지난달 칼럼에 이어 이번 달에도 ‘동의 없는 개인정보 수집’(개인정보보호법 제15조 제1항)에 관한 얘길 이어가 보려고 한다.
개인정보 수집(처리)의 적법성에 관한 기본 원칙을 담고 있는 개인정보보호법 제15조 제1항은 다음과 같다.
제15조(개인정보의 수집·이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. <개정 2023. 3. 14.> 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. class=”has-inline-color has-vivid-red-color”>정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. 7.공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 |
법 제15조 제1항 제1호에 따라 동의를 받을 때는 법 제22조 제1항 제1호를 준수하여야 한다.
제22조(동의를 받는 방법) ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 이 경우 다음 각 호의 경우에는 동의 사항을 구분하여 각각 동의를 받아야 한다. <개정 2017. 4. 18., 2023. 3. 14.> 1. 제15조(개인정보의 수집·이용) class=”has-inline-color has-vivid-red-color”>제1항 제1호에 따라 동의를 받는 경우 2. 제17조(개인정보의 제공) 제1항 제1호에 따라 동의를 받는 경우 3. 제18조(개인정보의 목적 외 이용·제공 제한) 제2항 제1호에 따라 동의를 받는 경우 4. 제19조(개인정보를 제공받은 자의 이용·제공 제한) 제1호에 따라 동의를 받는 경우 5. 제23조(민감정보의 처리 제한) 제1항 제1호에 따라 동의를 받는 경우 6. 제24조(고유식별정보의 처리 제한) 제1항 제1호에 따라 동의를 받는 경우 7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우 8. 그밖에 정보주체를 보호하기 위하여 동의 사항을 구분하여 동의를 받아야 할 필요가 있는 경우로서 대통령령으로 정하는 경우 |
법 제22조의 하위 시행령은 다음과 같다.
시행령 제17조(동의를 받는 방법) ① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 다음 각 호의 조건을 모두 충족해야 한다. class=”has-inline-color has-vivid-cyan-blue-color”>(신설 2023.9.12., 시행 2024.9.15.) class=”has-inline-color has-vivid-red-color”> 1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 2. 동의를 받으려는 내용이 구체적이고 명확할 것 3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것 4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것 |
영 제17조 제1항 제2호~제4호는 개인정보보호 담당자에게 별로 낯설지 않다. ‘명시적 동의’라는 범주에 대체로 포함되기 때문이다. 문제는 제1호다. 제15조 제1항 제1호와 제22조 제1항 제1호, 영 제17조 제1항 제1호, 이 세 규정을 연결하면, 정보주체의 동의를 받아 개인정보를 수집하려면, 정보주체에게서 ‘자유로운 동의’를 얻어야 한다는 결론에 이른다.
법률 개정안이 공포될 때까지 설명된 바가 있어서 별로 관심을 두고 있지 않다가 뒤늦게 찾아보니, 개인정보보호법 개정안이 공포된 지 얼마 되지 않은 지난해 5월에 발표된 개인정보보호법 시행령 개정안의 ‘조문별 제·개정이유서’에서 ‘동의를 받는 방법'(영 제17조 제1항)의 신설 이유를 찾을 수 있었다.
(중요하지 않다고 판단해서인지 모르지만, 정작 법령정보센터에 올라온 시행령의 ‘시행령 제정·개정 이유’에는 영 제17조 제1항에 관한 신설 이유가 빠져 있다.)
가. 제·개정 이유 ○ 필수동의 동의 강제 관행이 개선(법 제39조의3 삭제→ 제15조 통합)되어, 정보주체의 실질적 동의권을 보장하기 위한 하위 법령 정비 나. 제·개정 내용 ○ 정보주체가 실질적으로 동의권을 행사할 수 있도록 동의를 받는 방법의 원칙을 명확히 정비(영 제17조 제1항) – 동의받는 방법의 실질적인 기준을 대법원 판례 및 E class=”has-inline-color has-vivid-red-color”>U GDPR을 참조하여 제17조 제1항에 신설하고, 기존 형식 요건은 제2항으로 이동 |
영 제17조의 시행일이 다가온 올해 9월에 개인정보보호위원회에서는 보도자료 “개인정보 필수동의 관행 개선한다.”(2024.9.12.)를 통해 법 제15조 제1항-법 제22조 제1항-영 제17조 제1항으로 구성된 ‘동의 꾸러미 규제’에 대한 세부 설명을 내놓았다.
개인정보보호위원회
종합하면 ‘동의 꾸러미 규제’의 핵심은, class=”has-inline-color has-vivid-red-color”>정보주체의 자유로운 선택 동의 보장과 동의 없이 처리할 수 있는 개인정보에 대한 동의 없는 개인정보 처리 의무화라 할 수 있다.
‘동의 꾸러미 규제’에 관해 몇 가지 검토할 만한 사항을 다음 몇 가지로 정리해 본다.
첫째, 정보주체의 개인정보 처리 측면에서 본다면, 가장 큰 변화는 법 제15조 제1항이나 제22조 제1항의 개정이 아니라 오히려 하위 시행령인 영 제17조 제1항의 신설인 결과가 됐다.
만일 제15조 제1항 및 제22조 제1항 개정 시 영 제17조 제1항의 신설을 염두에 두고 법 개정의 취지를 설명했다면, 정보주체의 동의와 개인정보 수집에 관한 논의가 충실하게 되고, 혼란도 적었을 것 같다. 종전법에서 필수 동의(또는 계약의 체결 및 이행)에 해당하는 제15조 제1항 제4호에서 ‘불가피하게’를 삭제함으로써 개인정보처리자의 “개인정보 수집의 법적 요건이 완화”됐다는 설명은 동의 없이 수집할 수 있는 요건이 완화되었다는 의미로 읽혔는데, 현실적으로는 개인정보처리자에 동의 없이 수집해야 하는 규제가 새로 생겼다고 하는 것이 더 정확한 표현이 될 것 같다. 규제 완화가 아니라 규제 강화인 셈이다.
따라서 위 보도자료에서 필수동의 항목에 대한 ‘개선’은 ‘동의 불필요’가 아니라 ‘동의 금지’라고 해야 의미가 제대로 전달된다.
사실 대다수의 개인정보처리자가 필수항목을 정보주체의 동의 없이 개인정보를 수집하지 않았던 이유는 단지 ‘불가피하게’ 때문이 아니라, 동의 없이 수집해서 얻을 수 있는 이익(?)에 견줘 발생할 수 있는 ‘위험’이 상당하다고 본 이유가 크다. 규제 당국에서 발간한 여러 개인정보 수집·이용 관련 가이드에서도 명시적 동의, 별도 동의 등 오히려 동의에 따른 수집을 강조해 왔던 게 사실이다.
둘째, 필수항목에 대해 동의 없는 개인정보 처리를 의무화하는 것이 적절한지 검토해 볼 필요가 있어 보인다.
그동안 서비스 이용에 필수적인 항목 수집에 동의를 받음으로써 정보주체가 주의를 기울이지 않고 ‘동의’를 하게 되는 ‘동의 만능주의’의 폐해가 있고, 동의를 함으로써 수집·이용의 책임이 정보주체로 넘어가는 문제가 있다는 점에 대해서는 상당한 공감대가 있을 듯하다.
하지만, 그에 대한 대책이 필수항목을 동의 없이 수집해야만 하는 의무 규정으로 만들고, 위반 시 전체 매출액의 3% 이하 과징금이라는 강력한 제재를 하는 것이 유일한(또는 최고의) 대책인지, 과도하지는 않은지 검토할 필요가 있어 보인다.
개인정보보호위원회에서 참조했다고 밝힌 유럽연합 개인정보보호법인 GDPR(General Data Protection Regulation) 제6조(처리의 적법성)에서도 정보주체와의 계약의 체결이나 이행(제1항(b)), 컨트롤러나 제3자의 정당한 이익을 위해(제1항(f)) 정보주체의 동의 없이 개인정보를 수집할 수 있다고 규정하고, 실제로 많이 사용된다. GDPR 상에서 정보주체의 ‘자유로운 동의’를 얻는 요건이 까다로운 탓도 있다. 그렇다고 해서 정보주체와의 계약 이행을 위한 개인정보를 정보주체의 동의를 받아 수집하는 것을 금지하지 않는다. 정보주체에게서 자유롭고 명시적인 동의를 받으라고 동의의 요건을 규정할 뿐이다.
셋째, 과징금 부과 요건에 개인정보 수집·이용 동의뿐 아니라 ‘처리의 적법성’ 전반에 관한 규정 위반이 포함되었다.
관련 과징금 부과 규정은 다음과 같다.
종전법 | 현행법 |
제39조의15(과징금의 부과 등에 대한 특례) ① 보호위원회는 정보통신서비스 제공자 등에게 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 1. class=”has-inline-color has-vivid-cyan-blue-color”>제17조 제1항·제2항, 제18조 제1항·제2항 및 제19조를 위반하여 개인정보를 이용·제공한 경우 (중략) 6. class=”has-inline-color has-vivid-cyan-blue-color”>제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) 제1항을 위반하여 class=”has-inline-color has-vivid-red-color”>이용자의 동의를 받지 아니하고 개인정보를 수집한 경우 (하략) |
제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보 ·· 처리자에게 class=”has-inline-color has-vivid-red-color”>전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. (중략) 1. class=”has-inline-color has-vivid-red-color”>제15조 제1항, class=”has-inline-color has-vivid-cyan-blue-color”>제17조 제1항, 제18조 제1항·제2항 또는 class=”has-inline-color has-vivid-cyan-blue-color”>제19조 class=”has-inline-color has-vivid-red-color”>를 위반하여 class=”has-inline-color has-vivid-red-color”>개인정보를 처리한 경우 (하략) |
종전법에서는 이용자에게 수집·이용 목적, 수집 항목, 보유·이용 기간을 알리고 동의를 받아야 한다는 (정보통신망법 시절부터 오랫동안 친숙했던) 제39조의3 제1항 규정을 위반하여 개인정보를 수집한 행위에 대해 과징금이 부과되는 반면, 현행법에서는 제15조 제1항, 즉 ‘동의 꾸러미 규제’를 위반했을 때 과징금이 부과될 수 있다는 점이 큰 차이다.
이와 비슷하게 유럽연합 내 GDPR 상의 감독기구가 정보주체의 동의를 받아 개인정보를 수집한 기업에 GDPR 위반으로 과징금을 부과한 사례가 있다. ‘자유로운 동의’가 아니라는 이유에서다.
2020년 4월, 네덜란드 개인정보보호 감독기구인 AP는 네덜란드 기업이 회사 직원들이 작업공간에 출입할 때 인증수단으로 지문인식을 사용한 것에 대해 “생체인식정보가 인증이나 보안 목적으로 필요하지 않으며, 직원들이 명시적으로 동의하지 않았으므로 위법하다”는 결론을 내리고, 과징금 725,000유로(약 10억 원)를 부과했다(이후 회사가 이의를 제기하자 같은 해 11월쯤 코로나 위기를 이유로 50,000유로로 대폭 감액했다.).
회사는 직원들의 명시적 동의를 받았다는 증거를 내지 못했고, 직원들이 지문 제공을 거부하려면 사업책임자와 면담해야 했고, 처음에 거부했던 일부 직원이 책임자와 면담 뒤 동의했다는 사실이 밝혀졌다. ‘자유로운 동의’가 아니었다는 말이다. 그래서 GDPR이 적용되는 지역에서는 회사와 직원 사이같이 힘의 불균형이 명백한 관계에서는 진정 자유롭게 개인정보 수집에 동의하기 어려우므로, 가능하면 다른 법적 근거를 활용하라고 권고하기도 한다.
2019년 7월에는, 그리스 개인정보보호 감독기구가 세계적인 컨설팅업체 PwC 계열사에 대해 ‘개인정보 처리의 법적 근거를 잘못 선택하고 적용했다는 등의 이유(GPDR 제5조 제1항·제2항 및 제6조 제1항 위반)로 15만 유로의 과징금을 부과하기도 했다.
개인정보보호법에서는 개인정보처리자가 정보주체의 동의를 받아 필수항목을 수집하면, 비록 법에서 정한 사항을 정보주체에게 알리고 동의를 받았다 할지라도 과징금이 부과될 수 있다. 정당성과 비례성을 갖춘 제재인지 의문이다.
이제 개인정보보호 담당자는 개인정보를 수집할 때 무엇보다도 제15조 제1항 제2호~제7호에 따라 정보주체의 동의 없이 수집할 것인지, 아니면 제15조 제1항 제1호에 따라 정보주체의 자유로운 동의를 받아 수집할 것인지를 정확하게 판단해야 한다. 이게 틀리면 회사가 과징금 대상이 될 수 있다!
실무자들이 이런 고민을 하는 것이 적절한지, 동의 만능주의를 해결하겠다고 제재 만능주의로 가는 것은 아닌지 우려스럽다.
[email protected]
Read More from This Article: 강은성의 보안 아키텍트 | 동의 없이 개인정보 수집, 할 수 있다 vs 해야 한다 (2)
Source: News