개인정보보호의 이해(2)

3. 개인정보의 정의

1) 개인정보의 개념

○ 정보통신망법상에서의 보호 대상이 되는“개인정보”는 생존하는 개인에 관한 정보로서, 특정 개인을 식별하거나 식별할 수 있는 일체의 정보라고 규정한다.

가. 「생존하는 개인」에 관한 정보란?

○ 개인정보의 주체는 자연인(自然人)이어야 하며, 법인(法人) 또는 단체의 정보는 해당되지 않는다. 따라서 법인의 상호, 영업소재지, 대표이사의 성명, 이사·감사 등 임원정보, 자산, 영업실적 등의 정보는 정보통신망법상 보호받는 개인정보의 범위에 해당된다고 볼 수 없다.

○ 정보통신망법상 개인정보는 현재“생존하는”자연인에 관한 정보이다.
- 따라서, 이미 사망하였거나 실종신고 등 관계법령에 의하여 사망한 것으로 간주되는 자에 관한 정보는 개인정보로 볼 수 없다.
- 다만, 사자(死者)에 관한 정보가 생존하는 유족 등 후손과 관련이 있는 경우에는 유족 등 후손의 개인정보로서 적용대상이 될 수 있다.

나. 개인에「관한」정보란?

○ 개인정보는 당해 개인에 대한 사실·판단·평가 등 특정 개인과 관련된 일체의 정보가 모두 개인정보에 해당된다고 볼 수 있다.
- 따라서, 개인과 관련된 사실적인 정보(예: 이름, 주소, 주민등록번호, 직업 등)뿐아니라 해당 개인에 대한 타인의 의견·평가·견해 등과 같은 주관적인 정보(예: 신용평가정보, 사회적 지위)도 관련성이 인정된다고 볼 수 있다.

다. 「식별하거나 식별 가능한」정보란?

○ 개인정보가 인정되기 위해서는 당해 정보가“특정 개인을 식별하거나 식별가능”해야 한다.
- 따라서 이미 통계적으로 변환되어 개인을 식별할 수 있는 인자가 제거된 상태라면 개인정보라고 할 수 없다.

○ 그러나, 해당 정보만으로 개인을 식별할 수 있는 정보뿐 아니라“다른 정보와 용이하게 결합”해서 개인 식별이 가능한 경우도 개인정보로 규정하고 있다.
- 예를 들면 주민등록번호는 개개인마다 고유하므로 주민등록번호를 활용하면 개인을 손쉽게 식별할 수 있다. 하지만 혈액형 정보는 개인마다 고유하지 않고 동일한 혈액형을 가진 사람이 많기 때문에 혈액형만 있는 경우에는 개인정보로 보기 어렵다.
- 그러나, 혈액형이 주민등록번호나 주소 등의 정보와 결합하는 경우에는 개인식별이 가능해지므로 개인정보로 볼 수 있게 된다.

○ 따라서, 정보통신망법 적용 대상이 되는 사업자들은 개인과 관련된 일반적인 정보들이 다른 정보와 결합시 대부분이 개인식별이 가능해지므로 이용자와 관련된 정보 일체를 개인정보로 간주하고 개인정보보호를 위해 각별히 주의를 기울여야 할 것이다.
 
2) 개인정보의 유형 및 종류

○ 개인정보는 개인의 성명·주민등록번호 등 인적사항에서부터 사회·경제적 지위와 상태, 교육, 건강·의료, 재산, 문화 활동 및 정치적 성향과 같은 내면의 비밀까지 매우 다양하고 폭넓다.

○ 또한, 개인정보는 이용자가 직접 회원가입이나 서비스 등록을 위해 사업자에게 제공하는 정보뿐만 아니라, 사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관한 정보도 포함된다.

○ 제공정보는 이용자가 ‘직접 회원가입이나 서비스 등록을 위해 사업자에게 제공하는 정보’로 정의된다. 즉, 온라인 서비스를 이용하기 위해 회원가입하는 과정에서 제공하는 신상정보 일체, 또는 서비스 이용과정에서 문제점이 발생하여, 이를 해소하기 위해 본인확인 과정에서 제공하는 정보 등 이용자가 사업자에게 제공하는 개인에 관련된 정보를 의미한다.
※ 제공정보의 예: 이름, 주민등록번호, 주소, 전자우편주소, 전화번호, 생년월일, 성별, 취미, 가족관계, 혼인 여부, 출신학교 등

○ 생성정보는 ‘사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관한 정보’라고 정의가 된다. 이용자가 사업자가 제공하는 서비스를 이용하는 과정에서 서비스 이용기록이나 접속로그 쿠키 등이 생성되며, 이러한 정보는 서비스 이용정보의 무결성을 보장하기 위한 중요한 수단일 뿐만 아니라, 추가적인 서비스를 제공하기 위한 입력으로 사용되기도 한다.  또한, 이용자가 서비스 이용과 관련하여 사전에 사업자와 합의한 일련의 규칙을 위반하는 경우, 그에 대한 적정한 제한/제재를 가하기 위해서도 사용되기도 하는데, 이러한 정보들은 이용자가 회원서비스 가입 등을 통해 직접 제공하는 정보가 아니라, 서비스 이용과정에서 기술적 방법에 의해 자동으로 생성, 수집, 저장되는 특성을 갖는다.

○ 생성정보는 그 자체로서 개인정보로 인정되기 어려운 경우가 많으며, 이용자가 제공한 ‘제공정보’ 등과 결합하여 개인 식별이 가능한 경우에 한하여 개인정보로 인정될 수 있다.
※ 생성정보의 예: 서비스 이용기록, 접속 로그(log), 쿠키(cookie), 접속IP정보, 결제기록, 이용 정지 기록

○ 개인정보를 특성별로 그 유형을 분류하고 구체적인 예를 들어보면 아래와 같다.

 

유형 구분	개인정보 항목
일반정보	이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적
가족정보	가족구성원들의 이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호
교육 및 훈련정보	학교출석사항, 최종학력, 학교성적, 기술 자격증 및 전문 면허증, 이수한 훈련 프로그램, 동아리활동, 상벌사항
병역정보	군번 및 계급, 제대유형, 주특기, 근무부대
부동산정보	소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등
소득정보	현재 봉급액, 봉급경력, 보너스 및 수수료, 기타소득의 원천, 이자소득, 사업소득
기타 수익정보	보험 (건강, 생명 등) 가입현황, 회사의 판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가
신용정보	대부잔액 및 지불상황, 저당, 신용카드, 지불연기 및 미납의 수, 임금압류 통보에 대한 기록
고용정보	현재의 고용주, 회사주소, 상급자의 이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격 테스트결과 직무태도
법적정보	전과기록, 자동차 교통 위반기록, 파산 및 담보기록, 구속기록, 이혼기록, 납세기록
의료정보	가족병력기록, 과거의 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트 등 각종 신체테스트 정보
조직정보	노조가입, 종교단체가입, 정당가입, 클럽회원
통신정보	전자우편(E-mail), 전화통화내용, 로그파일(Log file), 쿠키(Cookies)
위치정보	GPS나 휴대폰에 의한 개인의 위치정보
신체정보	지문, 홍채, DNA, 신장, 가슴둘레 등
습관 및 취미정보	흡연, 음주량, 선호하는 스포츠 및 오락, 여가활동, 비디오 대여기록, 도박성향

 

3) 개인정보의 가치

○ 이용자는 자신의 개인정보에 대한 가치를 과평가(over-estimation)하는 경향이 있는 반면에, 기업 등 개인정보를 제공받아 활용하는 주체는 해당 개인정보에 대한 가치를 저평가(under-estimation)하는 경향이 있다.

○ 개인정보 유⋅노출 사고 발생 시 그 피해액을 산정하거나, 개인정보 유⋅노출 피해로 인한 손해배상액을 산정하는 등 개인정보의 가치를 확인할 필요가 있을 때에는 객관적으로 증명된 가치산정 방식에 기초해야 할 필요가 있다.
※ Delphi, 전문가 판단(Expert Judgment)과 같은 일반적인 사회학적 방법으로도 개인정보의 가치를 산정할 수 있지만, 가장 대표적으로는 CVM(가상가치 산정법, Contingent Valuation Method)을 이용할 수 있다.
※ CVM: CVM은 설문조사에 기초한 가치 산정방식으로써, 주로 비시장(non-market) 자원(환경 보전, 공해의 영향 등)에 대한 가치를 산정하는 경제학적 방식이다. CVM은 통상 설문조사를 통해 사람들이 ‘어느 정도의 금액을 지불할 의사(WTP, willingness to Pay)’가 존재하는가를 확인한다.

4) 개인정보 범위

○ 인터넷, GPS 등 정보통신 기술이 발달함에 따라 개인의 위치정보, 지문·홍채 등 바이오 정보 등 기술발전에 따른 새로운 유형의 정보가 나타나면서 개인정보의 범위가 확대되고 있으며 그 발전 범위는 실로 예측이 불가하다고 할 수 있다.

5) 개인정보보호의 근본적인 의미

○ 개인정보보호의 근본적인 의미는 이용자의“개인정보 자기결정권”을 철저히 보장하는 것이다.
- “개인정보자기결정권”이란, 자신에 관한 정보가 언제, 어떻게, 그리고 어느 범위까지 타인에게 전달되고 이용될 수 있는지를 그 정보주체가 스스로 결정할 수 있는 권리를 의미한다.
- 누가 어떤 목적으로 자신의 어떤 정보를 수집하고 이용하는지를 정보 제공 이전에 명확하게 인지하고 이용자가 언제든지 자신의 개인정보를 열람·정정할 수 있으며 더 이상의 개인정보 이용을 원치 않는 경우 이용에 대한 동의를 철회하거나 파기를 요청하는 권리를 보장하는 것을 말한다.

○ 이와 같은 맥락에서 사업자는 이용자의 개인정보를 수집하고, 취급하고 이용함에 있어 이용자에게 항상 알리고 동의를 받아야 하며,

○ 개인정보는 정보주체의 것이고, 사업자는 서비스를 제공하기 위해 이용자의 고객정보를 수집·이용한다는 사실을 언제나 명심하여야 한다.