Ⅰ. 들어가는 글

개인정보보호법에 의해서 보호를 받는 개인정보의 범위는 어디까지인가? 바꿔 말해 기업과 공공기관이 정보를 수집, 이용, 제공, 보관 등을 할 때 개인정보보호법에 따라 보호해야 할 정보의 범위는 어디까지인가? 기술과 산업의 급격한 디지털화로 언젠가부터 우리사회에 “데이터 경제”라는 말이 낯설지 않게 들리지만 데이터 경제의 핵심 자원인 개인정보의 개념과 범위에 대해서는 아직도 오리무중이며 법률적·사회적으로 합의에 이르지 못하고 있다.

특히 디지털 환경에서는 수많은 기기정보와 온라인 행태정보, 온라인 식별정보, 온라인 연락정보, 광고 식별자(ID), 쿠키정보, 추적·추론정보 등 다양한 형태의 디지털 정보가 생산·생성되고 있지만 이들 정보가 모두 개인정보보호법의 보호대상인지, 보호대상이라면 어느 경우까지 수집, 이용, 제공, 보관 등이 허용되는지에 대해서 많은 의문이 제기된다. 이에 따라 디지털 선진국들은 법령의 제·개정, 의견서, 해설서, 가이드라인 등을 통해 이에 대한 해답을 제시함으로써 소모적인 논쟁을 피하고 있다.

본고는 디지털 선진국이라 할 수 있는 미국, 유럽, 일본에 있어서 개인정보의 개념과 범위를 비교·분석해 봄으로써 우리나라에 미치는 시사점을 도출하는 것을 목적으로 한다.

Ⅱ. 국가별 개인정보의 정의 및 범위

1. 미국

미국은 연방 및 주 정부기관이 취급하는 개인정보에 대해서는 일찍부터 연방 및 주의 사생활보호법(Privacy Act)을 제정해 시민의 개인정보를 포괄적으로 보호하고 있다. 그러나 일반회사, 금융회사, 병·의원 등 민간부문이 처리하는 개인정보에 대해서는 일반법을 제정하지 않고 판례법과 짜집기식(patchwork)으로 제정된 분야별 개별법, 공정거래위원회법(FTC ACT 제5조) 등에 의존하고 있다.

이에 따라 개인정보의 개념 및 범위에 관하여 일반적으로 통용되는 정의규정은 존재하지 않는다. 각각의 법률마다 해당 법률의 적용대상이 되는 정보의 범주를 규율하고 있을 뿐이다. 다만, 사실상 민간부문의 개인정보보호정책을 총괄하는 연방공정거래위원회(FTC)가 발간한 여러 가이드라인, 보고서 등을 통해서 그 대략을 짐작할 수 있고, 「아동 온라인 프라이버시 보호법(COPPA, 1998)」과 「캘리포니아 소비자 프라이버시법(CCPA, 2018)」을 통해서 연방과 주법의 입법 경향을 파악할 수 있다.

가. FTC 온라인 행태광고 자율규제 원칙

온라인 행태광고 자율규제 원칙(Self-Regulatory Principles For Online Behavioral Advertising, 2009)은 추적, 표적 등의 기술을 이용한 맞춤형 광고로부터 소비자의 프라이버시를 보호하기 위해 FTC가 발간한 실무 보고서이다. 소비자의 온라인 활동을 추적하는데 이용할 수 있는 기술에는 쿠키 이외에도 웹 버그, 웹 비콘, 플래시 쿠키 등 다양한 기술이 존재한다. 보고서는 이와 같은 기술을 이용해 수집된 정보가 식별정보(PII)인지 비식별정보(Non-PII)인지 구분하지 않고 모든 유형의 온라인 행태정보 및 행태 광고에 적용되는 것으로 하고 있다.

연방거래위원회(FTC)는 그 이유로 정보를 식별정보 대 비식별정보로 구분해서 보려는 전통적인 접근방법은 점점 의미를 상실해 가고 있으며 그와 같은 2분법적 구분 방식을 통해서 소비자에 관한 정보의 보호 여부를 결정하는 것은 불합리하다고 한다. 식별정보와 비식별정보를 명확히 구분하는 것이 어려워짐에 따라 회색지대인 제3의 카테고리 정보가 존재한다는 것을 인정하지 않을 수 없고 개인을 식별하기 어려운 정보라고 해서 반드시 프라이버시 문제가 발생하지 않는 것도 아니라는 것이다.⁽¹⁾

예컨대, 익명으로 수집한 행태정보도 추후 소비자가 웹사이트 등록시 입력한 이름, 주소, 그 밖의 정보와 결합될 수 있고, IP주소는 전통적으로 식별성이 없는 것으로 보아 왔으나 디바이스를 통해 특정 개인과 연계될 수 있으며, 어떤 소비자가 방문한 식당과 가게, 살고 있는 지역의 재산적 가치, 인터넷 검색정보 (건강상태, 처방의약품 등) 등은 그를 식별하지 않고도 추적이 가능하고, 가정 내에서 컴퓨터, TV 등 IoT 기기를 공유하는 가계가 많아짐에 따라 맞춤형 광고가 가족 간에 성적지향 등에 대한 비밀을 노출시킬 수 있다는 것이다.

이에 따라 FTC는 전통적으로 식별정보와 비식별정보로 구분하고 “식별정보(PII)”란 ‘이름, 우편주소, 이메일주소, 사회보장번호, 운전면허번호 등과 같이 특정 개인과 연계될 수 있는 정보’를 의미하고 “비식별정보(Non-PII)”란 ‘더 이상 특정 개인을 식별할 수 없는 익명화된 정보’를 의미하는 것으로 해석해 왔으나⁽²⁾, 오늘날에는 기술발전으로 식별정보와 비식별정보를 구분하는 것이 현실적으로 어렵다는 것을 인정하고 소비자의 사생활에 영향을 미칠 수 있는지 여부에 따라 보호 여부도 결정해야 한다는 입장을 취하고 있다.

FTC의 이 같은 입장은 최근 빅데이터 분석 기술의 발달로 더욱 확고해 지고 있다. FTC는 빅데이터 기술이 식별정보와 비식별정보의 구분을 더욱 어렵게 하고 있다고 지적하고, 어떤 정보가 특정 개인은 물론 특정 컴퓨터 또는 특정 디바이스와 합리적으로 연결(link)될 수 있으면 그 정보는 식별정보로 간주해야 한다는 입장을 취하고 있다. 이에 따르면 디바이스 식별자, MAC 어드레스, 고정 IP주소, 쿠키, 포인트카드 회원번호 등과 같은 이른바 “지속식별자(persistent identifiers)”는 모두 식별정보로 보게 된다.⁽³⁾ 회색지대의 정보로 보던 정보까지 식별정보로 보겠다는 것이다.

다만, “지속 식별자”를 개인정보로 보더라도 FTC 프라이버시 프레임워크 하에서는 수집, 이용 및 제공에 대해서 소비자의 사전 동의(opt-in)를 받을 필요는 없다. 건강정보, 금융정보, 바이오정보, 아동정보, 위치정보 등과 같은 민감정보의 수집, 이용 및 제공에 대해서는 사전 동의(opt-in)가 권장되지만, 지속 식별자와 같은 개인정보에 대해서는 수집 전에 옵트 아웃(opt-out) 기회를 제공하는 것으로 충분하다.

나. 아동 온라인 프라이버시 보호법

아동 온라인 프라이버시 보호법(Children’s Online Privacy Protection Act, 1998)은 온라인상에서 13세 미만 아동의 개인정보를 수집·이용할 때 아동의 프라이버시를 보호하기 위해 제정된 연방 개인정보보호법이다. COPPA에서 “개인정보(Personal information)”란 온라인상에서 수집된 개인에 관한 식별 가능한 정보를 의미하며, 이에는 다음 각 호의 정보가 포함된다(§6501(8)).

(A) 성과 이름

(B) 시·군 이름과 거리 이름이 포함된 주택 등의 물리적 주소

(C) 전자우편 주소

(D) 전화번호

(E) 사회보장번호

(F) 온라인이나 오프라인에서 특정 개인과 연락(접촉)할 수 있는 정보로써 FTC가 지정한 식별자

(G) 웹사이트가 온라인상에서 아동으로부터 수집해 본조의 다른 식별자와 결합한 정보로써 아동 또는 그 부모에 관한 정보

한편, 아동 온라인 프라이버시 보호 규칙(Children’s Online Privacy Protection Rule)은 “개인정보”란 ‘다음 각 호의 정보를 포함하여 온라인상에서 수집된 특정 개인에 관한 식별 가능한 정보를 의미한다’고 정의하면서 아래와 같은 정보를 개인정보의 범위에 포함시키고 있다(§312.2).

(1) 성과 이름

(2) 시·군 이름과 거리 이름이 포함된 주택 등의 물리적 주소

(3) 온라인 연락 정보(Online contact information). 이 경우 “온라인 연락 정보”란 인스턴트 메시지 이용자 ID, VoIP(Voice over Internet Protocol) ID, 화상 채팅 이용자 ID 등을 포함해(이들 정보로 한정하는 것은 아님) 온라인 이용자와 직접 연락(접촉)을 가능하게 해주는 전자우편 주소 또는 그 밖에 이와 실질적으로 유사한 식별자를 의미한다.

(4) 온라인 연락 정보와 동일한 방식으로 기능을 수행하는 스크린 이름 또는 이용자 이름(screen or user name). 처음에는 스크린 이름 또는 이용자 이름이 이용자의 전자우편 주소를 노출시킨 경우에만 개인정보로 보았으나 2013년 규칙 개정으로 온라인 연락 정보로 기능을 하면 무조건 개인정보로 보는 것으로 확대하였다.⁽⁴⁾

(5) 전화번호

(6) 사회보장번호

(7) 지속식별자(persistent identifier). 이 경우 “지속식별자”란 시간이 흘러도 다른 웹사이트나 온라인 서비스를 넘나들며 이용자를 인식하기 위해 이용될 수 있는 정보를 말한다. 지속식별자에는 쿠키에 저장된 고객번호(customer number), 인터넷 프로토콜(IP) 주소, 프로세서 또는 디바이스의 일련번호, 고유한 디바이스 ID를 포함하지만 이에 국한되지는 않는다. 처음에는 지속식별자가 개인식별정보와 결합되어 있는 경우에만 개인정보로 보았으나 2013년 규칙 개정으로 온라인상에서 이용자를 인식하기 위해 이용될 수 있으면 모두 개인정보로 보는 것으로 확대되었다.⁽⁵⁾

(8) 아동의 이미지 또는 목소리가 포함된 사진, 비디오 및 오디오 파일

(9) 시·군 이름과 거리 이름을 식별하기에 충분한 지리적 위치 정보

(10) 웹사이트 운영자가 온라인상에서 자녀로부터 수집해 본조의 다른 식별자와 결합한 정보로써 자녀 또는 그 부모에 관한 정보.

이상의 정보는 특정 개인을 식별할 수 있는 상태에 있는 한 그 자체만으로(stand-alone) 개인정보로 본다.

다. 캘리포니아 소비자 프라이버시법

캘리포니아 소비자 프라이버시법(California Consumer Privacy Act, 2018)은 캘리포니아주에서 민간 부문의 개인정보보호에 관한 일반법으로서 역할을 수행하며 빅데이터, 프로파일링, 인공지능(AI) 등 최근의 기술발전을 반영하고 있는 가장 최근의 법률로 개인정보의 개념과 범위에 대해서 매우 구체적이고 현대적인 정의를 두고 있다. CCPA는 “개인정보(personal information)”를 ‘직·간접적으로 특정 소비자 또는 가계를 식별하거나, 설명하거나, 관련(relates)되어 있거나, 합리적으로 연관(associated) 또는 연결(linked)될 수 있는 정보를 의미한다’고 정의하고 있다. 다음 각 호의 정보들이 특정 소비자 또는 가계를 식별하거나, 설명하거나, 관련되어 있거나, 합리적으로 연관 또는 연결될 수 있는 한 개인정보에 포함된다. 그러나 이들 정보에 한정되지는 않는다(1798.140.(o)(1)).

(A) 식별자(identifier) : 실명, 별명(alias), 우편주소, 고유식별자(unique personal identifier), 온라인 식별자, 인터넷 프로토콜(IP) 주소, 이메일 주소, 계정 이름, 사회보장번호, 운전면허번호, 여권번호, 그밖에 이와 유사한 식별자

(B) 캘리포니아 민법전(Civil Code) §1798.80 (e)에 기술된 개인정보의 유형⁽⁶⁾

(C) 캘리포니아법 또는 연방법에 따라 보호를 받는 특별계층(classifications)의 특성⁽⁷⁾

(D) 상업적인 정보 : 개인의 재산에 관한 기록, 구매하거나 취득하거나 구매를 고려중인 제품 또는 서비스 그 밖의 구매 또는 소비 이력 또는 경향에 관한 기록 등

(E) 생체 정보(Biometric information)⁽⁸⁾

(F) 인터넷 또는 그밖의 전자네트워크 활동 정보 : 인터넷 사용(브라우징) 기록, 검색 기록, 인터넷 웹사이트/응용 프로그램/광고와 소비자의 상호작용에 관한 정보 등을 포함한다. 다만, 이에 한정되는 것은 아니다.

(G) 지리적 위치 데이터(Geolocation data)

(H) 음향정보, 전자적 정보, 시각정보, 열(온도) 정보, 후각 정보, 그 밖에 이와 유사한 정보

(I) 직업(Professional) 관련 정보 또는 고용 관련 정보.

(J) 교육정보 : 「가족교육권리 및 개인정보보호법」 (20 U.S.C. Sec. 1232g; 34 C.F.R. 99)에 정의된 바와 같이 공개적으로 이용이 가능한 개인식별정보가 아닌 정보

(K) 추론 : 소비자의 선호, 성격, 심리적 경향, 성향, 품행, 태도, 지능, 능력, 적성 등이 반영된 소비자에 관한 프로파일을 생성하기 위해 본조에서 규정한 다른 식별 가능한 정보로부터 도출된 정보

또한, CCPA는 온라인 환경에서 가장 많이 이용되고 있는 “고유식별자”에 관해서도 별도의 정의를 두고 있다. “고유식별자(Unique identifier or Unique personal identifier)”란 시간이 흐름에도 불구하고 다양한 서비스에 걸쳐서 소비자, 가족, 소비자 또는 가족과 연결된 단말기를 인식하는 데 사용할 수 있는 지속식별자를 의미한다. 이에는 단말기 식별자(device identifier), 인터넷 프로토콜(IP) 주소, 쿠키·비콘·픽셀태그·모바일광고ID 및 이에 유사한 기술, 고객번호(customer number)·고유한 별명·이용자 닉네임, 전화번호, 특정 소비자 또는 단말기를 식별하는데 사용할 수 있는 그 밖의 형태의 영구적 또는 확률적 식별자(persistent or probabilistic identifiers)가 포함되지만 이에 한정되지 않는다(1798.140.(x)). 여기서 “확률적 식별자(probabilistic identifiers)”란 개인정보의 정의에 열거된 정보나 이와 유사한 형태의 개인정보에 기초하지 않고 “개연성”의 정도를 가지고 소비자 또는 단말기를 식별하는 것을 의미한다.

그러나 공개적으로 이용이 가능한 정보와 비식별화된 소비자 정보 또는 소비자 정보를 총계화된 정보는 개인정보에 포함되지 않는다. “공개적으로 이용 가능한 정보”란 연방, 주, 지방 정부의 기록에서 합법적으로 이용이 가능한 정보만을 의미한다. 예컨대, 소비자가 모르는 상태에서 사업자가 소비자에 관해서 수집한 생체정보는 공개적으로 이용이 가능한 정보에 포함되지 않는다(1798.140.(o)(2)&(3)). “비식별화된 정보”란 특정 소비자를 합리적으로 식별할 수 없거나, 관련(relate)지울 수 없거나, 설명할 수 없거나, 직·간접적으로 연관(associated) 또는 연결(linked)할 수 없는 정보를 의미한다. 이 경우 비식별화된 정보를 이용하는 사업자는 다음과 같은 조치를 해야 한다(1798.140.(h)). 첫째, 해당 정보와 관련된 소비자의 재식별을 금지하는 기술적 보호조치를 시행할 것. 둘째, 해당 정보의 재식별을 구체적으로 금지하는 비즈니스 프로세스를 구현할 것. 셋째, 비식별 정보의 우발적인 공개를 방지하기 위한 비즈니스 프로세스를 구현할 것. 마지막으로, 해당 정보를 재식별하려고 하는 어떠한 시도도 하지 않을 것이다.

그밖에 CCPA는 가명조치에 대해서도 정의를 두고 있는데 “가명화(Pseudonymize or Pseudonymiza-tion)”란 추가정보를 이용하지 않고는 해당 개인정보를 더 이상 특정 소비자에게 귀속시킬(attributable) 수 없는 방식으로 개인정보를 처리하는 것을 의미한다. 이 경우 추가정보는 해당 개인정보가 식별되거나 식별될 수 있는 소비자에 귀속되지 않도록 보장하기 위해 별도로 분리해서 저장되어야 하고 기술적·관리적 조치가 취해져야 한다.(1798.140.(r))⁽⁹⁾

2. 유럽연합

가. GDPR의 정의

유럽연합 GDPR은 “개인정보”란 ‘식별된 또는 식별가능한 자연인(정보주체)과 관련한 모든 정보를 의미 한다’고 정의하고 있다. 이 경우 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름, 식별번호( identification number), 위치정보, 온라인 식별자 등과 같은 식별자(identifier)를 참조하여 또는 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적, 사회적 정체성(identity)에 특유한 하나 이상의 요소를 참조하여 식별될 수 있는 자이다.

이와 같이 GDPR은 미국의 COPPA나 CCPA와 같이 개인정보의 유형과 범위를 구체적으로 규율하지 않고 추상적으로만 규정하고 있다는 점이 특징이다. 대신, Recital, 의견서, Q&A 등을 통해서 개인정보의 개념과 범위를 구체화하고 있다. GDPR에서는 특정 개인에 관한 정보인 한 그 정보의 내용, 성질, 형태를 불문하고 모든 정보가 개인정보에 해당한다. 정보의 내용이 나이, 혈액형 등과 같은 객관적 정보이든 의견, 평가 등과 같은 주관적 정보이든 묻지 않으며 해당 정보가 진실하거나 입증가능한 것인지 거짓 또는 오류의 정보인지를 묻지 아니한다.⁽¹⁰⁾ 가정 내에서의 은밀한 정보뿐만 아니라 직업, 근로관계, 경제적·사회적 행동 등에 관한 정보도 포함되며 공개된 정보도 개인정보에 포함된다.⁽¹¹⁾

GDPR은 식별성을 평가하기 위한 정보의 유형을 식별자와 정체성으로 구분하고 있다는 점이 특징이라고 할 수 있다. 식별자 중 하나인 온라인 식별자는 정보주체가 누구인지 알 수 없더라도 온라인상에서 특정 개인을 추적하거나 연계할 수 있는 정보로 넓게 해석되고 있다. GDPR Recital은 “온라인 식별자”란 IP 주소, 쿠키ID, RFID태그 등과 같이 디바이스, 응용프로그램, 툴, 프로토콜 등에 의해서 제공되는 정보를 의미한다고 설명하고 있다.⁽¹²⁾ EU집행위원회는 IP주소, 쿠키ID, RFID태그 외에 휴대전화의 광고ID도 온라인 식별자로 보고 있다.

또한, EU집행위원회는 성과 이름, 집주소, 전자우편주소([email protected]), 신분증번호, 위치정보 등을 개인정보로 보고 있으며, 병원이나 의사가 환자를 식별하기 위해 고유하게 부여한 기호(symbol) 등도 모두 개인정보로 보고 있다. 반면, 사업자등록번호, 개인이 아닌 회사의 대표 전자우편주소([email protected]), 익명정보 등은 개인정보로 보지 아니한다.⁽¹³⁾

나. 유럽법원 및 WP29의 입장

유럽법원은 고정 IP주소는 물론 유동 IP주소(dynamic IP)도 개인정보에 해당함을 명확히 하고 있다. 웹사이트 운영자는 고정IP와 달리 유동IP의 경우 IP주소 뒤에 숨어있는 이용자를 식별할 수 없지만 유동 IP 주소를 분배하는 인터넷 접속서비스 제공자(Internet Access Provider)는 이용자를 식별할 수 있기 때문이다. 유럽법원은 사이버공격으로부터 시스템을 보호하기 위해 웹사이트 운영자가 방문자의 유동 IP주소를 수집해 보관한 것이 문제가 된 ‘Patrick Breyer v Bundesrepublik Deutschland 사건’에서 유동 IP주소도 개인정보에 해당한다고 보았다. ⁽¹⁴⁾유럽민사법원은 웹사이트 운영자가 수집한 유동 IP주소는 인터넷 접속 서비스 제공자(IAP)가 보유한 추가 정보를 이용하여 방문자를 식별할 수 있는 법적 수단(legal means)을 가지고 있는 한 개인정보를 구성한다고 판시했다. 웹사이트 운영자는 사이버공격 발생시 관할 당국에 연락을 취할 수 있고 이 경우 관할 당국은 인터넷 접속 서비스 제공자로부터 정보를 제공받기 위해 필요한 조치를 취하고 기소도 할 수 있기 때문에 웹사이트 운영자는 간접적으로 방문자를 식별할 수 있는 법적 채널이 있다는 것이다. 사실 이 판결 이전에도 유럽연합 WP29⁽¹⁵⁾는 유동 IP주소를 개인정보로 취급해 왔다.⁽¹⁶⁾ 인터넷 접속 서비스 제공자(IAP)는 자신이 누구에게 유동 IP주소를 분배했는지를 알 수 있기 때문에 인터넷 이용자를 식별할 수 있고, 인터넷 서비스 제공자도(ISP)도 HTTP 서버에 로그북(logbook)을 두고 있는 한 식별 가능성을 부정할 수 없으며, 온라인 저작권자도 소를 제기하면 IP주소를 이용해 저작권을 침해한 컴퓨터 이용자를 식별할 수 있다는 것이다.⁽¹⁷⁾

GDPR는 가명조치에 대해서도 별도의 규정을 두고 있다. “가명화”란 ‘추가정보(additional information)를 이용하지 않고는 개인정보를 더 이상 특정 정보주체에게 귀속시킬(attributed) 수 없는 방식으로 처리하는 것’을 의미한다. 이 경우 추가정보는 해당 개인정보가 식별되거나 식별가능한 자연인에게 귀속되지 않도록 보장하기 위해 별도로 보관되어야 하고 기술적·관리적 조치가 취해져야 한다(GDPR §4 (5)). 개인정보가 가명화, 암호화, 비식별화 등의 조치를 겪었더라도 특정 개인을 재식별하는데 이용될 수 있다면 그 정보는 여전히 개인정보에 해당하여 GDPR이 적용된다. 그러나 개인정보를 익명화하여 더 이상 특정 개인을 식별할 수 없게 했다면 그 정보는 개인정보로 보지 아니한다. 어떤 정보가 진정으로 익명정보로 인정받기 위해서는 익명화를 되돌릴 수 없어야 한다.

3. 일본

가. 개인정보보호법의 정의

일본 개인정보보호법은 “개인정보”를 ‘생존하는 개인에 관한 정보로서 다음 각 호의 어느 하나에 해당하는 것을 말한다’라고 정의하고 있다(제2조제1항).

(1) 해당 정보에 포함된 성명, 생년월일, 그 밖의 기술⁽¹⁸⁾ 등에 의해 특정 개인을 식별할 수 있는 것. 이 경우 다른 정보와 용이하게 대조(照合)할 수 있고 이에 따라 특정 개인을 식별할 수 있는 것을 포함한다.

(2) 개인식별부호가 포함되어 있는 것. 이 경우 “개인식별부호”란 다음 각 호의 어느 하나에 해당하는 문자, 번호, 기호, 부호 중 정령(政令)으로 정하는 것을 말한다(제2조제2항).

(1) 특정 개인의 신체 일부 특징을 컴퓨터용으로 제공하기 위해 변환한 문자, 번호, 기호 및 그 밖의 부호로서 특정 개인을 식별할 수 있는 것

(2) 개인에게 제공되는 역무의 이용이나 개인에게 판매되는 상품의 구입에 관하여 할당되거나, 개인에게 발행되는 카드, 그 밖의 서류에 기재되거나, 전자적 방식에 의해 기록된 문자, 번호, 기호 및 그 밖의 부호로서 그 이용자나 구입자 또는 발급받은 자마다 다르게 할당되거나 기재되거나 기록됨으로써 특정 이용자나 구입자 또는 발급받는 자를 식별할 수 있는 것.

이에 따라 정령은 ‘개인정보보호법 제2조제2항에서 정령에서 정한 문자, 번호, 기호 및 그 밖의 부호는 다음에 열거하는 것으로 한다’라고 규정하고 있다(제1조).

(1) 다음에 열거된 신체 특징 중 하나를 컴퓨터용으로 제공하기 위해 변환한 문자, 번호, 기호, 그 밖의 부호로서 특정 개인을 식별하기에 충분한 것으로서 개인정보보호위원회 규칙으로 정한 기준에 적합한 것

가. 세포에서 채취된 디옥시리보핵산(일명 DNA)을 구성하는 염기의 배열

나. 얼굴의 골격 및 피부색, 눈, 코, 입, 그 밖의 얼굴 부위의 위치 및 형상에 따라 정해지는 용모

다. 홍채 표면의 기복에 의해 형성되는 선상(線状) 모양

라. 발성 시 성대의 진동, 성문의 개폐 및 성도(声道)의 형상 및 그 변화

마. 보행 시의 자세 및 양팔의 동작, 보폭 및 그 밖의 보행 양태

바. 손바닥 또는 손등이나 손가락 피하의 정맥의 분기 및 끝점에 의해 정해지는 그 정맥의 형상

사. 지문 또는 장문

(2) 여권법 제6조제1항제1호의 여권번호

(3) 국민연금법 제14조에 규정하는 기초연금번호

(4) 도로교통법 제93조제1항제1호의 면허증번호

(5) 주민기본대장법 제7조 제13호에 규정된 주민표 코드

(6) 행정절차에 있어서 특정인을 식별하기 위한 번호의 이용 등에 관한 법률 제2조제5항에 규정된 개인번호

(7) 다음의 증명서에 그 발급받는 자마다 다르게 기재된 개인정보보호위원회 규칙으로 정해진 문자, 번호, 기호, 그 밖의 부호

가. 「국민건강보험법」 제9조 제2항의 피보험자증(증명서의 기호, 번호 및 보험자 번호)

나. 고령자의 의료 확보에 관한 법률제54조제3항의 피보험자증(증명서의 번호 및 보험자 번호)

다. 개호보험법 제12조제3항의 피보험자증(증명서의 번호 및 보험자 번호)

(8) 앞의 각호에 준하는 것으로서 개인정보보호위원회 규칙으로 정해진 문자, 번호, 기호, 그 밖의 부호⁽¹⁹⁾

이상에서 본 바와 같이 일본 개인정보보호법도 미국 CCPA, EU GDPR 등과 마찬가지로 개인정보의 정의에 “개인식별부호”라는 용어를 사용하고 있고 개인식별번호의 종류를 상세히 열거하고 있으나, 온라인 식별자에 대해서는 함구를 하고 있고 민간기업이 소비자나 이용자에게 고유하게 부여하는 고객번호 등에 대해서도 함구하고 있다. 따라서 온라인 식별자와 민간기업이 고유하게 부여하는 고객번호는 일본법상 “개인식별번호”에는 해당하지 않겠지만, 다른 정보와 용이하게 대조할 수 있고 이에 따라 특정 개인을 식별할 수 있다면 개인정보에는 해당할 수 있을 것이다.

그밖에도 일본 개인정보보호법은 개인정보에 대한 정의 이외에도 개인데이터, 보유 개인데이터, 요배려 개인정보, 익명가공정보 등의 정의를 두고 구분해서 사용하고 있으며 각각의 정보에 따라 개인정보처리자에게 부과되는 의무가 다르다.

나. 일본 개인정보보호위원회의 입장

일본 개인정보보호위원회가 작성한 「개인정보보호법 가이드라인(통칙편)」은 ‘개인에 관한 정보’란 이름, 주소, 성별, 생년월일, 얼굴 화상 등 개인을 식별하는 정보로 한정되지 않고, 개인의 신체, 재산, 직종, 직함 등의 속성에 관하여 사실, 판단, 평가를 나타내는 모든 정보가 포함되며, 평가 정보, 간행물 등에 공개되고 있는 정보, 영상·음성 정보도 포함되고, 암호화 등에 의해서 은닉화된 정보도 개인에 관한 정보에 포함된다고 설명하고 있다.⁽²⁰⁾ 또한, 일본 개인정보보호위원회는 개인정보에 해당하는 사례로 아래와 같은 정보들을 예시하고 있다.⁽²¹⁾

사례1) 본인의 성명

사례2) 생년월일, 연락처(주소·거소·전화번호·메일주소), 회사의 직위 또는 소속에 관한 정보로써 이들 정보와 정보주체의 이름을 조합한 정보

사례3) 방범카메라에 기록된 정보 등과 같이 정보주체가 판별될 수 있는 영상정보

사례4) 정보주체의 이름이 포함되는 등의 사유로 인해 특정 개인을 식별할 수 있는 음성 녹음 정보

사례5) 특정 개인을 식별할 수 있는 전자우편주소(다만, [email protected]과 같이 메일 주소만으로 example사에 소속된 ‘코진 이치로’의 메일 주소임을 알 수 있는 경우)

사례6) 개인정보 수집 후 해당 정보에 부가된 개인에 관한 정보(수집 시에는 생존하는 특정 개인을 식별할 수 없었다고 해도 수집 후 새로운 정보가 부가되거나 다른 정보와 대조한 결과 생존하는 특정 개인을 식별할 수 있는 경우에는 그 시점에서 개인정보에 해당한다.)

사례7) 관보, 전화번호부, 직원명부, 법령에 따른 공개서류(유가증권보고서 등), 신문, 홈페이지, SNS 등에 공개된 특정 개인을 식별할 수 있는 정보

이상의 사례들을 볼 때 일본 개인정보보호위원회는 어떤 정보가 식별 가능한 상태에 있다는 것만으로는 개인정보로 보지 아니하고 이름 또는 얼굴이 포함되어 있거나 이름 또는 얼굴이 새롭게 수집되어 특정 개인을 식별할 수 있는 시점에 이른 경우에 비로소 개인정보로 보는 것으로 이해된다.

그밖에 일본 개인정보보호위원회에 따르면 사망자에 관한 정보가 동시에 유족 등의 생존하는 개인에 관한 정보인 경우에는 해당 생존하는 개인에 관한 정보에 해당한다. 법인 및 단체는 ‘개인’에 해당하지 않으므로 법인 등의 단체 자체에 관한 정보는 ‘개인정보’에 해당하지 않지만, 임원, 종업원 등에 관한 정보는 역시 개인정보로 본다. 또한 ‘개인’에는 일본 국민뿐만 아니라 외국인도 포함된다. 개인정보보호위원회의 가이드라인 중 특히 중요한 의미를 갖는 것은 ‘다른 정보와 용이하게 대조할 수 있다’라는 것에 대한 해석이다. 다른 정보와 용이하게 대조할 수 있는 것인지 여부는 사업자의 실태에 따라 개별 사례별로 판단되어야 하지만, 통상적인 업무에서 일반적인 방법으로 다른 정보와 쉽게 대조(照合)할 수 있는 상태여야 한다고 한다. 예를 들어 다른 사업자에 대한 대조를 필요로 하는 경우 등으로 대조가 어려운 상태는 일반적으로 쉽게 대조할 수 없는 상태라고 해석된다는 것이다.⁽²²⁾

Ⅲ. 국내 개인정보보호법에 주는 시사점

1. 온라인식별자, 기기식별자 및 행태정보

미국의 COPPA와 CCPA, 유럽연합 GDPR은 식별성에 대한 소모적인 논란을 없애기 위하여 온라인식별자와 기기식별자를 명확히 개인정보의 정의에 포함하고 있다. 특히 미국 COPPA와 CCPA는 온라인 연락 정보, 온라인 고유식별자, 추론정보 등에 대한 구체적인 정의를 두고 있고, 미국 FTC는 온라인 행태정보를 이용한 맞춤형 광고에 자주 이용되는 디바이스 식별자, MAC 주소, IP주소 쿠키 등의 온라인 지속식별자를 모두 식별 가능한 개인정보(PII)에 포함시키고 있다. EU GDPR는 온라인 식별자나 기기식별자에 대한 별도의 정의 규정을 두고 있지는 않으나 공식 해설서(Recital), 의견서, Q&A 등을 통해 그 의미와 범위를 명확화 함으로써 해석상 발생할 수 있는 논란을 해소하고 있다. 일본 개인정보보호법은 법률 그 자체는 개인정보의 정의를 추상적이고 포괄적으로 규정하고 있으나 정령, 고시 등을 통해 개인정보의 범위 특히 개인식별부호의 의미를 구체화하고 있다.

우리나라의 개정 개인정보 보호법도 그동안 개인정보의 정의가 추상적이고 불분명하다는 산업계와 전문가의 비판을 반영하여 개인정보의 유형을 직접식별정보, 간접식별정보, 가명정보로 나누어서 새롭게 설계 하고 구체화를 시도하고 있다. 그러나 빅데이터 및 인공지능에서 가장 논란의 중심에 있는 온라인식별자, 기기식별자, 행태정보, 광고정보, 추론정보, 인터넷 브라우징 및 검색 기록, 인터넷 웹사이트/응용 프로그램/광고와 이용자의 상호작용에 관한 정보 등에 대해서는 함구하고 있다. 따라서 개정 개인정보 보호법의 개인정보 정의 규정만으로는 데이터 경제 시대에 새롭게 태어난 디지털 데이터와 관련된 개인정보 문제를 해결하기에는 역부족으로 보인다.

2. 식별성 판단의 주체, 기준 및 방법

미국의 COPPA와 CCPA, 유럽연합 GDPR, 일본 개인정보보호법은 식별성의 판단 주체나 기준 및 방법에 대해서 명확한 기준을 제시하지 않고 있다. 그러나 각국은 해설서 또는 가이드라인을 통해 식별성의 판단 주체, 기준 및 방법에 대하여 비교적 명확한 기준을 제시하고 있다. 미국 FTC는 식별정보와 비식별 정보의 구분이 현실적으로 어려움을 인정하고 해당 정보의 처리가 ‘소비자의 사생활에 영향을 미칠 수 있는지 여부’에 따라 보호 여부도 결정해야 한다는 입장을 취함으로써 식별주체를 객관화하고 있고, EU WP29는 ‘개인정보처리자 또는 임의의 제3자가 합리적으로 이용할 수 있는 모든 수단’을 고려해서 식별 가능한지 여부를 판단하도록 함으로써 제3자로까지 확대하고 있으며, 일본 개인정보보호위원회는 ‘다른 사업자에 대한 대조를 필요로 하는 경우에는 일반적으로 쉽게 대조할 수 없는 상태’로 보아야 한다고 함으로써 개인정보처리자 입장에서 판단하도록 하고 있다.

우리나라 개정 개인정보보호법은 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 개인정보의 한 유형으로 규정하면서 이 경우 쉽게 결합할 수 있는지 여부는 ‘다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려’하여야 한다고 규정함으로써 일응 식별성의 판단기준을 구체적으로 제시하고 있다고 볼 수 있다. 그러나 입수 가능성을 누구의 입장에서 판단해야 하는 것인지⁽²³⁾, 시간, 비용, 기술 등만 고려하면 되는 것인지 그 밖의 다른 요소들도 고려해야 하는 것인지, 알아본다는 것은 어느 정도(single out, linkability, inference)까지 알아야 식별이 가능한 상태라고 볼 수 있는지에 대해서는 명확하지 않다.

[참고문헌]

1. FTC Staff Report : Self-Regulatory Principles For Online Behavioral Advertising (Feb. 2009)
2. FTC Report, Online Profiling : A Report to Congress (June 2000)
3. Morrison Foerster, The Scope of “personally Identifiable Information Is Changing, 30 Aug 2016
4. Christin McMeley and John D. Seiver, 1st Circuit and FTC Address Definitions of ”PII“. While Michigan Amends Privacy Law to Remove Statutory Damages. 05.11.16., Davis Wright Tremaine LLP.
5. FTC, Complying with COPPA: Frequently Asked Questions, March 20, 2015

https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions

6. EU 개인정보보호 공식 홈페이지, What is personal data?, https://ec.europa.eu/info/law/law-topic/data-protection_en
7. Court of Justice of the European Union, Patrick Breyer v Bundesrepublik Deutschland, Judgment in Case C-582/14, Luxembourg, 19 October 2016
8. WP29, Privacy on the Internet – An integrated EU Approach to On-line Data Protection – , 21.11.2000
9. WP29, Opinion 4/2007 on the concept of personal data, 2007,
10. CJEU, Patrick Breyer v Bundesrepublik Deutschland Case
11. Children’s Online Privacy Protection Rule (COPPA)
12. California Consumer Privacy Act (CCPA)
13. General Data Protection Regulation (GDPR)
14. 일본 개인정보보호위원회, 個人情報の保護に関する法律についてのガイドライン（通則編）
15. 이창범, 가명정보에 있어서 “다른 정보”와 “추가정보”의 차이 및 가명처리의 대상과 범위, KISA REPORT 2020 VOL.5
16. 이창범, Breyer 판결의 의미와 개인정보 식별성 판단기준, KISA Report, 2020 VOL.7