개인정보보호에 관한 인식은 독재국가의 무분별한 개인정보 수집으로부터 부각되었지만, 전세계적으로 체계적인 개인정보보호를 제도화하려는 노력이 시작된 것은 1980년 OECD가 프라이버시 8원칙을 제정하면서부터이다.
전세계적으로 개인정보보호의 역사는 30년이 넘어가고 있지만, 아직 정리되지 않는 핵심적인 주제가 있다면 ‘어떤 정보를 개인정보로 포함시켜 보호하여야 하는가’ 즉 ‘개인정보의 개념이나 범위’이다. 그 중에서도 특히 IP 주소(internet protocol address)가 개인식별정보(personal indentifiable information, PII)인가에 대하여는 찬반 논쟁이 뜨겁다.
물론 세계 각국에서 IP 주소를 식별정보로 보는지 여부를 논하기에 앞서 각국의 법령에서 정의하는 ‘개인정보’의 개념을 설명해야 하겠지만, 지면 관계상 생략하기로 한다.
IP 주소란 인터넷에 연결된 컴퓨터 등에 부여되는 고유의 식별 주소를 의미한다. 이 주소는 내부에서 32비트(4byte)로 기억되지만 표기할 때에는 4개의 10진수를 점(.)으로 구분하여 표시한다(예컨대 123.21.5.255). IP 주소의 유형에는 접속시마다 할당된 주소가 달라지는 유동 IP(dynamic IP)와 고정된 주소를 갖는 고정 IP(static IP)가 있다.
이용자가 특정 사이트에 방문하면 특정 사이트는 자동으로 이용자 접속 PC의 IP 주소를 수집하여 로그파일을 만듦으로써, 해킹 공격이나 부적절한 접속, 보안사고에 대비하기도 하며, 광고에 이용되는 포털 사이트는 이용자의 부정 클릭이나 부정 접속을 방지하기 위하여 접속 PC의 IP 주소를 수집하기도 한다. 요즈음은 방문자 분석 및 마케팅, 온라인 행태광고(Online Behavioral Advertising)에 활용하고자 접속 PC나 모바일의 IP 주소를 수집하기도 한다.
이러한 IP 정보 수집은 저작권 침해행위와 관련하여도 이슈화가 자주 되었다. 불법 프로그램 사용을 방지하고 소프트웨어 저작권 단속을 위하여, 프로그램 소유자는 불법 프로그램 사용자 컴퓨터의 IP 주소를 포털 등에게 요청하여 수집하거나 스스로 이를 수집한 다음 이를 근거로 위반자를 단속하는 경우가 있다.
위 IP 주소 수집이 정보주체의 동의 아래 행하여진다면 법적인 문제는 발생하지 않지만, 동의 없이 이루어진다는 가정에서 생각해 보면, IP 주소가 식별정보일 때에는 법위반 행위가 될 수 있고, 식별정보가 아닐 때에는 법위반 행위가 되지 않는다.
먼저 개인정보보호 입법으로서 IP 주소를 식별정보로 직접 정의하는 경우가 있는지 살펴보는 게 필요한 데, 아직까지는 이러한 입법은 없어 보인다. 우리나라를 포함하여 일부 입법례의 경우, IP 주소가 통신비밀보호법상 ‘통신사실확인자료’로 분류되어 그 법의 통제를 받은 경우는 별론으로 치고, 개인정보보호 관련 법령에서는 IP 주소가 식별정보인지 여부에 관하여 명확하게 규정하지 않고 있다. 다만 미국의 Health Insurance Portability and Accountability Act(HIPAA)는 명시적으로 IP 주소를 식별정보로 분류하고 있다.
한편 유럽 각국 대표로 구성된 Article 29 Working Party는 2008년, 유동 IP 주소라도 적절한 조치(reasonable means)를 취하면 개인을 알아낼 수 있으므로, IP 주소는 식별정보라고 결론 내렸다. 이 결론은 구속력은 없지만, 유럽의 행정기관 및 유럽 법원은 위 Article 29 Working Party의 결론에 따라 IP 주소의 식별정보성을 인정하는 편이다.
그러나 유럽 각국 법원의 판례는 꼭 그렇지만은 않다. IP 주소의 식별정보성을 인정하는 판례와 그렇지 않은 판례가 분산되어 있다. 수적으로는 IP 주소의 식별성을 긍정하는 판례가 많다. 여기서 대표적인 IP 주소의 식별성을 부정하는 판례를 살펴보면 다음과 같다.
2008년 9월경, 독일 뮌헨 법원은 IP 주소를 알아냈다고 하더라도 이를 통하여 개인을 알아내는 과정에 불법이 매개될 수밖에 없으므로 IP 주소는 개인정보라고 할 수 없다고 판시하였다. 2010년 4월경, Irish High Court은 EMI Records v. Eircom Ltd 사건에서 저작권 단속을 위하여 음반회사가 수집한 IP 주소 정보는 개인정보에 해당하지 않는다고 판시하였으며, 2009년 1월경, 프랑스의 Supreme Court는 SACEM v. Cyrille Saminadin 사건에서 IP 주소는 개인정보가 아니라는 취지로 판시하였다.
미국으로 눈을 돌려보면, 미국 NIST(National Institute of Standards and Technology)의 2010년도 발간자료에 따르면, IP 주소, MAC 주소 또는 지속적으로 특정 개인 등과 연결되어 있는 고정주소는 식별정보로 볼 수 있다고 기준을 제시하였다.
그러나 미국 법원은 대체로 IP 주소가 식별정보가 아니라고 판시하고 있다. 예컨대 2011년 5월경, 일리노이 지방법원은 VPR Internationale v. Does 1-1017 사건에서 IP 주소는 식별정보에 해당하지 않는다고 판시하였고, 2009년 7월경, 워싱턴 서부지방법원은 Johnson v. Microsoft Corp. 사건에서 IP 주소는 식별정보를 구성하지 않는다고 보았다. 반면 뉴저지 대법원은 2008년경, State v Reid 사건에서 IP 주소라고 하여 프라이버시 보호 대상에서 벗어나는 것은 아니라고 판시한 바 있다.
한편 아시아에서 홍콩 개인정보 당국은 2007년경, IP 주소는 특정 기계나 디바이스에 할당된 것이지, 개인에 관한 정보가 아니므로, 식별정보로 볼 수 없다는 결론을 내린바 있다.
우리나라에서도 IP 주소에 관한 사건이 있었다. 2011년 11월경, 접속 IP 주소를 수집하는 모바일 애플리케이션을 만들어 배포한 사건에서, 서울중앙지방검찰청은 ‘같은 AP(Access Point) 사용대역 내에서는 복수의 모바일 기기 이용자가 동일 IP 주소로 접속하고 있으며, 유동 IP 주소의 경우에는 시간대별로 IP 주소가 변동될 수 있으므로, 본 사안에서 IP 주소는 개인정보로 볼 수 없다’는 취지의 결정을 내린 바 있다.
최근에는 IP 주소의 식별정보성에 대한 결론은 상황에 따라 달라질 수 있다고 보는 의견이 많다.
기본적으로 IP 주소는 디바이스나 기계에 관한 정보이지 PC 이용자 등에 대한 정보는 아니며, 대부분의 PC나 모바일 기기가 유동 IP 주소를 할당받아 사용하는 상황에서 IP 주소를 알았다고 하여 사용자를 특정할 수 있는 것은 아니고, 하나의 PC를 여러 사람이 사용하는 경우도 역시 IP 주소를 파악하였다고 하여 특정 개인과 연관시키기 곤란하기 때문에, 기본적으로 IP 주소는 식별정보가 아니라고 본다.
다만 고정 IP를 사용하는 PC가 있고, 그 PC를 특정 개인이 또는 각자의 아이디로 특정할 수 있는 소규모의 집단이 지속적으로 사용하였다면, 이 경우에는 IP 주소를 식별정보로 볼 수 있을 것이다. 영국의 ICO(Information Commissioner’s Office)도 같은 입장을 취하고 있다.
지금까지 IP 주소의 식별성에 관한 논쟁에 대하여 살펴보았다. IP 주소만 이러한 논쟁에 휩싸여 있는 것은 아니다. 이메일 주소에 대하여도 비식별정보로 본 판례가 있는가 하면, 식별정보로 본 판례가 존재한다.
기존의, ‘식별정보는 보호해야 할 대상이고, 비식별정보는 보호할 필요가 없다’는 식의 사고는 어쩌면 개인정보보호의 취지를 잘못 이해하여 나온 과도기적 개념일 수도 있다고 본다. 식별성을 정의하고, 그 중에서도 식별성 있는 것만 보호한다는 것은 자칫 비식별정보는 보호할 필요가 없다는 식의 결론을 유도할 수 있기 때문이다.
입법 및 법집행의 명확성만을 강조하여 ‘식별성’에 초점을 맞추어 개인정보보호 제도가 발전해 왔지만, 오히려 현재는 ‘식별성’이 탈법의 수단으로 악용되고 있으며, 소송이나 법집행 과정에서 ‘식별성’ 여부를 가리기 위하여 많은 노력을 낭비하고 있는 실정이다.
개인정보보호는 정보주체의 시각에서 바라보아야 할 것이다. 정보주체의 입장에서 보면, 비식별정보로 취급되어 온 것들이 식별정보보다 더 중요하다고 생각할 수 있으며, 오늘날의 정보주체는 과거와 달리 식별정보 및 비식별정보에 대하여 모두 법적 보호를 바라고 있는지 확인해 보아야 할 것이다.
개인정보처리에 관한 기술발전도 고려하여야 할 것이다. 현재의 암호화, 비식별화, 익명화 기술을 이용하면 모든 데이터에 대하여 식별성을 상실시켜 저장할 수 있고, 일부 국가는 식별정보에 대한 의도적인 비식별화 과정을 권장하기도 한다. 반대로, 비식별적인 상태로 수집된 정보라도 그 양이 축적되면 어느 순간 식별성을 취득한 정보 즉 식별정보가 될 수도 있다. 즉 수집상태에서 식별정보라도 저장상태에서 비식별정보가 될 수 있으며, 수집상태에서 비식별정보라도 저장상태에서 식별정보가 될 수 있는 것이다.
이처럼 같은 정보라도 어떤 경우에는 식별정보이지만 다른 경우에는 비식별정도로 보는데, 식별정보의 이런 상대성은 개인정보의 이해와 개인정보보호 제도 정착을 극히 어렵게 하고 있으며 앞으로 두고두고 분쟁거리가 될 소지가 크다. IP 주소가 개인식별정보인지, 또는 보호의 필요성이 있는 정보인지를 결론내리기 위해서도, 위와 같이 ‘식별정보’라는 개념 자체가 때와 장소, 상황에 무관한 절대적인 개념이 아니라 때와 장소, 상황을 고려한 상대적인 개념이라는 점이 고려되어야 한다.
결론적으로, 정보주체가 아닌 제3자의 시선이 그 본질인 ‘식별성’이라는 개념에 지나치게 초점을 맞추거나 엄밀하게 식별정보ㆍ비식별정보를 준별하여 ‘식별정보=개인정보’라는 공식을 지키는 데 주력하기보다는, 특정 정보에 대한 ‘보호의 필요성’이 있는지를 중심으로 살펴보는 것이 바람직하다고 보는바, 수집과 저장 과정을 통틀어 정보주체의 입장에서 객관적으로 중요한 데이터는 법적으로 더 많은 보호수단을 장착시켜야 할 것이며, 정보주체의 입장에서 객관적으로 덜 중요한 데이터는 법적으로 간이한 보호수단을 장착시키는 것이 앞으로의 개인정보보호제도의 진행방향이 되어야 할 것이다.
그리고 이런 입장을 취한다면, 비록 IP 주소가 비식별정보라고 결론이 나더라도 그 자체로 곧바로 IP 주소에 대한 보호의 필요성이 없다고 단정지을 수는 없을 것이며, IP 주소를 개인정보로 판명하기도 하고 개인정보가 아니라고 판명하기도 했던 국내외 사례들의 혼란이 어디에서 비롯되었으며 어떤 방향으로 정리해 나가야 할지 그 가닥을 잡아갈 수 있을 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 마이크로소프트웨어, 디지털데일리(2014. 4. 4.) 기고.