개인정보의 의미
“개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
가. ‘살아 있는’개인에 관한 정보이어야 한다.
개인정보 보호 법령상 개인정보는 ‘살아 있는’자연인에 관한 정보이므로 사망했거나 실종선고 등 관계 법령에 의해 사망한 것으로 간주되는 자에 관한 정보는 개인정보로 볼 수 없다. 다만, 사망자의 정보라고 하더라도 유족과의 관계를 알 수 있는 정보는 유족의 개인정보에 해당한다.
나. ‘개인에 관한’ 정보이어야 한다.
개인정보의 주체는 자연인이어야 하며, 법인 또는 단체에 관한 정보는 개인정보에 해당하지 않는다. 따라서 법인 또는 단체의 이름, 소재지 주소, 대표 연락처(이메일 주소 또는 전화번호), 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 또한, 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호, 매출액, 납세액 등은 사업체의 운영과 관련한 정보로서 원칙적으로 개인정보에 해당하지 않는다.
그러나 법인 또는 단체에 관한 정보이면서 동시에 개인에 관한 정보인 대표자를 포함한 임원진과 업무 담당자의 이름·주민등록번호·자택주소 및 개인 연락처, 사진 등 그 자체로 개인을 식별할 수 있는 정보는 개별 상황에 따라 법인 등의 정보에 그치지 않고 개인정보로 취급될 수 있다.
사람이 아닌 사물에 관한 정보는 원칙적으로 개인정보에 해당하지 않는다. 그러나 해당 사물 등의 제조자 또는 소유자 등을 나타내는 정보는 개인정보에 해당한다. 예를 들어, 특정 건물이나 아파트의 소유자가 자연인인 경우, 그 건물이나 아파트의 주소가 특정 소유자를 알아보는데 이용된다면 개인정보에 해당한다.
‘개인에 관한 정보’는 반드시 특정 1인만에 관한 정보이어야 한다는 의미가 아니며,
직·간접적으로 2인 이상에 관한 정보는 각자의 정보에 해당한다. SNS에 단체 사진을 올린다면 사진의 영상정보는 사진에 있는 인물 모두의 개인정보에 해당하며, 의사가 특정아동의 심리치료를 위해 진료 기록을 작성하면서 아동의 부모 행태 등을 포함하였다면 그진료기록은 아동과 부모 모두의 개인정보에 해당한다. 다만, 특정 개인에 관한 정보임을 알아볼 수 없도록 통계적으로 변환된 ‘○○기업 평균연봉’, ‘○○대학 졸업생 취업률’등은 개인정보에 해당하지 않는다.
이처럼 개인정보 해당하는지 여부는 구체적 상황에 따라 다르게 평가될 수 있다. 예를
들어 ‘휴대전화번호 뒤 4자리’를 개인정보라고 본 판례가 있으나, 이는 다른 정보와의
결합가능성 등을 고려하여 개인 식별가능성이 있으므로 개인정보로 본 것이다. 만약 다른 결합 가능 정보가 일체 없이 오로지 휴대전화번호 뒤 4자리만 있는 경우에는 개인정보에 해당하지 않는다고 보아야 할 것이다.
<판례: 휴대전화번호 뒤 4자리> 대전지법 논산지원(2013고단17 판결)은 「휴대전화번호 뒷자리 4자」에 대하여, “휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높으며, 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있다”고 하여 「개인정보 보호법」 제2조제1호에 규정된 개인정보에 해당된다고 판시하고 있다. (대전지법 논산지원 2013.8.9. 2013고단17 판결)
다. ‘정보’의 내용·형태 등은 제한이 없다
정보의 내용·형태 등은 특별한 제한이 없어서 개인을 알아볼 수 있는 모든 정보가 개인
정보가 될 수 있다. 즉, 디지털 형태나 수기 형태, 자동 처리나 수동 처리 등 그 형태 또는 처리방식과 관계없이 모두 개인정보에 해당할 수 있다.
정보주체와 관련되어 있으면 키, 나이, 몸무게 등 ‘객관적 사실’에 관한 정보나 그 사람에 대한 제3자의 의견 등 ‘주관적 평가’ 정보 모두 개인정보가 될 수 있다. 또한, 그 정보
가 반드시 ‘사실’이거나 ‘증명된 것’이 아닌 부정확한 정보 또는 허위의 정보라도 특
정한 개인에 관한 정보이면 개인정보가 될 수 있다.
<판례: 공적 생활에서 형성된 정보, 이미 공개된 정보의 개인정보 해당하는지 여부> 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 인격주체성을 특징짓는 사항으로서 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하며, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지도 포함한다.(대법원 2016.03.10. 선고 2012다105482 판결)
라. 성명, 주민등록번호 및 영상 등을 통하여 개인을‘알아볼 수 있는’ 정보이어야 한다.
‘알아볼 수 있는’의 의미는 해당 정보를 ‘처리하는 자’의 입장에서 합리적으로 활용
될 가능성이 있는 수단을 고려하여 개인을 알아볼 수 있다면 개인정보에 해당한다. 현재 처리하는 자’ 외에도 제공 등에 따라 ‘향후 처리가 예정된 자’도 포함된다. 여기서 ‘처
리’란 법 제2조제2호에 따른 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공,
편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
한편, 주민등록번호와 같은 고유식별정보는 해당 정보만으로도 정보주체인 개인을 알아볼 수 있지만, 생년월일의 경우에는 같은 날 태어난 사람이 여러 사람일 수 있으므로 다른 정보 없이 생년월일 그 자체만으로는 개인을 알아볼 수 있다고 볼 수 없다.
마. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 ‘쉽게 결합’하여 알아볼 수 있는 정보도 포함된다.
다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있으면 개인정보에 해당한다. 여기서 ‘입수 가능성’은 두 개 이상의 정보를 결합하기 위해 그 결합에 필요한 다른 정보에 합법적으로 접근하여 이에 대한 지배력을 확보할 수 있어야 하며 해킹·절취(切取) 등 불법적인 방법으로 취득한 정보까지 포함한다고 볼 수 없다.
아울러, 다른 정보와 쉽게 결합할 수 있는지 여부는 입수 가능성 외에 현재의 기술 수준
이나 충분히 예견될 수 있는 기술 발전 등을 고려하여 시간이나 비용, 노력이 비합리적으로 과다하게 수반되지 않아야 한다. 따라서 일반적으로 사업자가 구매하기 어려울 정도로 고가의 컴퓨터가 필요한 경우라면 ‘쉽게 결합’하기 어렵다고 보아야 한다.
바. 가명정보
가명정보란 법 제2조제1호가목 또는 나목에 따른 개인정보를 제1호의2에 따른 가명처
리를 하여 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알
아볼 수 없는 정보(이하 ‘가명정보’)로서 이러한 가명정보도 개인정보에 해당한다.
가명정보는 데이터의 안전한 활용을 위해 도입된 개념으로 기본적으로 개인정보에 해
당한다는 점에서 법 제58조의2에 규정된 “시간·비용·기술 등을 합리적으로 고려할 때
다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보”와 다르다. 또한, 가명정보와 제2조제1호나목의 개인정보는 모두 해당 정보만으로는 특정 개인을 알아볼 수 없지만, 가명정보는 추가 정보의 사용·결합을 통해 특정 개인을 알아볼 수 있는 정보라는 점에서 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보인 제2조제1호나목의 개인정보와 구분된다.
추가 정보란 가명처리 과정에서 개인정보의 전부 또는 일부를 대체하는데 이용된 수단
이나 방식(알고리즘 등), 가명정보와의 비교·대조 등을 통해 삭제 또는 대체된 개인정보 부분을 복원할 수 있는 정보를 말한다. 제2조제1호나목의 다른 정보와 추가 정보는 해당 정보와 결합하여 특정 개인을 알아볼 수 있도록 하는 정보에 해당한다. 하지만, 다른 정보는 해당 정보와 결합하여 특정 개인을 알아볼 수 있도록 하는 정보라면 처리하는 자가 보유하고 있거나 합법적으로 접근·입수할 수 있는 정보 모두가 다른 정보가 될 수 있지만, 추가 정보는 가명처리 과정에서 생성·사용된 정보로 제한된다. 또한, 추가 정보는 해당 정보를 가명처리 전 정보로 되돌릴 수 있는 정보(복원(復元)할 수 있는 정보)인 점에서 특정 개인을 식별 가능하게 하는 다른 정보와 구분된다.
출처: 개인정보 보호 법령 및 지침 고시 해설(2020. 12.), 개인정보보호위원회