사업을 하다 보면 여러 정보를 수집, 이용하게 되는데 만약 그 정보가 개인정보에 해당한다면 개인정보보호법, 정보통신망법 등의 규제를 받게 된다. 정보주체의 동의 없이 개인정보를 제3자에게 제공할 수 없고, 영리 또는 부정한 목적과 수단으로 이를 취득해서는 안 된다. 이외에 개인정보 분실, 도난, 유출 방지를 위한 안전성 확보 조치를 취해야 하는 등 여러 규제를 적용받게 된다. 여차하면 형사처벌의 대상이 되기도 한다.

지난해 개인정보보호법 등의 개정으로 ‘가명정보’라는 개념이 도입되어 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 처리할 수 있도록 다소 규제가 완화되었다. 하지만 가명정보의 경우에도 그 처리방법 등에 대한 규제는 여전히 존재한다. 예컨대 가명정보를 처리하는 경우 해당 정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 취하여야 한다.(제28조의4 신설) 만약 그 정보가 개인정보, 가명정보가 아닌 익명정보라면 개인정보보호법 등은 적용되지 않는다. 하지만 문제는 어떠한 정보가 개인정보인지, 가명정보인지, 익명정보인지 헷갈리는 경우가 있다는 점이다.

우선 개인정보는 살아 있는 개인에 관한 정보를 말한다. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보는 기본적으로 개인정보에 해당한다. 그런데 그 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보도 개인정보에 해당한다. 예컨대 주민등록번호는 그 자체로 개인을 식별할 수 있다. 따라서 개인정보에 해당한다. 그런데 주민등록번호 앞자리(생년월일)는 동일한 사람도 여럿 있을 수 있기 때문에 그 정보만으로 특정 개인을 알아볼 수 있다고 간주하기 어렵다. 하지만 성명, 주소 등의 정보와 결합하면 간단히 특정 개인을 식별할 수 있다. 따라서 이 경우에도 개인정보에 해당한다.

그럼 휴대폰 번호 뒷자리 4자는 개인정보에 해당할까? 언뜻 생각해보면 휴대폰 뒷자리 번호만으로는 누군지 알 수 없으므로 개인정보에 해당하지 않는다고 생각할 수 있다. 하지만 오늘날 휴대전화의 사용이 보편화되면서 휴대전화 뒷자리 번호 4자에 일정한 의미나 패턴을 담는 경우가 많아지고 있다. 휴대전화 사용자는 자신의 생일이나 기념일 또는 개인적으로 의미 있는 숫자를 휴대전화 번호 뒷자리 4자로 사용하기도 하고, 휴대전화와 집전화 번호의 뒷자리 4자를 일치시키는 경우도 많다. 영업용으로 휴대전화를 사용하는 사람들의 경우에는 휴대전화 다이얼패드의 위치대로 전화번호 뒷자리 4자를 배열하거나 전화번호 뒷자리 4자를 모두 동일한 숫자로 하는 등의 방식으로 자신의 전화번호를 최대한 기억하기 쉽게 만들려는 경향이 있다.

이와 같이 휴대전화 뒷자리 4자에 그 전화번호 사용자의 정체성이 담기는 현상이 점점 심화되고 있는데, 설령 휴대전화 번호 뒷자리 4자만으로는 사용자를 식별하지 못한다 하더라도 그 뒷자리 4자와 관련성이 있는 다른 정보(앞서 언급한 생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 전화번호 사용자가 누구인지를 알아볼 수 있다. 이러한 이유에서 우리 법원은 휴대폰 뒷자리 4자를 개인정보로 인정했다.(대전지방법원 논산지원 2013. 8. 9. 선고 2013고단17 판결)

대전지방법원의 해당 사건에서 경찰관 A씨는 피해자 B씨의 신고에 따라 범죄자 C씨 등의 도박 현장을 단속한 다음 훈방조치 했다. 그 후 C씨는 신고자가 누군지 알아내기 위해 경찰관 A씨에게 신고자의 전화번호를 알려달라고 했고, 경찰관 A씨는 B씨의 전화번호 뒷자리 4자만 C씨에게 알려주었다. 결국 범죄자 C씨는 제공받은 뒷자리 4자와 자신의 휴대전화에 저장된 기존 통화내역을 결합하여 도박 신고자가 B씨임을 어렵지 않게 알아냈다. 경찰관 A씨는 개인정보보호법 위반으로 기소되었고, 법원은 경찰관 A씨에 대해 징역 6월에 집행유예 1년을 선고했다.

정보를 결합하면 누군지 알 수 있기는 한데 그 정보를 입수하기 매우 어려운 경우도 생각해볼 수 있다. 우리 개인정보보호법은 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 개인정보로 정의하고 있다. 즉 ‘쉽게’ 결합하여 알아볼 수 있어야 개인정보에 해당하지, ‘어렵게’ 결합하여 알아볼 수 있다면 개인정보에 해당하지 않는다. 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간·비용·기술 등을 합리적으로 고려해야 한다. 만약 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보에는 개인정보보호법상의 규제가 적용되지 않는다.(개인정보보호법 제58조의2)

자신들과 이해관계가 있는 회사의 진단키트 개발을 용이하게 하기 위한 목적에서 병원의 혈액 검체용기를 무단으로 반출한 사건에서 검체용기 라벨에 기재된 ‘검체번호, 채혈시간, 검사항목, 검사결과 수치, 바코드’가 개인정보인지 여부가 문제된 적이 있다. 범인들은 검체용기에 부착된 라벨 스티커 상단 부분의 ‘환자 이름, 등록번호, 성별·나이, 병동’ 부분만을 네임펜으로 덧칠하거나 제거하고, 나머지 ‘검체번호, 채혈시간, 검사항목, 검사결과 수치, 바코드’ 부분은 그대로 남긴 채 혈액 검체가 든 검체용기를 무단으로 처분하였는데, 검사는 이들이 폐기물관리법 위반 및 업무상횡령죄를 저지른 것에 부가하여 개인정보도 유출하였다고 보고 개인정보보호법 위반 혐의로 기소했다.

법원은 반출한 혈액 검체용기 표면에 남아 있던 ‘검체번호, 채혈시간, 검사항목, 검사결과 수치, 바코드’ 부분만으로는 곧바로 해당 환자를 알아볼 수 있는 개인정보에 해당한다고 보기 어렵다고 판단했다. 특히 혈액 검체용기 표면에 나타나 있는 검체번호 등을 통해 해당 환자의 구체적인 인적사항 등을 확인하기 위해서는 Ｃ병원에서 운영하는 ○○○프로그램과 전자의무기록 시스템을 이용하여야 하는데, ○○○프로그램은 진단검사의학과 직원들이 접속할 수 있으나 직책에 따라 접근 권한에 차등을 두고 있고, 전자의무기록 시스템은 전문의들만 접속할 수 있도록 관리하고 있었다. 법원은 만일 범죄자들이 ○○○프로그램에 접근할 권한이 있다는 이유만으로 위 검체번호 등이 개인정보에 해당한다고 본다면 범죄자들이 혈액 검체와 관련한 어떠한 자료를 제공하더라도 무조건 개인정보를 유출한 것이 되는 부당한 결과가 발생한다고 보았다.(수원지방법원 성남지원 2017. 9. 15. 선고 2017고단1438 판결)

한편 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보가 있는데 이를 가명정보라고 한다. 여기서 말하는 가명처리란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다. 즉 개인정보를 인위적으로 비식별화한 경우다. 예컨대 ‘홍길동(연락처: 123-1234-123, 서울특별시 동작구 사당동 123456번지)’과 같은 정보를 ‘r5w1e2xzi4(1××-×××-××××, 서울특별시 동작구)’ 등과 같이 암호화하는 방법 등을 통해 비식별처리한 것을 말한다. 이러한 가명정보는 개인정보에는 해당하나 규제가 다소 완화되어 개인정보 처리자는 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이 이를 처리할 수 있다.