우리는 개인정보라는 말은 일상에서 흔하게 사용한다. 주민번호, 집주소, 비밀번호는 논란의 여지가 없이 개인정보에 해당된다. 그렇다면 어제 소셜네트워크에서 검색했던 해쉬태그, 유튜브 검색어는 법상 보호를 받는 개인정보에 해당될 수 있을까? 「개인정보 보호법」, 제2조 제1호는 개인정보에 대해 살아있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다고 규정하고 있다.

<개인정보의 정의>

가. 개인정보의 공통요건

개인정보 보호법상의 ‘개인정보’에 해당하기 위해서는 먼저 제2조 제1호 본문에 규정된 공통요건인 ‘살아있는 개인에 관한 정보’이어야 하고, 다음으로 제2조 제1호의 가목에서 다목까지의 규정 중 어느 하나의 개별요건을 충족해야 한다. 

우선 공통요건을 자세히 살펴보면 개인정보 보호법의 보호 대상은 ①‘정보’이어야 하며, ②그 정보가 ‘개인에 관한’ 것이어야 하고, ③그 개인이 ‘살아 있는’ 사람이어야 한다. 

첫 번째로 개인정보는 법상 ‘정보’에 해당해야 한다. 우리나라의 법상 ‘정보’는 다양한 정의를 두고 있다. 「공공기관의 정보공개에 관한 법률」,(약칭: 정보공개법) 제2조 제1호는 “정보”란 공공기관이 직무상 작성 또는 취득하여 관리하고 있는 문서(전자문서를 포함한다. 이하 같다) 및 전자매체를 비롯한 모든 형태의 매체 등에 기록된 사항을 말한다“고 하여 정보의 형태나 내용에 제약을 두지 않고 있지만, 「지능정보화 기본법」, 제2조 제1호는 정보를 “ “정보”란 광(光) 또는 전자적 방식으로 처리되는 부호, 문자, 음성, 음향 및 영상 등으로 표현된 모든 종류의 자료 또는 지식을 말한다”고 정의하고 있다. 개인정보보호위원회는 2020년 제정한 [개인정보 보호 법령 및 지침·고시 해설]해설서를 통해 정보의 내용·형태 등은 특별한 제한이 없어서 개인을 알아볼 수 있는 모든 정보가 개인정보가 될 수 있고 정보주체와 관련되어 있으면 주관적 평가나 부정확한 정보, 허위의 정보까지도 경우에 따라 개인정보에 해당될 수 있다고 설명하고 있다. 개인정보보호위원회의 표준 개인정보 보호지침 제3조 또한 “이 지침은 전자적 파일과 인쇄물, 서면 등 모든 형태의 개인정보파일을 운용하는 개인정보처리자에게 적용된다”고 규정하고 있어 모든 형태의 정보가 개인정보에 해당될 수 있음을 알 수 있다.

두 번째로 앞서 살펴본 정보가 ‘개인’에 관한 정보에 해당되어야 한다. 민법상 사람은 크게 자연인과 법인으로 구분된다. 개인정보 보호법 제2조 제1호의 사람은 자연인을 의미하며, 법인이나 물건에 관한 정보는 기본적으로 개인정보에 해당하지 않는다고 본다. 법인 또는 단체의 이름, 소재지 주소, 대표 연락처, 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 법인이 아닌 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호 또한 사업체의 운영과 관련한 정보로서 원칙적으로 개인정보에 해당하지 않는다. 그러나 법인 또는 단체에 관한 정보이면서 동시에 개인에 관한 정보라면 개별 사안에 따라 개인정보에 해당될 수 있다. 대표자를 포함한 임원진과 업무 담당자의 이름·주민등록번호·자택주소 및 개인 연락처, 사진 등 그 자체로 개인을 식별할 수 있는 정보는 개별 상황에 따라 개인정보로 취급될 수 있다. 

개인정보 보호법 제2조 제1호에 따라 개인정보는 “살아있는 개인에 관한 정보”이기 때문에 사람이 아닌 사물에 관한 정보는 원칙적으로 개인정보에 해당하지 않는다. 그러나 해당 사물의 제조자 또는 소유자 등을 나타내는 정보는 개인정보에 해당한다. 

 ‘개인’의 정보는 꼭 그 정보가 특정한 1인에게만 관련된 것일 필요는 없다. 소셜네트워크에 두 명 이상의 단체 사진을 올린다면 사진에 있는 인물 모두의 각각의 개인정보에 해당된다. 특정 개인에 관한 정보임을 알아볼 수 없도록 통계적으로 변환된 ‘○○기업 평균연봉’, ‘○○대학 졸업생 취업률’등은 개인정보에 해당하지 않는다.

세 번째로 개인의 정보는 ‘살아있는’ 개인에 관한 정보여야 한다. 사망했거나 실종선고 등으로 사망한 것으로 간주되는 사람에 관한 정보는 개인정보로 볼 수 없다. 우리 민법은 전부노출설을 따르고 있기 때문에 출생 이전의 태아에 대한 정보 또한 원칙적으로 개인정보에 해당하지 않는다. 다만, 사망자의 정보는 이를 통해 생존한 유족과의 관계를 알 수 있다면 그 유족의 개인정보에 해당될 수 있다.^​1)

 나. 개인정보의 개별요건

(1). 개인을 알아볼 수 있는 정보(개인식별정보)

  「개인정보 보호법」, 제2조 제1호 가목에 따라 살아있는 개인의 정보 중 성명, 주민등록번호, 영상 등을 통해 개인을 알아볼 수 있는 정보는 그 자체로 개인정보에 해당한다. ‘알아볼 수 있는’의 의미는 해당 정보를 ‘처리하는 자’의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 개인을 알아볼 수 있다면 개인정보에 해당한다. 현재 처리하는 자’ 외에도 제공 등에 따라 ‘향후 처리가 예정된 자’도 포함된다. 여기서 ‘처리’란 법 제2조제2호에 따른 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다. ‘알아본다’는 것을 통상 ‘식별’이라고 하기 때문에 제2조 제1호 가목의 개인정보를 ‘개인식별정보’라고 칭하기도 한다.^​2)

주민등록번호와 같은 고유식별정보는 해당 정보만으로도 정보주체인 개인을 알아볼 수 있지만, 개인의 생년월일은 같은 날 태어난 사람이 여러 사람일 수 있으므로 다른 정보 없이 생년월일 그 자체만으로는 개인을 알아볼 수 있다고 볼 수 없어 제2조 제1호 가목의 개인을 알아볼 수 있는 정보에 해당되지 않는다.

(2). 다른 정보와‘쉽게 결합’하여 알아볼 수 있는 정보(개인식별가능정보)

개인을 알아볼 수 있는 정보가 아니더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있다면 개인정보에 해당한다. 이러한 정보를 식별자와 대비하여 ‘준식별자(quasi-identifier)’라 부르기도 하며, 강학상 ‘개인식별가능정보’라고 칭하기도 한다.^​3) 

^{개인정보 보호법 제2조 제1호 나목은 입수가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다고 명시하고 있다. 이때 ‘입수 가능성’은 두 개 이상의 정보를 결합하기 위해 그 결합에 필요한 다른 정보에 합법적으로 접근한 것이어야 한다. 때문에 해킹·절취(切取) 등 불법적인 방법으로 취득한 정보는 포함되지 않는다. 아울러, 다른 정보와 쉽게 결합할 수 있는지 여부는 입수 가능성 외에 현재의 기술 수준이나 충분히 예견될 수 있는 기술 발전 등을 고려해 시간이나 비용, 노력이 비합리적으로 과다하게 투여되지 않아야 한다. 정보 결합에 일반 사업자가 구매하기 어려울 정도로 고가의 컴퓨터가 필요한 경우라면 ‘쉽게 결합’하기 어렵다고 보아야 한다. ‘다른 정보’는 개인식별가능정보와 결합하여 개인을 알아볼 수 있도록 해주는 일체의 정보로, 사회에서 통용되고 있거나 개인정보처리자가 다른 경로를 통해 입수한 배경지식이나 보조정보 등이 포함될 수 있다.​​4)}

^​

​(3). 가명정보와 익명정보

‘가명정보’는 2020년 개인정보 보호법 개정을 통해 신설된 새로운 유형의 개인정보다. 가명정보란 개인식별정보나 개인식별가능정보에 대해 그 일부를 삭제하거나 그 일부 또는 전부를 대체하는 등의 방법을 통해 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 하는 ‘가명처리’를 하여, 원래 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보를 말한다. 가명정보는 개인정보의 활용과 보호라는 두 가지 가치를 조화롭게 달성하기 위한 목적에 따라 2020년 새롭게 도입된 개념으로 가명정보의 처리가 ‘통계작성, 과학적 연구, 공익적 기록보존 등’이라는 목적에 부합할 경우, 개인식별정보 또는 개인식별가능정보에 비해 완화된 방식의 처리를 허용하는 특례 규정이 적용된다. 

개인정보 보호법 제58조의 2는 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더이상 개인을 알아볼 수 없는 정보는 개인정보에 해당되지 않기 때문에 해당 정보는 「개인정보 보호법」이 적용되지 않음을 명시하고 있다. 때문에 개인에 관련되지 않는 익명정보나, 정보주체를 식별할 수 없도록 익명처리된 개인정보는 개인정보 보호법의 적용을 받지 않는다.

​

<개인정보, 가명정보, 익명정보의 예시>

( 출처 : 가명정보_처리_가이드라인 2022, 개인정보보호위원회 )

가. 개인정보의 수집 및 이용

개인정보의 수집이란 ‘정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것’을 말한다.^​1) 개인정보는 정보주체(사용자)로부터 동의를 얻어 개인정보를 직접 취득할 수도 있고, 제3자에게 개인정보를 제공받거나 인터넷 검색을 통해 개인정보를 제공받을 수도 있다. 개인정보 보호법은 개인정보의 수집·이용하려면 아래 일곱가지 중 하나에 해당해야 한다고 규정하고 있다.

<개인정보의 수집 및 이용 관련 규정>

이하에서는 광고 마케팅에 주로 적용되는 ‘정보주체의 동의를 받은 경우’에 대해 자세히 살펴보고자 한다. 

(1). 동의의 의미 

개인정보처리자는 정보주체의 동의를 받은 경우 개인정보를 수집할 수 있고, 그 수집 목적의 범위 내에서 수집한 개인정보를 이용할 수 있다. 이때 동의란 ‘개인정보처리자가 개인정보를 수집·이용하는 것에 대한 정보주체의 자발적인 승낙의 의사표시’를 의미한다.^​2)

우리가 어떤 서비스에 가입할 때 마케팅에 활용될 수 있다는 글을 읽고 동의에 체크하는 행위가 그 예이다. 동의는 서면으로 받을 것을 요구하지 않기 때문에 유선상으로 동의를 받아도 되지만 정보주체가 명확하게 인지할 수 있도록 개인정보를 수집하는 목적 등을 명확하게 안내하고 동의를 얻어야 한다. 추후 개인정보 보호 분쟁 발생 시 입증책임이 문제될 수 있어 통상 정보주체의 동의를 받았음을 확인할 수 있는 기록을 보관하고 있다.

(2). 고지사항 

개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집할 때 다음 사항을 정보주체에게 알려야 한다.

<개인정보의 수집 시 고지사항>

나. 개인정보 보호 원칙

개인정보 보호법 제3조는 개인정보 보호 원칙으로 8개의 조항을 규정하고 있다. 개인정보처리자는 아래 8개의 조항을 준수해야 한다.

<개인정보의 보호 원칙>

(1). 처리 목적의 명확화

업무를 목적으로 개인정보를 처리하는 개인정보처리자(기업 등)는 개인정보의 처리목적을 명확하게 해야 한다. 개인정보의 처리는 업무 목적 내에서 제한적으로 허용된다. 때문에 정보주체가 쉽게 알 수 있도록 개인정보의 수집·이용 등 처리목적이 공개되어야 한다. 따라서 서비스 내에 게시하는 개인정보 지침 내에 포함시키거나, 정보주체의 동의를 받을 때 고지하거나, 제3자에게 정보를 제공하기 전 동의를 받을 때 고지하는 등 정보주체에게 꼭 처리 목적을 통지해야 한다.

(2). 최소한의 수집과 적법하고 정당한 수집

개인정보처리자는 처리 목적에 필요한 범위 내에서 최소한의 개인정보만을 수집해야 한다. 최소한의 개인정보 수집 의무는 정보 주체인 정보주체의 동의를 받지 않더라도 요구되는 원칙이다.^​3)

필요한 범위 내에서 최소한의 개인정보란 그 개인정보가 없으면 목적 달성이 가능하지 않은 필수적 개인정보를 말한다. 따라서 개별 목적과 상황에 따라 최소한의 개인정보에 대한 판단이 달라지게 된다. 예를 들어 당첨자를 뽑아 경품을 제공하는 이벤트 페이지를 운영할 경우 필요한 최소한의 개인정보는 당첨자에게 경품을 발송하기 위한 당첨자의 이름, 주소, 연락처가 필요한 최소한의 개인정보에 해당될 것이다. 최소한의 개인정보만 수집했다는 입증책임은 개인정보처리자가 부담한다.

개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집할 때 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알린 후 개인정보를 수집해야 한다. 그리고 최소한의 정보 외의 개인정보 수집에 정보주체가 동의하지 않는다는 이유로 정보주체에게 서비스를 제공하지 않을 수 없다. 또한 개인정보처리자는 개인정보를 적법하고 정당하게 수집해야 한다. 

<개인정보의 수집 제한>

(3). 개인정보의 적합한 처리 및 처리 목적 외의 활용 금지

개인정보처리자는 개인정보의 처리목적에 필요한 범위에서 적합하게 개인정보를 처리해야 한다. 이때의 적합한 처리는 개인정보의 수집은 물론 개인정보와 관련한 모든 처리 과정이 적합해야 하는 것으로 해석된다.^​4)

^{개인정보처리자는 개인정보의 처리목적 외의 용도로 개인정보를 활용해서는 안된다. 관련 업무를 진행하면서 개인정보가 원래의 수집 목적 이외의 용도로 활용되어야 할 경우 다시 정보주체에게 동의를 별도로 받아야 한다. 예를 들어 여행사의 경품 이벤트 시 경품 발송을 위해 개인정보를 수집한 경우 여행사의 경품 당첨 소식이 아닌 화장품 회사의 신제품 출시 소식을 전해서는 안된다.}

(4). 개인정보의 정확성, 완전성 및 최신성 보장

개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 해야 한다.  개인정보 입력 시 입력내용을 사전에 확인하는 절차, 개인정보에 대한 열람 및 정정 요구 등 필요한 절차나 방법 등을 마련하여야 하며, 오류정보를 발견한 경우 정정이나 삭제할 수 있는 절차도 마련하여야 한다.

(5). 개인정보의 안전한 관리

개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리해야 한다. 이를 위해 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려해서 그에 상응하는 적절한 관리적·기술적 및 물리적 보호조치를 취해야 한다.

(6). 개인정보의 처리에 관한 사항 공개 및 정보주체의 권리 보장

개인정보처리자는 개인정보 보호법 제30조에 따른 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개해야 한다. 우리가 웹사이트 하단에서 주로 볼 수 있는 ‘개인정보 처리방침’이 바로 그것이다. 개인정보처리자는 정보주체가 열람등 요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개해야 한다.

<웹사이트 내 개인정보 처리방침 예시>

개인정보 보호법 제4조는 6가지 정보주체의 권리를 규정하고 있다. 개인정보처리자는 열람청구권 등 정보주체의 권리를 보장할 수 있도록 합리적인 절차와 방법 등을 마련해야 한다. 

<개인정보주체의 권리>

(7). 사생활 침해 최소화 및 개인정보의 익명처리 및 가명처리 장려

개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리해야 한다.개인정보의 처리 목적에 필요한 범위 내에서 적법하게 개인정보를 처리하는 경우에도 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리해야 한다. 또한, 개인정보를 익명 또는 가명으로 처리하여도 수집 목적을 달성할 수 있는 경우 구체적인 업무의 특성을 반영하여 개인정보 데이터 기록에서 개인식별자를 제거하거나 대체하는 등 개인정보의 익명처리가 가능한 경우에는 특정 개인을 알아볼 수 없는 형태로 익명처리를 해야 한다. 다만, 익명처리로 목적을 달성할 수 없는 경우에는 가명처리 해야 한다. 

디지털 광고의 유형 중 하나인 맞춤형 광고(Online Behavioral Advertising, OBA)는 이용자들의 행태정보를 수집하여 이들이 관심을 가지거나, 가질 가능성이 높은 정보를 제공하는 광고로 불특정 다수에게 동일한 광고를 노출하던 기존 광고와 달리 이용자의 편의성을 도모하고 광고효과를 높일 수 있는 서비스이다. 맞춤형 광고에 사용되는 정보는 앞서 살펴본 개인정보 보호법 제2조 제1호에 해당하는 개인정보가 아닌 ‘행태정보’가 사용된다. 아직까지 행태정보에 대한 명확한 법적 정의는 이루어지지 않았으며, 이에 대한 규제 또한 조심스러운 상황이다.

방송통신위원회는 2017년 이용자의 안정성을 도모하고 온라인 맞춤형 광고산업을 활성화하기 위해 「온라인 맞춤형 광고 개인정보보호 가이드라인(2017)」을 제정하였다. 현재는 해당 가이드라인을 대폭 개정한 개인정보보호위원회의 「맞춤형 광고 개인정보 보호 가이드라인」 제정 작업 중에 있다. 가이드라인은 법이 아니므로 가벼운 개념으로 이해하기 쉬우나, 이전에 ’개인정보 비식별 조치 가이드라인(2016. 6.)’에 따라 빅데이터 서비스를 제공한 기업들이 개인정보보호법 등 위반으로 검찰에 고발되어 서비스를 제공할 수 없었던 사례에 비추어 볼 때 맞춤형 광고를 기획하고 집행할 경우 꼭 유의하여 숙지하여야 한다.

가. 맞춤형 광고 개인정보 보호 가이드라인

맞춤형 광고 개인정보 보호 가이드라인은 맞춤형 광고 집행 시 개인정보 침해 우려를 최소화하고 건전한 맞춤형 광고 생태계를 조성하고자 제정된 가이드라인이다. 동 가이드라인에 따르면 맞춤형 광고란 “행태정보를 처리하여 이용자의 관심, 흥미, 기호 및 성향 등을 분석·추정한 후 이용자에게 맞춤형으로 제공되는 온라인 광고”를 의미한다. 이때 “행태정보”란 웹사이트 방문이력, 앱 사용이력, 구매 및 검색이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동정보를 말한다. 가이드라인 상 사용자 보호 조치를 취해야 할 주체는 “온라인 맞춤형 광고 사업자”와 “온라인 광고 매체 사업자”로 나뉜다. “온라인 맞춤형 광고 사업자(이하 ”광고 사업자“)는 자사 또는 타사의 서비스(웹사이트 및 앱 등 온라인 매체)를 통해 행태정보를 수집하고, 온라인 맞춤형 광고를 전송하는 사업자를 말한다(광고 플랫폼 사업자). 온라인 광고 매체 사업자(이하 ”매체 사업자“)는 자사 웹 사이트 및 앱 등 온라인 매체를 통해 행태정보의 수집을 허용하거나 온라인 맞춤형 광고가 전송되도록 한 사업자를 말한다.

가이드라인에서는 온라인 맞춤형 광고 개인정보보호 원칙으로 크게 4가지 원칙을 규정하고 있다.

(1). 행태정보 수집·이용의 투명성

첫째, 자사 사이트나 앱을 통해 맞춤형 광고를 직접 전송하는 광고 사업자는 이용자가 언제든지 쉽게 확인할 수 있도록 온라인 맞춤형 광고와 관련된 사항을 상세히 안내하여야 한다. 직접 운영하는 사이트나 앱이 아닌 다른 사업자의 서비스를 통해 맞춤형 광고를 전송하는 광고사업자는 전송하는 맞춤형 광고의 내부 또는 주변부에 이용자가 쉽게 식별할 수 있도록 버튼 등을 생성하고, 그 버튼과 연결된 별도 페이지에 관련 사항을 상세히 안내해야 한다. 

<안내방법 예시>