GDPR에 따른 개인 정보에는 무엇이 포함되나요?

GDPR의 정의를 분석해 보면 개인정보는 “식별되었거나 식별 가능한 자연인에 관한 모든 정보”(GDPR 제4조 1항)를 포괄합니다. 이 용어의 광범위한 범위는 유럽사법재판소에 의해 확인되었으며, 유럽사법재판소는 “식별 가능”을 식별자나 특징을 통한 직접 및 간접 식별을 모두 포함하는 것으로 해석합니다.

주요 결과는 다음과 같습니다:

• 직접 식별자:
  이름, 성, 전화번호, 주소, 이메일, 개인 식별 번호(예: SSN, 여권, 운전면허증).
• 간접 식별자:
  IP 주소, 쿠키 ID, 광고 식별자, 기기 ID.
• 위치 데이터:
  자택 주소, 실시간 지리적 위치, 이동 패턴.
• 생체 데이터:
  지문, 얼굴 이미지/기하학 정보, 망막 스캔.
• 개인적 특징:
  사진 이미지(얼굴 사진 포함), 음성 녹음.
• 금융 정보:
  은행 계좌 또는 신용카드 번호.

제29조 작업반은 정보가 다른 데이터 포인트와 결합될 때조차 개인을 특정하거나, 연락하거나, 추적할 수 있다면 개인정보가 된다는 문맥적 접근을 강조합니다 [WP29 가이드라인, 2017].

판례법은 IP 주소, 기기 ID, 쿠키와 같은 “온라인 식별자”가 식별을 가능하게 하는 다른 요소와 연결될 때 개인정보를 구성함을 확인합니다.

GDPR은 생체 및 건강 데이터를 포함한 특별 범주(제9조)로 보호를 더욱 확장하여 규정의 광범위한 적용 범위를 강화합니다. 이러한 해석은 GDPR을 세계에서 가장 엄격한 개인정보보호 프레임워크 중 하나로 보는 학계의 견해와 일치합니다.

요약:

• GDPR의 정의는 의도적으로 광범위합니다.
• 직접 식별자와 간접 식별자 모두 보호됩니다.
• 문맥이 식별 가능성을 결정합니다.
• 생체 및 민감 데이터에 특별한 주의를 기울입니다.