GDPR 제4조 1항 및 전문 30항을 분석하면 온라인 식별자가 자연인을 식별할 수 있을 때 개인 데이터의 명시적인 형태라는 점이 확인됩니다. 규정 본문에는 “식별자는 ‘이름, 식별 번호, 위치 데이터, 온라인 식별자’가 될 수 있다”고 명시되어 있습니다(GDPR, 제4조 1항). 전문 30항은 이 데이터에 “인터넷 프로토콜 주소, 쿠키 식별자 또는 무선 주파수 식별 태그와 같은 기타 식별자 등 장치, 애플리케이션, 도구 및 프로토콜에서 제공하는” 데이터가 포함된다고 명확히 하고 있습니다(GDPR, 전문 30항).
결과에 따르면 디지털 기술의 확산으로 인해 온라인 식별자의 중요성이 점점 더 커지고 있습니다. 경험적 문헌 및 규제 지침의 주요 결과는 다음과 같습니다.
- 인터넷 프로토콜(IP) 주소: 장치에 할당된 IP 주소는 개인을 직간접적으로 식별할 수 있으므로 GDPR에 따라 개인 데이터로 널리 인정됩니다.
- 인터넷 쿠키: 영구 쿠키는 사용자 활동과 관련된 고유한 값을 저장하여 프로파일링 및 추적을 가능하게 합니다. 제29조 데이터 보호 작업반(WP29)은 쿠키가 온라인 식별자임을 확인합니다(WP29 의견 02/2013).
- 비콘 및 픽셀 태그: 이러한 메커니즘은 종종 쿠키나 장치 정보와 함께 웹사이트 방문 및 사용자 상호 작용에 대한 데이터를 수집합니다.
- 모바일 광고 식별자: 스마트폰의 고유 광고 ID를 통해 여러 앱과 사이트에서 사용자를 추적할 수 있습니다.
- 장치 지문: 브라우저 및 장치 특성을 집계하여 하드웨어/소프트웨어 구성을 고유하게 식별하는 방법입니다.
- RFID 태그: 다른 정보와 결합될 때 식별을 가능하게 할 수 있는 데이터를 저장하는 소형 전자 장치입니다.
이러한 식별자를 시간이 지남에 따라 집계하는 것은, 특히 다른 데이터 포인트(예: 계정 자격 증명, 장치 메타데이터)와 결합될 때 개별 식별자만으로는 개인의 신원을 드러내지 않더라도 재식별에 상당한 위험을 초래합니다. 이는 CJEU Breyer 사건(C-582/14)에서 논의된 “개별화” 기준과 일치하며, 해당 판례는 특정 상황에서 동적 IP 주소가 개인 데이터에 해당할 수 있음을 명확히 했습니다.
요약하면 다음과 같습니다.
- GDPR에 따른 온라인 식별자는 IP 주소, 쿠키, 장치 지문, RFID 태그 등을 포함하되 이에 국한되지 않는 광범위한 기술적 표지를 포괄합니다.
- 이러한 식별자는 개인을 직간접적으로 인식하거나 개별화하는 데 사용될 수 있을 때 개인 데이터로 분류됩니다.
- 온라인 식별자와 다른 고유 표지를 결합하면 식별 가능성과 위험이 증가하므로 강력한 규정 준수 및 개인 정보 보호 전략이 필요합니다.
