결합해서 특정 개인 식별이 가능하면 ‘개인정보’
“결합의 용이성이 인정되는 정보를 제한적으로 해석해야”
[보안뉴스= 김주희 김·장 법률사무소 변호사] 어떠한 사례에 있어서 개인정보보호법이 적용되는지에 관한 문제를 풀기 위해서는 관련 정보가 동법에서 정하고 있는 ‘개인정보’에 해당되는지 여부를 먼저 살펴보아야 한다. 개인정보보호법에서는 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 것을 포함한다)”를 개인정보라고 정의하고 있다.
즉, 개인정보성의 판단은 (1)그 정보 자체로 어느 특정 개인을 알아볼 수 있는지, 또는 (2)그 정보가 다른 정보와 쉽게 결합하여 특정 개인을 식별할 수 있는지 여부에 좌우된다. 위 (1)에 해당되는지 여부의 문제는 비교적 명확하게 해석될 수 있겠으나, 통상 ‘결합의 용이성’이라고 부르는 위 (2)쟁점에 관해서는, 그 범위를 어디까지 볼 수 있는지에 관하여 이론이 대립하고 있는 것으로 보인다. 이하에서는 개인정보성 판단에 관한 사례를 중심으로 결합의 용이성에 관한 쟁점을 검토해 보겠다.
예를 들어, 특정 개인을 알아볼 수 없도록 개인정보를 암호화한 경우를 가정해 보자. 이 경우 암호화된 정보가 개인정보에 해당해 개인정보보호법의 적용을 받는다고 보아야 할 것인가? 우선 개인정보보호법에 관한 유관부서인 행정자치부에서는 “특정 개인을 알아볼 수 없도록 가공되었거나 통계적으로 변환된 경우에는 특정 개인과의 관련성이 없고 식별이 어려우므로 개인정보에 해당하지 않는다”고 보고 있고, ‘결합의 용이성’과 관련해서도 식별을 위해 불합리할 정도의 시간, 노력, 비용이 투입되어야 한다면 그러한 정보들은 식별성이 없다고 판단하고 있다. 그런데 이 문제는 결합의 용이성을 과연 누구를 기준으로 판단할 것인지에 따라 결론이 달라질 수 있다.
앞서 든 사례의 경우, 암호화된 정보를 제공받은 개인정보처리자의 입장에서 복호화할 수 있는 방법이 없는 상황이라면, 쉽게 결합하여 특정 개인을 식별할 수 없으므로 해당 정보를 개인정보라고 볼 수 없다. 그러나 전지적(全知的)인 관점에서 다른 모든 사람이 가지고 있는 다른 정보와 결합했을 때 특정 개인을 식별할 수 있는지 여부로 판단한다면, 암호화된 개인정보 역시 식별가능한 정보라고 볼 수도 있는 것이다.
암호화된 정보에 관한 것은 아니지만 실제 하급심 판결에서는 후자의 관점에서 개인정보성을 판단한 사례가 있다. 핸드폰 국제모바일 단말기 인증번호(IMEI) 및 범용가입자식별모듈(USIM) 일련번호, 개인 이동전화번호를 수집한 행위에 대하여 정보통신망법 위반의 범죄사실로 기소가 된 사안에서, 법원은 IMEI, USIM 일련번호를 다른 정보와 결합하여 식별할 수 있는 개인정보로 인정한 바 있다.
위 판결에서 법원은 IMEI, USIM 일련번호의 개인정보성에 대하여 “쉽게 결합하여 알아볼 수 있다는 것은 쉽게 다른 정보를 구한다는 의미이기 보다는 구하기 쉬운지 어려운지와는 상관없이 해당정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것을 말한다”고 하면서 이동통신사가 보유·관리하고 있는 다른 인적 정보와 결합하면 특정 개인이 식별될 수 있고, 각 이동통신사가 그 접근에 엄격한 통제를 가한다 하더라도 제3자에 의하여 획득될 가능성이 없는 것으로 보이지 않는다는 점에서 위 일련번호를 이동전화 가입신청서 등의 가입자 정보에 나타난 다른 정보와 어려움 없이 쉽게 결합하여 개인을 특정할 수 있는 개인정보로 인정한 것이다.
그러나 이처럼 전지적인 관점에서 다른 모든 사람이 가지고 있는 다른 정보와 결합했을 때 개인을 식별할 가능성이 있는지 여부로 개인정보성을 판단한다면, 개인정보의 개념이 지나치게 확장될 우려가 있다. 이러한 측면에서 행정자치부 역시 개인정보처리자의 입장에서 결합의 용이성을 해석하는 입장인 것으로 파악된다.
해외의 입법 내지 그 해석례를 보더라도 마찬가지인 것으로 보인다. 먼저, 개인정보의 개념을 도입해 개인정보보호에 관한 우리나라 입법에 많은 영향을 끼쳤다고 할 수 있는 EU에서는, 개인정보의 식별가능성과 관련하여 “관리자 또는 임의의 다른 사람에 의하여 합리적으로 활용될 가능성이 있는 모든 수단을 고려해야 한다”고 하면서도 단순히 개인을 구별해낼 수 있는 가상적인 가능성만으로는 식별가능성이 있다고 보기 어렵다고 설명하고 있다.
특히, 영국에서는 개인정보의 개념에 관하여 우리나라와 유사하게 ‘다른 정보와의 결합을 통해 개인을 확인할 수 있는 경우 개인정보’로 보면서도, ‘결합의 대상이 되는 정보는 개인정보처리자(Data Controller)가 보유하고 있거나 보유할 가능성이 높은 정보에 한정’된다고 함으로써 개인의 식별가능성에 대한 판단은 해당 개인정보처리자의 입장을 기준으로 해야 한다는 점을 분명히 하고 있다. 또한, 일본의 개인정보보호법상 개인정보의 개념에는 ‘다른 정보와 용이하게 조합함으로써 특정한 개인을 식별할 수 있는 것’을 포함시키고 있어서 우리나라 개인정보보호법의 개인정보의 정의와 유사하게 규정되어 있다.
이에 관한 해석에 있어서 일본경제산업성이 발표한 개인정보의 보호에 관한 가이드라인에서는 ‘통상의 작업범위에 있어서 개인정보 데이터베이스 등을 액세스하여 조합할 수 있는 상태를 말하며, 다른 사업자와의 조합을 필요로 하는 경우, 당해 사업자 내부라도 취급 분야가 다른 경우 등으로, 조합이 곤란한 상태를 제외한다’고 설명하고 있다. 이러한 해외 법령 및 행정자치부 해석에 비추어 보더라도 결합의 용이성에 관한 부분은 개인정보처리자의 입장에서 합리적인 노력, 비용 등을 투입하여 다른 정보와 결합했을 때 식별할 수 있는 정보로 해석하는 것이 타당하다고 생각된다.
그러하지 아니하고 개인정보처리자가 현실적으로 보유하지도 않고 해당 정보를 보유할 가능성도 없는 정보에 대해서까지 전지자의 관점에서 결합 가능성을 인정하는 방향으로 개인정보보호법을 해석할 경우, 수범자로서는 자신이 갖고 있는 정보가 개인정보인지 아닌지를 도저히 판단할 수 없게 되어 자신의 행위를 결정할 수 없고, 결국 개인정보보호법은 ‘적절한 고지’의 역할을 전혀 수행하지 못해 위헌이라는 결론을 내릴 수밖에 없다. 따라서 법률 해석의 대원칙 중 하나인 합헌적 법률해석의 원칙으로 돌아가 결합의 용이성이 인정되는 정보를 제한적으로 해석함이 마땅할 것이라 생각된다.
또한, 해당 정보를 전달받은 자가 용이하게 접근하기 어렵거나 접근이 불가능한 정보들까지 기준으로 해 식별가능성을 판단한다면, 사실상 모든 정보가 개인정보로 평가될 여지를 갖게 됨으로써 죄형법정주의, 명확성 원칙에 위배되는 결과를 초래한다. 그러한 취지에서 앞서 든 암호화된 정보의 경우에 있어서도, 개인정보처리자 입장에서 보유·취득할 수 있는 다른 정보와 결합해 식별이 불가능하다면, 이 경우에는 개인정보로 볼 수 없으며, 예컨대 해킹 등 비정상적인 방법을 동원하여 복호화하는 경우까지 개인정보로 보는 것은 적절하지 않을 것으로 생각된다. 이 부분은 결국 대법원의 판결로 정리되어야 논란의 종지부를 찍을 수 있을 것인 바, 향후 합리적인 판단이 내려지기를 기대해 본다.
[글 _ 김 주 희 김·장 법률사무소 변호사]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
