아니었고, 상속받은 상표에 대해 상속세를 부과한 적은 이번이 처음이다. 이는 최근 지적재산권의 자산가치에 대한 인식이 높아지면서, 재판부가 이를 일반적인 재산권과 동일하게 취급한 것으로 볼 수 있다. 그간 지적재산에 대한 인식이 제고되었다는 것을 알 수 있으며, 유형재산만큼 무형의 지적재산의 가치가 상승되었다는 것을 반증하는 사례라 할 수 있다. 이번 판결로 저작권, 상표권 등 지식재산권을 사용한 재산 상속에 대한 세금 부과가 점차적으로 이뤄질 것으로 보이며, 또한 과세당국과 상속 자녀들 간의 소송에도 많은 영향을 미칠 것으로 보인다. 하지만 지적재산권이라는 무형의 자산에 대한 가치를 평가하고 그 비용을 산정하는 기준이 여전히 마련되어 있지 않다는 문제가 있다. 이 문제는 지적재산의 재산적 가치를 인정하는 데 가장 큰 걸림돌이라 할 수 있다. 기술금융이나 기술거래, 특허이전 등등 많은 논의가 있지만, 지적재산에 대한 거래가 유형재산만큼 활발하지 않고 담보설정 역시 활성화되지 않은 것은, 지적재산의 가치를 평가하는 기준이 명확하지 않기 때문이다. 이번 故앙드레 김 사건은 해당 브랜드를 제3자에게 지속적으로 라이선스를 제공해주면서 받은 로열티를 기준으로 상속세를 산정했다. 관련해서, 로얄티는 정액(Lump sum) 방식으로 산정하기도 하지만, 대부분은 경상 로얄티(Running Royalty) 방식으로 산정하는데, 주로 제품 당 산정하는 방식, 수익 기준으로 산정하는 방식과 매출을 기준으로 산정하는 방식 등이 있다. 수익 기준으로 산정할 때는 수익의 20~30% 정도를 로얄티로 정하고, 매출을 기준으로 산정할 때는 1~15% 정도로 산정하곤 한다. 나아가 매출 기준의 로얄티는 자기실시를 하지 않고 독점적인 전용실시권을 주거나 또는 자기실시를 하면서 독점적인 전용실시권을 주는 경우는 각각 10~15%, 5~10%로 산정하고, 독점권이 없는 통상실시권을 부여하는 경우는 1~5% 정도로 산정하곤 한다. 25% 규칙에 따른 산정 방식도 많이 활용되는데, 25% 규칙(25% rule)에 따른 산정 방식이란, 미국에서 주장되고 있는, '특허된 제품의 제조자가 가상 협상에서 특허권자에게 기꺼이 지불할 수 있는 합리적인 실시료의 산정방법(rule of thumb)'으로 경험적인 어림값을 기준으로 한 것으로서, 당해 제품의 수익률에 25%를 곱하여 로얄티를 정하는 방식이다. 다만 25% 규칙은 로열티율을 결정하는 하나의 "가이드라인"이 될 수는 있으나 절대적인 기준은 될 수 없다는 것이 미국 판례의 태도이다. 미국 Uniloc vs MS 사건(Uniloc USA, Inc. v. Microsoft Corp., 640 F. Supp. 2d 150 (D.R.I. Sept. 29. 2009.))의 재판부는 Uniloc사 측의 25% 로열티율에 근거한 특허침해손해배상액 인정을 배척한 바 있다. 시장접근식 로얄티 산정 방식은 유사 기술의 시장 가치를 따져서 당해 기술에 준용하는 방식인데, 만일 기준으로 삼을 유사 기술이 없다면 적용하기 어려운 단점이 있다. 이번 故앙드레 김 사건은 해당 브랜드를 제3자에게 지속적으로 라이선스를 제공해주면서 받은 로열티를 기준으로 상속세를 산정했지만, 이는 상표의 가치를 산정하는 다양한 기준 중 하나가 되어야지 절대적인 기준이 되어서는 안 될 것이다. 지적재산의 가치를 평가하는 한 가지 방법만을 따르는 것은 지금 단계에서는 지양해야 하고, 실제로도 여러 가지 방법으로 산정해서 그 결과를 종합적으로 고려하는 것이 타당한 결론에 도달하곤 한다. 지적재산의 가치 산정 문제가 해결되어야만 추후 발생하게 될 많은 소송들이 좀 더 원활하고 합리적으로 진행될 것으로 보인다. 더 나아가 지적재산 금융도 기하급수적으로 빈번해질 것으로 예상된다. 이번 故앙드레 김 사건에서는 지적재산의 평가 방법에 따라 상속세가 달라질 수 있기에 이 부분도 쟁점이 되어야 할 것이며, 지적재산 평가에 대한 법원의 기준이 많이 쌓이는 것이 지적재산의 발전에 도움이 될 것으로 예상한다. * 법무법인 민후 김경환 대표변호사 작성, 디지털타임스(2014. 12. 9.), 블로그(2014. 12. 10.) 기고.

'autonomy'는 'auto(= self)'와 'nomy(= law)'의 합성어로서 '자율'로 해석된다. 자율이라는 의미는 타인에 의하여 간섭 또는 제어되지 않는다는 의미인데, IT 영역에서도 유사한 의미로 사용된다. 예를 들어 스스로 쓰레기와 먼지를 찾아서 청소하는 로봇청소기, 운전자의 지시 없이도 주행되는 무인자동차 등이 autonomous 기기에 속한다. 'autonomous'에 대하여 위키피디아는, 환경적 정보를 얻어서, 인간의 간섭 없이 충분한 기간 동안 작동하며, 인간의 도움 없이 작동 환경을 통하여 전부 또는 일부를 움직이는 것으로 설명하고 있다. 'autonomous'는 자기 스스로 인지하여 동작할 수 있다는 점에서 드라이버, 전기톱 등의 기존의 수동적 도구와 구별되며, 스스로 학습 능력이 존재하지 않는다는 점에서 인공지능(AI, artificial intelligence)과도 다르다. 하지만 인공지능의 전 단계로서 기능하고 있기에 인공지능과 완전한 별개로 보기는 어렵다. Autonomous 기기는 원자력 오염지역, 화산지대 등과 같이 인간이 접근하거나 조종할 수 없는 분야나 장소에서 중요한 역할을 하고 있지만, 우려되는 것은 살인 드론이나 킬러 로봇 등의 예와 같이 군사작전이나 전쟁터에서도 맹활약을 할 것으로 보인다는 점이다. Autonomous 기기의 군사용 사용 방향에 대하여 우려하는 목소리가 주류이지만, 어떤 이는 autonomous 기기는 인간보다 인지 능력이 뛰어나고 정확하기 때문에 인간 초병보다 더 바람직하다고 말하는 사람도 있다. Autonomous 기기의 법적인 문제는 단순하지 않다. 초병 autonomous 로봇이 무고한 양민을 적군으로 오인하여 살해한 경우 autonomous 로봇을 구동하는 SW 개발자에게 1차적 책임이 있는 것인지, autonomous 로봇의 관리자에게 1차적 책임이 있는지 결정하기 쉽지 않다. 어쨌든 autonomous가 미래시대의 초병인 것은 분명하다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 7. 20.) 기고.

PC 시대의 원조 IT 공룡이었지만 스마트폰 시대에 고전을 면치 못했던 MS(마이크로소프트)가 PC뿐만 아니라 스마트폰ㆍ태블릿ㆍ콘솔 등 모든 기기에 호환성을 갖춘 획기적이고 새로운 운영체제를 개발하였으니 이게 바로 '윈도 10'이다. 윈도 10은 7월 29일 출시될 예정이며, 보안 기능을 강화한 윈도 디펜더, 생체정보 인증기술인 윈도 헬로우, 음성비서 코타나 등의 새로운 기능뿐만 아니라 기존 윈도 7이나 8.1 이용자에 대한 무료 업그레이드까지 제공하고 있지만, 가장 큰 화제는 새로운 웹브라우저인 '엣지(Edge)'이다. 윈도 하면 인터넷 익스플로러(IE)를 떠올리지만 윈도 10에서는 인터넷 익스플로러가 아닌 엣지가 기본 장착되어 출시될 예정이다. 인터넷 익스플로러에서 엣지로 단순히 웹브라우저 하나 바뀌는 것이었지만 국내 금융계나 전자상거래계 등은 일대 혼란에 빠졌다. 엣지에서는 더 이상 액티브엑스(active X)를 지원하지 않아 금융거래ㆍ전자상거래가 불가능하기 때문이었다. 액티브엑스는 사용자가 기존 응용 프로그램으로 작성한 문서 등을 인터넷과 연결시켜 그대로 사용할 수 있는 기술로서, 예컨대 인터넷으로 금융사이트를 이용하기 위해서는 금융거래 및 보안프로그램 등이 사전에 PC에 설치되어야 하는데 이러한 프로그램을 PC에 설치할 수 있도록 하는 기술이다. 이처럼 웹브라우저의 기능을 확장해 주는 프로그램을 플러그인이라 하는데, 대표적으로 액티브엑스, NPAPI, 플래시, 실버라이트 등이 있다. 플러그인이 웹브라우저의 기능을 확장해 주긴 하였지만 악성코드 유포의 통로로 이용되면서 보안 문제가 끊임없이 제기되자, MS는 엣지를 통해 플러그인의 퇴출을 시도하였고 구글이나 모질라 재단도 이에 적극 동참하였다. 하지만 그동안 공인인증서나 액티브엑스에 전적으로 의존해 왔고, MS나 구글의 예고에도 불구하고 아무런 준비를 하지 못한 대한민국은 사면초가 상태에 놓이게 되었다. 흐름을 읽는 발빠른 IT 정책 수립이 아쉬운 대목이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 7. 13.) 기고.

1998년 스탠포드대 박사 과정에 있던 공동창업자 세르게이 브린(Sergey Brin)과 래리 페이지(Larry Page)는 캘리포니아주 먼로파크에 있는 친구 수잔 보이치키의 '주차장'에서 위대한 기업 구글을 창조했고, 얼마 후 이 회사는 가장 창의적인 인터넷 기업이 되었다. 그보다 20여년 전인 1976년 스티브 잡스(Steve Jobs)와 스티브 워즈니악(Steve Wozniak)은 캘리포니아주 로스앨토스에 있는 잡스 부모의 '주차장'에서 첫 개인용 컴퓨터(PC)인 '애플1'을 생산하였고, 얼마 후 이 회사는 혁신을 대표하는 기업으로 성장하였다. 시대를 이끌고 인류를 혁신시킨 이 시대의 가장 위대한 두 기업은 우연하게도 어둡고 기름 냄새 가득한 '주차장'에서 탄생했다. '주차장'은 우리나라 상황에서는 익숙한 개념이 아니다. 우리나라에서 주차장 있는 집이면 그래도 넉넉한 형편일 것이기에, 우리나라 방식으로 표현하면 '옥탑방' 정도가 되지 않을까. 우리나라 상황에서, 명문대 학생이(명문대 학생이 아니라도 마찬가지이겠지만) 대기업이나 공직에 들어가지 않고 창업을 하겠다고 하면, 그것도 옥탑방에서 창업을 하겠다고 하면, 모든 사람들이 반대할 것이다. 왜 편한 길을 두고 힘든 길을 가냐고 걱정할 것이다. 얼마 전 모교를 방문해 후배 고등학생을 대상으로 앞으로 '창업'을 하려는 사람이 있냐고 물었더니 아무도 손을 들지 않았다. 그들 머리에는 래리 페이지나 스티브 잡스가 존재하지 않음을 알 수 있었다. 이들이 우리나라 상황에서는 옳은 판단을 하고 있을지 모른다. 하지만 젊은 세대들이 창업을 두려워하고 옥탑방에서 기적을 창조하려는 것을 꺼리는 것은 우리의 미래에 좋은 징조가 아니다. 이들이 창업과 옥탑방 대신에 대기업 적성시험ㆍ고시나 독서실에 몰입하는 것은 기성세대의 잘못이고, 이런 현상을 그대로 두는 것은 바람직하지 않다. 틀에 박힌 전통보다는 창업과 도전으로 기회를 쟁취할 수 있는 열린 미래의 가능성을 물려주었으면 좋겠다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 7. 6.) 기고.

2014년 4월, 미국 연방통신위원회(Federal Communications Commission)는 사실상 망중립성(network neutrality, 네트워크 망 안에서는 모든 콘텐츠가 평등하기에 차별 받지 않는 원칙)을 포기하는 내용의 정책을 발표하였다. 망사업자들이 추가적인 과금을 통해 초고속 프리미엄 서비스(fast lane)를 제공할 수 있도록 하는 내용이었다. 이 정책이 최종적인 것은 아니지만 기존의 열린 인터넷(Open Internet)과 망중립성을 지지하던 연방통신위원회의 입장에서 반대쪽으로 나간 점이 있어, 많은 콘텐츠 사업자들의 반대와 더불어 커다란 논란을 일으켰다. 이렇게 미국 연방통신위원회가 망중립성 원칙을 새로이 설계한 것은 2014년 1월에 있었던 연방항소법원의 Verizon v. FCC 결정이 원인이었다. 연방항소법원은 연방통신위원회가 정보서비스사업자로 분류되어 있는 버라이존(Verizon)에 대하여 차별금지 및 차단금지 의무를 부과하는 것은 권한 밖이라고 판시하였기 때문이었다. 이 결정 이후 연방통신위원회는 상고 대신에 새로운 망중립성 규칙을 만들겠다고 선언했다. 2014년 5월 미국 연방위원회는 규정안 제안 공고(Notice Of Proposed Rulemaking, NPRM)를 발표하여 망중립성에 대한 2가지 옵션을 제시하였다. 첫 번째는 빠른 망과 느린 망의 2단의 인터넷을 허용하는 방안이고, 두 번째는 망사업자를 정보서비스사업자가 아닌 정보에 대한 선별 없는 망통과 의무 즉 커먼캐리어(common carrier) 의무를 부담하는 기간통신사업자로 분류하겠다는 것이다. 미국과 달리 우리나라 망사업자들은 기간통신사업자로 분류되어 있어 미국의 직접적인 영향을 받을 것으로 보이지는 않는다. 어쨌든, 망중립성의 훼손시 망 차별에 따른 모든 부담이 결국 소비자들에게 전가될 것이고, 시작부터 열세인 스타트업 기업이나 중소기업에게 불리하게 작용할 것이기에, 그 기본적인 원칙은 반드시 준수되어야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 5. 26.) 기고.

세월호 침몰의 아픈 기억 때문에 온 국민의 가슴은 멍이 들었고 눈에는 참을 수 없는 슬픔을 담게 되었다. 구조 활동을 통하여 한 사람이라도 살아 돌아왔다면 얼마나 좋을까 하는 마음이 가득하지만, 현실은 그렇지 못하였다. 선장이나 선사의 행동에 대하여 국민은 분개하고 있지만, 다른 한편으로 재난 구조 시스템이 작동하지 않은 것에 대하여 국가에 대한 원망이 적지 않다. 그동안 기업이나 국가나 할 것 없이 성장 위주의 투자나 정책 때문에 안전이 뒷전으로 밀려 있었던 것이 우리의 현실이다. 성장이란 것은 쌓아 올리는 것이기도 하지만 또한 잃지 않아야 달성되는 것이다. 열심히 쌓아 온 문명이 자연의 재난으로, 인적 재난으로, 테러로 순식간에 사라지는 것을 허용하는 사회라면, 모래 위에 성을 쌓은 것과 다를 바 없다. 세월호의 뼈아픈 경험을 통하여 재난에 대한 예방과 사후 대처 미비가 우리 사회의 단점이라는 것이 밝혀졌고, 이러한 안전에 대한 단점을 보강해야 한다는 것이 명확해졌다. 재난이라는 것은 오프라인 세상에만 있는 것은 아니다. 경시되고 있지만 온라인 사이버 세상에서의 재난이 오히려 더 빈번하다. 우리는 금년 1월에 무려 1억건이 넘는 신용정보가 유출된 재난을 겪었다. 작년에도 방송국, 언론사, 은행 등에 침투한 악성 코드 때문에 전 국민이 사이버 재난을 겪은 적이 있다. 최근 S사의 경우 데이터센터에 화재가 발생하였는데, 이로 인하여 오프라인적 손해와 온라인적 손해가 동시에 발생하기도 하였다. 세월호 사고의 문제점으로 재난에 대한 컨트롤타워의 부재가 지적되었고, 국가재난처의 신설이 논의되고 있다. 작년 사이버 테러의 경우에도 정보보안 컨트롤타워 부재의 문제점이 지적되었고, 국가정보원, 청와대, 미래부 등이 컨트롤타워로 거론되기도 하였다. 그러다가 흐지부지되었다. 이번에는 확실하게 해결을 하고 가야 하지 않을까. 더불어 해결하지 못한 사이버 재난에 대하여도 같이 해결이 되어야 하지 않을까. 더 이상 미룰 일이 아니다. * 법무법인 민후 김경환 대표변호사, 법률신문(2014. 5. 12.) 기고.

법률시장의 불황에 더하여 법률시장 개방으로 인한 거대 외국로펌의 대거 유입으로 국내로펌은 이중고를 겪고 있는데, 특히 외국로펌과의 규제 비형평성 문제, 역차별 문제는 국내로펌의 경쟁력을 저하시키는 데 기여를 하고 있다. 4월 15일자 법률신문의 '[법률시장 완전개방 긴급진단] ③ 3중고 빠진 국내로펌'의 기사에 따르면, 전관예우 방지규정이 적용되는 국내로펌은 외국로펌에 비하여 전관의 영입 제한, 영입 이후의 업무내역 신고의무 등의 역차별을 받고 있으며, 이뿐만 아니라 공공기관이 수임료 책정을 할 때 공개입찰방식을 취하면서 수임단가를 후려치는 반면 외국로펌의 경우에는 수의계약방식을 취하면서 제대로 된 수임료를 지불하고 있다고 한다. 시장 개방으로 인하여 같은 운동장에서 국내 선수와 외국 선수가 뛰고 있는데, 공정해야 할 심판이 국내 선수와 외국 선수에 대하여 각각 다른 룰을 적용하고 있는 것이다. 법률시장에서 이제야 부각되고 있는 국내로펌의 역차별 문제는, 인터넷 등으로 이미 오래 전부터 국경이 철폐된 IT 시장에서는 훨씬 더 오래 전부터, 더 큰 규모로 발생해 왔다. 예컨대 국내 기업에게만 적용되는 공인인증서 사용 의무, 무차별적인 대기업의 공공 IT 사업 참여 제한, 인터넷 실명제, 인터넷 검색 개선 권고안, 영상물ㆍ게임물 등급분류 제도 등등. 과도한 규제도 문제이지만 이런 차별적인 규제 때문에 국내 IT 기업은 막대한 규제비용을 쏟아 붓고 있지만, 외국 IT 기업은 무풍지대에서 아무런 노력 없이 반사적 이익을 챙기고 있다. 규제의 역차별 문제는 시장의 글로벌화에 따른 반사적인 작용이라고도 할 수 있지만, 시장의 글로벌화는 일시적인 현상이 아니고 앞으로 누구도 거스를 수 없는 흐름이라는 점을 고려하면 단순한 반작용이라 치부하지 말고 반드시 개선을 해야 할 부분이라 생각한다. 법률시장이나 IT 시장이나 공히 공정한 게임룰이 절실하다. 그래야만 국내로펌이나 국내 IT 기업들에게 주어지는 기회가 늘어날 것이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 4. 21.) 기고.

인터넷하면 떠오르는 단어이자 웹서핑에 필수적인 월드와이드웹(WWW, world wide web)이 3월 12일, 25번째 생일을 맞았다. 월드와이드웹은 대규모 정보를 쉽게 공유하기 위하여 1989년 3월 12일 유럽입자물리공동연구소(CERN) 연구원이었던 팀 버너스 리에 의하여 창시되었고, 1993년 CERN이 저작권의 주장이나 사용료의 요구없이 그 기술을 전세계의 사람들에게 무료로 공개함으로 인하여 세계 50억명을 하나로 묶는 기적에 가까운 업적을 남겼다. 인터넷의 역사는 월드와이드웹의 역사라 해도 과언이 아니다. 초기에는 단순한 문자, 이미지의 전송이었지만 시간이 지나면서 동영상 등을 비롯한 멀티미디어까지 품게 되었고, 그래픽 기반의 웹브라우저인 넷스케이프나 인터넷 익스플로어의 출현으로 이용인구의 급증을 낳았으며, 그 후 전자상거래라는 이커머스(e-Commerce) 시장을 형성하는 데 큰 공헌을 하였고, 온라인 게임까지도 출현하게 하였다. 최근에는 HTML5라는 새로운 표준으로 또 한 번의 전기를 맞고 있다. 인터넷 주도권이 모바일로 넘어가면서 단순한 정보 검색 기능의 웹 대신에 정보 큐레이터라 할 수 있는 앱이 대중화되면서 웹의 비중은 떨어질 것이라는 추측이 있었지만, 그럼에도 여전히 웹은 우리 생활에 필수적인 요소가 되고 있다. 사람과 사람을 연결하던 월드와이드웹은 이제 사물과 사물을 연결하는 사물인터넷(Internet of Things)으로 발전하면서 또 하나의 신기원을 이루어가고 있다. 월드와이드웹 25주년을 맞이하여 영국 텔레그래프지는 25인의 웹스타를 뽑았는데, 그 중의 첫 번째는 당연 팀 버너스 리였다. 그러나 법적인 관점에서의 최고의 웹스타는 따로 있다. 바로 저작권을 포기하고 WWW 기술을 전세계에 무료로 공개한 CERN이다. CERN의 기부가 없었다면 인류의 역사는 많이 달랐을 것이다. 권리보장은 법의 포기할 수 없는 목적이지만, 그렇다면 그 권리보장의 목적은 무엇인지를 생각해보게 하는 장면이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 3. 17.) 기고.

새정부는 창조경제의 핵심을 ICT 산업 진흥 및 융합의 활성화에 있다고 생각하고, 이를 법제적으로 실현하기 위하여 '정보통신 진흥 및 융합 활성화 등에 관한 특별법(줄여서 ICT 특별법)'을 제정하여 그 시행을 기다리고 있다. ICT 특별법은 규제 대상만을 명시하고 그 외의 사항은 모두 허용하는 '네거티브(negative)규제방식'을 기본 원칙으로 삼고 있으며, 사물인터넷·빅데이터, 클라우드 등 ICT 신종사업을 육성·지원함으로써, 스마트 혁명과 소프트웨어 중심의 ICT 생태계 재편에 제대로 대처하지 못하고 기존 하드웨어·기기 중심의 산업구조에 머물러 있는 우리 ICT 산업계의 체질 개선에 주력하고 있다. 특히 정보통신 간 또는 정보통신과 다른 산업 간에 기술 또는 서비스의 결합 또는 복합을 통하여 새로운 사회적·시장적 가치를 창출하는 창의적이고 혁신적인 활동 및 현상인 '정보통신융햡(ICT융합)'산업의 발전에 공을 들이고 있다. 'ICT 융합', '디지털 융합' 또는 '스마트 융햡'이 이 시대의 경쟁력이자 트렌드이므로, 이를 창조 경제의 기반으로 삼아, 혁신·고용창출·경제성장의 기초로 삼겠다는 새정부의 의지를 보인 것이다. 융합(convergence)이라는 단어와 개념은 우리에게 매우 익숙하고, 많은 사람이 융합의 필요성을 느끼고 있다. 융합의 범위는 확장하고 있고 이제는 과학기술뿐만 아니라 인문, 사회과학 분야와 예술 영역까지를 포함하면서, 범학문적 변화와 개혁을 지향한다. 하지만 융합의 결과보다도 중요한 것은 융합의 방향이다. ICT를 중심으로 법률서비스를 결합·복합하는 ICT융합이 아니라, 법조가 중심이 되어 ICT를 결합·복합하는 것도 얼마든지 가능하다. 경험상 누가 주체가 되어 융햡을 하느냐에 따라 결론에 큰 차이가 났었다. 외부적인 융합을 수동적으로 받아들이기보다는 법조가 중심이 되어 외부 영역으로의 융햡을 현실화하는 것. 경쟁력 제고 및 올바른 법리의 전파로서 절실하다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 8. 26.), 블로그(2013. 8. 27.) 기고.

판단기준형은 개념형과 달리 개인정보에 대한 판단기준을 정의규정에서 명시적으로 제공하고 있는데, 이 점에서 개념형 또는 개념서술형과는 근본적으로 차이가 있다. 대표적으로 판단기준형을 취하고 있는 영국의 법조문을 살펴보면, 1) 당해 데이터, 2) 당해 개인정보처리자가 보유하고 있는 데이터, 3) 당해 개인정보처리자가 보유할 수 있는 데이터를 근거로 특정 개인을 식별할 수 있다면 이를 개인정보로 보고 있다. 위 영국의 판단기준은 매우 간명하다는 장점이 있다. 1) 당해 데이터로 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당하고, 2) 당해 데이터로 특정 개인을 식별할 수 없더라도 당해 개인정보처리자가 보유하고 있는 다른 데이터를 통하여 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당하며, 3) 현재 당해 개인정보처리자가 보유하고 있지 않더라도 당해 개인정보처리자가 보유할 수 있는 가능성이 있는 데이터로부터 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당한다는 것이다. 여기서 우리나라 개인정보 정의규정과 중요한 차이가 나타나는데, 우리나라 개인정보 규정은 결합가능성의 주체를 당해 개인정보처리자로 보지 않아도 되게끔 기술되어 있는 반면, 영국법은 다른 데이터의 보유가능성의 주체를 당해 개인정보처리자로 명시적으로 제한하고 있다는 점이다. 즉 우리나라 법의 개인정보 정의규정은 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함’이라고 하여 결합을 하는 사람을 당해 개인정보처리자에 한정하지 않음으로써, 당해 개인정보처리자는 보유하거나 보유할 가능성이 없더라도 다른 사람이 보유하거나 보유할 가능성이 있는 정보가 있고 그 정보와 결합을 하여 식별가능성이 생기면 당해 데이터(‘해당 정보’)를 개인정보로 보고 있다. 반면, 영국법은 ‘from those data and other information which is in the possession of, or is likely to come into the possession of, the data controller’라고 하여 다른 데이터의 보유가능성의 주체를 당해 개인정보처리자로 제한하고 있다. 판단기준형을 취하고 있는 나라 역시 적지 않다. 그 구체적인 국가들을 살펴보면 아래와 같다. 혼합형은 우리나라와 같이 개념을 기술하고 그 다음에 판단기준을 제시하는 방식이기에 한국형이라 칭하기로 한다. <개인정보보호법 제2조 제1호> "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. <정보통신망법 제2조 제1항 제6호> "개인정보"란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다. 위 규정에서 괄호 밖의 본문 규정은 개념에 대한 서술이고, 괄호 안의 단서 규정은 판단기준에 관한 서술이다. 우리나라 개인정보보호법의 조문을 좀 더 구조적으로 살펴보기로 한다. ‘살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보’는 개념형과 동일한 내용을 담고 있음을 알 수 있다. 다만 ‘살아 있는 개인에 관한 정보’와 ‘개인을 알아볼 수 있는 정보’ 사이에 <성명, 주민등록번호 및 영상 등을 통하여>란 문구가 중간에 삽입되어 있음을 알 수 있는데, 중간에 삽입된 <성명, 주민등록번호 및 영상 등을 통하여>란 문구는 개념서술형의 영향을 받았음을 알 수 있다. 즉 괄호 밖의 본문은 개념형과 개념서술형을 섞어 놓은 형태를 띠고 있다. 한편 괄호 안의 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다’라는 문구는 판단기준을 제시하고 있기에 영국의 영향을 받은 것으로 보인다. 정리하면 괄호 밖의 본문 내용은 개념형과 개념서술형의 결합이고, 괄호 안의 단서 내용은 영국형을 참조하여 담은 것으로서, 가장 광범위하게 이용되는 3가지의 모든 개인정보 정의규정의 유형이 우리나라 법에 모두 포함되어 있다. 문제는 이렇게 혼합함으로써 앞서 살펴본 3가지 유형보다 개선된 개인정보의 정의규정이 된 것이라고 볼 수 없다는 점인데, 구체적인 문제점은 아래와 같다. 첫째, 괄호 밖의 본문과 괄호 안의 단서의 정합성이 부족해 보인다. 괄호 밖의 본문에서는 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’라고 기술하고 있는데, 성명, 주민등록번호 및 영상 등을 통할 경우 어떤 정보라도 개인을 식별할 수 있기 때문에 사실상 모든 개인에 관한 정보는 개인정보가 될 수 있다. 그럼에도 다시 괄호 안의 단서에는 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도’라고 전제하는바, 사실상 괄호 밖의 본문 내용에 어떤 정보를 대입하면 특정 개인을 식별할 수 없는 정보는 없음에도 불구하고, 이와 모순되게 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수’ 없는 정보가 존재한다는 것을 전제로 법문언이 구성되어 있다. 이렇게 모순되게 보이는 것은 괄호 밖의 본문은 개인정보의 개념이고 괄호 안의 단서는 개인정보의 판단기준인데, 개념과 판단기준이 혼재되어 있어서 발생하는 문제이다. 특히 a라는 하나의 특정 정보가, 괄호 밖의 본문에 따르면 개인정보가 되지만(성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 없는 정보는 사실상 거의 없기 때문이다), 괄호 안의 단서를 적용하면 개인정보가 아닐 수 있는(a만으로는 개인을 알아볼 수 없고, 성명, 주민등록번호 및 영상을 포함한 다른 정보와 쉽게 결합하여 알아볼 수 없는 경우가 있을 수 있기 때문이다) 불합리한 현상이 발생하게 된다. 즉 개인정보의 개념에는 속하지만 개인정보의 법적 판단기준 내지 법적 보호범위는 충족하지 못하는 정보가 있을 수 있는바, 개념과 판단기준을 개념과 판단기준을 명확하게 분리하여 기술하는 것이 필요하다. 둘째, 괄호 밖의 본문 내용은 개념서술형을 참조하긴 했으나 그 원형인 EU 규정처럼 직접 또는 간접 개인정보를 포함한다는 명확한 의미를 전달하지 못하고 있다. 즉 EU의 경우는 1) 이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier)와 2) 그 사람의 물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상의 요소를 나누어 기술하고 있는데, 우리나라 조문에 있는 ‘성명, 주민등록번호 및 영상’은 EU의 1)만을 의미하는 것처럼 보여, 2)에 관한 내용은 어디에 있는 것인지 의문이 간다. 셋째, 더 큰 문제점은 괄호 안의 단서 내용인데, 괄호 안의 내용의 원형인 영국의 규정은 당해 개인정보처리자의 보유 가능성을 기준으로 식별성을 부여하고 있는데, 우리나라의 괄호 안의 내용은 보유의 주체로서 ‘당해 개인정보처리자’란 말을 빼놓고 기재함으로써 결합가능성의 주체를 당해 개인정보처리자 외의 사람까지 광범위하게 인정할 수 있게끔 하고 있다. 때문에 이 방식이라면 이 세상에서 개인정보 아닌 것이 없다는 비판까지 나오게 되었다. 넷째, ‘쉽게 결합’이란 단어의 모호성이다. 이미 살펴보았듯이 EU 규정은 ‘결합’이라는 용어를 쓰지 않고 ‘보유’라는 단어를 쓰고 있다. 참고로 싱가폴은 ‘보유’라는 단어 대신에 ‘접근’이라는 단어를 쓰고 있다. ‘보유’나 ‘접근’이라는 개념은 이해하기 쉽고 판단이 용이하며 그 안에 개인정보처리자의 입수나 열람이라는 뜻이 내포되어 있지만, ‘결합’이라는 개념은 이해가 쉽지 않으며 판단도 용이하지 않고 결합이라는 단어로써 개인정보처리자의 입수나 열람을 추출하기는 쉽지 않다. 거기에 ‘쉽게’까지 추가되어 있으니 더더욱 이러한 문제점은 가중될 수밖에 없다. 이런 이유로 많은 해석상 난점을 내포하고 있고, 해석하는 사람에 따라 개인정보 포섭범위에 있어 천차만별의 결론이 나오고 있다. 나아가 ‘쉽게 결합’ 등을 포함한 개인정보 정의규정의 모호함은 빅데이터 등 산업에도 악영향을 주고 있다. 개인정보나 식별정보의 범위를 손쉽게 획정할 수 없기 때문에 기업들은 보수적인 해석론에 따라 개인정보나 식별정보의 범위를 넓게 해석하고 있고, 그 결과, 정보의 이용에 대하여 소극적일 수밖에 없게 되었다. 다섯째, ‘통하여’와 ‘결합하여’의 모호성에 대하여 지적하지 않을 수 없다. 우리법은 ‘성명, 주민등록번호 및 영상 등을 통하여’와 ‘다른 정보와 쉽게 결합하여’라고 규정하고 있는바, 문언적으로는 이 둘의 차이점이 있어 보이지만 실제로 그 차이점을 명확하게 결론내리기 어려울 정도로 모호하다. 괄호 밖에 있는 ‘통하여’는 개념서술형으로부터 기원한 것이고, 괄호 안에 있는 ‘결합하여’는 영국형으로부터 기원한 것이지만, 문언적으로 보면 전자가 후자보다 훨씬 더 모호하고 광범위해 보인다. 여섯째, ‘결합하여’는 해석상 결합‘가능성’을 의미하는데, 법조문의 문언은 그렇게 읽히지 않는다는 점이다. 마치 당연히 결합을 ‘전제로’ 하는 것처럼 보이는바, 결합‘가능성’을 따져야 함을 명확하게 법조문에 밝힐 필요가 있다. 혼합형(한국형)을 취하고 있는 나라는 많지 않다. 우리나라, 일본, 중국, 필리핀 정도에 불과하다. 지금까지 전세계 100여개 국가의 개인정보 정의규정을 살펴보았다. 글로벌 표준은 개념형 또는 개념서술형이라 할 수 있는 반면, 우리나라는 개념과 판단기준이 섞여 있는 형태를 보이고 있다. 이것 자체를 문제점이라 하기는 어렵지만, 개념과 판단기준을 명확하게 또는 정합적으로 규정하고 있지 않아 해석상 문제점이 많다는 것은 지적할 수 있다. 개인정보보호법이 시행된 지 이제 5년째가 되어 가고 있다. 그 동안의 문제점을 한번 떨고 가야 할 때가 된 것 같다. 특히 개인정보 정의규정은 수많은 비판을 받아 왔고 그로 인하여 다른 개인정보보호 규정도 규범력이 손상되고 있는 실정이다. 따라서 개인정보 정의규정부터 개선작업을 시작해야 할 것이며, 이 개선작업은 빅데이터의 활용 등 신산업과 연관시켜서 진행함으로써, 사회적 합의 하에 보호와 활용의 균형을 맞추기 위한 유기적인 법정비가 이루어지도록 해야 할 것이다. * 법무법인 민후 김경환 대표변호사, 최주선 변호사 작성, 디지털데일리(2016. 3. 22.), 리걸인사이트(2016. 3. 24.) 기고.

‘개념서술형’은 개인정보에 대한 상세한 개념을 제시하되, 직접적으로 개인을 식별할 수 있는 정보와 간접적으로 개인을 식별할 수 있는 정보로 양분하면서 그 개념을 제공하고 있는 유형이다. 대표적으로 EU의 GDPR(General Data Protection Regulation)이 이러한 형태를 취하고 있는바, 개념형의 기술에 덧붙여 직접 또는 간접으로 개인을 식별할 수 있다는 내용을 담고 있다. 즉 ‘개인정보는 식별자 또는 정체성에 관한 하나 이상의 요소를 참조하여 식별할 수 있는 개인에 관한 정보를 의미하며, 식별은 직접적으로 또는 간접적으로 이루어질 수 있음’을 기술하고 있다. 위 정의규정은 개인정보를 먼저 정의하고 그 다음에 정보주체를 정의함으로써 개인정보에 관한 정의를 완성하고 있다.다만 GDPR 최종안과 달리 GDPR 초안에서는 특이하게 정보주체를 먼저 정의하고 그 다음에 개인정보를 정의하는 형식을 취하였는데, 최종안에는 그 순서가 다시 평범하게 역전되었다. 참고로 GDPR 이전의 EU의 개인정보 지침(95/46/EC)에서는 식별자에 관하여 ‘식별번호’만을 언급하였는데, GDPR 초안에서는 식별자가 ‘식별번호, 위치정보, 온라인 식별자’로 확장되었다가, GDPR 최종안에서는 ‘이름’이 추가로 기술되었다. 어쨌든 위 정의규정은 개인정보에 관하여 직접적으로(directly) 개인을 식별할 수 있는 정보와 간접적으로(indirectly) 개인을 식별할 수 있는 정보로 구별하고 있다. 직접적으로 개인을 식별할 수 있는 정보는 정보가 ‘정보주체’ 자체에 관한 직접적인 정보 이면서 식별성이 있는 정보 또는 곧바로 특정 개인을 다른 사람과 구별할 수 있는 식별자 정보인 경우로서, 예컨대 어떤 제한된 모임에서의 특정인의 이름은 그 사람 자체에 관한 직접적인 정보인 동시에 식별성을 부여하는 정보이므로 직접적으로 개인을 식별할 수 있는 정보라 할 수 있다(‘직접 정보 → 식별 정보’의 2단계 판단 구조임). 이러한 직접적으로 개인을 식별할 수 있는 정보를 검토할 때 주의할 점은, 특정인의 이름은 무조건 식별성을 가지는 정보로서 개인정보인 것은 아니라는 것이다. 특정인의 이름이 개인을 식별할 수 있는 정보가 되는지는 상황에 따라 다를 수 있는바, 동명이인이 있는 경우에는 특정인의 이름이라도 개인을 식별할 수 있는 정보가 되지 않을 수 있다. 간접적으로 개인을 식별할 수 있는 정보는 정보주체 자체에 관한 직접적인 정보는 아니지만 정보주체를 식별할 수 있는 정보로 쓰일 수 있는 경우를 의미한다. 예컨대 휴대폰 전화번호는 기기에 관한 정보이지 정보주체(사람) 자체에 관한 정보가 아니기에 직접적으로 개인을 식별할 수 있는 정보는 아니지만 경우에 따라서는 정보주체에 대한 식별성을 부여할 수 있으며, 이런 경우 휴대폰 전화번호는 간접적으로 개인을 식별할 수 있는 정보가 된다. 또 다른 예로 곧바로 특정 개인을 다른 사람과 구별할 수 있는 식별자 정보는 아니지만 여러 조각을 모으면 특정 개인을 구별할 수 있게 되는 경우가 있는데 이 경우 역시 간접적으로 개인을 식별할 수 있는 정보라 한다. 예컨대 1학년 3반에서‘키 큰 아이’라고 하면 그 자체로 식별성을 가지고 있지 않지만 여기에 ‘남자, 여드름 많은 아이’ 등의 정보가 결합되면 그 조각의 모음으로 특정 개인을 구별해 낼 수 있는 식별성을 띠게 되며, 이 때 이러한 정보의 모음도 간접 식별정보라 한다. 한편 EU GDPR의 개인정보 정의규정에서는 ‘이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier) 또는 그 사람의 물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상의 요소를 참조하여 직접 또는 간접으로(directly or indirectly) 식별될 수 있는’이라고 기술하고 있는데, 그 의미를 살펴볼 필요가 있다. 위 문구는 특정 정보가 개인을 식별할 수 없는 정보일 때 의미가 있다. 예컨대 ‘키 175cm라는 사람’이라는 정보가 있을 때 이 정도 정보로는 특정 개인을 식별할 수 없다. 하지만 이를 개인정보가 아니라 단정할 수 없는바, ‘이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier)’를 참조하면 특정 개인을 식별할 수 있기에 개인정보가 될 수 있다. 또는 ‘그 사람의 물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상의 요소를 참조하면’, 예컨대 ‘주소’ 또는 ‘전화번호’ 등의 정보를 참조하면 특정 개인을 식별할 수 있기에 능히 개인정보가 될 수 있다. 즉 이 세상에서 특정 개인에 관한 정보이면 개인정보가 되는 것이고, 이것이 바로 개인정보의 개념이다. 사실상 인간에게 의미있는 상당수의 정보는 개인들과 조금이라도 관련된 정보일 수밖에 없기 때문에, 이러한 관점에서 생각하면 개인정보의 개념은 매우 넓게 설정되어 있다고 볼 수 있다. 특정 정보 하나만으로는 특정 개인을 식별할 수 없더라도 그 정보의 출처가 개인인 이상 그것은 개인에 관한 정보로서 개인정보의 개념에 포섭되는 것이다. 하지만 중요한 것은, 이미 살펴보았듯이, 이렇게 폭넓은 개인정보 개념 중에서 법으로 보호받는 범위를 설정함에 있어서는 별도의 기준이 적용된다는 것이다. 위 EU GDPR의 경우에는, 개인정보 정의규정에는 개인정보의 개념만 나와 있고 그 개념 중 법으로 보호받는 범위에 관한 판단기준은 제시되어 있지 않지만, GDPR의 리사이틀 또는 EU의 제29조 작업반에서 발간한 해설서(“Opinion 4/2007 on the concept of personal data”) 등에 법적 보호범위의 판단기준이 설명되어 있다. 먼저 리사이틀의 내용을 그대로 옮기면 아래와 같다. 개인정보의 판단기준에 있는 ‘식별가능’의 판단기준에서 주의할 용어는 1) all the means to be used either by the controller or by any other person(개인정보처리자 또는 제3자에 의해 사용되는 모든 수단), 2) likely reasonably(합리적으로 가능하다고 생각되는)이다. 위 내용에 대하여 위 해설서는 중요한 쟁점들을 설명하고 있다. 첫째, 식별가능하다는 것은, 그 개인을 구별해 낼 수 있다는 추상적인 가능성을 의미하는 것이 아니라, 그 개인정보처리자 또는 그 사람이 그 개인을 구별해 낼 수 있다는 구체적인 가능성을 의미한다는 것이다. 즉 그저 그 개인을 구별해 낼 가정적인 가능성만으로는 그 개인이 ‘식별할 수 있는’ 상태라고 보기에 충분하지 않다는 것을 의미한다. 이는, 만연히 추상적ㆍ관념적 식별가능성이 아니라 구체적ㆍ현실적 식별가능성이 존재해야만 식별가능성이 인정된다는 의미이다. 둘째, 특정 개인정보처리자 또는 특정인이 그 개인을 구별해 낼 구체적ㆍ현실적인 가능성이 있었는지 여부를 판단할 때에는, 그 개인정보처리자 또는 그 사람이 사용할 수 있는 모든 수단을 고려하여 판단하여야 한다는 점을 알 수 있다. 수단의 예로는, 비용, 기술, 시간, 다른 개인정보 등이 있을 수 있다. 셋째, 수단이 합리적으로 이용됨을 전제로 식별 여부를 결정하여야 한다. 즉 비용, 시간, 인력, 기술, 다른 개인정보 등이 합리적으로 이용됨을 전제로 식별 취득 여부를 결정하여야 한다. 정리하면, ‘합리적으로 식별할 수 있는’이라는 것은 1) ‘개인정보처리자’ 또는 ‘정보주체가 아닌 제3자’에 속하는 자가 2)자신이 합리적으로 가능한 모든 수단을 이용하여 3) 정보주체를 구별할 구체적인 가능성을 취득하는 경우를 가리킨다. 개념서술형(EU형)으로 분류할 수 있는 국가들은 매우 많은바, 그 구체적인 내용은 아래 표와 같다. * 법무법인 민후 김경환 대표변호사, 최주선 변호사 작성, 디지털데일리(2016. 3. 22.), 리걸인사이트(2016. 3. 24.) 기고.