Post

이것도 개인정보인가 (개인정보 범위)

Posted
By Yuri Jeno 6 min read

요약

살아있는 사람에 대한 정보를 쪼끔(?)이라도 수집했으면 전부 개인정보

배경

순수 테크, 학문, 자연과학 같은 분야가 아닌 이상, 대부분의 일은 개인정보를 사용한다. 마케팅, 고객관리, 홈페이지 회원 관리를 하게 되면 결국 살아있는 ‘자연인’에 관한 정보를 수집한다. 아이디, 비밀번호, 연락처 등을 수집해서 사용하게되는데, 그럼 이런 정보중에서 어디까지가 개인정보일까? 많은 사람들이 주민등록번호, 핸드폰번호와 같이 특정 개인이 바로 식별되는 정보만 ‘개인정보’ 인것으로 오해하는데 그렇지 않다.

‘개인정보’의 법적 정의

‘개인정보’의 공적인 정의는 개인정보 보호법 제2조에 나온다.

2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

  1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
    • 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
    • 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
    • 다. (생략)

위에서 중요한건 목이다: 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보

  • 여기서 ‘쉽게’ 라는 단어는 무시하고 읽는 것이 좋다
    • ‘에이 내가 보기에 이건 쉽게 결합되는게 아닌데요?’ 이런 의미가 아니다
    • 이어지는 뒷 문장도 보면 ‘쉽게’가 일반적으로 생각하는 ‘쉬운 난이도’를 의미하는게 결코 아니라는것을 알 수 있다

즉, 법적인 정의상, 다른 정보와 결합하여 (특정 개인을) 알아볼 수 있는 정보는 모두 개인정보기 때문에 어떤 사람에 대해서 조금이라도 수집했으면 전부 다 개인정보라고 보는 것이 안전하다.

개인정보 같지 않지만 개인정보인 사례

개인정보의 종류를 보면 온갖 정보, ‘이런것도 개인정보라고?’ 싶은 것들이 꽤 많다.

  • 혈액형 (당연히 혈액형만으로는 개인이 식별되지 않으나, 결합하면…)
  • 잡지구독정보, 물품구매내역, 웹사이트 검색내역
  • 전화통화내역, 로그파일, 쿠키(웹브라우저에서 쓰이는 그 Cookie)

2023 개인정보 보호법 표준 해석례에서 1번, 3번 내용도 참고하면 다음과 같은 것도 개인정보다

  • 공동현관 출입번호
  • 코인 가상지갑주소 (거래소 KYC 정책이랑 결합하면 개인이 식별된다고 이해 가능)

여기까지 보면 소위 말하는 ‘억까’스럽긴 하지만, 개인정보의 범위는 매우 넓다. 다시 한번 정리하면, 살아있는 사람에 대한 어떠한 정보든 죄다 개인정보라고 보는 것이 맞다.

부록. EU-GDPR에서의 ‘개인정보’ 정의

Art. 4 GDPR Definitions에서는 ‘personal data’를 다음과 같이 정의한다.

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

  • 우리나라 법과 크게 다르지 않다 (개인정보 분야에서는 일반적으로 우리나라가 유럽을 따라간다…)
  • 살아있는 자연인 사람에게만 적용된다 (natural person 단어 자체에는 살아있는 사람이라는 의미도 포함)1
  • 직접(directly) 혹은 간접(indirectly)적으로 특정 개인을 식별 가능하면 개인정보
    • indirectly 식별 가능성 때문에 personal data의 범위가 넓어진다

법적 정의 상,’살아있지’ 않은 개인에 대한 정보는 우리나라와 유럽 둘 다 개인정보가 아님

각주

  1. https://www.oic.qld.gov.au/guidelines/for-government/guidelines-privacy-principles/application-of-the-ip-act/when-do-the-privacy-principles-apply 

Privacy, 개인정보보호법
Privacy 개인정보보호법 개인정보보호법 시행령 개인정보 EU-GDPR GDPR
This post is licensed under CC BY 4.0 by the author.