정보 기술의 비약적인 발전으로 새로운 형태의 개인 정보 침해 사례가 급증하였다. 이에 따라 다수의 특별법이 제정되었는데, 침해 사례에 맞추어 특별법이 제정되다 보니 법률 간의 중첩이나 법의 사각지대가 생기는 문제를 피할 수 없게 되었다. 결국 개인 정보를 보호하기 위한 통합적인 법률의 필요성이 제기되었고, 2011년 ‘개인 정보 보호법’이 제정되었다.


법에 의해 개인 정보가 제대로 보호받기 위해서는 먼저 법에서 정의하고 있는 개인 정보가 무엇인지부터 정확히 알아야 한다. 흔히, 개인 정보를 ‘개인을 알아볼 수 있는 정보’ 정도로 생각하여, 개인을 정확히 알아볼 수 없으면 개인 정보가 아니라고 판단하는데, 이는 잘못이다. 예를 들어 인사과 1팀에 김영수 씨와 박영수 씨가 있는 경우, ‘인사과 1팀 영수 씨’라는 정보는 김영수 씨와 박영수 씨 중 누구를 가리키는지 정확히 판단할 수 없으므로 개인 정보가 아니라고 생각할 수 있다. 그러나 ‘개인 정보 보호법’에 따르면 이와 같이 어떤 사람을 특정하기 어려운 정보 역시 개인 정보에 포함된다.


‘개인 정보 보호법’에서는 개인 정보를 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말한다.”라고 정의하면서, “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.”라고 부연하고 있다. 즉, ‘특정성’을 지닌 정보는 물론 ‘특정 가능성’을 지닌 정보 역시 개인 정보로 보고 있는 것이다. 지문, 홍채, 서명, 주민등록번호, 휴대전화 번호 등은 특정성을 지닌 개인 정보이고, 나이, 직업, 거주지 주소 등은 특정 가능성을 지닌 개인 정보이다. 따라서 ‘인사과 1팀 영수 씨’가 누구를 가리키는 것인지 확실히 알 수 없지만 ㉠이를 개인 정보로 보아야 하는 것이다.


이처럼 ‘개인 정보 보호법’에서는 특정성을 지닌 정보는 물론 특정 가능성을 지닌 정보에 대해서도 법적으로 보호하고 있다. 특정 가능성을 지닌 정보가 다른 정보와 결합하게 되면 언제라도 특정성을 지니게 될 수 있다고 보기 때문이다. 현대 사회에서는 개인 정보의 유출이나 악용에 의해 한 개인이 엄청난 피해를 겪을 수 있다는 전제 하에, 실제로는 그러하지 않지만 그렇게 될 가능성이 높은 것에 대해서까지 법적으로 보호하고 있는 것이다.


개인 정보를 유출시키는 행위에 대해서는 당연히 법적인 제재를 받게 된다. 뿐만 아니라 ‘개인 정보 보호법’에서는 개인 정보 처리 담당자가 개인 정보의 안전성 확보에 필요한 조치를 해야 한다는 안전 조치 의무 규정을 두고 있다. 이에 따라 정보 처리 담당자가 다른 사람의 개인 정보를 입수한 후, 컴퓨터에 아무런 암호 장치 없이 저장하는 경우에는 과태료를 부과 받는다. 실제로 개인 정보가 유출된 것은 아니지만 개인 정보가 유출될 가능성이 있기 때문이다. 개인 정보 보호와 관련된 이러한 법률적 규제는 개인 정보의 중요성에 대한 사회적 인식을 반영하는 것이다.


― 임규철, ‘개인 정보의 보호 범위’