2020년에 개인정보보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)에서 일부 내용이 통폐합 되면서 많은 변화가 있었다.
가장 큰 변화는 바로 “개인정보 보호”에 관한 내용이 개인정보보호법으로 통합되면서 정보통신망법에서 개인정보 보호에 관한 내용이 모두 삭제되었다는 점이다.
이는 정보통신망법의 가장 앞 부분에 있는 제2조(정의)에서 “개인정보”에 대한 정의 부터 삭제된 것에서 알 수 있다.
| 제2조(정의)제2조(정의) ① 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2004. 1. 29., 2007. 1. 26., 2007. 12. 21., 2008. 6. 13., 2010. 3. 22., 2014. 5. 28., 2020. 6. 9.> 1. “정보통신망”이란 「전기통신사업법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다. <중간생략> 5. “전자문서”란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것을 말한다. 6. 삭제 <2020. 2. 4.> 7. “침해사고”란 다음 각 목의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다. 가. 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법 나. 정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하는 방법 |
| 정보통신망법에서 삭제된 “개인정보”의 정의 |
위에서 제2조 6항에서 삭제된 것이 바로 “개인정보”란~ 으로 시작하는 개인정보의 정의다. 즉 이후의 정보통신망법 내용에 개인정보의 정의까지 따져야할 내용은 없다는 것을 의미한다. 이는 개인정보의 정의를 보려면 “개인정보보호법”을 봐야함을 의미한다.
그렇다면 2020년 2월 4일 일부개정되면서 정보통신망법의 내용까지 흡수한 개인정보의 정의에 대해 살펴보자.
개인정보의 정의
개인정보보호법의 제2조(정의)에서는 개인정보를 다음과 같이 정의하고 있다.
| 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24., 2020. 2. 4.>
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. |
| 개인정보보호법 상 “개인정보”의 정의 |
음..이전의 개인정보보호법 보다 많이 복잡해졌다. 즉 고려해야할 사항이 많다는 의미다.
1항에서는 “살아 있는 개인”으로 개인의 범위를 제한하고 있다. 즉 사망한 사람에 대한 정보는 개인정보로 볼 수 없다는 의미다. 하지만 새롭개 개정된 개인정보보호법 해설서에서는 사망자의 정보라 하더라도 “살아있는” 유족과의 관계를 알 수 있는 정보는사망자의 개인정보는 아니더라도 유족의 개인정보에 해당된다고 명시하고 있다.
법인 및 사업체(개인사업자 포함) 임직원 정보는 개인정보인가?
이는 많은 이들이 잘못알고 있는 것 중 하나다. 법인이나 사업체에 속한 대표자 및 임원 그리고 직원의 이름, 연락처 등의 정보는 “개인정보가 아니다”라고 알고 있는 경우가 많다.
개인정보보호법 해설서에서는 다음과 같이 설명하고 있다.
명확하게 개인정보가 아니라고 말할 수 있는 것은 법인 또는 단체의 이름, 소재지 주소, 대표 연락처(회사 이메일 주소 또는 회사 전화번호), 업무 담당별 (회사)연락처, 영업실적, 사업자등록번호, 사업장 주소, (회사)대표전화번호, 매출액, 납세액 등은 법인이나 개인사업자나 모두 개인정보가 아니다.
그러나 개인사업자와 같이 대표자의 연락처를 개인 집 전화번호 또는 휴대전화번호, 개인이메일주소와 같이 사업체 또는 단체에 관한 정보이면서 개인에 관한 정보라면 개별 상황에 따라 개인정보로 취급될 수 있다. 이와 같은 정보에는 임원진과 업무 담당자의 이름, 주민등록번호, 자택주소, 개인연락처(집, 휴대전화), 사진 등이 해당된다.
휴대전화번호 뒤 4자리는 개인정보인가?
단편적으로 휴대전화 번호 뒤 4자리는 개인정보다, 아니다 라고 말할 수 없다. 휴대전화번호 뒤 4자리의 개인정보의 여부는 이 4자리 번호가 저장되어 있는 문서 또는 DB에 뒤 4자리 번호의 소유자에 대한 다른 개인정보가 어떤 것이 저장되어 있는지에 따라 다르다. 만약 번호 뒤 4자리와 함께 생일, 기념일, 다른 가족의 전화번호, 집 전화번호 등 함께 저장되어 있는 다른 정보와 결합하여 소유자를 특정하는 것이 가능하다면 그 4자리 번호는 개인정보가 된다. 이는 법원의 판례에서도 사례가 있다. (개인정보보호법 해설서 11 page)
개인정보의 내용과 형태의 범위는 ?
정보의 내용과 형태는 제한이 없다. 필기 기록, 디지털 데이터, 음성, 영상 등 데이터의 형태는 제한이 없다. 또한 이름, 주민등록번호, 키, 몸무게, 나이 등 객관적인 사실 뿐만 아니라 정보주체에 대한 주관적인 제3자의 평가, 별명 등 반드시 사실 또는 증명된 것이 아닌 부정확한 정보나 허위정보라도 특정 개인을 특정하기 위해 활용될 수 있는 개인에 대한 정보라면 모두 개인정보가 될 수 있다. 즉 모든 경우에 개인정보로 인정되는 것이 아니라 개별 상황에 따라 개인정보가 될 수 있는 것이다.
이러한 다양한 정보가 “개인정보”가 되기 위해서는 법에서 언급되었듯이 “개인을 알아볼 수 있는” 정보이어야 한다. 이는 해당 정보를 “처리하는 자” 즉 개인정보처리자의 입장에서 개인정보처리자가 보유한 다양한 처리 방법에 따라 처리하였을 때 개인을 알아볼 수 있다면 그 정보는 개인정보에 해당한다고 판단하여야 한다. (개인정보처리자 및 제공받는자 포함)
다른정보와 쉽게 결합하여 개인을 식별할 수 있는 정보
이에 해당되는 정보라 할 수 있는 것이 바로 “생년월일”이다. 개인정보처리자가 생년월일만 갖고 있다면 개인정보로 볼 수 없겠지만 개인정보처리자가 보유하고 있는 다른 정보와 결합하여 이용자를 특정할 수 있다면 “생년월일”은 개인정보가 된다.
여기에서 “쉽게 결함”이 가능한지의 여부는 입수 가능성 외에 현재의 기술 수준이나 충분히 예견될 수 있는가에 따라 결정된다. 이에 대한 판단 또한 합리적인 수준에서 컨설턴트나 인증심사원이 판단하여야 한다.
가명정보도 개인정보다.
1항 다목에서는 가명처리 된 개인정보 또한 개인정보에 해당한다고 명시하고 있다. 가명처리는 “개인정보의 비식별화”와는 구분되어야 한다. 개인정보 중 이름을 가명처리하였다 하더라도 가명처리 방식이나 알고리즘과 같은 추가정보를 활용하여 비교, 대조 등을 통해 대체된 개인정보를 복원할 수 있다면 이는 개인정보에 해당한다. 단, 추가정보는 개인정보처리자가 가명처리 과정에서 생성 및 사용된 정보로 제한되어야 한다.
즉 가명처리되어 정보만으로는 개인을 특정할 수 없어도 가명처리에 사용된 방식 또는 알고리즘에 의해 복구가 가능하다면 그 가명처리된 정보는 개인정보다.
법 제58조에서는 가명정보와 “시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는” 정보는 다르며 이러한 정보에는 이 법을 적용하지 않는다고 명시함으써 복원 또는 복구가 가능한 가명정보는 개인정보에 해당된다는 것을 명확하게 하고 있다.
개인정보보호법에서 가명처리에 대해서는 다음과 같이 정의하고 있다.
| 1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다. |
| 제2조 1의2 에서 정의하고 있는 “가명처리” |
#개인정보란