개인정보에 관한 법률관계를 관통하는 전제요건인 개인정보의 개념과 그 법적 범주가 불명확하고 포괄적으로 규정되면 이해관계의 상충을 조화롭게 해결할 수 없고 권리의무관계를 교란시키며 법적 안정성을 해친다. 그런데 개인정보에 관한 법규 역시 그 요건을 구성함에 있어 사법심사 배제영역은 아니지만 불확정법개념을 원천적으로 배제하기 어렵다. 「개인정보 보호법」(이하 ‘개인정보법’이라 한다)에 있어서도 규율대상의 복잡성이나 입법기술적 불가피성으로 말미암아 법률에 유보되어야 할 본질적인 중요사항이 충분히 반영되기 어려운 경우 그래도 하나의 의미로 수렴되는, 그래서 명확성원칙에 어긋나지 않지만 불확정적인 법규요건 개념이 예외적으로 허용된다. ‘시간･비용･기술 등을 합리적으로 고려’라는 이른바 ‘합리성’ 심사의 기준 요건에 관한 일의적 개념을 가늠하는 데 목적이 있는 이 글은 유럽연합의 Directive 95/46/EC와 GDPR(General Data Protection Regulation)의 해석을 참조해 아래의 결론에 이르고 있다.
첫째, 개정 개인정보법에서도 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아 볼 수 있는 정보’에 대한 합리적인 판단은 결합 용이성과 식별 가능성에 종속되고 그 부합성은 입수 가능성과 같이 ‘개인을 알아보는 데 소요되는 시간･비용･기술 등’에 대한 합리적 고려에 따른 것이다. 결국 결합 용이성은 식별 가능성과 사실상 동일한 판단기준으로 작동하는데, 결합 용이성의 판단은 입수 가능성과 같은 객관적인 합리성 심사로 행해진다. 이로써 결합 용이성에 대한 합리적 심사는 처리자의 주관적 입장을 반영한 소극적 사유가 조건부로 용해된 메커니즘으로 보아야 할 것이다.
둘째, 합리성 심사를 거친 이후에 불법적인 입수가 별도의 사후적인 제약을 받지 않더라도 개인정보 개념이 성립되었다면 개인정보의 합법적 처리가 공정하고 투명하게 이루어지는 범위 내에서 제어될 수 있음에 대한 고려가 선행되어야 한다. 환언하면 개인정보법에 따른 ‘처리’ 개념에 따를 때 개인정보의 처리에 대한 합법성 여부는 합리성 심사와는 별개로서 이는 개인정보 성립 이후에 별도로 따져봐야 할 구조로 여겨야 할 것이다. 왜냐 하면, 합리적으로 결합이 쉽게 되어 개인정보의 속성을 확인받는 범주에서 다른 정보의 입수가 불법적인 경우 개인정보로 판단하지 않는다면 합법적이지 않은 개인정보의 처리에 대한 규제나 제재는 사전적으로 차단되기 때문이다.
셋째, 원칙적으로 식별 가능성에 관한 판단은 처리자의 입장에서 이루어져야 한다. 대내외적 변수로 인한 다양한 처지에서 식별 가능성에 관한 판단은 처리자의 주관적 요인이 전면적으로 배제되는 객관적인 상황으로만 결정되는 구도가 아니다. 합리성이라는 개념은 과도한 시간과 노력 및 비용 등을 투입하는 경우를 배제하기 위한 객관적 개념이고 식별 가능성에 관한 주관적 입장을 포섭하지는 않기 때문에, 불확정적인 합리성의 의미 가운데 목적 달성을 위한 수단이 얼마나 효율적이었는지를 전제로 할 때 처리자의 관점에서 적합하게 응시되는 선택지를 조응하고 귀책사유에 따라 여과할 수 있는 기능은 합리성 심사에서 발휘되는 것이 아니다. 문제는 식별 가능성의 핵심이 되는 결합 용이성과 입수 가능성 등이 처리자의 특정한 경우에 한정적으로 특화되는 것이 ...

It can not solve the conflict of interest harmoniously, but could disturb the rights and obligation relationship and harms the legal stability, provided that the term and legal category of personal information as the prerequisite for passing through the legal relationship on personal information. However it is inevitable that norms of the laws and regulations on personal information are difficult to exclude the indefinite concept of law at the source, which is ruled out from judicial review in constructing the requirements even though.
In PDPA(「Personal Data Protection Act」), if the essential important matters to be reserved in the law are not fully reflected due to the complexity of the object regulated or the inevitability of the legislative technique, it is converged in one meaning and so the indefinite concept of law on legal requirements is exceptionally allowed, although it does not conflict with the doctrine of vagueness.
Aiming to gauge the monolithic notion of the standard requirements of the so-called ‘rationality’ test of ‘reasonably considering time, cost, and technology, etc.’, this article reaches to the following conclusion by referring to the interpretation of Directive 95/46/EC and GDPR(General Data Protection Regulation) in the European Union.
First, the revised PDPA provides that the reasonable judgment is determined by easiness of combination and potentialities of identifiability as to ‘whether the information might be easily combined with other information to identify a particular individual’. And demonstrates it the correspondence to possibility of acquisition as ‘whether or not there is ease of combination shall be determined by reasonably considering the time, cost, technology, etc. used to identify the individual such as likelihood that the other information can be procured’. In so far, easiness of combination and potentialities of identifiability actually run to the same decision standard. Therefore the reasonability test should be evaluated as the conditionally dissolved mechanism passive reasoning reflecting the subjective position of the processor concerning easiness of combination.
Second, it should be considered that the legal processing of personal information can be controlled within a fair and transparent range on the supposition that the concept of personal information is established even if illegal acquisition is not subject to extra post-constraint after reasonability test. As the term ‘processing’ means the collection, generation, connecting, interlocking, recording, storage, retention, value-added processing, and other similar activities, the legitimacy of the processing of personal information is separate from the reasonability test, which should be considered additionally after the coming into existence of personal information.
Third, adjudication on the possibility of identification is upon the perspective of the processor in principle on the ground that the judgment on the possibility of identification in various situations due to internal and external variables is not determined only by objective situations where the subjective factors of the processor are completely excluded. Because the concept of reasonability is an objective term to exclude excessive time, effort, and cost, and does not subsume a subjective position on the possibility of identification, the function that can be filtered according to the reason of reasoning is not exercised in the reasonability test by adjusting the choice appropriate from the viewpoint of the processor when assuming how are efficient the means for achieving the purpose among the meanings of indefinite reasonability.
Consequently, the reasonability test related to the criteria on potentialities of identifiability is distinguished from the legitimacy evaluation in which the subjective estimates extracted as an objective factor. It will be confirmed that the criteria for violation of the punishable norms, of which s...

1 이민영, "정보환경의 변천에 따른 개인정보 보호정책의 헌법합치적 본질성 반추" 과학기술법연구원 24 (24): 137-179, 2018

2 양건, "국제인권법" 교육과학사 2001

3 이재훈, "개인정보주체와 개인정보처리자 간의 갈등 –일반개인정보보호규정(GDPR)을 통한 EU의 해결방식을 중심으로–" 비교법학연구소 56 : 207-252, 2019

4 관계부처 합동, "개인정보 비식별 조치 가이드라인 : 비식별 조치 기준 및 지원 관리체계 안내"

5 박민우, "개인정보 보호법상 불확정 개념에 있어 형법의보장적 기능을 확인해주는 해석과 사회상규의 역할" 한국형사정책연구원 28 (28): 79-114, 2017

6 행정자치부, "개인정보 보호법령 및 지침 고시 해설"

7 조상명, "개인정보 보호법 적용 배제사유에 관한 연구 - “통계목적 개인정보처리의 적용제외 관련규정(58조 제1항 제1호)” 정비방안을 중심으로 -" 한국법정책학회 18 (18): 119-147, 2018

8 Nadezhda Purtova, "The law of everything : Broad concept of personal data and future of EU data protection law, Law" 10 (10): 2018

9 Bert-Jaap Koops, "The Trouble with European Data Protection Law" 4 (4): 2014

10 Worku Gedefa Urgessa, "The Protective Capacity of the Criterion of Identifiability under EU Data Protection Law" 2 (2): 2016

11 Paul M. Schwartz, "The PII Problem : Privacy and a New Concept of Personally Identifiable Information" 86 (86): 2011

12 James B. Thayer, "The Origin and Scope of the American Doctrine of Constitutional Law" 7 (7): 1893

13 Chris Jay Hoofnagle, "The European Union general data protection regulation : what it is and what it means" 28 (28): 2019

14 John Tillotson, "Text, Case and Materials on European Union Law" Cavendish Publishing Limited 2003

15 Frederik J. Zuiderveen Borgesius, "Singling Out People Without Knowing Their Names : Behavioural Targeting, Pseudonymous Data, and the new Data Protection Regulation" 32 (32): 2016

16 Juhi Gupta, "Security and Privacy Issues in Internet of Things" 2 (2): 2015

17 Paul M. Schwartz, "Reconciling Personal Information in the United States and European Union" 102 (102): 2014

18 Aharon Barak, "Proportionality : Constitutional Rights and their limitations" Cambridge University Press 3-, 2012

19 Information Commissioner’s Office, "Key definitions : What is personal data?" Information Commissioner’s Office 2018

20 Jonida Milaj, "Invalidation of the data retention directive : Extending the proportionality test" 31 (31): 2015

21 Philip Coppel, "Information Rights : Law and Practice" Hart Publishing 2010

22 European Union Agency for Fundamental Rights, Council of Europe, "Handbook on European Data Protection Law" Publications Office of the European Union 2014

23 James C. Rice, "Digital privacy : A conceptual framework for business" 10 (10): 2016

24 Information Commissioner’s Office, "Data Protection Technical Guidance Determining what is personal data" Information Commissioner’s Office 2007

25 Center for Information Policy Leadership, "Comments by the Centre for Information Policy Leadership on the European Data Protection Board’s Draft Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects"

26 "Article 29 Data Protection Working Party, Opinion 8/2014 on the on Recent Developments on the Internet of Things"

27 "Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data, 01248/07/EN, WP 136"

28 "Article 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation Techniques, 0829/14/EN, WP216"

29 "Article 29 Data Protection Working Party, Opinion 01/2014 on the application of necessity and proportionality concepts and data protection within the law enforcement sector, 536/14/EN, WP 211"

30 Information Commissioner’s Office, "Anonymisation : Managing data protection risk code of practice" Information Commissioner’s Office 2012