세상은 여러 가지 정보로 이루어져 있다. 정보는 사람에 관한 정보도 있고 물체에 관한 정보도 있고 매우 다양하다. 이 많은 정보를 활용하여 특정 개인을 식별할 수 있다면 그것을 개인정보라 한다. 이러한 개인정보의 개념은 전세계 공통이라 할 수 있다.
예를 들어 세상에 a, b, c라는 정보가 분포되어 있다고 가정하자. a, b, c의 각각의 정보는 한 사람을 식별할 수 있는 정도가 아니더라도, 모두 합하여 한 사람을 식별할 수 있다면 a, b, c는 개인정보가 될 수 있는 것이다. 이것이 개인정보의 개념이다.
반면 a, b, c의 모든 정보를 ‘법’적인 보호범위로 넣어야 하는가는 한번 더 생각해 보아야 한다. a, b, c의 모든 정보를 법적인 보호범위로 넣는다면 a만 보유하고 있는 사람이 이를 다른 사람에게 공개하면 개인정보 유출이 되어 처벌될 수 있는 불합리한 사태가 발생한다.
때문에 a, b, c가 모두 개인정보가 될 수 있다는 것과 별개로 법적인 보호범위는 제한할 수밖에 없는데, 이때 법적인 보호범위를 정하는 것이 바로 ‘합리적 노력’이다.
a, b, c 중에서 정보주체 외의 사람(기관 포함)이 보유하고 있는 정보로서 합리적 노력을 통하여 접근할 수 있는 모든 정보는 법적인 보호대상이 된다.
예컨대 甲이 합리적 노력을 통하여 a와 b만을 접근할 수 있는데, a와 b만으로 한 사람을 식별할 수 없다면 甲은 개인정보를 보유하고 있지 않는 것이고, a와 b만으로 한 사람을 식별할 수 있다면 甲은 개인정보를 보유하고 있는 것이다.
그렇다면 세계 각국은 법률에 개인정보에 대하여 어떻게 기술하고 있는지 궁금할 것이다. 구체적으로 각 나라의 개인정보 정의규정을 살펴보기 전에, 논의의 편의상 ‘개인정보의 개념’, ‘개인정보의 판단기준(또는 보호범위)’, ‘개인정보의 정의’의 용어를 구분하고자 한다.
‘개인정보의 개념’은 법적인 보호 여부를 판단하기 이전의 철학적인 의미에서의 개인정보라 할 수 있다. 위 예에서 a, b, c는 모두 개인정보의 개념에 포섭된다.
‘개인정보의 판단기준 또는 보호범위’는 개인정보의 개념 중에서 어디까지 법적으로 보호를 해 줄 것인가의 문제인데, ‘합리적 노력’을 통하여 접근할 수 있는 정보를 기준으로 개인정보 여부를 판단하는 것이 일반적이다.
‘개인정보의 정의’는 구체적으로 각 국가가 법령에 개인정보를 어떻게 기술하고 있는지의 문제이다.
여기서는 바로 세계 각국은 구체적으로 ‘개인정보의 정의’를 어떻게 기술하고 있는지를 살펴보고자 한다.
세계 각국의 개인정보 정의규정은 다양하지만, 개인정보 정의를 가진 나라들의 법규정을 자세히 분석해 보면 1) 개념형, 2) 개념서술형, 3) 판단기준형, 4) 혼합형의 4가지 유형으로 구분할 수 있다.
즉 개인정보의 정의를 개인정보의 개념으로 규정하고 있는 나라 유형(예컨대 개념형, 개념서술형)이 있는 반면, 개인정보의 정의를 개인정보의 판단기준 또는 보호범위로 기술하고 있는 나라 유형(예컨대 판단기준형)도 존재하고, 개인정보의 정의를 개인정보의 개념과 판단기준(또는 보호범위)의 혼합 형태로 기술하고 있는 나라 유형(예컨대 혼합형)도 존재한다.
이를 표로 정리하면 아래와 같다.
위 표에서 ‘개념서술형’은 상세하게 개인정보의 개념에 대하여 서술하고 있는 유형이고, ‘개념형’은 개념서술형을 압축시켜 간단하게 개인정보의 개념을 서술하고 있는 유형이다. 두 유형은 본질적으로 동일하기 때문에, 개념서술형에서의 서술 부분은 개념형에도 그대로 적용된다.
‘판단기준형’은 개인정보의 개념을 서술하고 있는 유형이 아니라 법적으로 보호받는 개인정보의 보호범위를 판단하는 기준을 제시하고 있는 유형이다. 반면 ‘혼합형’은 개념과 판단기준을 혼합한 유형으로서 우리나라 법령의 개인정보 정의규정은 개념과 판단기준을 모두 담고 있는 혼합형에 속한다.
아래에서는 4가지 유형을 순차적으로 살펴보기로 한다.
‘개념형’은 개인정보의 개념에 대하여 기술하고 있는 유형으로서, 개인정보가 개인에 관한 정보라는 식으로 정의하고 있는 동어반복 형태이다. 대표적으로 덴마크가 그러한 예이다.
개념형은 개인정보가 식별된(identified) 개인에 관한 정보뿐만 아니라 식별할 수 있는(identifiable) 개인에 관한 정보라는 점을 밝히면서 개념만 제시하고 있을 뿐이다. ‘합리적 노력’이라는 구체적인 판단기준은 해설서 등을 통해 파악할 수밖에 없다. 참고로 여기서 ‘식별’이란 특정 개인을 다른 사람과 구분하거나 구별할 수 있다는 의미이다.
개념형이나 개념서술형은 동일한 개념과 동일한 판단기준을 가지고 있기 때문에 개념형을 취하고 있는 정의규정이 개념서술형보다 개인정보의 범위가 넓다고 볼 수 없다. 다만 나라마다 ‘합리적 노력’이라는 판단기준을 해석하는 것이 다를 수 있다.
개념형은 가장 많은 나라가 채용하고 있는 방식인바 이러한 방식을 취하는 나라와 그 나라만의 부가적인 특징들은 아래와 같다. (일부 국가는 법인에 대한 정보까지 정의규정에 포함하여 규율하는 나라가 있으나 이 글에서는 법인에 대한 정보는 다루지 않고 오직 개인에 관한 정보만 다루기로 한다)
위 국가들 중 오스트레일리아는 식별가능성에 대하여 ‘합리적으로(reasonably)’라고 수식하고 있고 우크라이나는 식별가능성에 대하여 ‘정확하게(precisely)’으로 수식하고 있음을 알 수 있고, 페루는 식별을 위한 수단에 대하여 ‘합리적인 수단(reasonable means)’으로 기술하고 있음을 알 수 있다. 이들 국가의 정의규정은 ‘변형된 개념형’이라 할 수 있다.
여기서 ‘합리적으로(reasonably)’, ‘정확하게(precisely)’, ‘합리적인 수단(reasonable means)’은 ‘식별할 수 있는’을 제한하는 단어로서, 이는 엄격하게는 판단기준이라 할 수 있다. 따라서 엄밀하게는 ‘변형된 개념형’의 이들 국가는 ‘혼합형’으로 분류해도 무방할 것이다.
* 법무법인 민후 김경환 대표변호사, 최주선 변호사 작성, 디지털데일리(2016. 3. 22.), 리걸인사이트(2016. 3. 24.) 기고.