개인정보
개인정보(個人情報)는 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말한다. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보도 개인정보에 포함된다.
개요[편집]
개인정보란 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보를 말한다. 정보사회를 맞이하여 사회 각 분야에서 인터넷과 정보통신기술의 사용이 일상화되면서, 개인정보는 과거의 단순한 신분 정보에서 오늘날에는 전자상거래, 고객관리, 금융거래 등 사회의 구성, 유지, 발전을 위한 필수적인 요소로서 기능하고 있다. 또한 개인정보는 기업의 입장에서도 수익 창출을 위한 자산적 가치로서 높게 평가되고 있다. 개인정보보호법 등 관련 법률에서 규정하고 있는 개인정보의 개념은 다음과 같다.
가. 개인정보 보호법 등 관련 법률에서 규정하고 있는 개인정보의 개념은 다음과 같으며, 이에 해당하지 않는 경우에는 개인정보가 아님 나. 개인정보는 ⅰ)살아 있는 ⅱ)개인에 관한 ⅲ)정보로서 ⅳ)개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 ⅴ)다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함 ⅰ) 살아있는 자에 관한 정보이어야 하므로 사망한 자, 자연인이 아닌 법인, 단체 또는 사물 등에 관한 정보는 개인정보에 해당하지 않음 ⅱ) 개인에 관한 정보이어야 하므로 여럿이 모여서 이룬 집단의 통곗값 등은 개인정보에 해당하지 않음 ⅲ) 정보의 종류, 형태, 성격, 형식 등에 관하여는 특별한 제한이 없음 ⅳ) 개인을 알아볼 수 있는 정보이므로 특정 개인을 알아보기 어려운 정보는 개인정보가 아님. 여기서 '알아볼 수 있는'의 주체는 해당 정보를 처리하는 자(정보의 제공 관계에 있어서는 제공받은 자를 포함)이며,정보를 처리하는 자의 입장에서 개인을 알아볼 수 없다면 그 정보는 개인정보에 해당하지 않음 ⅴ) 다른 정보와 쉽게 결합하여 결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고, 또 다른 정보와의 결합 가능성이 높아야 함을 의미
개인정보는 개인에 관한 정보 가운데 직ㆍ간접적으로 각 개인을 식별할 수 있는 정보이기 때문에 식별 가능성이 없는 정보는 개인정보로 보지 않는다. "개인을 식별할 수 있는 기록된 정보 중 주로 체계적으로 관리되고 이용되는 정보"를 말한다는 견해도 있다. 정보보호법상 개인이라 함은 특정될 수 있는 자연인을 의미한다. 따라서 법인이나 단체에 대한 정보는 개인정보가 될 수 없으며, 해당 정보의 주체가 특정이 가능하여야 한다. 즉, 어떤 정보가 집단에 속한 사람들에 관한 정보이기는 하나 특정한 개인에 대한 정보라고 할 수 없는 경우에는 개인정보가 아니다. 다만 단체에 속한 정보라고 하더라도 소규모 집단이고 특정 기간에 개인이 처한 특수한 상황이 적시됨으로써 해당 개인이 추정 가능한 경우에는 개인정보라고 할 것이다.[1]
유형[편집]
개인정보의 유형은 일반적으로 다음과 같이 분류할 수 있다. 판례는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 인격 주체성을 특징짓는 사항으로서 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하여, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 않고 공적생활에서 형성되었거나 이미 공개된 개인정보까지도 포함한다고 보고 있다.[2]
유형구분 개인정보 항목 일반정보 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적 가족정보 가족구성원들의 이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호 교육 및 훈련정보 학교출석사항, 최종학력, 학교성적, 기술 자격증 및 전문 면허증, 이수한 훈련 프로그램, 동아리활동, 상벌사항 병역정보 군번 및 계급, 제대유형, 주특기, 근무부대 부동산정보 소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등 소득정보 현재 봉급액, 봉급경력, 보너스 및 수수료, 기타소득의 원천, 이자소득, 사업소득 기타 수익정보 보험 (건강, 생명 등) 가입현황, 회사의 판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가 신용정보 대부잔액 및 지불상황, 저당, 신용카드, 지불연기 및 미납의 수, 임금압류 통보에 대한 기록 고용정보 현재의 고용주, 회사주소, 상급자의 이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격 테스트결과 직무태도 법적정보 전과기록, 자동차 교통 위반기록, 파산 및 담보기록, 구속기록, 이혼기록, 납세기록 의료정보 가족병력기록, 과거의 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트 등 각종 신체테스트 정보 조직정보 노조가입, 종교단체가입, 정당가입, 클럽회원 통신정보 전자우편(E-mail), 전화통화내용, 로그파일(Log file), 쿠키(Cookies) 위치정보 GPS나 휴대폰에 의한 개인의 위치정보 신체정보 지문, 홍채, DNA, 신장, 가슴둘레 등 습관 및 취미정보 흡연, 음주량, 선호하는 스포츠 및 오락, 여가활동, 비디오 대여기록, 도박성향
특징[편집]
- 살아 있는 개인에 관한 정보
- 개인정보는 살아 있는 자연인에 관한 정보이다. 사망자의 정보라고 하더라도 유족과의 관계를 알 수 있는 정보는 유족과의 개인정보에 해당한다. 사망했거나 실종신고 등 관계법령에 의해 사망한 것으로 간주된 자의 정보는 개인정보에 해당되지 않는다.
- 개인에 관한 정보
- 개인정보는 대표자, 임원진, 업무 담당자의 이름, 자택 주소 및 개인연락처, 사진 등의 법인 또는 단체에 관한 정보이면서 동시에 개인에 관한 정보이어야 한다. 법인 또는 단체 이름, 소재지 주소, 대표 연락처, 업무별 연락처 등의 법인 또는 단체에 관한 정보는 개인정보에 포함되지 않는다. 아파트 소유자가 자연인인 경우, 아파트 주소가 특정 소유자 정보 등 해당 사물 등의 제조자 또는 소유자 등을 나타내는 정보는 개인정보에 해당하는 반면, 개인사업자의 상호명, 사업장 주소, 전화번호 등 사업체의 운영 관련 정보나 사물에 관한 정보는 개인정보에 해당하지 않는다. 또한 SNS에 업로드한 단체 사진은 사진에 있는 인물 모두의 개인정보에 해당하며 특정 개인에 관한 정보임을 알아볼 수 없도록 통계적으로 변환된 정보는 개인정보에 포함되지 않는다.
- 정보의 내용·형태 등은 제한 없음
- 디지털 형태나 수기 형태, 자동 처리나 수동 처리 등 그 형태 또는 처리방식과 관계없이 정보 주체와 관련되어 있으면 키, 나이, 몸무게 등 객관적 사실에 관한 정보로 간주된다. 그 사람에 대한 제3자의 의견 등 주관적 평가에 관한 정보, 사실이거나 증명된 것이 아닌 부정확한 정보 또는 허위 정보 또한 개인정보이다.
- 개인을 알아볼 수 있는 정보
- 해당 정보를 처리하는 자, 혹은 향후 처리가 예정된 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 개인을 알아볼 수 있다면 개인정보에 해당한다. 예를 들어 주민등록번호와 같은 고유식별정보는 개인정보이다. 반면 생년월일과 같이 다른 정보 없이 그 자체만으로는 개인을 알아볼 수 없는 정보는 개인정보에 포함되지 않는다. 8자리 숫자인 생년월일은 개인정보에 포함되지 않지만 휴대전화번호 뒷자리 4자리는 개인정보에 해당한다. 휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높으며, 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 「그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있다」라고 하여 개인정보로 볼 수 있다.
- 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보
- 이는 결합 대상이 될 정보의 입수 가능성이 있어야 하고 결합 가능성이 높아야 함을 의미한다. 입수 가능성이란 두 종 이상의 정보를 결합하기 위해서는 결합에 필요한 정보에 합법적으로 접근 및 입수할 수 있어야 함을 의미한다. 이때 해킹 등 불법적인 방법으로 취득한 정보는 포함하지 않는다. 결합 가능성은 현재 기술 수준을 고려하여 비용이나 노력이 비합리적으로 수반되지 않아야 함을 의미한다.
각국별 개인정보[편집]
국제기구(OECD) 이사회가 채택한 1980년 「프라이버시 보호 및 개인정보의 국가 간 유통에 관한 가이드라인에 관한 이사회 권고」에서는 "식별된 또는 식별될 수 있는 개인에 관한 모든 정보"라고 정의하고 있다. EU의 1995년 「개인정보처리에 있어서 개인정보의 보호 및 정보의 자유로운 이동에 관한 유럽의회 및 이사회의 지침」에서는 개인정보를 '식별된 또는 식별 가능한 자연인에 관한 정보, 즉 신체적ㆍ정신적ㆍ심리적ㆍ경제적ㆍ문화적ㆍ사회적 특성의 요소에 의해서 직ㆍ간접적으로 식별되는 자연인에 관한 정보'라고 정의하고 있다.[3] 각국에서 규정하고 있는 개인정보의 개념은 다음과 같다.
대한민국[편집]
대한민국의 경우, 규정하고 있는 법률에 따라 개인정보의 정의가 약간 다르다.
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 : 개인정보라 함은 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보를 말한다. 이메일 주소는 당해 정보만으로는 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경우 당해 개인을 알아볼 수 있는 정보라 할 것이므로 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 제2조 제1항 제6호에서 정한 개인정보에 해당한다.
- 개인정보 보호법 : 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말한다. 「개인정보 보호법」은 공공부문과 민간부문 모두에 적용되는 일반법이므로 기존에 공공분야에서 개인정보 일반법 역할을 해온 「공공기관의 개인정보보호에 관한 법률」은 그 역할을 다하여 폐지하였다.
- 전자서명법 : 개인정보라 함은 생존하고 있는 개인에 관한 정보로서 성명 및 주민등록번호 등에 의하여 해당 개인을 알아볼 수 있는 부호, 문자, 음성, 음향, 영상 및 생체 특성 등에 관한 정보를 말한다.[4]
미국[편집]
미국은 개인정보보호에 관한 사항을 포괄적으로 규정하고 있는 개인정보보호기본법은 가지고 있지 않지만, 각 영역별로 개인정보보호를 위한 법규범을 마련해 두고 있다. 특히 공공부문에 있어서는 1974년 프라이버시법(The Privacy Act of 1974)이 적용되어, 미국정부기관에 의해 보유되고 있는 개인정보를 보호하고 있다. 그러나 미국은 공공부문과 민간부문의 개인정보보호체계가 분리되고, 민간부문에 있어서도 각 영역별로 입법이 이루어지고 규율됨에 따라 포괄적인 개인정보보호기구는 없는 상황이다. 따라서 공공부문과 민간부문을 나누어 살펴보면, 공공부문에 있어서는 예산관리국(OMB : The Office of Management and Budget)에서 프라이버시법에 따라 연방정부의 프라이버시 정책을 정립하는 역할을 맡고 있다. 그러나 OMB는 예산관리차원에서의 제한적인 역할만을 맡고 있는 것으로 볼 수 있다. 한편 민간부문에 있어서는 연방거래위원회(FTC : The Federal Trade Commission)가 아동의 온라인 프라이버시, 소비자신용정보, 공정한 거래 관행과 관련하여 개인정보를 보호하는 법률을 집행하고 준수 여부를 감독할 권한을 부여받아 행사하고 있다. 따라서 포괄적인 개인정보보호기구는 없으나 연방거래위원회의 역할을 참고할 수 있을 것이다.[5]
프랑스[편집]
프랑스 정보처리 축적 및 자유에 관한 법률 제2조에 따르면 개인정보는 직접 또는 간접적으로 식별 확인번호나 그를 확인하게 해주는 하나 이상의 요소를 참고함으로써 식별되거나 식별 가능한 개인에 관한 정보로 구성된다. 개인이 식별 가능한지를 결정하기 위해서는 신원 확인을 이용 가능하거나 정보처리의 책임자가 접근 가능하거나 혹은 어떤 다른 사람이 소유할 수 있는 모든 수단을 고려할 것이 권고된다. 프랑스에서는 1974년 사파리(SAFARI) 법안에 대한 여론의 반발 등으로 인하여, 공공부문과 민간부문에서 이루어지는 정보처리 기술의 발달에 대비한 개인의 사생활과 자유 보호를 위한 방안을 강구하기 위한 위원회가 법무부 내 설치되었다. 동 위원회에서는 개인정보보호기본법의 제정 및 동법의 적용을 감독하는 임무를 맡는 독립적인 기구의 설치를 주장하는 보고서를 발표하였다. 이에 프랑스에서는 1978년 동 보고서를 기초로 정보처리축적및자유에관한법률이 제정되었으며, 동법 제6조를 근거로 하여 국가정보처리자유위원회(CNIL ; Commission nationale de l'informatique et des libertes)가 설립되어 활동하고 있다.[6]
영국[편집]
영국의 개인정보보호법 제1조 제1항에 따르면, 개인정보는 (a)당해 정보, (b)정보관리자가 보유하고 있거나 앞으로 보유할 가능성이 많은 기타 데이터, 또는 해당 개인에 대한 의견 표현이나 해당 개인에 대한 다른 사람들 또는 정보관리자의 의도를 드러내는 모든 표시를 포함한다. 유럽의 인구 약 5977만 명의 섬나라인 영국은 1984년부터 정보보호등록관을 설치하여 자국 내에서 이루어지는 모든 개인정보 처리행위를 사전 등록함으로써 개인정보를 보호하여왔다. 이러한 정보보호등록관은 그 역할과 위상이 점차 증대하여, 1998년에는 전면 수정된 정보보호법(The Data Protection Act 1998)에 따라 정보보호커미셔너(Data Protection Commissioner)로 개칭되고, 2000년에는 정보공개법(Freedom of Information Act 2000)에 따라 정보커미셔너로 변천되어 오늘날에 이르고 있다.
호주[편집]
호주는 2003년 현재 인구 1,955만 명의 연방국가로서, 일찍이 1988년에 연방프라이버시법(The Federal Privacy Act, 1988)을 제정하여 개인정보보호를 위한 법제도의 기틀을 마련한 바 있다. 호주 연방 프라이버시법 제6조 제1항에 따르면 개인정보란 진실하거나 아니거나 물리적인 형태에 기록되어 있거나 아니건 간에 그의 신원이 명백하거나 합리적으로 판명될 수 있는 개인에 관한 정보 또는 의견을 의미한다. 호주는 연방국가이기 때문에 각 주마다 개인정보보호의 역할을 담당하는 기구가 설치되어 있지만, 호주를 대표하는 개인정보보호기구는 바로 연방 프라이버시 커미셔너이다. 호주의 연방 프라이버시 커미셔너는 2001년 국제정보보호커미셔너회의에서 ‘자격 있는 개인정보보호기구’로 인정받음은 물론, 올해 9월에는 제25차 국제정보보호커미셔너회의를 개최하는 등 선진 개인정보보호기구로서의 위상을 한층 높이고 있다.[7]
문제점[편집]
만약 누군가가 개인정보를 악의적인 목적으로 이용하거나 유출할 경우 개인의 안전과 재산에 큰 피해를 줄 수 있다. 매일 수신되는 스팸문자, 보이스 피싱, 나를 사칭한 메신저 상의 금융 사기 등이 모두 개인정보 유출과 관련된 것이다. 개인 정보는 정보주체의 프라이버시 보호 요구와 사업자의 마케팅 등의 수집 및 활용 사이에 이해 상충 및 갈등관계에 있으며 이에 따라 개인 정보 침해의 위험성이 증가되고 있다. 또한 대량의 개인 정보가 중앙 집중 방식으로 수집·관리되어 데이터베이스화되면 사업자의 고의 또는 과실에 의해 언제라도 개인 정보가 침해·누설될 수밖에 없는 위험성에 놓이게 된다. 개인 정보의 침해는 이러한 상황에서‘정보주체의 동의 없이 개인 정보가 수집·이용·제3자에게 제공되는 일체의 피해’를 포괄하여 일컫는 것으로 해석할 수 있을 것이다.[8]
비교[편집]
- 개인정보와 비밀
- 개인정보는 공개 여부를 불문하고 태생적으로 누군가에 의해서 이용 또는 활용될 것을 전제로 하지만, 비밀은 밝혀지지 않았거나 알려지지 않은 내용으로 남에게 드러내거나 알리지 말아야 할 것으로서 해당 비밀의 주체가 공개하지 않으면 영원히 비밀로 존재하는 것으로 원칙적으로 수집·이용의 대상이 되지 않는다. 비밀도 경우에 따라서는 제한적인 범위에서 활용의 필요성이 인정되는 경우가 있다. 통신 비밀이 범죄수사를 위해 수집 및 이용되거나, 성병이나 에이즈 같은 질병정보가 다른 사람에 대한 감염확산을 방지하기 위해서 수집 및 이용되는 경우를 그 예로 들 수 있다. 그러나 이러한 경우에도 비밀은 그 수집 및 이용의 목적범위 내에서 내부적으로만 이용될 뿐 공공연하게 이용되거나 유통되지는 않는다.
- 개인정보와 프라이버시(privacy)
- 프라이버시는 오랜 역사와 광범위한 사용에도 불구하고 아직까지 명확한 법적 정의가 정립되어 있지 않다. 다만, 사전적 정의로 프라이버시란 개인의 사생활이나 집안의 사적인 일 또는 그것을 남에게 간섭받지 않을 권리를 말한다. 개인정보와 프라이버시는 두 가지 점에서 근본적으로 구별된다. 첫 번째로, 프라이버시는 자기 자신에 전속한 권리로서 누구의 간섭도 받지 않고 독립적으로 그 권리를 행사할 수 있으나 개인정보는 그 개인정보를 실질적으로 수립 및 관리하고 있는 사람이나 기관 및 단체의 권리도 인정해야 한다. 두 번째로, 프라이버시는 인격권 그 자체이지만 개인정보는 인격권의 침해가 없더라도 보호해야 할 경우가 있다. 예를 들어 정보 주체의 은행 계좌번호나 신용카드번호가 유출된 경우 그러한 정보가 인격권에 영향을 미치지 않는다고 하여 개인정보보호의 대상이 아니라고는 볼 수 없다.
각주[편집]
- ↑ 개인정보분쟁조정위원회 공식 홈페이지 - https://www.kopico.go.kr/main/main.do
- ↑ KISA 개인정보침해 신고센터 공식 홈페이지 - https://privacy.kisa.or.kr/kor/main.jsp
- ↑ 〈개인정보의 개인정보 보호 및 환류 흐름 보호에 관한 OECD 지침〉, 《OECD》
- ↑ 〈개인정보〉, 《위키백과》
- ↑ 미국 연방거래위원회 공식 홈페이지 - https://www.ftc.gov/
- ↑ 프랑스 국가정보처리·자유위원회 공식 홈페이지 - http://www.cnil.fr/
- ↑ 호주 연방 프라이버시 커미셔너 공식 홈페이지 - https://www.oaic.gov.au/
- ↑ 〈개인정보 분쟁조정사례집〉, 《개인정보보호 종합포털》, 2014-09-25
참고자료[편집]
- 국가법령정보센터 공식 홈페이지 - http://www.law.go.kr/lsInfoP.do?lsiSeq=195062&efYd=20171019#J2:0
- 임아영·주영재 기자, 〈여러 가명정보 모으면 ‘개인’ 식별 가능해 기업들 악용 우려〉, 《경향비즈》, 2018-08-21
- 〈개인정보〉, 《위키백과》
- 〈개인 정보〉, 《네이버 지식백과》
- 〈개인 정보의 개인 정보 보호 및 환류 흐름 보호에 관한 OECD 지침〉, 《OECD》
- 〈개인정보 분쟁조정사례집〉, 《개인정보보호 종합포털》, 2014-09-25
- 〈개인정보침해〉, 《개인정보침해 신고센터》
- 〈개인정보의 개념〉, 《개인정보보호 종합포털》
- 〈개인정보 의미〉, 《개인정보분쟁조정위원회》
- 〈개인정보란?〉, 《수원시 홈페이지》
- 개인정보 유출
- 핸드폰 번호 유출? 무료로 확인하는 방법
같이 보기[편집]