Ⅰ. Breyer 판결과 식별성 판단 기준

 

유럽민사법원(Court of Justice of the European Union, CJEU)은 2016.9.19.에 “유동 IP주소”는 개인정보에 해당한다는 판결을 내렸다. 이 판결은 웹사이트 관리·운영자가 사이버보안, 불법정보 필터링, 웹사이트 분석, 온라인 광고 등의 목적으로 방문자의 유동 IP주소를 수집·이용하는 경우에도 개인정보보호법을 준수해야 한다는 것을 의미하는 것이어서 인터넷 웹사이트를 운영하고 있는 모든 공·사 기관, 온라인 사업자, 광고사업자 등에게 매우 중요한 의미를 갖는다.

 

유럽민사법원은 일찍이 Scalet v. Sabam 사건(2011)⁽¹⁾에서 인터넷 가입자에게 인터넷 접속 서비스를 제공하는 인터넷 접속 서비스 제공자(IAP)가 보유하고 있는 IP주소는 개인정보에 해당한다는 판결을 내린 바 있지만, 웹사이트 관리·운영자가 수집·보관하고 있는 유동 IP주소가 개인정보에 해당한다는 판결을 내린 것은 Breyer 판결(2016)⁽²⁾이 처음이다.

 

IP주소를 개인정보로 보아야 할 것인지에 대해서는 국내에서도 초미의 관심사이고, 방송통신위원회는 쿠키정보, IP주소 등 인터넷접속정보는 계정정보와 결합 되어 있으면 개인정보로 볼 수 있다는 입장을 취하고 있다.⁽³⁾ 또한 통신비밀보호법은 IP주소를 “통신사실확인자료”의 하나로 보고 있다.⁽⁴⁾ 최근에 제정된 유럽연합 GDPR과 미국 CCPA에도 IP주소를 개인정보로 보고 있어 Breyer 판결이 우리나라의 개인정보 보호법 해석에 미치는 영향은 적지 아니할 것으로 보인다.

 

Breyer 판결은 IP주소는 어떤 조건에서나 항상 개인정보에 해당하는지 아니면 어떤 특정 조건 하에서만 개인정보로 취급해야 하는 것인지에 대해 오랫동안 지속돼 온 질문에 대한 답을 제시한 것이지만, 개인정보의 개념 및 범위를 결정함에 있어서 식별성 판단의 주체, 간접 식별의 의미, 다른 정보의 입수 가능성 등에 대한 기준을 제시했다는 점에서 IP주소의 문제를 넘어 개인정보의 정의에 관한 랜드마크와 같은 역할을 수행할 것으로 보인다.⁽⁵⁾

 

 

Ⅱ. Breyer 판결의 개요 및 내용

 

사건 개요

 

Breyer씨는 독일의 인권 활동가이자 정치인이다. 그는 독일연방기관이 관리·운영하는 여러 웹사이트를 방문해 보았는데 이들 웹사이트의 대부분이 웹사이트 방문자들에 관한 로그파일을 저장하고 있었다. 로그파일에는 접속하려는 웹페이지 또는 파일의 이름, 검색필드에 입력된 단어, 액세스 시간, 전송된 데이터의 양, 액세스의 성공 여부, 접속을 시도한 컴퓨터의 IP주소가 포함되어 있었다. 웹사이트 관리·운영자인 독일연방기관들은 서비스 거부 공격(denial-of-service attacks, DDoS 공격)을 예방하고 필요한 경우 공격자에 대한 형사소송을 제기하기 위해 이와 같은 로그파일을 저장하고 있다고 주장하였다.

 

Breyer씨는 IP주소는 EU 개인정보보호법 상 개인정보에 해당하므로 웹사이트 관리·운영자가 방문자의 IP주소를 처리하기 위해서는 정보주체의 동의를 받아야 한다고 주장하며, 장애 발생시 웹사이트의 가용성을 복원하기 위해 IP주소의 저장이 필요한 경우를 제외하고는 IP주소의 수집·저장을 즉시 멈추게 해달라는 소송을 독일 지방법원에 제기하였다. 그러나 그는 1심 법원에서 패소했고 이에 항소하였다.

 

항소법원인 베를린 지방법원 역시 웹사이트 관리·운영자(독일연방기관)가 Breyer씨의 IP주소를 로그파일에 저장한다고 해서 그를 식별할 수는 없으므로 유동 IP주소는 개인정보의 정의에 포함되지 않는다고 보았다. 웹사이트 관리·운영자가 보관하고 있는 IP주소는 방문자가 자신의 이름, 이메일 주소 등의 추가정보를 웹사이트 관리·운영자에게 제공하여 방문자를 식별할 수 있는 경우에만 개인정보에 해당한다고 본 것이다. 이에 따라 항소법원은 웹사이트 활동 중 Breyer씨가 이메일주소 등 자신의 식별정보를 드러낸 경우에는 웹사이트 관리·운영자가 Breyer씨의 IP주소를 저장해서는 안 된다는 부분 승소를 결정했다.

 

Breyer씨와 독일연방기관은 둘 다 항소법원의 판결에 불복하여 독일 연방법원에 상소하였다. Breyer씨는 전체적으로 금지명령이 내려지지 아니한 것에 대해 불만이 있었고 웹사이트 관리·운영자(독일연방기관)들은 항소에 대한 기각을 원했다. 그러나 연방법원 역시 웹사이트 관리·운영자가 유동 IP주소만으로는 Breyer씨를 “직접적으로” 식별할 수 없다고 보았다. 웹사이트 관리·운영자는 인터넷 접속 서비스 제공자로부터 Breyer씨의 신원을 식별할 수 있는 정보를 제공받을 수 있는 경우에 한해서 Breyer씨를 식별할 수 있다고 본 것이다.

 

이에 독일 연방법원은 제3자인 인터넷 접속 서비스 제공자(IAP)가 정보주체를 식별하기 위해 요구되는 추가정보를 가지고 있다면 그것만으로 인터넷 웹사이트 관리·운영자가 자사 웹사이트를 방문한 방문자의 유동 IP주소를 수집·저장한 경우 보관 중인 유동 IP주소를 개인정보로 보아야 하는지에 대해서 유럽민사법원(CJEU)에 질의를 하였다.

 

유동 IP주소의 의미

 

Breyer 판결은 인터넷 웹사이트 방문자의 IP주소가 방문자의 IP주소와 이름을 연결할 수 있는 위치에 있는 인터넷 접속 서비스 제공자(IAP) 이외에, 자사 웹사이트 방문자의 유동 IP주소를 수집·보관하고 있는 웹사이트 관리·운영자에게도 개인정보가 되는지에 관한 판결이다. 따라서 먼저 IP주소가 무엇인지, 어떤 기능을 수행하고 있는지, 고정 IP주소와 유동 IP주소는 어떻게 구분되고 어떤 차이가 있는지에 대해서 알아보고자 한다.

 

IP주소는 인터넷을 통한 통신을 가능하게 하기 위해 네트워크 컴퓨터(PC, 노트북, 태블릿, 스마트폰 등)에 할당된 일련의 숫자이다. 휴대전화를 통해 문자 메시지를 보내기 위해서는 전화번호가 필요하고 집으로 우편물을 보낼 때는 건물의 주소가 필요한 것처럼 인터넷을 통한 정보의 송수신을 위해서는 반드시 기기의 IP주소가 필요하다. IP주소는 인터넷 서비스에 가입하면 인터넷 접속 서비스 제공자(IAP)가 이용자에게 할당한다. 통상 할당된 IP주소는 ‘고정 IP주소(static or fixed IP address)’와 ‘유동 IP주소(dynamic IP address)’로 나뉘는데 IP주소를 이렇게 둘로 나누는 이유는 전세계적으로 이용할 수 있는 IP주소의 수가 부족하기 때문이다.

 

고정 IP주소는 특정 서버나 컴퓨터에 전용으로 할당된 인터넷 주소로 네트워크에 연결된 장치를 지속적으로 식별할 수 있게 해주고 시간이 지나도 결코 변경되지 않는다. 즉, 고정 IP주소는 인터넷 접속 서비스 제공자(IAP)가 인터넷 이용자에게 전용으로 할당하는 인터넷 주소로서 한번 할당되면 IP주소는 이용자가 이를 반납하기 전까지는 다른 장비에 다시 부여할 수 없다. 따라서 고정 IP주소는 컴퓨터를 껐다 켜더라도 변경되지 않고 처음 부여한 번호가 그대로 유지된다.

 

반면, 유동 IP주소는 인터넷에 접속할 때마다 새로운 번호를 부여하는 방식이다. 즉 유동 IP주소는 장비에 고정적으로 할당된 인터넷 주소가 아니고 컴퓨터를 사용할 때마다 새로운 IP주소가 할당된다. IP주소가 부족하기 때문에 남아 있는 IP주소를 이용자들이 돌아가면서 공유하는 방식이다. 예컨대 IP주소는 100개인데 인터넷 접속이 필요한 컴퓨터가 200대라면 인터넷 의존도가 높은 50대 컴퓨터(주로 업무용)에 대해서는 각각 고정 IP주소를 부여하고 상대적으로 의존도가 낮은 150대 컴퓨터(주로 가정용)에 대해서는 컴퓨터를 켤 때마다 나머지 50개 IP주소 중 하나를 할당하는 개념이다.

 

따라서 웹사이트 관리·운영자가 수집·보관하고 있는 방문자의 IP주소 중 고정 IP주소는 특정 기기하고만 결합하고 있으므로 이용자를 쉽게 식별할 있지만, 유동 IP주소는 매번 할당되는 기기가 달라지므로 이용자를 식별하기 어렵다. 다만, 인터넷 접속 서비스 제공자(IAP)는 IP주소를 할당할 때마다 어떤 기기에 어떤 IP주소를 할당했는지 할당 내역을 기록·보관해 두고 있기 때문에 이용자를 식별할 수 있다.

 

CJEU의 판결 요지

 

웹사이트 관리·운영자가 인터넷 접속 서비스 제공자(IAP)로부터 자사 웹사이트 방문자를 식별할 수 있는 추가정보를 입수할 수 있는 “법적 수단”을 가지고 있다면 유동 IP주소는 1995년Directive의 정의 내에서 웹사이트 관리·운영자에 대해서도 개인정보에 해당한다.

 

독일법상 웹사이트 관리·운영자(독일연방기관)는 사이버 공격 발생시 관계당국에 연락을 취할 수 있고, 이 경우 관계당국은 인터넷 접속 서비스 제공자(IAP)에게 Breyer씨의 신원을 식별할 수 있는 추가정보를 요구하고 형사소송 진행에 필요한 조치를 취할 수 있으므로 웹사이트 관리·운영자들은 추가정보를 입수할 수 있는 법적 수단을 가지고 있다.

 

CJEU의 분석 결과 및 판결 이유

 

유럽민사법원은 독일 연방법원이 제기한 질문은 웹사이트 관리·운영자가 누구든지 접근이 가능하도록 게시해 놓은 웹사이트를 이용하기 위해 접속한 방문자를 식별하기 위해 필요한 추가정보를 제3자인 인터넷 접속 서비스 제공자만이 보유하고 있는 경우, 웹사이트 관리·운영자가 저장하고 있는 유동 IP주소를 1995년 Data Protection Directive가 규정하고 있는 개인정보의 정의의 관점에서 볼 때 식별 가능한 자연인과 관련된 정보로 취급해야 하는 것인지에 관한 것이라고 보았다.

 

이와 관련하여 유럽민사법원은 먼저 아래 두 가지 사실을 명확히 하였다. 첫째, 일반적으로 유동 IP주소를 구성하는 정보와 웹사이트 관리·운영자가 수집한 웹사이트 접속 일자 및 시간에 관한 정보의 결합만으로 웹사이트 관리·운영자는 “직접적으로” 방문자를 식별할 수 없다. 둘째, 인터넷 접속 서비스 제공자는 웹사이트 방문자를 식별하기 위해 필요한 유동 IP주소와 결합할 추가정보를 가지고 있다. 이 두 가지 전제 조건에 대해서는 당사자 사이에서도 다툼이 없다.

 

이와 같은 전제 하에서 유럽민사법원은 웹사이트 관리·운영자에 관한 한 Breyer씨의 유동 IP주소는 원칙적으로 식별할 수 있는 개인에 관한 정보가 아니라고 보았다. 유동 IP주소는 “직접적으로” 웹사이트에 접속한 컴퓨터의 소유자 또는 이용자의 신원을 드러내지 못한다는 것이다. 이에 따라 유럽민사법원은 웹사이트 관리·운영자가 보관하고 있는 유동 IP주소와 인터넷 접속 서비스 제공자가 보유하고 있는 다른 정보를 결합하여 “간접적으로” 방문자를 식별할 수 있는지 여부를 검토하였다.

 

먼저, 1995년 Directive의 개인정보 정의에 따르면 ‘식별 가능한 자연인은 직접적으로 또는 “간접적으로” 식별 가능한 사람’을 의미하며, 이때 “간접적으로” 식별이 가능하다는 것이 의미하는 것은 어떤 정보를 개인정보로 취급하기 위해서는 반드시 그 정보만으로 정보주체를 식별할 수 있어야 할 필요는 없다는 것을 의미한다고 한다. 더 나아가 1995년 Directive의 Recital 26은 ‘특정 개인을 식별할 수 있는지 여부를 결정하기 위해서는 개인정보처리자 또는 임의의 제3자가 합리적으로 이용할 수 있는 모든 수단을 고려해야 한다’고 기술하고 있는 바⁽⁶⁾, 어떤 정보를 개인정보로 보기 위해서는 정보주체를 식별하기 위하여 필요한 모든 정보가 한 사람의 손에 있어야 할 필요는 없다고 보았다.

 

다음으로, Recital 26에 따르면 ‘특정 개인을 식별할 수 있는지 여부를 결정하기 위해서는 개인정보처리자 또는 임의의 제3자가 합리적으로 이용할 수 있는 모든 수단을 고려’해야 하므로, 유동 IP주소와 인터넷 접속 서비스 제공자가 보유하고 있는 추가정보를 결합할 수 있는 가능성이 정보주체를 식별하기 위해 ‘합리적으로 이용할 수 있는 모든 수단’에 해당하는지 여부를 평가해야 한다고 한다. 이와 관련하여 유럽민사법원은 ‘정보주체를 식별하는 것이 법에 의해 금지되어 있거나 시간, 비용, 노력 등의 측면에서 과도한 노력이 요구되어 정보주체의 식별이 사실상 불가능하고 그 결과 식별 위험이 미미하다면 ‘합리적으로 이용할 수 있는 모든 수단’의 기준을 충족한 것으로 볼 수 없다고 한다.

 

그런데, 인터넷 상에서 서비스 거부 공격이 발생하는 경우 독일법상 웹사이트 관리·운영자는 관계당국과 연락을 취할 수 있고, 이 경우 관계당국은 인터넷 접속 서비스 제공자로부터 식별에 필요한 정보를 입수하고 형사 소송을 제기하기 위해서 필요한 절차를 진행할 수 있다. 따라서 웹사이트 관리·운영자는 자신이 수집·보관하고 있는 IP주소를 기반으로 관계당국, 인터넷 접속 서비스 제공자 등 다른 사람의 도움을 받아 정보주체를 식별하기 위해 “합리적으로” 이용할 수 있는 법적 수단을 가지고 있는 것으로 보아야 한다고 본 것이다.⁽⁷⁾

 

 

Breyer 판결의 의의 및 평가

 

Breyer 판결(2016)은 Scalet v. Sabam 판결(2011)에서 개인정보로 인정된 IP주소의 범위를 웹사이트 관리·운영자가 수집·보관하고 있는 유동 IP주소로까지 확대하였고, IP주소를 개인정보로 보는 이유와 근거를 구체화하였다는 점에서 의의가 있다. 또한, Breyer 판결이 제시한 여러 이론은 IP주소 및 이와 유사한 온라인 식별정보를 대량으로 수집·이용하고 있는 인터넷기업과 개인정보보호법을 집행해야 하는 EU 회원국 감독당국에게도 큰 의미가 있다.

 

첫째, Breyer 판결에서 유럽민사법원은 식별성의 판단기준에 관한 두 가지 대립된 학설 중 상대설을 채택하였다. 전통적으로 유럽에서는 개인정보의 식별성 판단기준과 관련하여 상대설·주관설(relative/ subjective approach)과 절대설·객관설(absolute/objective approach)이 대립해 왔다. 유럽민사법원은 Breyer 판결에서 어떤 학설을 지지한다거나 따른다는 명시적인 입장을 표현하고 있지는 않지만 판결 내용으로부터 상대설·주관설을 채택하고 있음이 분명하다.⁽⁸⁾ 상대설은 같은 정보라도 A에게는 개인정보가 될 수 있지만 B에게는 개인정보가 될 수 없는 상태를 인정한다. 이 건의 경우 유동 IP주소는 인터넷 접속 서비스 제공자에게는 개인정보가 되지만, 원칙적으로 웹사이트 관리·운영자에게는 개인정보가 되지 않는다. 다만, 독일의 경우 웹사이트 관리·운영자는 관계당국을 통해 인터넷 접속 서비스 제공자로부터 추가정보의 입수가 가능하므로 IP주소는 웹사이트 관리·운영자에 대해서도 개인정보로 보아야 한다는 것이다.

 

둘째, Breyer 판결은 몇 가지 분명한 한계가 존재하며 여전히 불분명한 부분이 남아 있다. 이 건에서 유럽민사법원은 추가정보를 입수할 수 있는 능력을 평가함에 있어서 웹사이트 관리·운영자 그 자신의 능력에 초점을 두기 보다는 관계당국(법집행기관)의 능력에 초점을 두고 있다. 독일법은 인터넷 접속 서비스 제공자가 웹사이트 방문자를 식별하기 위해서 필요한 추가정보를 웹사이트 관리·운영자에게 직접적으로 제공하는 것은 허용하고 있지 않다.⁽⁹⁾ 그럼에도 불구하고 유럽민사법원은 웹사이트 관리·운영자가 제3자를 통해서 간접적으로 추가정보를 입수할 수 있는 법적 수단이 있다고 본 것이다. 형사소송의 경우에는 그렇다손 치더라도 민사소송이나 행정기관에 의한 행정절차의 경우에도 동일하게 적용될 수 있을지에 대해서 의문이 남는다.⁽¹⁰⁾

 

셋째, 식별성 판단의 기준으로 ‘합리적으로 이용할 수 있는 수단(means which may likely reasonably be used)’이 실질적으로 개인정보를 구성하는 범위가 지나치게 확대되는 것을 효과적으로 제한할 수 있을지 또는 IP주소가 개인정보를 구성하지 않으려면 모든 제3자가 추가정보를 입수할 수 없어야 하는데 웹사이트 관리·운영자가 모든 제3자가 추가정보를 입수할 수 없다는 것을 어떻게 확신하고 입증할 수 있을지에 대해서 실무상 어려움이 남는다. 추가정보를 입수할 수 있는 법적 수단이 존재하는지 여부는 나라마다 다를 것인바 어떤 정보가 어느 국가에서는 개인정보가 아닌데 다른 국가에서는 개인정보로 보게 되어 일관성이 없다는 것도 문제점으로 지적될 수 있다. ⁽¹¹⁾이와 관련하여 유럽민사법원은 개인정보로 볼 수 없는, 다시 말해 식별성을 인정할 수 없는 두 가지 기준을 제시하고 있다. 하나는 법에 의해 식별이 금지되는 경우이고 다른 하나는 식별이 실질적으로 불가능한 경우이다. 이 경우에도 웹사이트 관리·운영자는 자국의 법률만 검토하면 되는 것인지, 다른 나라의 법률 하에서 제3자(관계당국, 수사당국 등 포함)가 보유하고 있을 법한 법적 수단까지 평가해야 하는지 여부가 분명하지 않다. 또한, 불균형적으로 과도한 시간, 비용, 노력의 요건을 충족하는데 무엇이 필요한지도 불분명하다.⁽¹²⁾

 

넷째, Breyer 판결에는 고정 IP주소에 대해서는 논의가 이루어지지 않았다. 독일 연방법원이 문제를 제기하지 않았고 고정 IP주소는 유동 IP에 비해 상대적으로 웹사이트 방문자를 쉽게 식별할 수 있게 해주기 때문에 일반적으로 인터넷 접속 서비스 제공자뿐만 아니라 웹사이트 관리·운영자에게도 방문자에 대한 식별성이 존재하는 것으로 보고 있기 때문으로 보인다. ⁽¹³⁾웹사이트 관리·운영자는 고정 IP주소를 통해 자사 웹사이트를 반복해서 방문한 자를 인식할 수 있어 방문자의 이름은 몰라도 다른 방문자와 특정 방문자를 구분해서 지목해(single out) 낼 수는 있다. GDPR은 특정 개인을 알지 못해도 특정 개인을 구분·구별하거나 지목해 낼 수 있는 것만으로도 개인정보로 보고 있다.

 

다섯째, Breyer 판결은 웹사이트 관리·운영자가 제3자가 아닌 자신이 스스로 방문자를 식별할 수 있는 다른 정보를 직접적으로 보유하거나 수집할 수 있는 경우에는 해당 IP주소를 개인정보로 보고 있다. 본 건에서는 인터넷 접속 서비스 제공자가 보유하고 있는 다른 정보가 ‘합리적으로 이용 가능한 수단’이었는지가 문제되었지만, 웹사이트 관리·운영자가 스스로 로그인 정보, 쿠키 정보, 그밖의 정보나 기술을 이용하여 IP주소와 특정 개인을 연결할 수 있는 경우라면 그와 같은 경우에는 개인정보로 보게 된다. 많은 온라인 사업자들이 고객참여 서비스, 웹사이트 분석, 온라인 타킷광고 등의 목적으로 IP주소를 수집·이용하거나 제공하고 있기 때문에 주의가 필요하다. 문제는 온라인 사업자가 개인정보보호법의 적용을 피하기 위해 이용자에게 IP주소와 결합될 수 있는 다른 정보의 입력이나 제공을 서비스 이용약관 등을 통해 계약으로 금지하고 있더라도 방문자가 이를 무시하고 추가정보를 입력해버렸다면 IP주소를 개인정보로 볼 수밖에 없다는 것이다.⁽¹⁴⁾

 

마지막으로, 행태광고회사는 맞춤형 광고를 전송하기 위해 주로 특정 개인을 추적하여 그 개인에 특화된 프로파일을 구축하는 경우가 많다. 그러나 이 경우 광고회사는 맞춤형 광고를 위해서 특정 개인의 이름을 알아야 할 필요는 없다. 특정 개인을 구분하거나(single out) 구별할(distinguish) 수 있으면 충분하므로 대부분의 광고회사는 행태정보를 식별자와 함께 결합해서 처리하지는 않는다. 그러나 식별성을 판단할 때는 ‘합리적으로 이용할 수 있는 모든 수단’을 고려해야 하고, 이때 이용할 수 있는 추가정보를 개인정보처리자가 모두 보유하고 있을 필요는 없다. 즉, 추가정보를 이용하거나 입수할 수 있기만 하면 되므로 IP주소가 다른 식별정보와 결합되어 있지 않다고 해도 다른 정보를 입수할 수 있는 상태에 있으면 개인정보로 보게 된다. ⁽¹⁵⁾특히 특정 개인의 컴퓨터에 광고를 보낼 때는 일반적으로 IP주소가 필요하므로 식별을 위해서 ‘합리적으로 이용할 수 있는 수단’이 있는 것으로 보게 될 것이다.⁽¹⁶⁾ IP주소뿐만 아니라 쿠키 파일이나 이와 유사한 온라인 파일들도 고유식별자를 이용하여 서로 다른 웹사이트를 탐색하면서 인터넷 이용자의 행태를 추적·수집하는 경우 그와 같은 정보는 개인정보로 보게 된다.

 

Ⅲ. 식별성 판단에 관한 두 개의 학설

 

1. 절대설(객관설) 대 주관설(상대설)

 

유럽에서는 개인정보의 식별성 판단 기준과 관련하여 오랫동안 객관설·절대설(absolute/objective approach, objective criterion)과 상대설·주관설(relative/subjective approach, relative criterion)이 대립되어 왔다. 회원국의 감독당국의 입장도 일치되어 있지 않다. 절대설을 취하느냐 상대설을 취하느냐에 따라 개인정보의 범위뿐만 아니라 익명정보의 범위에도 큰 차이가 생길 수 있으므로 개인정보의 식별성 판단 기준에 관한 학설은 빅데이터, 프로파일링, 맞춤형광고 등과 밀접한 관련이 있다.⁽¹⁷⁾

 

객관설(objective criterion)은 한번 개인정보이면 언제, 어디서나, 누구에게나 항상 개인정보이어야 한다는 주장이다. 객관설에 따르면 IP주소는 제3자(인터넷 접속 서비스 제공자)만이 정보주체의 신원을 확인할 수 있는 추가정보를 가지고 있는 경우에도 추가정보를 가지고 있는 인터넷 접속 서비스 제공자는 물론 추가정보를 가지고 있지 못한 웹사이트 관리·운영자, 더 나아가 추가정보를 입수할 가능성이 희박한 자에 대해서도 개인정보로 간주되어야 한다고 주장한다.⁽¹⁸⁾

 

반면, 상대설(relative criterion)은 동일한 정보라도 그 정보를 보유하고 있는 사람에 따라 개인정보가 될 수도 있고 안 될 수도 있다는 입장이다. 상대설에 따르면 IP주소는 Breyer씨의 신원정보를 가지고 있는 인터넷 접속 서비스 제공자에게는 개인정보가 되지만, Breyer씨의 IP주소 이외에 다른 식별 가능한 정보를 가지고 있지 못한 제3자(웹사이트 관리·운영자 포함)에게는 개인정보가 아니다. 인터넷 접속 서비스 제공자를 제외한 제3자가 방문자의 신원을 파악하기 위해 필요한 추가정보를 입수하기 위해서는 일반적으로 불합리할 정도의 노력(disproportionate effort)이 필요하기 때문이다. 다만, 상대설의 경우에도 개인정보처리자가 추가정보를 입수할 수 있는 법적 수단 또는 실질적 수단(legal or practical means)을 가지고 있다면 개인정보로 본다.⁽¹⁹⁾

 

앞에서 살펴본 바와 같이 유럽민사법원은 Breyer 판결에서 상대설을 지지한다는 명시적인 표현을 하고 있지는 않았으나 판결의 내용상 상대설을 채택하고 있음이 분명하다. 이에 반해, WP29는 절대설에 가까운 입장을 취하고 있다.⁽²⁰⁾ WP29는 일찍부터 유동 IP주소를 개인정보로 취급해 왔는데, 인터넷 접속 서비스 제공자(IAP)는 자신이 누구에게 어떤 유동 IP주소를 분배했는지를 알 수 있는 정보를 보유하고 있기 때문에 인터넷 방문자의 신원을 식별할 수 있고, 인터넷 서비스 제공자도(ISP)도 HTTP 서버에 로그북(logbook)을 두고 있는 한 식별 가능성을 부정할 수 없으며, 온라인 저작권자도 소를 제기하면 IP주소를 이용해 저작권을 침해한 컴퓨터 이용자를 식별할 수 있기 때문에 모두 개인정보로 보아야 한다는 것이다. ⁽²¹⁾정도는 다르지만 유럽의 많은 개인정보감독기구(DPA)들도 객관설/절대설을 따르고 있다고 한다.⁽²²⁾

 

2. 각 학설의 장단점

 

“절대설”은 개인정보처리자가 제3자로부터 개인정보를 입수할 수 있는 법적 수단이나 실질적 수단이 없어도 객관적으로 식별이 가능하면 해당 정보는 누구에게나 항상 개인정보가 되므로 식별 가능성을 판단함에 있어서 예측 가능성과 일관성을 제시해 준다. 반면, 한번 개인정보이면 언제, 어디서나, 누구에게나 항상 개인정보로 보게 되므로 상대적으로 식별 가능한 추가정보를 입수할 가능성이 희박한 사람에 대해서도 개인정보로 보게 되어 정보의 활용 가능성을 좁게 할 수 있다.

 

“상대설”은 제3자로부터 정보주체를 식별할 수 있는 추가정보를 입수할 수 있는 가능성이 없거나 희박하여 사생활 침해 가능성이 낮은 경우에는 개인정보로 보지 아니하므로 정보의 활용 가능성을 유연하게 해주나, 제3자로부터 식별 가능한 추가정보를 입수할 수 있는 법적 수단 또는 실질적 수단이 있는지 여부를 case by case로 판단해야 하는 어려움이 있다. 상대설에 따를 경우 해외에 거주하는 이용자가 웹사이트를 방문한 경우 해당 국가의 인터넷 접속 서비스 제공자가 국내 수사당국이나 웹사이트 관리·운영자의 정보 제공 요청에 협조하지 않을 경우 해당 IP주소는 개인정보가 아니나 정보 제공 요청에 적극적으로 협조하면 개인정보로 보게 되어 일관성에도 문제가 있다.

 

또한, 상대설에 따를 경우 제3자는 언제든지 정보주체의 “동의”를 받아 개인정보처리자에게 추가정보를 제공할 수 있는데 이 경우 추가정보를 수집할 수 있는 ‘법적 수단 또는 실질적 수단’이 존재한다고 해야 할지 존재하지 않는다고 해야 할지도 여전히 불분명하다. 법적으로는 수집이 금지되어 있는 행위이지만, 일반적으로 개인정보처리자가 이를 위반하여 정보를 수집하기 쉬운 경우도 마찬가지다. 예컨대, 목적외 이용이 허용되지 아니한 공개정보를 수집하는 경우, 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받은 경우, 제3자가 추가정보를 제공할 수 있는 적법한 근거가 없거나 정보주체의 동의를 받지 아니하고 정보를 제공한 사정을 알면서 정보를 제공받은 경우 등은 비일비재할 수 있는데, 이런 경우 추가정보를 입수할 수 있는 실질적인 수단이 존재한다고 보아야 할지 존재하지 않는다고 보아야 할지 분명하지 않다.

 

Ⅳ. 맺음말

 

Breyer 판결은 좁게 보면 IP주소 특히 유동 IP주소가 항상, 어디서나, 누구에게나 개인정보에 해당하는지에 관한 것이지만, 넓게 보면 개인정보의 정의 특히 ‘임의의 제3자가 합리적으로 이용할 수 있는 수단’의 해석 기준에 관한 것이다. GDPR은 온라인 식별자를 개인정보의 한 유형으로 보아 이 문제를 입법적으로 해결하고 있다. GDPR 상 IP주소는 쿠키ID, RFID 태그 등과 함께 대표적인 온라인 식별자에 속한다. 이 경우 온라인 식별자의 정의에서는 고정 IP주소와 유도 IP주소를 구분하지 않는다. ⁽²³⁾GDPR은 Breyer 판결(2016년)이 내려진 2년 후인 2018년부터 시행되고 있지만 GDPR 시행 이후에도 IP주소의 식별성 판단에 관한 이 판결의 분석·접근 방법은 유효할 것이라는 것이 EU 학자들의 판단이다.

 

유럽민사법원은 명시적으로 밝히지는 않았으나 개인정보 식별성 판단의 기준으로 상대설·주관설을 취하고 있다. 상대설은 절대설에 비하여 일관성이 부족하고 개인정보처리자로 하여금 임의의 제3자가 정보주체를 식별할 수 있는 추가정보를 보유하고 있거나 보유할 수 있는지 여부 그리고 그 제3자로부터 자신이 추가정보를 합리적으로 입수할 가능성이 있는지 여부까지 고려해야 한다는 짐을 지우는 단점이 있다. 그러나 개인정보의 활용 측면에서 볼 때 굳이 사생활 침해 가능성이 없거나 극히 낮은 경우까지 개인정보로 보아 규제를 가할 필요는 없을 것이다. 절대설이 한번 개인정보이면 언제, 어디서나, 누구에게서나 항상 개인정보로 본다는 측면에서 일관성이 있고 정보주체의 사생활을 더 잘 보호할 수 있는 것처럼 보이나, 정보주체의 사생활 보호 측면에서는 실질적으로 상대설과 차이가 없다.

 

우리나라의 개정 개인정보 보호법 제58조의2는 소위 “익명정보” 또는 “익명조치”를 정의하면서 개정안 초안에서는 식별성의 판단주체를 개인정보처리자로 명시하였으나⁽²⁴⁾ 최종안(위원장 대안)에서는 해당 부분을 삭제하여 유럽연합 GDPR이나 미국 CCPA처럼 식별성의 판단주체를 아예 언급하지 않고 있다. 그럼에도 불구하고 WP29⁽²⁵⁾와 GDPR Recital 26은 식별성의 판단주체를 ‘개인정보처리자 또는 임의의 제3자(either by the controller or by another person )’라고 명시하고 있다. 다만, 제3자를 기준으로 식별성을 판단할 때에는 임의의 제3자가 ‘합리적으로 이용할 수 있는 모든 수단’을 고려해서 정보주체의 식별이 가능한지 여부를 판단해야 할 뿐만 아니라, 그것만으로는 부족하고 다시 개인정보처리자가 그 제3자로부터 추가정보를 입수할 수 있는 법적 수단 또는 실질적 수단을 가지고 있는지 여부를 판단해야 한다는 것이 상대설 또는 유럽민사법원의 입장이다.

 

결국 상대설은 식별성은 개인정보처리자의 입장에서 판단하되 개인정보처리자가 임의의 제3자를 통해서 추가정보를 합리적으로 입수할 수 있는지 여부까지 고려해야 한다는 것으로 해석할 수도 있다. 다만, 임의의 제3자에 수사기관 등의 법집행기관까지 포함시킴으로써 사실상 절대설과 큰 차이가 없게 되었다는 비판을 받을 수 있을 것이다. 또한, 유럽민사법원은 제3자로부터 추가정보를 합리적으로 입수할 수 있는지 여부를 판단하는 기준으로 i) 법률이 식별을 금지하고 있는 경우, ii) 시간, 비용, 노력 등을 고려했을 때 사실상 식별이 불가능한 경우 등 두 가지 기준을 제시하고 있다. 상황에 따라서 또한 법률에 따라서 식별성이 여전히 유동적이고 판단기준이 모호하다는 한계가 있으나 개정 개인정보 호보법의 개인정보 정의 규정(제2조제1호) 또는 익명조치 규정(제58조의2)의 해석에 있어서 충분히 참고할 수 있을 것으로 보인다.

 

 

 

 

 

 

 

[참고문헌]

1. Court of Justice of the European Union, Patrick Breyer v Bundesrepublik Deutschland, Judgment in Case C-582/14, Luxembourg, 19 October 2016
2. Court of Justice of the European Union, SCARLET EXTENDED SA V. SOCIETE BELGE DES AUTEURS, COMPOSITEURS ET EDITEURS SCRL (SABAM), Judgment in CASE C-70/10, 24.Nov.2011.
3. Frederik Zuiderveen Borgesius, Breyer Case of the Court of Justice of the European Union: IP Addresses and the Personal Data Definition (Case Note), European Data Protection Law Review 2017, Volume 3, Issue 1, 7 Jun 2017
4. Eduardo Ustaran, The Ever-Expanding Concept of Personal Data, Chronnicle of Data Protection, Hogan Lovells, October 21st, 2016
5. Alan S. Reid, The European Court of Justice case of Breyer, Sheffield Hallam University Research Archive, 2017
6. Martin Munz/Tim Hickman/Matthias Goetz, Court confirms that IP addresses are personal data in some cases, WHITE & CASE, 31 OCT 2016;
7. Fabian Niemann/Lennart Schüßler, CJEU decision on dynamic IP addresses touches fundamental DP law questions, Bird & Bird, 10. 2016
8. Monika Kuschewsky, European Union court rules that IP addresses are personal data, PRIVACY LAWS & BUSINESS INTERNATIONAL REPORT, DEC. 2016, p.11
9. Robert Nespurek, Richard Otevřel and Monika Matysová, European Union: Breyer Ruling, And Dynamic IP Addresses As Personal Data, 28 February 2018, Havel & Partners,
10. WP29, Opinion 4/2007 on the concept of personal data, 20 June 2007 ; WP29, Opinion 05/2014 on Anonymisation Techniques, 10 April 2014
11. WP29, Privacy on the Internet – An integrated EU Approach to On-line Data Protection – , 21.11.2000, p.21 ; WP29, Opinion 4/2007 on the concept of personal data, 2007,
12. WP29, ‘Opinion 16/2011 on EASA/IAB Best Practice Recommendation on Online Behavioural Advertising’, 8 December 2011, p. 8. ;
13. WP29, 4/2007 on the concept of personal data’, 20 June 2007; WP29, ‘Opinion 1/2008 on data protection issues related to search engines’, 4 April 2008.
14. EU General Data Protection Regulation(2018)
15. EU Data Protection Directive(1995)
16. 국회, 개인정보보호법 개정안(인재근의원 대표 발의), 2018.11.15.