개인정보의 범위...어디까지인가요?

김동진 kdj@itdonga.com

[IT동아 김동진 기자] 개인 정보의 범위는 어디부터 어디까지일까. 법에 따르면 개인 정보란 '살아있는 개인에 관한 정보'다. 주민등록번호처럼 개인을 단번에 알아볼 수 있는 고유 식별 정보뿐만 아니라 겉으로는 식별성이 없어 보이는 정보라도, 다른 정보와 '쉽게 결합'해 개인을 특정할 수 있으면 개인 정보다. 예컨대 키나 나이, 몸무게 등 객관적 사실 정보 외에도 특정인에 대한 제삼자의 의견과 같은 주관적 정보도 개인 정보가 될 수 있다. 정보의 내용, 형태에는 특별한 제한이 없으니 직·간접으로 개인을 알아볼 수 있는 모든 정보가 개인 정보인 셈이다.

가명 정보도 개인 정보에 포함된다. 개인정보보호법은 '고유 식별정보를 가명 처리해, 원래 상태로 복원하기 위해 추가 정보를 사용하거나 결합하지 않고서는 개인을 특정할 수 없는 정보'를 가명 정보로 규정한다. '개인을 알아볼 수 없는 정보인데 왜 개인 정보냐'는 반문이 나올 수 있다. 그렇다면 이렇게 생각해 보자. 추가 정보를 사용하거나 결합하면 개인을 식별할 수 있기 때문에 가명 정보도 개인 정보로 규정할 수 있는 것이다.

출처=셔터스톡
출처=셔터스톡

다른 정보와 쉽게 결합해 특정 개인을 식별할 수 있으면 개인 정보. 이때 '합리적 수단'이 무엇인지 고려해야

앞서 설명한 개인 정보의 요건을 규정하는 문구 중 ‘다른 정보와 쉽게 결합해 개인을 특정한다’는 부분이 다소 모호하게 느껴진다. 여러 정보를 쉽게 결합해 특정인이라고 짐작 가능하다면, 개인정보라는 이야기다. 이 문구를 해석할 때 기술의 발전을 고려해야 한다.

예컨대, 과거에는 개인을 특정할 정보를 찾으려 문서 수천 장을 하나하나 찾아 비식별 정보와 대조하는 것이 불가능하다고 판단했다. 하지만 지금은 검색 사이트를 이용하면, 수천 장의 문서에서 개인을 특정할 수 있는 정보 또는 단어 하나를 찾는 데 몇 초밖에 걸리지 않는다.

서울중앙지방법원의 판례(2016년 12월 15일 선고)를 살펴보면, '개인정보처리자나 누군가가 특정인을 식별하기 위해 합리적으로 사용 가능한 모든 수단을 고려해야 한다. 이때 만약, 특정인을 알아보기 위해 불합리할 정도의 시간과 노력, 비용 등이 투입돼야 한다면, 이는 다른 정보와 쉽게 결합해 특정인을 파악할 합리적 수단으로 볼 수 없다'고 규정했다.

즉, 누군가를 알아보려 1년 이상, 문서 수천 장을 하나하나 뒤져야 한다면 불합리한 수단에 가깝지만, 검색 사이트에 단어 하나 넣는 일은 합리적인 수단으로 보는 것이다. 하지만 몇 초 만에 찾아낼 수 있는 정보라고 할지라도, 한 대당 수천억 원을 호가하는 슈퍼 컴퓨터가 있어야 검색해 결합할 수 있는 정보라면 ‘쉽게 결합’하기 어렵다고 봐야 할 것이다.

출처=셔터스톡
출처=셔터스톡

전화번호 뒷자리 4개만으로도 개인을 식별할 수 있다면 개인 정보

그렇다면 '휴대전화번호 뒷자리 4개'가 개인 정보일까? 앞서 언급한 것처럼 ‘다른 정보와 쉽게 결합해 특정인을 식별할 수 있다면 개인정보’다.

대전지방법원 논산지원 판례(2013년 8월 9일 선고)에 따르면, “오늘날 휴대전화 사용이 보편화되면서 전화번호 뒷자리 4개에 생일이나 기념일 등 특정한 의미를 담는 경우가 많다. 뒷자리 4개만으로 연락처를 검색할 수 있는 스마트폰도 상당수 보급됐다”며 “따라서 뒷자리 4개만으로 사용자를 식별할 수 있는 경우도 있고, 그렇지 않더라도 가족 전화번호나 집 전화번호, 기존 통화내역 등과 쉽게 결합해 전화번호 사용자가 누구인지 알아볼 수 있다면 이는 개인 정보다”라고 판결했다.

'단말기에 부여된 단말기고유식별번호(IMEI) 또는 휴대전화 개통을 위해 필요한 유심(USIM)칩의 일련 번호'는 개인정보일까? 단말기 자체의 식별 번호나 개인 정보를 담기 전 유심칩의 일련 번호는 개인 정보가 아니다. 말 그대로 개인을 식별할 만한 정보가 없기 때문이다.

그런데, 단말기와 유심칩이 개인에게 귀속되는 순간 이야기는 달라진다. 유심칩 일련 번호로 어떻게 개인을 식별할 수 있냐고 반문할 수 있지만, 법원은 이 역시 다른 정보와 쉽게 결합해 특정인을 파악할 가능성이 있다고 봤다.

서울중앙지방법원 판례(2011년 2월 13일 선고)에 따르면, “IMEI나 유심 일련 번호 모두 특정 개인의 소유로 귀속되기 전까지는 기기나 특정 카드에 부여된 고유 번호이므로 개인 정보로 보기 어렵다”고 한다. 하지만, "이들이 개인의 소유로 귀속되는 순간부터 각 번호는 ‘기기나 특정 카드에 부여된 고유번호’에서 ‘특정한 개인이 소유하는 휴대폰의 기기 번호 및 유심 카드의 일련 번호’라는 의미를 갖게 된다. 이 번호들은 휴대폰 가입 신청서 등 가입자 정보에 나타난 다른 정보와 쉽게 결합, 개인을 특정할 수 있기 때문에 개인 정보라 봄이 상당하다”고 판결했다.

휴대전화 뒷자리 4개, 유심 칩 일련 번호가 개인 정보에 해당할 수 있다는 점을 왜 알아야 할까? 우리 생각보다 개인정보의 적용 범위가 넓어서다.

윤지상 법무법인에스 변호사는 "개인 정보 침해 행위를 하면 민사상 손해배상 책임을 질 뿐만 아니라 형사처벌 될 수 있다. 그 행위자 외에 법인도 양벌규정에 따라 처벌될 수 있다"며 "예컨대 경찰관이 수사 상황에 관해 물어보자, 수배 내용을 조회하고 수배가 없다는 사실을 알려준 경우, 개인 정보 침해 행위다. 아파트 관리사무소 직원이 엘리베이터 CCTV 영상 제공을 요청 받고, 피촬영자의 동의 없이 이 영상을 휴대전화로 촬영해 제공한 경우도 처벌 사례다. 즉, 쉽게 결합해 개인을 특정할 수 있는 정보를 누군가에게 제공하는 행위로도 개인 정보 침해가 성립된다는 사실을 알아야 한다"고 말했다.

출처=셔터스톡
출처=셔터스톡

정보통신기술 발전에 따라 쉬이 노출되는 개인 정보, 보호법 개정으로 대응

새로운 정보통신기술이 나오고 발전하면서 데이터의 처리 방식과 규모 등이 복잡다단해진다. 이에 따라 이전보다 개인 정보를 더 쉽게 찾을 수 있게 됐다. 자연스레 개인 정보 유출 피해 가능성도 커진다. 이를 보완할 제도가 속속 등장하는 이유다.

개인정보보호위원회 관계자는 “인공지능을 포함해 급변하는 기술과 디지털 시대에 대응하기 위해 최근 개인정보보호법을 개정했다. 정보 주체인 국민의 권리를 강화하려 자동화된 결정에 대한 거부 등 대응권을 신설했다. 사람의 개입 없이 완전 자동화된 시스템이 한 결정 때문에 자신의 권리와 의무에 중대한 영향을 받았다면, 이를 거부하거나 설명을 요구할 수 있는 권리다"라고 설명했다.

이어 “정보통신기술 발전으로 일어난 개인 정보 유출 피해 전부를 법률로 신속하게 대응하는 것은 한계가 있다. 이에 인공지능의 활용, 지문·얼굴인식 등 생체 정보 등 정보통신기술에 적용할 개인정보보호 기준과 점검표를 가이드라인으로 제공하고, 발전 속도에 따라 꾸준히 개선 중이다."고 덧붙였다.

고학수 서울대학교 법학전문대학원 교수는 "개인정보 보호법은 2011년에 만들어진 법으로 역사가 길지 않다. 지금도 구체화 중이다"라며 "누군가 개인을 특정하기 위해 합리적으로 사용 가능한 모든 수단을 고려해야 한다는 내용은 최근 개정된 개인정보 보호법에 포함된 문구다. 하지만, 합리적이라는 해석은 모두가 제각각이라 애매하다는 지적이 나온다. 따라서 법원 판례로 분쟁 해결을 구체화하는 과정, 개인 정보를 해석하는 업계의 관행이 쌓여야 한다. 구체적인 상황을 상정하고 이때 어떻게 개인 정보를 규정할 것인지 고민해야 한다"고 말했다.

글 / IT동아 김동진 (kdj@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.