안전한 데이터 활용 촉진을 위해 실무적 이슈를 논의하는 데이터융합포럼은 정기적으로 회원들의 ‘데이터 보호와 활용’ 관련 기고문들을 데일리시큐 독자들과 공유해 나갈 계획이다. 이번 기고는 윤기열 변호사(보험개발원 개인정보보호팀장)의 글이다.
<편집자 주>

■헌법상 권리인 개인정보자기결정권

우리 헌법 제10조부터 제36조까지 국민이 갖는 각종 권리가 열거되어 있다. 이를 “헌법상의 권리”라고도 하고, “기본권(基本權)”이라고 부르기도 한다. 헌법 제10조부터 제36조 사이에는, 사실 제1조부터 제130조까지로 범위를 넓혀 보아도, 헌법에는 “개인정보”라는 용어조차 나오지 않지만, 우리 헌법이 “개인정보자기결정권”을 기본권의 하나로 보장하고 있다는 말을 흔히 한다. 단지 누군가의 주장이 아니라 우리 헌법재판소가 “새로운 독자적 기본권으로서의 개인정보자기결정권”을 헌법이 보장하는 권리라고 인정함으로써(헌법재판소 2005. 5. 26 자 99헌마513, 2004헌마190(병합) 결정) 실제 헌법상의 권리로서 힘을 갖고 있다. 다행히 우리 헌법 제37조 제1항에서는 “국민의 자유와 권리는 헌법에 열거되지 아니한 이유로 경시되지 아니한다.”라는 규정을 둠으로써 이렇게 헌법에 한 마디도 등장하지 않는 권리를 헌법상의 권리로 인정할 수 있는 근거를 두고 있다.

그렇다면 헌법이 보장하는 개인정보자기결정권이란 무엇인가?

위 헌법재판소 결정에서는 “개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리”, 즉 “정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리”를 말한다고 정의한다. 그렇다면 여기에서 말하는 “개인정보”란 또 무엇인가? “개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보”이고 “반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함”한다.

그런데 어떤 권리가 헌법에 의해 보장되는 경우도 있지만, 법률에 의해 보호되는 경우가 훨씬 더 많다. ‘개인정보보호법’이라는 법률에서는 “정보주체”의 권리를 상세히 규정하고 있다. 그렇다면 헌법이 보장하는 국민의 개인정보자기결정권과 개인정보보호법이 보호하는 정보주체의 권리는 같은가, 다른가? 개인정보보호법에 의한 정보주체의 권리 중 일부는 헌법이 보장하는 개인정보자기결정권을 확인하는 것이라고 볼 수도 있고, 일부는 개인정보자기결정권의 보호 범위 밖에 있지만 법률에 의하여 비로소 창설된 권리라고 볼 수 있다. 즉 개인정보에 관한 권리 중 어떤 것은 헌법상의 권리이고 어떤 것은 법률상의 권리이다. 어떤 권리가 헌법상의 권리인지 법률상의 권리인지를 정교하게 분류하는 것은 생각보다 어렵고 중요하다. 기본권의 개념을 명확히 한다는 이론적인 측면에서도 그렇지만 실무상으로도 그러하다. 가령 우리 헌법재판소법은 “헌법상 보장된 기본권”을 침해받은 경우에만 헌법소원심판을 청구할 수 있으므로(헌법재판소법 제68조 제1항), 어떤 권리가 법률상의 권리라면 그 권리가 침해받았다고 하여 헌법소원심판 청구를 할 수 없다[이러한 권리의 분류에 대하여 상세한 내용은 鄭宗燮, 「憲法學原論」 제12판(서울: 博英社, 2018), 292쪽 이하 참조].

헌법상의 권리는 국가를 수범자로 하는 것인데, 개인정보보호법은 국가 등 공공기관뿐만 아니라 법인, 단체 및 개인을 개인정보처리자, 즉 정보주체의 권리에 대한 의무자로 규정하고 있으므로, 이른바 공적 영역에서의 정보주체의 권리는 헌법상의 개인정보자기결정권을 법률인 개인정보 보호법이 확인한 것이라고 볼 수 있고, 사적 영역에서의 정보주체의 권리는 헌법이 보장하는 것은 아니라 법률인 개인정보보호법에 의하여 창설된 권리라고 볼 수 있다. 그런데 구체적으로는 공적 영역에서 개인정보보호법이 명시하고 있는 정보주체의 권리라고 하더라도 그것이 헌법이 보호하는 개인정보자기결정권의 범위에 모두 포함되는지, 나아가 개인정보자기결정권이 말하고 있는 개인정보와 개인정보보호법이 규정하고 있는 개인정보는 과연 정확히 일치하는 것인지는 또 따져 보아야 할 문제이다. 다시 말하지만, 어떤 권리가 헌법상의 권리인지 법률상의 권리인지를 정교하게 분류하는 것은 생각보다 어렵다.

■개인정보자기결정권의 대상인 “개인정보”의 범위

지면상 “개인정보의 개념”에 대해서만 살펴보자. 개인정보보호법은 최근 대대적인 개정을 겪었다(2020년 2월 4일 법률 제16930호로 개정되어 8월 5일 시행되었다. 그 개정 전의 법률을 “개정 전 개인정보보호법”이라고, 그 후의 법률을 “개정 개인정보보호법”이라고 부르도록 하자). 개정 전 개인정보보호법에서는 “개인정보”를 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”라고 정의하였다(제2조 제1호). 편의상 다음과 같이 이름 붙여 분류해 본다.

△개인정보(1) = 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

△개인정보(2) = 살아 있는 개인에 관한 정보로서 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보

헌법재판소가 말하는 개인정보, 즉 “개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보”와 개인정보(1)·개인정보(2)의 합집합은 동일하다고 볼 수 있을까? 대부분의 경우에는 중복될 것이지만, 같다고 단정하기 쉽지 않다. 예를 들어 개인정보(2)는 그것만으로는 특정 개인을 “알아볼 수 없는” 정보를 가리키는데, 그것만으로 “그 개인의 동일성을 식별할 수 있게 하는 일체의 정보”에 포함된다고 할 수 있을까? 아니면 “다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”이므로 같다고 보아야 하는 것일까?

그런데 개정 개인정보보호법에서는 “개인정보”의 정의가 개정되었다. 즉 “살아있는 개인에 관한 정보”로서, (가) 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, (나) 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다), 그리고 (다) 가명정보 중 어느 하나에 해당하는 정보를 의미하게 되었다. 요컨대 개정 개인정보보호법에 따르면 개인정보(1)과 개인정보(2), 그리고 가명정보의 합집합이 개인정보이다.

구체적으로 “가명정보”는 “가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용‧결합 없이는 특정 개인을 알아볼 수 없는 정보”이고(제2조 제1호 다목), “가명처리”란 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것”을 말한다(제2조 제1호의2). 개정 개인정보보호법상 “가명정보”가 “개인정보”의 일종이기 때문에 몇 가지 해석상 문제가 발생한다. 예컨대 “가명처리”란 “개인정보”를 처리하는 것을 말하는바, 따라서 제2조 제1호의2 법문상으로는 개인정보의 일종인 “가명정보”를 “가명처리”하는 것도 가능한 것처럼 읽힌다. 그런데 제2조 제1호 다목에 의하면 “가명정보”는 가목 또는 나목을 가명처리한 것이지 다목을 가명처리한 것은 아니다. 그렇다면 가명정보를 가명처리한 것은 무엇이라고 불러야 할 것인가? 나아가 그 정보는 어떤 조문으로 규율해야 할 것인가? 생각건대 실무상 가명정보를 가명처리하는 경우가 존재할 수 없다고 단정할 수 없고, 가명정보를 가명처리하였다고 해서 익명정보라고 볼 것도 아닌 이상 가명정보를 가명처리한 정보는 (제2조 제1호 다목의 명문에도 불구하고) 가명정보로 취급해야 할 것이다.

■개인정보보호법상 가명정보는 개인정보자기결정권의 대상인 “개인정보”에 포함되는가?

개정 개인정보보호법에서는 가명정보를 개인정보의 일종으로 규율하고 있지만, 실제 가명정보에 대한 규제는 개인정보(1), 개인정보(2)와는 사뭇 다르다. 대표적으로 제28조의2부터 제28조의7까지 여섯 조항이 “제3절 가명정보의 특례”라는 이름으로 묶여 신설되었다. “통계작성, 과학적 연구, 공익적 기록보존 등”의 목적으로 동의 없이 개인정보를 처리할 수 있다는 조항(제28조의2)이나 가명정보의 결합(제28조의3) 등의 규정이 여기에 포함되어 있고, 개인정보에 대한 상당한 규율이 가명정보에는 적용되지 않는바(제28조의7), 특히 개인정보의 열람(제35조), 개인정보의 정정‧삭제(제36조), 개인정보의 처리정지 등(제37조)에 대한 규정이 가명정보에는 적용되지 않는다.

가명정보는 가명처리된 개인정보이고, 가명처리는 “다른 정보와 쉽게 결합하여 알아볼 수 있는(가명정보(2))” 수준을 넘어, 가명처리 후 삭제되거나 엄격히 분리되어 관리되는 “추가 정보”의 사용·결합이 없이는, 그 가명정보만으로는 개인을 알아보는 것이 불가능하도록 처리하는 것을 말한다. 그렇다면 특히 추가정보가 삭제되어 버린 가명정보는 헌법상의 “개인정보자기결정권”의 보호대상인 “개인정보”에 해당한다고 보기 어려울 것 같다. 헌법상의 개인정보자기결정권의 필수적 권능이라 할 수 있는 열람, 정정·삭제, 처리정지 등의 청구권을 “가명정보”에 대해서는 인정하지 않는 것은 이를 방증(傍證)한다. 요컨대 개정 개인정보보호법에서의 “개인정보”의 개념은 헌법상의 “개인정보자기결정권”의 보호대상인 “개인정보”와 일치한다고 보기 어렵다.

최근 “개인정보”에 대한 국민적 관심도 높아지고, “활용”인가 “보호”인가와 같은 가치투쟁도 벌어지고 있다. 하지만 이 이슈가 “법률”의 해석에서 시작하여 “법률”의 개정으로 끝나는 법적 논란이라고 한다면 가치판단에 앞서 문제상황과 법적 개념에 대한 선명한 인식이 선행되어야 한다고 생각한다. 이 글에서 소개한 내용은 필자가 갖고 있는 그러한 문제의식의 한 편린(片鱗)이다.

[글. 윤기열 변호사(보험개발원 개인정보보호팀장) / overmask@naver.com]

# ’데이터융합포럼’은 2016년 6월 개인정보 비식별조치 가이드라인 발간에 맞춰 금융회사, 핀테크회사, 금융분야 유관기관 등의 실무자와 해당분야 전문가 중심 ‘비식별 연구반’이라는 이름으로 시작. 가이드라인 해석 및 실무적 해결방안에 대해 주제를 선정해 발제자가 발제하고 토론하는 학습 모임으로 발전. 인공지능(AI)기술로 대표되는 4차산업혁명시대를 맞아 핵심 자원인 안전한 데이터 활용을 촉진하기 위해 실무적 이슈에 대해 논의하는 포럼이다.

★정보보안 대표 미디어 데일리시큐!★