처음 개인정보보호법을 공부할 때 민감정보와 일반 개인정보의 구분은 꽤 명확한 것처럼 느껴졌다. 법이 항목을 딱 열거해놓고 있으니까. 사상·신념, 건강, 성생활, 유전정보, 범죄경력, 생체인식정보, 인종·민족.. 이것들은 민감정보고, 이름이나 전화번호 같은 건 일반 개인정보다. 그런데 막상 구체적인 사례를 들여다보면 그 경계가 생각보다 훨씬 흐릿하다는 걸 알게 된다. 특히 요즘처럼 앱과 서비스가 아주 다양한 형태로 개인 데이터를 수집하는 환경에서는 더욱 그렇다.
법은 항목을 열거하지, 개념을 정의하지 않는다
민감정보란 개인의 사생활을 침해할 가능성이 높아 특별히 보호가 필요한 정보를 의미하는데, 법에서는 민감정보에 대한 정의를 규정하지 않고 민감정보의 종류를 명시하는 방식을 택하고 있다. 이게 사실 헷갈림의 출발점이다. 정의가 없으니 판단은 항목이 맞느냐 아니냐로 귀결되는데, 현실의 데이터는 단 하나의 항목에 깔끔하게 떨어지는 경우가 드물다.
이름이나 전화번호 같은 일반 개인정보와 달리, 민감정보는 유출되었을 때 차별이나 심각한 권리 침해로 이어질 수 있는 정보를 뜻하며, 사상, 건강, 범죄경력 같은 정보가 대표적이다. 그리고 처리 방식도 다르다. 일반 개인정보는 계약 이행이나 정당한 이익 등의 사유로도 수집이 가능하지만, 민감정보는 오직 별도 동의 또는 법령 근거만으로 처리할 수 있고, 동의를 받을 때에도 일반 개인정보 동의와 구분하여 별도로 받아야 한다.
얼굴 사진은 민감정보일까, 아닐까
가장 대표적으로 헷갈리는 사례가 얼굴 사진이다. 직관적으로는 얼굴이 생체인식정보 아닌가 싶다. 그런데 그렇지 않다. 증명사진 등 일반적인 얼굴 사진은 개인정보에 해당할 뿐 민감정보에는 해당하지 않는다. 개인정보보호위원회도 같은 입장이다. 얼굴 사진도 개인정보에 해당하므로 얼굴 사진 촬영 및 이용에 앞서 개인정보 처리에 관한 동의를 받아야 하지만, 얼굴 사진은 원칙적으로 민감정보에는 해당하지 않으므로 별도로 민감정보 처리에 관한 동의는 받지 않아도 된다.
그런데 여기서 반전이 있다. 일반적인 얼굴 사진을 차후에 인증·식별 등의 목적으로 일정한 기술적 수단으로 처리할 경우에는 개인정보 보호법 시행령 제18조 제3호에 따른 민감정보에 해당하게 된다. 즉, 똑같은 얼굴 사진이라도 그냥 저장하면 일반 개인정보, 안면인식 알고리즘을 돌리면 민감정보가 된다. 정보의 성격이 바뀌는 게 아니라, '처리 목적과 방식'에 따라 분류가 달라지는 것이다. 개인정보보호법 시행령 제18조 제3호에서는 민감정보를 '개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보'라고 규정하고 있기 때문이다. '목적으로 생성한'이라는 표현이 핵심이다.
건강 관련 정보도 항상 민감정보는 아니다
건강 정보라고 다 민감정보로 볼 수 있을까 하면, 그것도 아니다. 찾아보면 꽤 세밀한 구분이 존재한다. 건강 및 성생활 등에 관한 정보에는 개인의 병력, 신체적·정신적 장애 여부, 건강 상태, 성적 취향 등이 해당하며, 특정 질병의 진단 및 치료 기록, 중증 장애인의 성명과 주소, 건강보험 요양급여내역과 같은 정보가 이에 해당할 수 있다. 그런데 희귀 혈액형 등 특별한 경우를 제외하고 혈액형 정보는 일반적으로 민감정보에 해당하지 않는 것으로 본다. 혈액형이 건강 정보처럼 느껴지지만, 그 자체만으로는 '건강 상태'를 드러내는 게 아니라는 논리다.
헬스케어 앱을 생각하면 이 문제가 더 복잡해진다. 걸음 수나 수면 패턴을 기록하는 앱은 어떻게 봐야 할까. 걸음 수 하나만 떼어 놓으면 건강 상태를 직접 드러내는 정보라고 보기 어렵다. 하지만 일별 걸음 수, 수면 패턴, 심박수 데이터가 장기간 쌓이면 특정 질환이나 건강 상태를 충분히 추론할 수 있다. 법이 '정보 하나하나'를 기준으로 설계되어 있는 반면, 현실의 데이터는 결합과 축적을 통해 전혀 다른 성격을 띠게 된다.
노동조합 회비 납입 내역도 민감정보다
직관적으로 예상하기 어려운 사례도 있다. 직접적인 가입 및 탈퇴 여부뿐만 아니라 노동조합비 또는 정당 회비 납입내역 등 가입 여부를 간접적으로 확인할 수 있는 정보도 민감정보에 해당한다. 납입 내역은 그 자체로 금융 정보처럼 보이지만, 그 정보에서 노동조합 가입 여부를 추론할 수 있기 때문에 민감정보로 보는 것이다. 마찬가지로 사상·신념에 관한 정보란, 개인의 가치관을 기초로 하여 형성된 사유체계, 개인이 굳게 믿고 지키고자 하는 믿음·생각 등을 말하는 것으로 각종 이데올로기 또는 사상적 경향, 종교적 신념 등에 관한 정보를 의미한다. 이걸 직접 물어보지 않더라도, 특정 단체 가입 이력이나 기부 내역에서 종교적 신념이 드러날 수 있다.
결국 경계가 흐려지는 가장 큰 이유는 이것이다. 법은 정보의 '유형'을 기준으로 구분해놓았지만, 실제 데이터는 형식, 처리 방식, 결합, 추론 가능성에 따라 전혀 다른 성격을 갖게 된다. 어떤 정보가 단독으로는 아무 문제 없어 보여도, 다른 정보와 결합하거나 특정 기술적 처리를 거치면 민감정보와 다를 바 없는 수준의 침해 위험을 만들어낼 수 있다.
항목 확인만으로는 부족하다
개인적으로는, 민감정보 해당 여부를 판단할 때 법에 열거된 항목만 체크하는 것으로는 충분하지 않다고 생각한다. '이 정보가 어떻게 처리될 때 어떤 맥락을 드러내는가'를 함께 따져야 한다. 얼굴 사진이 안면인식 처리를 거치는 순간 민감정보로 전환되듯, 정보의 법적 성격은 고정된 것이 아니라 처리 과정 전반에 걸쳐 계속 달라질 수 있다.
동의를 받는 쪽도, 정보를 제공하는 쪽도 이 사실을 인식하는 게 중요하다. 항목만 확인하면 된다는 안도감이 오히려 맹점을 만든다. 법이 열거 방식을 택한 건 명확성을 위해서지만, 그 명확성이 되려 "열거되지 않았으니 괜찮다"는 착각을 낳는 아이러니가 있다.
'privacy > 국내' 카테고리의 다른 글
| [privacy] '정당한 이익'으로 동의 없이 개인정보를 사용하기? (0) | 2026.04.05 |
|---|---|
| [privacy] 그냥 파기하면 되는 거 아닌가요? '분리 보관'이 따로 있는 이유 (0) | 2026.04.01 |
| [privacy] 필수 동의와 선택 동의 모호함 (0) | 2026.03.19 |
| [privacy] "쿠키 동의"와 "맞춤형 광고 동의" (0) | 2026.03.11 |
| [privacy] 맞춤광고 끄면 뭐가 달라지나 (0) | 2025.12.27 |