Posted by 기업에서 개인정보 관련 업무를 처리하다 보면 개인정보의 정의와 종류에 관한 의문이 들 때가 있다.
개인정보의 범위는 과연 어디까지일까?
고객과 관련한 모든 정보는 고객의 개인정보일까?
어떤 정보를 개인정보로 보고, 이를 관리해야 하는 것일까?
개인정보라고 하면 통상 개인의 성명, 주민등록번호 등 개인의 인적사항부터 재산, 정치적 성향 등의 민감한 정보까지 그 종류가 매우 다양하다. 본 글에서는 국내 개인정보 보호법에서 정의하고 있는 ‘개인정보’의 정의와 종류를 알아본다.
국내 「개인정보 보호법」에서 정의하는 개인정보는 ‘살아있는 개인’에 관한 정보로 아래에 해당하는 정보를 말한다.
[개인정보 보호법 제2조]
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
국가법령정보센터 (law.go.kr), 개인정보 보호법
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
즉, 개인정보란 ‘살아있는’ , ‘개인’을 , ‘알아볼 수 있는’ 정보여야 하는데, 이 때 개인정보의 주체는 자연인(自然人, 쉽게 말해 ‘사람’)이어야 하며, 법인 또는 단체는 해당되지 않는다. 따라서 법인의 상호, 영업 소재지, 임원 정보, 회사 주소 등의 정보는 개인정보의 범위에 해당하지 않는다.
더불어 해당 정보만으로는 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 특정 개인을 ‘알아볼 수 있는’ 정보는 개인정보의 범위에 포함된다. 예를 들어 생년월일 경우, 주민등록번호와 달리 8자리 숫자만으로는 개인을 식별할 수 없지만 다른 정보(이름, 소속, 이메일주소 등)와 쉽게 결합하여 그 사용자가 누구인지 ‘알아볼 수’도 있기 때문에 일반적으로 개인정보에 해당된다.
개인정보의 범위와 관련하여 한 가지 더 고려해야 할 부분은 ‘가명정보’도 개인정보의 범위에 포함된다는 것이다.
“가명정보”란 개인을 알아볼 수 있는 정보 또는 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 가명처리함으로써 원래 상태로 복원하기 위한 추가 정보의 사용, 결합 없이 특정 개인을 알아 볼 수 없는 정보를 말한다.
가명정보는 위와 같은 정의를 갖고 있으며, 통계작성, 과학적연구, 공익적기록보존 등의 목적으로 정보주체의 동의 없이 처리가 가능하다는 특징을 갖고 있다.
이 때 ‘가명정보’는 개인을 완전하게 알아볼 수 없도록 비식별화 처리하여 추가적인 정보와 결합을 통해 재식별이 불가한 형태의 ‘익명정보’와는 구분되며, ‘익명정보’는 개인정보의 범위에 해당하지 않는다. 하지만 ‘가명정보’는 추가 정보의 결합 없이는 정보주체를 ‘알아볼 수 없게 처리한 개인정보’임에도 불구하고, 다른 정보들이 추가되면 개인을 ‘알아볼 수 있게’ 될 가능성이 있다.
즉, ‘가명정보’는 개인정보에 포함되기 때문에 개인정보 보호법의 적용을 받지만, ‘익명정보’는 개인정보가 아니기 때문에 개인정보 보호법의 적용을 받지 않는다.
‘민감정보’는 개인정보 중에서도 별도로 분류되는 항목으로, 사상・신념, 노동조합・정당의 가입탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 범죄경력자료, 개인의 신체적, 생리적, 행동적 특징에 관한 정보다. 또한 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종이나 민족에 관한 정보도 여기에 포함된다.
민감정보도 고유식별정보와 마찬가지로 원칙적으로 처리가 금지되며, 정보주체에게 별도로 동의를 받거나 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 처리가 가능하다. 이 경우에도 민감정보는 안정성 확보에 필요한 조치를 취해야 한다.
결과적으로 기업에서 개인정보를 관리하기 위해서는 기업이 보유한 고객의 정보 중에서 ‘개인정보’가 무엇인지 먼저 파악하는 것이 우선시 되어야 할 것이다. 이후 파악된 ‘개인정보’가 어떤 종류인지를 구분하고, 종류에 따라 법에서 요구하고 있는 안전조치를 취하는것이 필요하다. 더 나아가 기업이 개인정보는 정보주체의 것이라는 인식을 바탕으로 고객의 개인정보를 보호하기 위한 노력을 기울이는 것이 기업을 믿고 기꺼이 자신의 개인정보를 맡긴 고객들과의 신뢰를 지킬 수 있는 방법일 것이다.