[법무법인 민후 김경환 변호사] 개인정보보호는 개인정보의 ‘개념’의 이해에서부터 시작한다. 하지만 개인정보보호법에서 가장 어려운 것이 바로 개인정보의 개념의 완전한 이해이다. 때문에 본 글에서는 개인정보의 개념에 대해 자세하게 살펴보고자 한다.

개인정보의 개념은 나라마다 차이가 있지만 ‘개인을 식별할 수 있는 정보’로 보는 게 일반적이다. 여기서 핵심은 ‘식별’인데 이 단어만 잘 이해해도 개인정보의 개념은 거의 다 이해했다고 볼 수 있다.

‘식별’이라는 것은 다른 사람과 구별짓는다는 의미이다. 예컨대 금정리라는 마을에 10년 동안 매일 밤 큰 소리로 노래를 부르며 지나가는 단 한 명의 사람(이름은 이기수)이 있다고 가정한다면, 이기수라는 이름을 몰라도 ‘금정리에서 10년 동안 매일 밤 큰 소리로 노래 부르는 사람’이라고만 해도 다른 사람과 구별짓기에 충분한바, ‘금정리에서 10년 동안 매일 밤 큰 소리로 노래 부르는 사람’이 곧 식별정보이고 곧 개인정보라 할 수 있다. 즉 특정인의 이름이나 전화번호, 얼굴이 아니더라도 식별정보 또는 개인정보가 될 수 있는 것이다.

또 다른 예로 삼화실업이라는 회사에 매일 노란색 점퍼만 입고 다니는 단 한 명의 사원이 있다고 가정한다면, 그 사람의 이름이나 얼굴을 몰라도 ‘삼화실업의 매일 노란색 점퍼만 입고 다니는 사원’은 식별정보 또는 개인정보가 될 수 있는 것이다.

한편 우리 개인정보보호법은 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 것을 포함한다)’로 개인정보를 개념정의하고 있다. 이 내용에 대해 사례를 들어 설명해 본다.

1) 개인정보는 ‘살아 있는’ 개인에 관한 정보이다. 즉 사망자의 정보는 개인정보가 아니다. 하지만 일의적으로 사망자의 정보는 개인정보가 아니라고 하는 것은 틀린 명제가 될 수 있다. 왜냐하면 사망자의 정보는 살아 있는 그 후손의 개인정보가 될 수도 있기 때문이다. 그래서 사망자의 정보는 사망자에게는 개인정보가 아니지만 특별한 사정이 있는 경우에는 그 후손의 개인정보가 될 수도 있다고 보는 것이 맞는 결론이다. (다만 이런 경우가 흔하지는 않을 것이다)

2) 개인정보는 ‘개인’에 관한 정보이다. 즉 법인이나 단체의 정보는 개인정보가 아니다. 예컨대 특정 회사의 주소나 매출실적 등은 개인정보가 아니다. 다만 이 부분에서 문제되는 것은 회사의 정보와 개인의 정보가 혼합돼 있을 때인데, 예컨대 ‘삼화실업 대표이사 이기수’라고 돼 있는 경우 이를 개인정보로 볼 것인가의 문제가 부각된다. 이는 간단한 문제는 아니고 견해가 갈리고 있지만, 이기수를 중심으로 보면 개인정보로 못 볼 것은 아니라 할 수 있다.

우리 법은 ‘삼화실업 대표이사 이기수’ 등의 등기·등록부에 이미 공개된 정보에 대해 어떻게 처리할지에 대해 정립이 됐 있지 않다. 비록 ‘삼화실업 대표이사 이기수’를 개인정보로 보더라도 이미 등기·등록부에 이미 공개된 정보라면 보호대상으로 삼지 않는 법해석이 필요하다.

3) 개인정보는 ‘식별’할 수 있는 정보이다. 식별의 개념은 개인정보의 개념 중에서 핵심이라 할 수 있다. 식별의 개념에 대해는 이미 설명했다. 몇 가지 예를 더 들면서 설명해보면, ‘2013년 A 대학의 취업률’은 식별과는 무관하므로 개인정보가 아니고, ‘서태지’라는 이름을 가진 동명이인은 수십명 있을 수 있으므로 이 이름은 역시 개인정보로 볼 수 없다. 다만 ‘난 알아요를 부른 가수 서태지’라는 정보는 다른 사람과 구별지을 수 있기에 개인정보에 해당한다.

몇 가지 어려운 이슈가 있는데, 휴대전화번호, IP, 맥주소 등이 이러한 예이다. 휴대전화번호는 원칙적으로 기기의 정보이기는 하지만 1인 1모바일 시대에 이를 개인정보로 보는 것이 상식에 부합한다. IP에 대해는 견해가 갈리지만 고정 IP와 유동 IP를 나누어서 고정 IP의 경우에는 개인정보로 보아도 될 것이며, 맥주소 역시 유일성이 있는 정보이므로 개인정보로 보아야 할 것이다.

4) 마지막으로 비록 식별정보가 아니라도 다른 정보와 쉽게 결합해 식별성을 가지게 되면 개인정보가 된다. 이를 간접적 식별정보라 하는데 개인정보의 범위를 지나치게 넓게 인정했다는 비판이 제기되기도 했다.

간접적 식별정보에 관한 판례로는, IMEI(휴대폰일련번호)는 개인정보에 해당한다는 판례와 비록 휴대전화번호 끝자리 4자리라도 특별한 사정이 있는 경우에는 개인정보로 볼 수 있다는 판례가 존재한다.

간접적 식별정보의 요건에서 핵심은 ‘쉽게 결합해(결합용이성)’인데, 결합용이성을 어떻게 보는가에 따라 개인정보의 범위는 작아지기도 하고 무한대로 넓어지기도 한다. 예컨대 특정 상황에서는 결합이 쉽지 않더라도 잠재적으로 결합이 가능한 경우까지 넓혀서 개인정보의 범위를 파악한다면 개인정보의 범위에 포섭되지 않는 것이 없다는 위험성이 있다.

입법론적으로는 개인정보의 개념과 개인정보의 보호범위를 2원화해 고려하는 것이 바람직할 것이다. 즉 개인정보의 개념은 넓히되, 이 중에서 법의 보호를 받을 영역을 다시 획정해 가리는 것이 필요하다는 것이다.

예컨대 등기·등록부에 공개된 개인정보는 개인정보의 개념에는 포섭되지만, 보호범위에서는 제외시키는 것이 타당할 것이다.

개인정보의 개념을 어떻게 획정하냐에 따라 산업계에 미치는 영향도 크고 개인의 프라이버시에 미치는 영향도 크다. 현재 우리법의 개인정보의 개념은 어떤 식으로든지 수정할 필요가 있고, 바람직하게는 2원화해 개인정보의 개념과 개인정보의 보호범위로 구분해야 할 것이다.

<끝>

<법무법인 민후>www.minwho.kr

<기고와 칼럼은 본지 편집방향과 다를 수도 있습니다>