유동 IP주소의 이용행위에 관한 온라인서비스제공자(OSP)의 책임 -CJEU ‘Breyer’ 사건(Case C-582/14)의 개인정보성 판단 기준을 중심으로-
A Study on Responsibilities of OSP for Use of Dynamic IP Addresses
문수미(고려대학교)
14권 3호, 151~188쪽
초록
온라인서비스제공자(OSP)는 단순 정보뿐만 아니라 개인정보를 활용하여다양한 서비스를 제공한다. 개인정보는 임의의 정보가 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는 것이다. 문제는 OSP가 활용하는 정보의 개인정보성 여부가 모호하다는 점이다. 특히 OSP가 활용하는 유동 IP주소는 고정 IP주소와 달리 끊임없이 달라지는 숫자에 불과하여 개인정보라고 단정짓기 어렵지만, 피결합 정보에 의해 개인을 식별할 수 있으면 개인정보가 될수 있다. 유럽사법재판소(CJEU)는 ‘Breyer’ 사건을 통해 유동 IP주소의 개인정보성 판단 기준을 제시하였다. 이에 대하여 대상 정보의 특성을 검토해야한다는 객관설과 대상 정보의 개인정보성을 확인하기 위해서는 정보처리자를 기준으로 보아야 한다는 주관설이 논의되었다. CJEU는 후자의 입장을 취하면서 해당 사건에서 OSP의 유동 IP주소에 대한 개인정보성을 인정하였다. 해당 사건과 같이, ① 개인정보처리자를 기준으로 ② 피결합 정보를 용이하게 입수하여 ③ 대상 정보와 합리적인 수준으로 결합함으로써 개인을 식별할 수 있을 때, 해당 개인정보처리자에게 대상 정보에 대한 개인정보보호법적 책임이 있다고 볼 수 있다. 따라서 OSP의 유동 IP주소에 대한 개인정보성인정 여부 및 이에 대한 책임을 판단하기 위해서는 앞서 언급한 세 가지 요건을 구체적으로 검토해야 한다.
Abstract
Personal information refers to information relating to a living individual that makes it possible to identify the individual that can easily be combined with other information to identify the individual. The issue is that dynamic IP used by OSP is ambiguous whether it is personal information. The CJEU presented the criteria for judging the personal information of dynamic IP. There were arguments. One insists the nature of the information should be examined as an objectivity. The other clams the subject must be viewed on a personal information controller. Following the latter, the CJEU identified the dynamic IP of OSP as personal information. Conclusionally, Personal Information must be reviewed on a controller. Based on the standard of controller, the following requirements must be met: It should be possible to identify an individual by reasonable means. Also, it should be possible to easily obtain other information, and there should be a possibility to combine the information obtained with any information at a reasonable level.
- 발행기관:
- 한국지식재산연구원
- 분류:
- 지적재산권법