IT 기술의 발전에 따라 모든 정보가 전산망에 실시간으로 복제·저장·유통되는 현대 사회에서, ‘개인정보’는 자유롭고 평등한 개인의 존엄한 정보로 존재할 수 있을까. 혹은 개인마저 파편화된 정보로 해체되어 객관화된 자료의 집합체로 물화된 것은 아닐까. ‘나’에 대한 정보와 ‘너’에 대한 정보들의 범람 속에서, 개인정보에 대한 다양한 담론은 결국 ‘우리’를 보호할 수 있는 대안을 찾는 열쇠가 될 것이다. <편집자 주>
[글 싣는 순서] ① 개인정보의 개념과 범주 ② 국가권력과 개인정보의 관계 ③ 생체정보의 활용과 쟁점 ④ 프라이버시 보호를 위한 기술의 발전
어떤 정보가 ‘개인정보’일까
이대희 / 고려대 법학전문대학원 교수
1960년대에 이르러 컴퓨터와 통신기술이 발전하고 활용됨으로써 기존의 정보환경은 큰 변화를 맞이했다. 새로운 변화에 따라 공공기관을 중심으로 개인에 관한 정보가 대량으로 수집되기 시작했고, 이 과정에서 개인정보가 유출되는 피해가 발생했다. 이를 계기로 ‘개인정보 수집·처리와 관련한 사생활 보호’라는 새로운 차원의 헌법적 문제가 대두됐고, 개인정보 보호의 필요성이 초미의 관심사로 제기됐다. 한국의 개인정보보호는 헌법상의 권리인 ‘개인정보자기결정권’에서 기원한다. 개인정보자기결정권은 곧 “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리”다. 즉 “정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리”를 말한다(헌법재판소 2005.5.26. 자 99헌마513, 2004헌마190(병합) 결정). 개인정보의 규율에 관해서는 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법), 위치정보의 보호 및 이용 등에 관한 법률, 신용정보의 보호 및 이용에 관한 법률, 의료법, 교육기본법 등 많은 법률이 존재한다. 개인정보보호법은 공공은 물론이고 민간부문에 전반적으로 적용되는 일반법이다. 이에 반해 정보통신망법은 정보통신서비스제공자와 이용자 간에 적용되는 법률이고, 위치정보법·신용정보보호법·의료법 등은 위치정보·금융, 의료 등과 관련된 개인정보를 보호하기 위한 것으로서 개인정보보호법에 대해 특별법적인 지위를 가진다. 이렇듯 모두 개인정보를 다루는 법률임에도, 각 법률에 따라 적용되는 범위는 상이하다.
특정 개인을 식별할 수 있는 정보
개인정보의 처리(수집·이용 등)에 대해서는 개인정보와 관련된 법률이 적용되므로 ‘어떤 정보가 개인정보인지’의 여부는 매우 중요한 의미를 가진다. 예컨대 개인정보보호법에 의하면, 개인정보의 처리에 대해서는 여러 개인정보 보호원칙이 적용된다. 개인정보 주체에게는 자신의 정보가 이용되는 것에 대해 통제할 수 있는 권리가 부여되고, 개인정보 처리자에게는 처리와 관련한 다양한 의무가 부과된다. 곧 개인정보 주체는 자신의 개인정보 수집·이용 및 제3자 제공의 경우 수집·이용목적 등이나 제공받는 자 등에 대해 통지받고 수집·이용·제3자 제공에 대해 동의할 권리를 가진다. 또한 개인정보의 열람, 정정·삭제, 처리 정지를 처리자에게 요구할 수 있고, 개인정보 처리자의 법 위반 행위로 인해 입은 손해를 배상받을 권리를 가진다. 한편 처리자는 개인정보의 수집·이용 및 제3자 제공에 대해 정보주체로부터 동의를 받아야 하고, 수집목적을 초과한 이용이나 허용된 범위를 초과한 제3자 제공이 금지된다. 이를 비롯해 안전성 확보를 위해 필요한 기술적·관리적·물리적 조치를 취해야 하는 등 여러 의무가 부과된다. 개인정보 보호규범은 개인정보와 개인정보가 아닌 것을 구별하고 개인정보만을 그 보호범주에 포함시킨다. 그러므로 어떤 정보가 개인정보에 해당하는지의 여부는 보호규범의 적용여부를 결정하는 중요한 요소다. 개인정보보호법과 정보통신망법은 개인정보를 성명, 주민등록번호 등에 의해 특정 개인을 식별할 수 있 는 정보로 정의하고, 해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 쉽게 결합해 식별할 수 있다면 그 정보도 개인정보에 포함시키고 있다(개 §2, 망 §2). 개인정보는 ‘살아 있는’ ‘개인에 관한 정보’로서 ‘특정 개인을 식별하거나 식별가능한 정보’라는 요소에 해당해야 한다. 곧 개인정보는 ‘자연인’에 해당하고, ‘살아 있는’ 자연인에 관한 것이며, 개인에 ‘관한’ 정보 자체 또는 ‘다른 정보와 쉽게 결합’해 특정 개인을 ‘식별’하거나 ‘식별 가능한’ 정보여야 한다. 따라서 법인이나 단체의 명칭, 사업자등록번호, 주소 등에 관한 정보는 개인정보에 해당하지 않는다. 또한 사망하거나 실종선고된 개인에 관한 정보도 개인정보에 해당하지 않는다. 개인정보에 해당하는 정보는 개인에 대한 인적사항이나 신체적·정신적·재산적·사회적 정보가 있으며, 구체적으로 다음과 같은 항목이 포함된다. ▲성명, 주민등록번호, 주소, 전화번호, 전자우편 주소와 같은 개인의 기본적인 인적사항 ▲얼굴, 지문, 홍채, 음성, 진료기록, 장애등급을 비롯한 신체적 정보 ▲도서 등의 대여기록, 물품구매내역, 웹사이트 접속·검색내역 등의 사회적 정보 ▲소득, 통장계좌번호, 신용평가정보 등의 재산적 정보 등이 있다. 개인에 대한 허위의 정보도 개인정보에 해당하며, 이미 공개된 개인정보도 개인정보로서 보호된다. 개인정보 중에서 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전자검사 등의 결과로 얻어진 유전정보, 범죄경력자료에 해당하는 정보 등은 민감정보로 분류되므로, 주민등록번호·여권번호·외국인등록번호 등의 고유식별정보와 함께 개인정보 가운데서도 보다 강력하게 보호된다.
개인정보의 광범위성과 활용의 문제점
개인정보가 자체적으로 또는 쉽게 결합할 수 있는 다른 정보와 함께 특정 개인을 식별할 수 있는 정보일 때, 어떤 정보 또는 결합된 정보들과 특정 개인 간에 있어서의 식별가능성이 개인정보 개념을 구성하는 핵심적인 요소다. 따라서 개인정보의 개념은 ‘특정 개인을 식별할 수 있는 정보,’ 곧 ‘개인 식별가능 정보(Personally Identifiable Information, PII)’를 중심으로 구성된다. 개인정보의 개념이 식별가능성에 바탕을 두고 있으므로, 어떤 정보가 개인정보에 해당하는지 여부가 불확실할 뿐만 아니라 개인정보의 범주가 광범위해지는 문제점이 발생한다. 한국의 법원은 ‘아이디(ID)’와 ‘비밀번호(PW)’, 전자우편주소, IMEI(국제모바일 단말기 인증번호) 및 USIM 일련번호가 개인정보라고 판단한 바 있다. 특히 데이터 분석기술 등 개인을 식별할 수 있는 기술이 급격히 발전함에 따라, 다른 정보와 결합해 특정 개인을 식별할 수 있는 정보는 더욱 확대되고 있다. 개인정보 개념의 광범위한 확대는 프라이버시 보호에 긍정적인 역할을 할 수 있으나, 자칫 거래를 제한해 경제 활성을 둔화시킬 가능성이 있다. 그렇기에 개인의 프라이버시를 보호하면서도 다른 한편으로는 프라이버시를 침해하지 않는 한도 내에서 정보가 자유로이 유통될 수 있도록 관련 대책 마련이 시급하다. 원칙적으로 개인정보로서 보호하지만, 일정한 범위에서 활용할 수 있는 ‘가명정보’ 개념의 도입을 고려해볼 수 있다.
