[법무법인 민후 김경환, 최주선 변호사] ‘개념서술형’은 개인정보에 대한 상세한 개념을 제시하되, 직접적으로 개인을 식별할 수 있는 정보와 간접적으로 개인을 식별할 수 있는 정보로 양분하면서 그 개념을 제공하고 있는 유형이다.
대표적으로 EU의 GDPR(General Data Protection Regulation)이 이러한 형태를 취하고 있는바, 개념형의 기술에 덧붙여 직접 또는 간접으로 개인을 식별할 수 있다는 내용을 담고 있다. 즉 ‘개인정보는 식별자 또는 정체성에 관한 하나 이상의 요소를 참조하여 식별할 수 있는 개인에 관한 정보를 의미하며, 식별은 직접적으로 또는 간접적으로 이루어질 수 있음’을 기술하고 있다.
위 정의규정은 개인정보를 먼저 정의하고 그 다음에 정보주체를 정의함으로써 개인정보에 관한 정의를 완성하고 있다. 다만 GDPR 최종안과 달리 GDPR 초안에서는 특이하게 정보주체를 먼저 정의하고 그 다음에 개인정보를 정의하는 형식을 취하였는데, 최종안에는 그 순서가 다시 평범하게 역전되었다.
참고로 GDPR 이전의 EU의 개인정보 지침(95/46/EC)에서는 식별자에 관하여 ‘식별번호’만을 언급하였는데, GDPR 초안에서는 식별자가 ‘식별번호, 위치정보, 온라인 식별자’로 확장되었다가, GDPR 최종안에서는 ‘이름’이 추가로 기술되었다.
어쨌든 위 정의규정은 개인정보에 관하여 직접적으로(directly) 개인을 식별할 수 있는 정보와 간접적으로(indirectly) 개인을 식별할 수 있는 정보로 구별하고 있다.
직접적으로 개인을 식별할 수 있는 정보는 정보가 ‘정보주체’ 자체에 관한 직접적인 정보 이면서 식별성이 있는 정보 또는 곧바로 특정 개인을 다른 사람과 구별할 수 있는 식별자 정보인 경우로서, 예컨대 어떤 제한된 모임에서의 특정인의 이름은 그 사람 자체에 관한 직접적인 정보인 동시에 식별성을 부여하는 정보이므로 직접적으로 개인을 식별할 수 있는 정보라 할 수 있다(‘직접 정보 → 식별 정보’의 2단계 판단 구조임).
이러한 직접적으로 개인을 식별할 수 있는 정보를 검토할 때 주의할 점은, 특정인의 이름은 무조건 식별성을 가지는 정보로서 개인정보인 것은 아니라는 것이다. 특정인의 이름이 개인을 식별할 수 있는 정보가 되는지는 상황에 따라 다를 수 있는바, 동명이인이 있는 경우에는 특정인의 이름이라도 개인을 식별할 수 있는 정보가 되지 않을 수 있다.
간접적으로 개인을 식별할 수 있는 정보는 정보주체 자체에 관한 직접적인 정보는 아니지만 정보주체를 식별할 수 있는 정보로 쓰일 수 있는 경우를 의미한다. 예컨대 휴대폰 전화번호는 기기에 관한 정보이지 정보주체(사람) 자체에 관한 정보가 아니기에 직접적으로 개인을 식별할 수 있는 정보는 아니지만 경우에 따라서는 정보주체에 대한 식별성을 부여할 수 있으며, 이런 경우 휴대폰 전화번호는 간접적으로 개인을 식별할 수 있는 정보가 된다.
또 다른 예로 곧바로 특정 개인을 다른 사람과 구별할 수 있는 식별자 정보는 아니지만 여러 조각을 모으면 특정 개인을 구별할 수 있게 되는 경우가 있는데 이 경우 역시 간접적으로 개인을 식별할 수 있는 정보라 한다. 예컨대 1학년 3반에서 ‘키 큰 아이’라고 하면 그 자체로 식별성을 가지고 있지 않지만 여기에 ‘남자, 여드름 많은 아이’ 등의 정보가 결합되면 그 조각의 모음으로 특정 개인을 구별해 낼 수 있는 식별성을 띠게 되며, 이 때 이러한 정보의 모음도 간접 식별정보라 한다.
한편 EU GDPR의 개인정보 정의규정에서는 ‘이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier) 또는 그 사람의 물리적·심리적·유전적·정신적·경제적·문화적·사회적인 정체성(identity)에 특정된 하나 이상의 요소를 참조하여 직접 또는 간접으로(directly or indirectly) 식별될 수 있는’이라고 기술하고 있는데, 그 의미를 살펴볼 필요가 있다.
위 문구는 특정 정보가 개인을 식별할 수 없는 정보일 때 의미가 있다. 예컨대 ‘키 175cm라는 사람’이라는 정보가 있을 때 이 정도 정보로는 특정 개인을 식별할 수 없다.
하지만 이를 개인정보가 아니라 단정할 수 없는바, ‘이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier)’를 참조하면 특정 개인을 식별할 수 있기에 개인정보가 될 수 있다.
또는 ‘그 사람의 물리적·심리적·유전적·정신적·경제적·문화적·사회적인 정체성(identity)에 특정된 하나 이상의 요소를 참조하면’, 예컨대 ‘주소’ 또는 ‘전화번호’ 등의 정보를 참조하면 특정 개인을 식별할 수 있기에 능히 개인정보가 될 수 있다.
즉 이 세상에서 특정 개인에 관한 정보이면 개인정보가 되는 것이고, 이것이 바로 개인정보의 개념이다. 사실상 인간에게 의미있는 상당수의 정보는 개인들과 조금이라도 관련된 정보일 수밖에 없기 때문에, 이러한 관점에서 생각하면 개인정보의 개념은 매우 넓게 설정되어 있다고 볼 수 있다. 특정 정보 하나만으로는 특정 개인을 식별할 수 없더라도 그 정보의 출처가 개인인 이상 그것은 개인에 관한 정보로서 개인정보의 개념에 포섭되는 것이다.
하지만 중요한 것은, 이미 살펴보았듯이, 이렇게 폭넓은 개인정보 개념 중에서 법으로 보호받는 범위를 설정함에 있어서는 별도의 기준이 적용된다는 것이다.
위 EU GDPR의 경우에는, 개인정보 정의규정에는 개인정보의 개념만 나와 있고 그 개념 중 법으로 보호받는 범위에 관한 판단기준은 제시되어 있지 않지만, GDPR의 리사이틀 또는 EU의 제29조 작업반에서 발간한 해설서("Opinion 4/2007 on the concept of personal data") 등에 법적 보호범위의 판단기준이 설명되어 있다.
먼저 리사이틀의 내용을 그대로 옮기면 아래와 같다.
개인정보의 판단기준에 있는 ‘식별가능’의 판단기준에서 주의할 용어는 1) all the means to be used either by the controller or by any other person(개인정보처리자 또는 제3자에 의해 사용되는 모든 수단), 2) likely reasonably(합리적으로 가능하다고 생각되는)이다.
위 내용에 대하여 위 해설서는 중요한 쟁점들을 설명하고 있다.
첫째, 식별가능하다는 것은, 그 개인을 구별해 낼 수 있다는 추상적인 가능성을 의미하는 것이 아니라, 그 개인정보처리자 또는 그 사람이 그 개인을 구별해 낼 수 있다는 구체적인 가능성을 의미한다는 것이다. 즉 그저 그 개인을 구별해 낼 가정적인 가능성만으로는 그 개인이 ‘식별할 수 있는’ 상태라고 보기에 충분하지 않다는 것을 의미한다.
이는, 만연히 추상적·관념적 식별가능성이 아니라 구체적·현실적 식별가능성이 존재해야만 식별가능성이 인정된다는 의미이다.
둘째, 특정 개인정보처리자 또는 특정인이 그 개인을 구별해 낼 구체적·현실적인 가능성이 있었는지 여부를 판단할 때에는, 그 개인정보처리자 또는 그 사람이 사용할 수 있는 모든 수단을 고려하여 판단하여야 한다는 점을 알 수 있다.
수단의 예로는, 비용, 기술, 시간, 다른 개인정보 등이 있을 수 있다.
셋째, 수단이 합리적으로 이용됨을 전제로 식별 여부를 결정하여야 한다. 즉 비용, 시간, 인력, 기술, 다른 개인정보 등이 합리적으로 이용됨을 전제로 식별 취득 여부를 결정하여야 한다.
정리하면, ‘합리적으로 식별할 수 있는’이라는 것은 1) ‘개인정보처리자’ 또는 ‘정보주체가 아닌 제3자’에 속하는 자가 2) 자신이 합리적으로 가능한 모든 수단을 이용하여 3) 정보주체를 구별할 구체적인 가능성을 취득하는 경우를 가리킨다.
개념서술형(EU형)으로 분류할 수 있는 국가들은 매우 많은바, 그 구체적인 내용은 아래 표와 같다.