6. ‘개인정보’란 무엇인가요, 프라이버시와는 다른 것인가요?
다수인에 대한 정보가 한 곳에 축적되어 있다가 유출되는 경우 다수인의 사생활이 한꺼번에 침해되는 사태가 발생할 수 있습니다. 그렇기 때문에 프라이버시를 적극적으로 보호하기 위해 이와 같이 위험한 상황을 사전에 통제하기 위해 현대의 법제도는 소위 ‘개인정보’에 대한 자기결정권을 인정하고 있습니다. 개인정보는 개인의 ‘신체, 신념, 사회적 지위, 신분 등을 특징짓는 사항’으로서 개인에 대한 거의 모든 정보를 포함할 수 있으며 사생활의 범위에 포함되지 않는 정보도 포함합니다.2) 그리고 개인정보를 침해하는 행위는 프라이버시 침해행위처럼 취득과 공개에만 한정되지 않고 동의 없는 축적 및 제3자에의 양도도 모두 포함됩니다.
이에 따라 공공기관의 개인정보보호에 관한 법률은 제2조 제2호에서 ‘"개인정보"라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명·주민등록번호 및 화상 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다.’고 규정하고 있습니다. 또한, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제6호도 “개인정보”를 비슷하게 정의하고 있습니다. 그리고 개인정보를 보유하는 공공기관과 정보통신서비스제공자는 단순히 개인정보를 허락 없이 공개하지 않을 의무뿐만 아니라 개인정보를 보호하기 위한 여러 가지 다른 의무들을 가지게 됩니다.
그런데 이렇게 개인정보가 사생활에 속하지 않는 정보도 포함한다면 프라이버시 법리는 의미가 없어진다고 생각할지 모릅니다. ‘개인정보’를 이렇게 정의해버리면 예를 들어 ‘박경신은 대학교수이다’라는 말도 개인정보가 되어 버립니다. 이 정보는 박경신이 자발적으로 인터넷에 공개하고 있기 때문에 프라이버시의 범위에 포함되지 않습니다. 그렇다면 프라이버시에 속하든 속하지 아니하든 개인정보라고 하여 이를 공개하는 행위가 위법성이 인정되면 프라이버시라는 법리 자체가 의미가 없어져버릴 것입니다.
그러나, 개인정보자기결정권은 실질적으로는 다수인에 대한 정보를 수집, 보관, 처리하는 개인정보처리자들에게만 의무를 부과합니다. 실제로, 우리나라의 개인정보보호와 관련된 대표적인 법률은 공공기관의 개인정보보호에 관한 법률과 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 있는데, 전자는 개인정보“파일”을 보유하는 공공기관에게만, 그리고 후자는 정보통신서비스제공자에게만 적용되며 두 기관 모두 개인정보를 대량으로 수집, 보관, 처리합니다. 그리고 2011.9.30. 시행을 앞두고 있는 개인정보보호법 역시 개인정보“파일”을 보유하는 민간업체들에게 적용이 한정됩니다. 여기서 “파일”은 많은 양의 정보가 검색 가능한 형태로 체계화되어 있는 것을 발합니다.
또 민간업체가 보관하는 개인정보 역시 정보처리자가 어떤 의무를 위반하였다고 하여 곧바로 위법성이 발생하는 것도 아닙니다. 헌법재판소는 졸업생들의 동의 없이 성명, 생년월일, 졸업일자를 전자적 파일로 전환하여 보관한 정부의 조치(NEIS)에 대하여 “성명, 생년월일은 최소한의 개인 식별 정보로써 모든 행정업무 처리에 불가결한 기초정보이고, 졸업일자는 개인에 관한 의미 있는 정보이기는 하지만 개인의 인격에 밀접히 연관된 민감한 정보라고 보기는 어렵다”며 위헌성을 부인하였습니다.3) 또 판례는 개인의 정보가 명시적 동의 없이 타인에 의해 수집되었다는 사실만 가지고 곧바로 그 개인에게 정신적 손해가 발생하였다고 단정하기는 어렵고, 그 수집된 개인정보의 성격, 정보수집주체가 수집된 정보를 이용한 방식 및 규모 등 제반 요소를 고려하여 개인정보의 이용으로 인하여 그 개인에게 정신적 손해가 발생하였다는 사정이 구체적으로 입증되어야 한다는 입장입니다.4)
결론적으로 프라이버시는 사생활에 속하는 정보에 대해서만 인정되지만 개인정보자기결정권은 사생활에 속하든 속하지 아니하든 개인에 대한 정보에 대해서 모두 인정됩니다. 이렇게 프라이버시는 폭이 좁기 때문에 그러한 사적인 정보의 공개 자체로 위법성이 인정되지만 개인정보침해는 대량의 개인정보를 처리하는 자의 행위에 대해서만 그것도 개인정보의 성격에 따라서 위법성이 인정된다고 볼 수 있습니다.
6. ‘개인정보’란 무엇인가요, 프라이버시와는 다른 것인가요?
다수인에 대한 정보가 한 곳에 축적되어 있다가 유출되는 경우 다수인의 사생활이 한꺼번에 침해되는 사태가 발생할 수 있습니다. 그렇기 때문에 프라이버시를 적극적으로 보호하기 위해 이와 같이 위험한 상황을 사전에 통제하기 위해 현대의 법제도는 소위 ‘개인정보’에 대한 자기결정권을 인정하고 있습니다. 개인정보는 개인의 ‘신체, 신념, 사회적 지위, 신분 등을 특징짓는 사항’으로서 개인에 대한 거의 모든 정보를 포함할 수 있으며 사생활의 범위에 포함되지 않는 정보도 포함합니다.2) 그리고 개인정보를 침해하는 행위는 프라이버시 침해행위처럼 취득과 공개에만 한정되지 않고 동의 없는 축적 및 제3자에의 양도도 모두 포함됩니다.
이에 따라 공공기관의 개인정보보호에 관한 법률은 제2조 제2호에서 ‘"개인정보"라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명·주민등록번호 및 화상 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다.’고 규정하고 있습니다. 또한, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제6호도 “개인정보”를 비슷하게 정의하고 있습니다. 그리고 개인정보를 보유하는 공공기관과 정보통신서비스제공자는 단순히 개인정보를 허락 없이 공개하지 않을 의무뿐만 아니라 개인정보를 보호하기 위한 여러 가지 다른 의무들을 가지게 됩니다.
그런데 이렇게 개인정보가 사생활에 속하지 않는 정보도 포함한다면 프라이버시 법리는 의미가 없어진다고 생각할지 모릅니다. ‘개인정보’를 이렇게 정의해버리면 예를 들어 ‘박경신은 대학교수이다’라는 말도 개인정보가 되어 버립니다. 이 정보는 박경신이 자발적으로 인터넷에 공개하고 있기 때문에 프라이버시의 범위에 포함되지 않습니다. 그렇다면 프라이버시에 속하든 속하지 아니하든 개인정보라고 하여 이를 공개하는 행위가 위법성이 인정되면 프라이버시라는 법리 자체가 의미가 없어져버릴 것입니다.
그러나, 개인정보자기결정권은 실질적으로는 다수인에 대한 정보를 수집, 보관, 처리하는 개인정보처리자들에게만 의무를 부과합니다. 실제로, 우리나라의 개인정보보호와 관련된 대표적인 법률은 공공기관의 개인정보보호에 관한 법률과 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 있는데, 전자는 개인정보“파일”을 보유하는 공공기관에게만, 그리고 후자는 정보통신서비스제공자에게만 적용되며 두 기관 모두 개인정보를 대량으로 수집, 보관, 처리합니다. 그리고 2011.9.30. 시행을 앞두고 있는 개인정보보호법 역시 개인정보“파일”을 보유하는 민간업체들에게 적용이 한정됩니다. 여기서 “파일”은 많은 양의 정보가 검색 가능한 형태로 체계화되어 있는 것을 발합니다.
또 민간업체가 보관하는 개인정보 역시 정보처리자가 어떤 의무를 위반하였다고 하여 곧바로 위법성이 발생하는 것도 아닙니다. 헌법재판소는 졸업생들의 동의 없이 성명, 생년월일, 졸업일자를 전자적 파일로 전환하여 보관한 정부의 조치(NEIS)에 대하여 “성명, 생년월일은 최소한의 개인 식별 정보로써 모든 행정업무 처리에 불가결한 기초정보이고, 졸업일자는 개인에 관한 의미 있는 정보이기는 하지만 개인의 인격에 밀접히 연관된 민감한 정보라고 보기는 어렵다”며 위헌성을 부인하였습니다.3) 또 판례는 개인의 정보가 명시적 동의 없이 타인에 의해 수집되었다는 사실만 가지고 곧바로 그 개인에게 정신적 손해가 발생하였다고 단정하기는 어렵고, 그 수집된 개인정보의 성격, 정보수집주체가 수집된 정보를 이용한 방식 및 규모 등 제반 요소를 고려하여 개인정보의 이용으로 인하여 그 개인에게 정신적 손해가 발생하였다는 사정이 구체적으로 입증되어야 한다는 입장입니다.4)
결론적으로 프라이버시는 사생활에 속하는 정보에 대해서만 인정되지만 개인정보자기결정권은 사생활에 속하든 속하지 아니하든 개인에 대한 정보에 대해서 모두 인정됩니다. 이렇게 프라이버시는 폭이 좁기 때문에 그러한 사적인 정보의 공개 자체로 위법성이 인정되지만 개인정보침해는 대량의 개인정보를 처리하는 자의 행위에 대해서만 그것도 개인정보의 성격에 따라서 위법성이 인정된다고 볼 수 있습니다.