개인정보 보호법상 ‘개인정보’는 ‘상대성’을 충분히 고려해야
개인정보처리자의 입장과 상황에 따라 ‘개인정보’로의 판단 여부 나뉜다
‘가명정보’도 엄연히 ‘개인정보’... 과거 판례 2020년 전·후로 구분해 참고
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 5화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 새해를 맞이하면서 저희 지키다 코너에서 어떤 내용부터 전해드릴까 많은 고민을 했는데요. 고심 끝에 개인정보보호 업무에서의 시작점을 다뤄보면 좋겠다 해서 김진환 변호사님과 함께 알아보도록 하겠습니다.
▲[김진환의 개인정보 지키다] 5화 시작 화면[이미지=보안뉴스]
[개인정보의 정의와 유형]
□ 이소미 기자
변호사님, 개인정보 보호법이 적용되는 대상 다시 말해 개인정보로 인정되는 여러 가지 유형이 있을텐데요. 설명 부탁드리겠습니다.
■ 김진환 변호사
개인정보 보호법은 ‘살아있는 개인에 관한 정보’라고 정의하면서 세 가지 유형을 제시하고 있습니다. 첫째, 성명·주민등록번호·영상 등을 통해 개인을 바로 알아볼 수 있는 정보와 둘째, 해당 정보만으로 특정 개인을 알아볼 수 없지만 다른 정보와 결합해 쉽게 알아볼 수 있는 정보 그리고 셋째, 이상 두 종류의 개인정보를 ‘가명처리’함으로써 원래의 상태로 복원하기 위한 추가정보의 사용 및 결합 없이는 특정 개인을 알아볼 수 없는 정보입니다.
첫째의 개념은 어떠한 정보 자체가 사람을 알아볼 수 있는 경우로 흔히들 ‘개인식별정보’라고 하고요. 둘째 개념은 문제가 된 정보 자체만으로는 사람을 알아볼 수 없지만 다른 정보와 결합하면 식별 가능해지는 정보로 대다수의 개인정보가 여기에 해당합니다. 마지막 셋째 개념은 ‘가명정보’를 가리킵니다.
[개인정보의 상대성]
□ 이소미 기자
그렇다면 개인정보라는 개념을 규정할 때 일반적인 입장이 아니라 법률적인 해석의 입장에서는 어떻게 다른지 여기서 가장 중요한 포인트는 무엇일까요?
■ 김진환 변호사
가장 중요한 것은 ‘개인정보의 상대성’ 즉 개인정보처리자에 따라 어떠한 정보가 개인정보일 수도 있고 아닐 수도 있는 상대적인 개념이라고 생각합니다. 개인정보 보호법이 시행될 무렵인 2010년대 초반만 하더라도 개인정보를 ‘절대적 개념’이라고 보는 견해가 상당히 우세했습니다. 사실 저는 2012년도 무렵, 국내에서는 처음으로 개인정보를 ‘상대적 개념’으로 봐야 한다는 논문을 발표했었는데요. 안타깝게도 그 이후 여러 후속 논문들에서 비판의 대상이 되기도 했습니다. 그러나 10년 정도 지난 현재에 와서는 개인정보처리자가 처한 환경이나 상황 등에 따라 다를 수 있다는 점에 주목하는 ‘상대설’이 다수의 견해가 됐습니다. 현재 개인정보보호위원회도 이러한 입장에 따르고 있는 것으로 이해됩니다.
예를 들면 ‘이소미’라는 기자님의 성함 세 글자가 적혀져 있는 종이쪽지가 광화문 네거리에 떨어져 있는 경우를 상정해 보면요. ‘이소미’라는 많은 동명이인이 있기 때문에 이름만으로는 그 누구도 <보안뉴스>에서 근무하시는 이소미 기자님이라고 특정할 수는 없습니다. 그래서 가장 대표적인 개인정보라고 지칭하는 ‘이름’마저도 상황에 따라서는 개인정보가 아닐 수도 있다는 것이죠. 그러나 같은 종이쪽지가 이곳 ‘보안뉴스’ 사무실 로비에 떨어져 있다고 상상해 봅시다. 그렇다면 누구라도 보안뉴스 소속 기자 이름을 인터넷 등을 통해서 쉽게 알아볼 수 있다는 점 등을 종합적으로 고려하면 ‘쪽지에 적힌 이름’은 개인정보에 해당한다고 해석될 가능성이 상당히 높다는 것이죠. 이와 같이 개인정보처리자의 입장에 따라서 ‘개인정보’인지 아닌지의 여부가 달라질 수 있다는 것을 가리켜 ‘개인정보의 상대성’이라고 합니다.
물론 주민등록번호·휴대전화번호처럼 고유한 정보는 그 자체만으로도 개인정보로 봐야겠지만, 그렇다고 개인정보가 상대적인 개념에 적용되지 않는 것은 아닙니다.
□ 이소미 기자
‘개인정보’를 정의하는 데 있어 개인정보처리자가 기준이 될 수 있다는 점, 그리고 ‘개인정보의 상대성’은 반드시 기억해 두셔야 할 개념 같습니다.
[가명정보의 개념]
□ 이소미 기자
다음은 ‘가명정보’에 대해 알아보겠습니다. 사실 이 가명정보가 2020년 보호법 개정 당시에 처음으로 규정된 것으로 알고 있거든요? 그렇다면 가명정보는 정확히 어떤 개념인지 설명 부탁드릴게요.
■ 김진환 변호사
사실 ‘가명정보’라는 개념은 ‘개인정보’의 개념보다 이해하기가 좀 더 어렵습니다. 가명정보란, 데이터에서 ‘개인식별요소’를 지우는 ‘가명화 조치’를 거친 정보를 의미합니다. 가명정보를 만든 개인정보처리자의 입장에서는 사람을 특정할 수 있는 개인정보에 해당하지만, 그 이외의 입장에서는 한 개인을 특정하기에는 사실상 매우 어려운 정보입니다.
▲가명정보에 대한 설명 예시[그림=개인정보보호위원회]
그림에서 보시는 것처럼 어떤 개인정보처리자가 맨 왼쪽에 있는 ‘홍길동’의 개인정보를 가지고 있는 상태에서 성명의 이름 두 글자 삭제, 구체적인 나이를 30대 초반으로 범주화, 휴대전화번호 뒷자리 모두 삭제, 주소의 도시명만 남기는 비식별 처리한 경우를 상정해보겠습니다. 이때 가명정보만 가지고 있는 다른 개인정보처리자로서는 이렇게 기재된 정보만으로는 그가 홍길동인지 알 수 없습니다. 하지만 최초 비식별 처리를 한 개인정보처리자는 가명정보 뿐만 아니라 개인정보도 함께 가지고 있기 때문에 마음만 먹으면 가명정보를 개인정보와 매칭해 그 사람이 ‘홍길동’이라는 점을 쉽게 알 수 있게 됩니다. 그래서 이러한 특징을 지닌 정보를 개인정보 보호법에서는 ‘가명정보’라고 하는데 이를 처음으로 생성한 개인정보처리자는 그 사람을 특정해 낼 수 있기 때문에 여전히 개인정보라고 보는 것입니다.
한편, 가명정보보다 훨씬 더 강하게 비식별 처리해 그 누구도 애초에 ‘홍길동’에 관한 정보를 알아볼 수 없을만큼 삭제·수정된 정보를 ‘익명정보’라고 부르고요. 이러한 익명정보는 개인정보 보호법이 아예 적용되지 않습니다.
□ 이소미 기자
가명정보와 익명정보는 비슷해 보이지만, 개인정보 보호법에 있어서는 확연히 다르게 적용될 수 있겠네요. 이처럼 가명정보가 개인정보로 적용되는 개념 역시 개인정보처리자 입장에 따라 상대성이 적용된다는 점을 확실하게 이해할 수 있었습니다.
[가명정보 개념 도입 이후 주의해야 할 점]
□ 이소미 기자
변호사님, 그럼 개인정보 보호법상 협의의 개인정보가 있고요. 그리고 가명정보를 구분해 규정해야 할 때 주의해야 할 점에는 어떤 게 있을까요?
■ 김진환 변호사
앞서 설명드린 것처럼 가명정보도 엄연히 개인정보에 해당하므로 가명정보에 대한 각종 법률 사항 보호조치 의무와 제한된 목적 이외 이용 시 동의와 같은 적법한 처리 근거가 있어야 합니다. 그런데 개정 전에 존재했던 여러 법원의 판례나 학설의 해석 등이 존재하고 있는 터라 개정 이후에도 그대로 동일하게 적용될 거라고 이해하고 있는 분들이 많이 계세요.
굉장히 유명한 사례를 예로 들면, 어느 병원이 환자의 혈액 검체 용기에 붙어있는 검체번호·바코드 등을 완전히 삭제한 다음 제3자에게 넘겨준 경우인데요. 이와 관련해 법원은 전달받은 제3자가 어느 환자의 검체인지 전혀 특정할 수 없기 때문에 이는 더이상 개인정보가 아니라고 판단한 사례입니다. 그렇지만 가명정보의 개념이 법률에 들어온 이후부터는 종래의 개인정보가 아니라고 본 기존 사례들과는 차이가 있게 됩니다. 적어도 비식별 처리를 한 개인정보처리자인 병원·약국 등의 입장에서는 해당 환자 정보를 이미 가지고 있기 때문에 궁극적으로 특정 환자의 검체를 바로 알아낼 수 있다는 것입니다. 따라서 더이상 개인정보가 아니라고 볼 수는 없고, 적어도 가명 정보로써 ‘광의의 개인정보’에 해당한다고 봐야 합니다.
따라서 개인정보성 여부를 판단한 법원의 판례나 과거 해석례를 검토할 때 ‘2020년 이전’의 법률을 적용한 사례인지 면밀히 살펴보고 이해하는 과정이 필요합니다.
□ 이소미 기자
‘가명정보’에 대한 정확한 이해와 판단을 위해 2020년 개인정보 보호법에 반영되기 전과 후로 구분해 검토해야 한다는 중요한 핵심 포인트를 짚어주셨습니다.
또 ‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
개인정보처리자의 입장과 상황에 따라 ‘개인정보’로의 판단 여부 나뉜다
‘가명정보’도 엄연히 ‘개인정보’... 과거 판례 2020년 전·후로 구분해 참고
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 5화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 새해를 맞이하면서 저희 지키다 코너에서 어떤 내용부터 전해드릴까 많은 고민을 했는데요. 고심 끝에 개인정보보호 업무에서의 시작점을 다뤄보면 좋겠다 해서 김진환 변호사님과 함께 알아보도록 하겠습니다.
▲[김진환의 개인정보 지키다] 5화 시작 화면[이미지=보안뉴스]
[개인정보의 정의와 유형]
□ 이소미 기자
변호사님, 개인정보 보호법이 적용되는 대상 다시 말해 개인정보로 인정되는 여러 가지 유형이 있을텐데요. 설명 부탁드리겠습니다.
■ 김진환 변호사
개인정보 보호법은 ‘살아있는 개인에 관한 정보’라고 정의하면서 세 가지 유형을 제시하고 있습니다. 첫째, 성명·주민등록번호·영상 등을 통해 개인을 바로 알아볼 수 있는 정보와 둘째, 해당 정보만으로 특정 개인을 알아볼 수 없지만 다른 정보와 결합해 쉽게 알아볼 수 있는 정보 그리고 셋째, 이상 두 종류의 개인정보를 ‘가명처리’함으로써 원래의 상태로 복원하기 위한 추가정보의 사용 및 결합 없이는 특정 개인을 알아볼 수 없는 정보입니다.
첫째의 개념은 어떠한 정보 자체가 사람을 알아볼 수 있는 경우로 흔히들 ‘개인식별정보’라고 하고요. 둘째 개념은 문제가 된 정보 자체만으로는 사람을 알아볼 수 없지만 다른 정보와 결합하면 식별 가능해지는 정보로 대다수의 개인정보가 여기에 해당합니다. 마지막 셋째 개념은 ‘가명정보’를 가리킵니다.
[개인정보의 상대성]
□ 이소미 기자
그렇다면 개인정보라는 개념을 규정할 때 일반적인 입장이 아니라 법률적인 해석의 입장에서는 어떻게 다른지 여기서 가장 중요한 포인트는 무엇일까요?
■ 김진환 변호사
가장 중요한 것은 ‘개인정보의 상대성’ 즉 개인정보처리자에 따라 어떠한 정보가 개인정보일 수도 있고 아닐 수도 있는 상대적인 개념이라고 생각합니다. 개인정보 보호법이 시행될 무렵인 2010년대 초반만 하더라도 개인정보를 ‘절대적 개념’이라고 보는 견해가 상당히 우세했습니다. 사실 저는 2012년도 무렵, 국내에서는 처음으로 개인정보를 ‘상대적 개념’으로 봐야 한다는 논문을 발표했었는데요. 안타깝게도 그 이후 여러 후속 논문들에서 비판의 대상이 되기도 했습니다. 그러나 10년 정도 지난 현재에 와서는 개인정보처리자가 처한 환경이나 상황 등에 따라 다를 수 있다는 점에 주목하는 ‘상대설’이 다수의 견해가 됐습니다. 현재 개인정보보호위원회도 이러한 입장에 따르고 있는 것으로 이해됩니다.
예를 들면 ‘이소미’라는 기자님의 성함 세 글자가 적혀져 있는 종이쪽지가 광화문 네거리에 떨어져 있는 경우를 상정해 보면요. ‘이소미’라는 많은 동명이인이 있기 때문에 이름만으로는 그 누구도 <보안뉴스>에서 근무하시는 이소미 기자님이라고 특정할 수는 없습니다. 그래서 가장 대표적인 개인정보라고 지칭하는 ‘이름’마저도 상황에 따라서는 개인정보가 아닐 수도 있다는 것이죠. 그러나 같은 종이쪽지가 이곳 ‘보안뉴스’ 사무실 로비에 떨어져 있다고 상상해 봅시다. 그렇다면 누구라도 보안뉴스 소속 기자 이름을 인터넷 등을 통해서 쉽게 알아볼 수 있다는 점 등을 종합적으로 고려하면 ‘쪽지에 적힌 이름’은 개인정보에 해당한다고 해석될 가능성이 상당히 높다는 것이죠. 이와 같이 개인정보처리자의 입장에 따라서 ‘개인정보’인지 아닌지의 여부가 달라질 수 있다는 것을 가리켜 ‘개인정보의 상대성’이라고 합니다.
물론 주민등록번호·휴대전화번호처럼 고유한 정보는 그 자체만으로도 개인정보로 봐야겠지만, 그렇다고 개인정보가 상대적인 개념에 적용되지 않는 것은 아닙니다.
□ 이소미 기자
‘개인정보’를 정의하는 데 있어 개인정보처리자가 기준이 될 수 있다는 점, 그리고 ‘개인정보의 상대성’은 반드시 기억해 두셔야 할 개념 같습니다.
[가명정보의 개념]
□ 이소미 기자
다음은 ‘가명정보’에 대해 알아보겠습니다. 사실 이 가명정보가 2020년 보호법 개정 당시에 처음으로 규정된 것으로 알고 있거든요? 그렇다면 가명정보는 정확히 어떤 개념인지 설명 부탁드릴게요.
■ 김진환 변호사
사실 ‘가명정보’라는 개념은 ‘개인정보’의 개념보다 이해하기가 좀 더 어렵습니다. 가명정보란, 데이터에서 ‘개인식별요소’를 지우는 ‘가명화 조치’를 거친 정보를 의미합니다. 가명정보를 만든 개인정보처리자의 입장에서는 사람을 특정할 수 있는 개인정보에 해당하지만, 그 이외의 입장에서는 한 개인을 특정하기에는 사실상 매우 어려운 정보입니다.
▲가명정보에 대한 설명 예시[그림=개인정보보호위원회]
그림에서 보시는 것처럼 어떤 개인정보처리자가 맨 왼쪽에 있는 ‘홍길동’의 개인정보를 가지고 있는 상태에서 성명의 이름 두 글자 삭제, 구체적인 나이를 30대 초반으로 범주화, 휴대전화번호 뒷자리 모두 삭제, 주소의 도시명만 남기는 비식별 처리한 경우를 상정해보겠습니다. 이때 가명정보만 가지고 있는 다른 개인정보처리자로서는 이렇게 기재된 정보만으로는 그가 홍길동인지 알 수 없습니다. 하지만 최초 비식별 처리를 한 개인정보처리자는 가명정보 뿐만 아니라 개인정보도 함께 가지고 있기 때문에 마음만 먹으면 가명정보를 개인정보와 매칭해 그 사람이 ‘홍길동’이라는 점을 쉽게 알 수 있게 됩니다. 그래서 이러한 특징을 지닌 정보를 개인정보 보호법에서는 ‘가명정보’라고 하는데 이를 처음으로 생성한 개인정보처리자는 그 사람을 특정해 낼 수 있기 때문에 여전히 개인정보라고 보는 것입니다.
한편, 가명정보보다 훨씬 더 강하게 비식별 처리해 그 누구도 애초에 ‘홍길동’에 관한 정보를 알아볼 수 없을만큼 삭제·수정된 정보를 ‘익명정보’라고 부르고요. 이러한 익명정보는 개인정보 보호법이 아예 적용되지 않습니다.
□ 이소미 기자
가명정보와 익명정보는 비슷해 보이지만, 개인정보 보호법에 있어서는 확연히 다르게 적용될 수 있겠네요. 이처럼 가명정보가 개인정보로 적용되는 개념 역시 개인정보처리자 입장에 따라 상대성이 적용된다는 점을 확실하게 이해할 수 있었습니다.
[가명정보 개념 도입 이후 주의해야 할 점]
□ 이소미 기자
변호사님, 그럼 개인정보 보호법상 협의의 개인정보가 있고요. 그리고 가명정보를 구분해 규정해야 할 때 주의해야 할 점에는 어떤 게 있을까요?
■ 김진환 변호사
앞서 설명드린 것처럼 가명정보도 엄연히 개인정보에 해당하므로 가명정보에 대한 각종 법률 사항 보호조치 의무와 제한된 목적 이외 이용 시 동의와 같은 적법한 처리 근거가 있어야 합니다. 그런데 개정 전에 존재했던 여러 법원의 판례나 학설의 해석 등이 존재하고 있는 터라 개정 이후에도 그대로 동일하게 적용될 거라고 이해하고 있는 분들이 많이 계세요.
굉장히 유명한 사례를 예로 들면, 어느 병원이 환자의 혈액 검체 용기에 붙어있는 검체번호·바코드 등을 완전히 삭제한 다음 제3자에게 넘겨준 경우인데요. 이와 관련해 법원은 전달받은 제3자가 어느 환자의 검체인지 전혀 특정할 수 없기 때문에 이는 더이상 개인정보가 아니라고 판단한 사례입니다. 그렇지만 가명정보의 개념이 법률에 들어온 이후부터는 종래의 개인정보가 아니라고 본 기존 사례들과는 차이가 있게 됩니다. 적어도 비식별 처리를 한 개인정보처리자인 병원·약국 등의 입장에서는 해당 환자 정보를 이미 가지고 있기 때문에 궁극적으로 특정 환자의 검체를 바로 알아낼 수 있다는 것입니다. 따라서 더이상 개인정보가 아니라고 볼 수는 없고, 적어도 가명 정보로써 ‘광의의 개인정보’에 해당한다고 봐야 합니다.
따라서 개인정보성 여부를 판단한 법원의 판례나 과거 해석례를 검토할 때 ‘2020년 이전’의 법률을 적용한 사례인지 면밀히 살펴보고 이해하는 과정이 필요합니다.
□ 이소미 기자
‘가명정보’에 대한 정확한 이해와 판단을 위해 2020년 개인정보 보호법에 반영되기 전과 후로 구분해 검토해야 한다는 중요한 핵심 포인트를 짚어주셨습니다.
또 ‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아뵙도록 하겠습니다. 시청해 주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
