개인정보의 중요성이 높아지면서 인터넷, TV, 뉴스기사 등 일상생활에서 개인정보라는 단어를 자주 듣게 되었습니다. 개인정보를 보호하는 것이 중요하다는 것은 우리 모두 잘 알고 있는데요.
그런데 개인정보란 무엇이고, 개인정보의 범위는 정확히 어디까지인지 깊게 생각해본적 있으신가요?
개인정보 해당 여부를 판단하는 것은 간단해 보이지만, 생각보다 여러가지 사항을 종합적으로 고려해야 합니다. 오늘은 브런치글을 통해 우리나라 개인정보보호법에 따른 개인정보의 정의와 특정 정보가 개인정보에 해당하기 위한 요건에 대해 하나씩 자세히 살펴보도록 하겠습니다.
우리나라 개인정보보호법에 따르면 개인정보란 “생존하는 개인에 관한 정보로서 성명 · 주민등록번호 등에 의하여 개인을 식별할 수 있는 정보(해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것 포함)”를 의미합니다.
개인정보에 해당하기 위해서는 해당 정보가 (1)살아있는 (2)개인에 관한 정보로 (3)개인을 식별할 수 있는 정보여야 합니다. (1)~(3)을 모두 충족하는 정보인 경우에만 개인정보보호법에 따른 ‘개인정보'에 해당합니다.
(1)살아있는 개인에 관한 정보
개인정보보호 법령상 개인정보는 ‘살아 있는' 자연인에 관한 정보를 의미합니다. 따라서 사망했거나 실종선고 등으로 법에 의해 사망한 것으로 간주되는 자연인에 대한 정보는 개인정보에 해당하지 않습니다.
단, 사망자의 정보라도 유족과의 관계를 알 수 있는 정보라면 유족의 개인정보에 해당하는 것으로 보고 있습니다.
(2)개인에 관한 정보
개인정보의 주체는 자연인으로, 법인 또는 단체에 대한 정보는 개인정보에 해당하지 않습니다. 따라서 법인 또는 단체의 이름, 소재지, 주소, 대표의 연락처, 업무별 연락처 등은 개인정보에 해당하지 않습니다. 따라서 개인사업자의 사업체 운영과 관련된 상호명, 사업장 주소, 전화번호 등도 원칙적으로는 개인정보에 해당하지 않습니다.
단, 개인사업자의 경우 사업자가 집에서 사업체를 운영하는 경우와 같이 ‘주소’ 정보가 사업체 운영에 대한 정보인 동시에 사업자 개인에 대한 정보일 수 있습니다. 이와 같이 개별 상황에 따라 개인정보로 취급될 수 있습니다.
또한 사람이 아닌 사물에 대한 정보는 원칙적으로 개인정보에 해당하지 않으나, 해당 사물의 제조자 또는 소유자 등을 나타내는 정보는 개인정보에 해당할 수 있습니다.
(3)개인을 식별할 수 있는 정보
특정 정보가 개인정보에 해당하는지 판단이 어려운 가장 큰 이유는 특정 정보의 개인 식별성이 개인정보를 처리하는 사람 및 맥락에 따라 다르게 판단될 수 있기 때문입니다.
주민등록번호를 포함하여 개인에게 고유하게 부여되는 번호인 ‘고유식별정보'의 경우, 개인에게 ‘고유하게 부과되는 정보’이기 때문에 해당 정보만으로도 개인 식별성이 존재하여 개인정보라고 쉽게 판단할 수 있습니다.
반면 ‘1999년 9월 9일'과 같은 생년월일 정보의 경우, 같은 날 태어난 사람이 여러 사람일 수 있기 때문에 다른 정보없이 생년월일 정보 하나만으로 개인을 알아볼 수 없습니다.
그런데 생년월일이 개인정보가 아니라니 이상하지 않나요?
우리는 ‘생년월일'이 개인정보에 포함되는 경우를 자주 볼 수 있습니다. 이유는 생년월일이 “다른 정보와 결합하여 개인 식별성을 갖게되면 개인정보에 해당”할 수 있기 때문입니다.
예를들어 주소 정보와 결합하여 ‘OOO시 OO동 1101동 11호에 사는 1996년 9월 9일에 태어난 사람’과 같은 정보가 되는 경우, 개인식별이 가능해지기 때문에 ‘주소+생년월일’은 개인식별성을 가지는 정보가 되는 것입니다. 즉, 이름, 주소 등과 결합이 가능한 상황에서는 생년월일이 개인정보에 해당할 수 있습니다.
따라서 개인정보 해당 여부는 절대적인 것이 아니고, 구체적인 상황에 따라 다르게 판단될 수 있기 때문에 상황과 맥락을 고려해야 합니다.
실제로 ‘휴대번호 뒤 4자리'를 개인정보로 판단한 판례가 있는데요.
일반적으로 휴대번호 뒤 4자리만으로는 개인을 식별하기 어렵습니다. 해당 판례에서는 휴대번호 뒤 4자리를 가지고 있던 사람이 그 휴대번호 사용자와 일정한 인적 관계를 맺는 등 상황상 해당 휴대번호의 사용자가 누구인지 식별할 수 있는 상황이었기 때문에 해당 정보가 개인정보에 해당한다고 판단하였습니다.
이처럼 특정 정보의 개인 식별성은 해당 정보를 처리하는 사람이 해당 정보를 다른 정보와 ‘쉽게 결합’할 수 있는지, 해당 정보만으로 개인을 식별할 수 있는 가능성이 얼마나 있는지 등을 종합적으로 고려하여 판단해야 합니다.
그렇다면 여기에서 정보를 ‘쉽게 결합'한다는 것은 어떤 의미일까요?
쉽게 결합할 수 있는 정보로 판단하기 위해서는 해당 정보를 처리하는자의 다른 정보 ‘입수가능성'을 고려해야 합니다. 입수가능성이 존재하는 것으로 보기 위해서는 두 정보의 결합에 필요한 다른 정보를 합법적으로 접근하여 이에 대한 지배력을 확보할 수 있는 상황이어야 합니다.
예를 들어, A 회사에는 특정 이용자의 휴대번호 앞 네자리 정보만 저장되어 있고, B회사에는 특정 이용자의 전체 휴대번호 정보가 저장되어 있다고 가정하였을 때 A 회사에서 B회사가 가진 정보를 획득하기 위해서는 해킹이나 절취 등 불법적으로만 취득이 가능하다면, ‘쉽게 결합’할 수 없는 정보이기 때문에 A 회사에 저장된 정보는 개인정보가 아닙니다.
특정 정보가 위 (1)~(3) 조건을 충족한다면, 정보의 내용이나 형태 등에 상관없이 개인정보에 해당합니다.
따라서 수기형태나 디지털 형식이나, 특정인에 대한 제3자의 주관적 평가(예:인사평가), 개인에 대한 허위정보 등도 모두 개인에 관한 정보라면 개인정보가 될 수 있습니다.
추가로, 2020년 개인정보보호법 개정으로 조금 특수한 형태의 개인정보인 ‘가명정보’ 개념이 도입되었는데요. 가명정보 또한 개인정보에 해당하지만, 몇 가지 규제사항에서 일반적인 개인정보보다 완화된 적용을 받습니다.
가명정보란 개인정보의 일부를 삭제하거나 또는 전부를 대체하여 ‘추가 정보’ 없이는 특정 개인을 알아볼 수 없도록 처리된 정보를 의미하는데요. 식별을 위해서는 ‘추가 정보’를 필요로 한다는 점에서 일반적인 개인정보보다는 개인 식별을 위한 결합 가능성이 낮아진 정보라고 볼 수 있습니다.
단, 식별을 위한 결합 가능성이 낮아진 것이지 아예 불가능한 것은 아니기 때문에 여전히 개인정보에 해당합니다.
오늘은 쉬운 것 같지만, 생각보다 어려운 개인정보의 범위에 대해 알아보았는데요.
오늘 브런치글을 통해 여러분께서 개인정보가 무엇인지 이해하는 데에 도움이 되었길 바랍니다.
카카오는 앞으로 kakaoprivacy 브런치를 통해 개인정보에 대한 다양한 지식과 정보를 알기 쉽게 전달해드릴 수 있도록 노력하겠습니다. 감사합니다.
* 본 브런치글은 개인정보보호위원회의 개인정보 보호 법령 및 지침, 고시 해설 내용을 참고하여 작성되었습니다.