[리걸타임즈 칼럼] 개인정보성의 판단 기준
[리걸타임즈 칼럼] 개인정보성의 판단 기준
  • 기사출고 2020.04.08 08:26
이 기사를 공유합니다
-'입수 가능성'과 '결합 가능성'에 관하여

지난 2월 14일 서울중앙지방법원은 약국 등에 저장된 환자 정보를 환자의 동의 없이 비식별화하여 통계분석자료를 생산하는 등의 개인정보 보호법 위반 혐의로 기소된 약학정보원 및 한국IMS헬스 임직원들에 대하여 처리된 정보가 개인정보에 해당하지 않거나 개인정보를 처리한다는 점에 대해 고의가 인정되지 않는다고 하면서 무죄를 선고하였다.

◇김이영 변호사
◇김이영 변호사

이 사건을 비롯한 많은 개인정보 보호법 위반 사건에서 제기되는 첫 번째 이슈는 "해당 정보가 개인정보인가?"이다. 어떤 정보가 개인정보에 해당하는 순간 개인정보 보호법에 따른 엄격한 규제의 대상이 되기 때문에 개인정보성이 중요한 문제가 될 수밖에 없다. 그렇다면 어떤 정보가 개인정보인가?

"쉽게 결합하여" 알아볼 수 있는 정보

개인정보 보호법은 개인정보에는 살아 있는 개인에 관한 정보로서 그 자체로 개인을 알아볼 수 있는 정보뿐만 아니라 "해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것"도 포함된다고 규정하고 있다.

후자의 해석과 관련하여 행정안전부는 "쉽게 결합하여"의 의미는 결합 대상이 될 정보의 ‘입수 가능성’이 있어야 하고 '결합 가능성'이 높아야 함을 의미한다고 하면서, '입수 가능성'은 결합에 필요한 정보에 합법적으로 접근 · 입수할 수 있어야 함을 의미하며, '결합 가능성'은 현재의 기술 수준으로 고려하여 비용이나 노력이 비합리적으로 수반되지 않아야 함을 의미하고, 현재의 기술 수준에 비추어 결합이 사실상 불가능하거나 결합하는데 비합리적인 수준의 비용이나 노력이 수반된다면 이는 결합이 용이하다고 볼 수 없다고 설명하고 있다(행정안전부, 개인정보 보호법 해설서 제10면).

그러나 일응 명확해 보이는 해석에도 불구하고 그 판단이 여전히 쉽지 않은 이유는 누구를 기준으로 어떻게 '입수 가능성'과 '결합 가능성'을 판단해야 하는지에 대하여 통일된 해석이 존재하지 않기 때문이다. 이에 관하여는 (1)대상 정보를 처리하는 개인정보처리자를 기준으로 한정하여 판단하여야 한다는 견해와 (2)임의의 제3자를 기준으로 하는 경우까지 확장하여 판단하여야 한다는 견해가 대립되고 있다.

또한 개인정보처리자를 기준으로 하더라도 정보를 제3자에게 제공하려는 상황에서는 '제공하는 자'와 '제공받는 자' 중 누구를 기준으로 해야 하는지 견해가 나뉠 수 있다. 나아가 해당 개인정보처리자(제3자 제공의 경우 제공받는 자 포함)의 정보 활용 양태와 정보를 제공하고 제공받는 자 사이의 관계를 어떻게 고려해야 하는지에 대해서는 다양한 해석이 가능하다.

개인정보처리자의 입장에서 판단

앞서 언급한 약학정보원 사건에서는 행위자에게 동의 없는 개인정보 제공의 고의가 있었는지 여부를 보다 중점적으로 판단하였으나, 일반론에 있어서는 "객관적으로 다른 정보를 결합하여 특정 정보를 알아볼 수 있다고 하더라도 개인정보처리자의 입장에서 그가 보유하고 있는 정보와 결합시킬 다른 정보를 합리적인 방법을 통하여 취득하기 어려운 사정이 존재한다면, '다른 정보와 쉽게 결합하여'의 요건을 충족하였다고 볼 수 없어 개인정보에 해당한다고 보기 어렵다는 것이다"고 판시하였다(서울중앙지방법원 2020. 2. 14. 선고 2015고합665 판결).

개인정보의 범위를 무한히 확장하여 해석하는 것을 저지한 판결은 또 있다. 이 사건은 A병원의 진단검사의학과 직원들이 검사 목적으로 채취한 환자의 혈액 검체를 무단으로 B진단키트 개발업체에 제공하면서 해당 검체에 부착된 라벨지에 기재된 검체번호, 채혈시간, 검사항목, 검사결과, 바코드가 함께 제공된 사건이다. 법원은 "어느 정보가 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 것인지 여부는 단순히 정보제공자를 기준으로 판단할 것이 아니라 해당 정보가 담고 있는 내용, 정보를 주고받는 사람들의 관계, 정보를 받는 사람의 이용목적 및 방법, 그 정보와 다른 정보를 결합하기 위해 필요한 노력과 비용의 정도, 정보의 결합을 통해 상대방이 얻는 이익의 내용 등을 합리적으로 고려하여 결정하여야 한다"는 좀 더 구체적인 기준을 제시하면서, 해당 정보들을 통해 환자의 구체적인 인적사항을 확인하기 위해서는 A병원의 시스템을 이용하여야 하는데, 해당 시스템은 진단검사의학과 직원들의 직책에 따라 접근 권한에 차등을 두거나 전문의들만 접속할 수 있도록 관리되고 있었으며, 정보수령자인 B진단키트 개발업체로서는 검사항목과 검사결과 수치가 중요했을 뿐 환자의 이름, 나이, 성별 등은 필요하지 않았고 이를 요청한 적도 없었다는 점을 근거로 해당 정보들이 개인정보에 해당하지 않는다고 판단하였다(수원지방법원 2018. 4. 12. 선고 2017노7275 판결, 확정).

"IMEI나 USIM 일련번호는 개인정보"

이와 달리 임의의 제3자를 기준으로 판단해야 한다는 견해에서 "당해 정보와 결합 가능한 다른 정보가 모두 동일인에게 보유되고 있는 것을 전제로 하지는 않는다"고 하면서 IMEI나 USIM 일련번호를 아는 경우 통신사 관리시스템 등을 통하여 가입자의 구체적인 정보 확인이 가능하다는 점을 근거로 IMEI나 USIM 일련번호가 개인정보에 해당한다고 판단하였던 판결이 있어 달리 볼 여지가 전혀 없는 것은 아니며(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결, 확정), 이러한 입장은 최근 판결에서도 등장하고 있다(서울중앙지법 2015. 4. 9. 선고 2015노387 판결, 대법원 2015도5321 판결로 상고기각). 그러나 이러한 입장은 결국 개인과 연관된 정보는 모두 개인정보가 아닌 것이 없게 되어 개인정보의 범위가 지나치게 확장될 우려가 있고, 그로 인해 수범자에게 과중한 부담을 야기하며 처벌의 범위를 부당하게 확대하는 결과를 초래할 수 있다는 점에서 타당하지 않다.

개정 개인정보 보호법은 "쉽게 알아볼 수 있는지 여부"는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다는 점을 명문으로 규정하였다. 그러나 이는 종래 해석에서 인정되어 온 내용들일 뿐, 구체적 기준은 여전히 모호하다. 결국 개정 개인정보 보호법에서도 현행 개인정보 보호법에서의 해석상 문제가 동일하게 발생하게 되는 것이다. 더욱이 개정 개인정보 보호법에서는 개인정보, 가명정보, 익명정보를 구분하고 있는데 그 사이의 경계가 유동적이기 때문에 더욱 복잡한 문제를 야기할 가능성이 적지 않다.

데이터 3법 시행에 기대

2020년 1월 9일 데이터 3법 개정안이 통과되면서 개인정보보호 관련 규제는 여느 때보다 큰 변화의 시기를 맞이하고 있다. 개인정보보호위원회를 비롯한 규제기관들은 2020년 8월 5일 개정 데이터 3법의 시행에 앞서 시행령 개정, 해설서와 가이드라인 준비 작업을 시작하였다. 새롭게 도입된 요건에 대한 해석도 필요하지만 현행 개인정보 보호법 하에서 문제가 되어 온 쟁점들을 해결하는 것 역시 중요한 과제라고 생각된다. 이번 기회를 통해 정보 활용을 활성화하면서도 정보주체를 보호할 수 있는 실질적이고 합리적인 규제 운영을 위한 의견 수렴과 논의가 이루어지기를 기대해본다.

김이영 변호사(김앤장 법률사무소, leeyoung.kim@kimchang.com)

저작권자 © 리걸타임즈 무단전재 및 재배포 금지
이은재
리걸타임즈다른기사 보기