기기의� 고유식별자� 등을� 이용한�

정보처리의� 법적� 이슈

� � � � � � � � � � � � � � � � � � � � � � � � � � � �법무법인�민후�김경환�변호사

- 2 -

목� � � � � 차

기업정보의�유형○�

기기의�식별자의�개념○�

개인정보성�판단○�

Pseudonymous� Identifier○�

고민해야�할� 이슈○�

Digital� Fingerprinting○�

Cross-Device� Tracking○�

결� � � 어○�

- 3 -

기기의�식별자의�개념

의�경우PC○�

고정�또는�유동 고유하지�않음� � � -� IP( ,� )�

고정 고유함� � � -� MAC( ,� )

쿠키의�이용이�용이� � � -�

의� 경우Mobile○�

유동 고유하지�않음� � � -� IP( ,� )

기기� 지속적�식별자로서�한계� � � -� MAC( MAC� Wifi� MAC,� )→�

의� 활용이�주류� � � -� UDID� /� UUID

쿠키의�이용이�용이하지�않음� � � -�

- 4 -

고유�기기�식별자UDID� (Unique� Device� Identifier,� )○�

단말기�식별을�위하여�설정된�애플�기기의� 자리�헥사�고유번호� � � -� 40

하드웨어�시리얼�번호나� 번호와는�구별됨� � � -� IMEI�

회사는�누구의�번호인지�모름� � � -� OS�

고유하고�원칙적으로�변경이�안� 됨� � � -�

애플은� 개인정보� 이슈� 때문에� 년부터� 를� 승인해� 주지� 않고� � � -� 2013 UDID ,�

쓰기를�권장함UUID�

- 5 -

범용�고유�식별자UUID� (Universally� Unique� Identifier,� )○�

단말기의�고유값이�아닌�어플리케이션에서�생성한�유일값� � � -�

로� 이루어져�있음� � � -� 16byte

완벽한� 고유성을� 지니진� 못하지만� 동일한� 가� 나오게� 될� 확률은� 매우�� � � -� UUID

낮음

- 6 -

안드로이드� ID� (Unique� Device� Identifier)○�

디바이스가�최초� 될때�생성�되는� 값� � � -� Boot� 64-bit�

고유성을�가지나�디바이스를�리셋하면�변경이�가능함� � � -�

- 7 -

온라인�식별자� 제 조(online� identifier,� GDPR� 4 )○�

기기 어플리케이션 툴 프로토콜 쿠키 초고주파� 식별태크� 등에서� 제공� � � -� ,� ,� ,� ,� ,�

하는� 식별자를�총칭하는�개념

제 조는�개인정보로�보고�있음� � � -� GDPR� 4

� � � �

- 8 -

개인정보성�판단

개인정보란?�○�

살아�있는�개인의�정보� � � -�

그� 자체로�개인을�식별할�수� 있는�정보� 예� 주민번호� � � -� ( :� )�

그� 자체로� 식별이� 되지� 않더라도� 다른� 정보와� 쉽게� 결합하여� 식별할� 수�� � � -�

있는� 정보�

예� � � � � )� A� (a� +� b)� � � B� (c)

가� 를�합리적�노력으로�결합할�수� 있으면� 는�개인정보임� � � � � � � � A c a� +� b

가� 를�합리적�노력으로�결합할�수� 없으면� 는�개인정보�아님� � � � � � � � A c a� +� b

그렇다면�기기의�정보는� � � -� ?�

- 9 -

IP○�

논리적�주소 변경�가능� � � -� ,�

사법재판소� 는� 개인정보이다�� � � -� EU Case� C-70/10� :� IP

지속성을�가진� 는� 개인정보로�볼� 수� 있음� � � -� ‘ ’ IP

- 10 -

MAC○�

네트워크�카드의�번호로서�물리적�주소� � � -�

고유성 지속성� � � -� ,�

기기의�정보라도� 개인정보에�해당�� � � -� ‘ ’

- 11 -

IMEI○�

각각의� 휴대폰� 기기에� 부여된� 고유식별번호로서 분실이나� 도난시� 통화� 차� � � -� ,�

단� 목적

제조사가� 휴대폰을� 출고할� 때� 부여되며� 형식� 승인코드� 자리 모델� 일련� � � -� 8 ,�

번호� 자리 검증용�숫자� 자리�등� 총� 자리로�구성됨6 ,� 1 15

우리�판례는� 개인정보로�판단함� 증권통�사건� � � -� ‘ ’ ( )

- 12 -

안드로이드� ID� (UDID)○�

� � � -� Ellis� v.� Cartoon� Network,� Inc,� 2014.� 8.

원고는� 의� 앱을� 사용하였는데 그�과정에서�앱이�안드로이드� 를� 포함� � � � � ·� CN ,� ID

한�정보를�영국의� 회사인� 에�전송함Analytic� Bango

� � � � � ·� Atlanta� federal� district� court� :� 안드로이드� 는�ID Video� Privacy�

의� 개인정보가�아니다�Protection� Act� (VPPA)

이유�� � � � � ·� :� in� order� to� be� considered� PII,� the� information� had� to� link�

an� actual� person� to� actual� video� materials.� Where� an�

anonymous� ID� was� disclosed� to� a� third� party� but� that� third�

party� had� to� take� further� steps� to� match� that� ID� to� a� specific�

person,� no� VPPA� violation� occurred.

- 13 -

� � � -� Yershov� v.� Gannett� Satellite� Information� Network,� Inc,� 2015.� 5.�

원고가� 피고가� 만든� 앱의� 동영상을� 시청하는� 도중에� 안드로이드� 가�� � � � � ·� ID

회사인�어도브에�전송됨Analytic�

개인정보에�해당한다고�봄� � � � � ·� Massachusetts� District� Court� :�

이유�� � � � � ·� :� It� requires� no� great� leap� of� logic� to� conclude� that� the�

unique� identifier� of� a� person’s� smartphone� or� similar� device its�—

“address,”� so� to� speak is� also� PII.� A� person’s� smartphone�—

“address”� is� an� identifying� piece� of� information,� just� like� a�

residential� address.� Indeed,� it� is� in� many� ways� a� more� significant�

identifier.

- 14 -

범용�고유�식별자UUID� (Universally� Unique� Identifier,� )○�

개인정보인가� � � -� ?�

참고 정보통신망법� 제 조의 정보통신서비스� 제공자는� 해당� 서비스를�� � � )� 22 2� ①�

제공하기� 위하여� 이용자의� 이동통신단말장치� 내에� 저장되어� 있는� 정

보 및� 이동통신단말장치에� 설치된� 기능에� 대하여� 접근할� 수� 있는� 권�

한 이하� 접근권한 이라� 한다 이� 필요한� 경우� 다음� 각� 호의� 사항을� 이( " " )

용자가� 명확하게� 인지할� 수� 있도록� 알리고� 이용자의� 동의를� 받아야�

한다.

- 15 -

Pseudonymous� Identifier

비식별화�과정○�

특정�데이터가�한�개인에게�대응됨� � � -� single� out� :�

특정� 데이터와�특정�개인을�연결할�수�있음� � � -� linkability� :�

특정� 데이터로부터�특정�개인을�추론할�수� 있음� � � -� inference� :�

� � � � � ----------------

� � � -� identifiable�

비식별화란� 의� 일부� 또는� 전부를� 제거하single� out,� linkablility,� inference⇒�

는� 과정

- 16 -

용어정리○�

은� 와� 를� 포함하는� 과� � � -� de-identification anonymization pseudonymization

정 절차 에�해당( )

와� 은� 의�단계에�해당� � � -� anonymization pseudonymization de-identification

관련된� 개인을� 식별할� 수� 없게끔� 특정� 정보를� 처리� � � -� Anonymous� data� :�

한� 상태

� � � � � not� single� out,� not� linkable,� not� inferred

특정� 정보에서� 식별자를� 가명 으로�� � � -� Pseudonymous� data� :� pseudonym( )

대체하여�관련된�개인과의�연결성을�제거한�상태

� � � � � single� out,� but� not� linkable,� not� inferred

- 17 -

번역용어�정리○�

비식별화� 익명화� � � -� de-identification� :� /�

익명화� 비식별화� � � -� anonymization� :� /�

가명처리� 중간개인정보� � � -� pseudonymization� :� /�

- 18 -

비식별화�정보의�법적�취급○�

복원�불가 식별�불가 개인정보가�아님� � � -� Anonymous� data� ( ,� )� :�

복원� 가능 연결� 불가 개인정보로� 취급하는� 것� � � -� Pseudonymous� data� ( ,� )� :�

이� 일반적

- 19 -

고민해야�할�이슈

의�이용Pseudonymous� identifier ?○�

가능해야�하지�않을까� � � -� ?�

결국�비식별화의�문제로�귀결� � � -�

개인정보이지만� 에� 대한� 이용을� 허용하는� 방향으로�� � � Pseudonymous� data→�

입법이�되어야�함� 보호와�이용의�조화( )

� � � →� 최근�발표된� 비식별조치�가이드라인은�미흡한�조치로서�개선된�것이�없음‘ ’

- 20 -

목적의�개인정보�비식별화시�동의�필요Pseudonymization� ?�○�

개인정보를� 목적으로� 비식별화하여� 저장하기� 위하여�� � � -� ‘ ’ ‘pseudonymization� ’

수집하는�경우�이용자의�동의를�얻어야�하는가의�문제

이�경우에는�동의를�엄격히�해석할�필요가�없어�보임� � � -�

- 21 -

Digital� Fingerprinting

개념○�

쿠키�규제�때문에�나온�광고�기법� 저작권�단속�용도로도�사용됨� � � -� ( )

기기나�어플을�식별하기�위하여�나온�개념� � � -�

기기나� 프로그램의� 설정값 헤더값 폰트 설치프로그램 생성� 데이터� 등을�� � � -� ,� ,� ,� ,�

이용하여�식별하는�기법

법적�취급○�

작업반�의견� 쿠키와�동일하게�취급� � � -� EU� :�

- 22 -

Cross-Device� Tracking

개념�및�법적취급○�

역시�쿠키를�대체하는�기술임� � � -�

예전과� 달리� 다양한� 디바이스를� 사용하는� 이용자들의� 행동을� 종합적으로� 분석하여�� � � -�

추적하는�기법으로�프라이버시�침해�요소가�강함

이용자의� 등을�이용하는�기법� 디지털핑거프린팅을�이용하는�기법� � � -� ID� /� ‘ ’

� � � � �

- 23 -

결� � � 어

식별자�없는�정보처리는�불가능○�

환경이� 일반화됨에� 따라� 기기나� 어플의� 식별자� 이용이� 다수를� 이루고�Mobile,� IoT�○�

있음

개인정보�보호와�이용의�조화�차원에서,�○�

또는� 의� 활용을� 인정해� 주는�� � � -� pseudonymized� data� pseudonymized� identifier 입

법이�필요함�

비식별화�목적의�개인정보�수집에�대한�� � � -� 동의 요건을�완화해�줄�필요가�있음�

- 24 -

감사합니다.�

oalmephaga@minwho.kr