이제 유예 중인 개정 규정은 ‘마이데이터사업’과 관련된 제35조의2(개인정보의 전송 요구)밖에 남지 않았다. 2021.9.28. 정부가 발의한 개정안이 우여곡절 끝에 1년 6개월 만인 2023.2.27. 국회 본회의를 통과하고, 같은 해 3.7. 국무회의에서 의결되자 개인정보보호위원회는 다음 그림과 같이 개정법의 의미를 짚었다.
개인정보보호위원회 보도자료
개정 규정 중 개인정보보호 실무자들에게 가장 큰 영향을 미친 조문을 꼽으라고 한다면, 아마도 ‘필수 동의’(법 제15조(개인정보의 수집·이용) 제1항 제4호)나 ‘개인정보 처리 위탁’(제26조(업무위탁에 따른 개인정보의 처리 제한) 제2항)을 선택할 것이다. ‘개인정보 처리 위탁’ 개정 내용의 문제점에 관해서는 이전 칼럼에서 다룬 적이 있으므로, 이번에는 ‘필수 동의’에 관해서 다루고자 한다.
얼마 전 한국CPO포럼에서 개인정보보호책임자 및 담당자에게 한 설문조사 결과에서 개정된 ‘필수 동의’에 관한 ‘구체적인 가이드라인’이 필요하다는 답변이 많았다. 며칠 전 만난 대기업의 개인정보보호 담당자 중 한 분도 ‘가이드라인’이 계속 늦어져서 생기는 어려움을 토로했다. 시행된 지 1년이 넘었지만, 아직 기업 현장은 혼란이 가시지 않은 상황인 셈이다.
‘필수 동의’는 서비스 이용에 필수적인 개인정보 항목을 정보주체의 동의를 받아 수집하는 것을 일컫는데, 정보주체가 수집 동의를 거부할 수 없기 때문에 정보주체의 동의 절차가 무의미하고, 오히려 선택 항목에 대한 동의에서도 정보주체가 쉽게 ‘동의’하게 되는 부작용이 있다는 점이 지적되어 왔다.
정부가 제안한 ‘개인정보 보호법 일부개정법률안’(2021.9.28) ‘제안 이유’에서는 ‘필수 동의’ 규정의 개정에 관해 다음과 같이 설명한다.
| 나. 개인정보의 수집·이용 방법 개선(안 제15조 제1항 제4호, 안 제15조 제1항 제7호 신설)
1) 종전에는 개인정보처리자가 정보주체와 계약 체결 및 이행을 위하여 class=”has-inline-color has-vivid-red-color”>불가피하게 필요한 경우에만 개인정보를 수집할 수 있도록 하던 것을, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 class=”has-inline-color has-vivid-red-color”>필요한 경우에는 개인정보를 수집할 수 있도록 그 요건을 합리적으로 개선함 |
2023년 말에 개인정보위가 펴낸 <개인정보 보호법 및 시행령 개정사항 안내>에서도 이와 비슷한 설명을 내놓는다.
| 종전에는 정보주체와의 계약 체결·이행을 위해 “ class=”has-inline-color has-vivid-red-color”>불가피하게” 필요한 경우로 한정하였으나, 이번 개정을 통해 class=”has-inline-color has-vivid-red-color”>“불가피하게”를 삭제하여 개인정보처리자와 정보주체가 계약과 관련하여 서로 예상할 수 있는 합리적인 범위 내에서는 상호 신뢰에 기반하여 class=”has-inline-color has-vivid-red-color”>별도의 동의 없이도 개인정보를 수집하여 이용할 수 있도록 하였다.
>출처: 개인정보보호위원회, <개인정보 보호법 및 시행령 개정사항 안내>, 2023.12.29 |
제15조 제1항 제4호의 최종 개정 내용을 비교해 보면 다음과 같다.
| 법 제15조(개인정보의 수집·이용) ① class=”has-inline-color has-vivid-red-color”>개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. (중략) |
|
| [종전] 4. 정보주체와의 계약의 체결 및 이행을 위하여 class=”has-inline-color has-vivid-red-color”>불가피하게 필요한 경우 |
[개정] 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 class=”has-inline-color has-vivid-red-color”>이행하기 위하여 필요한 경우 |
제15조 제1항에서는 개인정보처리자가 정보주체의 개인정보를 수집·이용할 수 있는 요건을 규정하는데, 제1호에서 정보주체의 동의를 받아 개인정보를 수집·이용, 제2호~제7호에서는 정보주체의 동의 없이도 개인정보를 수집·이용할 수 있는 요건을 나열한다. 즉, 제4호는 동의 없이 class=”has-inline-color has-vivid-red-color”>개인정보를 수집·이용할 수 있는 요건에 해당한다.
이를 종합하면, 개정의 취지는 ‘ class=”has-inline-color has-vivid-red-color”>불가피하게’라는 요건 때문에 불가피성을 입증하기 어렵거나 부담스러운 많은 개인정보처리자가 정보주체의 동의를 받아 개인정보를 수집했는데, 이를 삭제함으로써 ‘ class=”has-inline-color has-vivid-red-color”>불가피하지 않더라도’ 정보주체와의 관계에서 ‘ class=”has-inline-color has-vivid-red-color”>필요한 경우’에 정보주체의 동의 없이 개인정보를 수집·이용할 수 있도록 법적 요건을 완화하겠다는 것으로 읽힌다. (당시 정부와 언론도 그렇게 설명했고, 대다수 개인정보처리자도 그렇게 이해했다.)
이 개정은 정보주체의 동의권 강화라는 취지와 함께 개인정보처리자 측면에서는 서비스 약관 등을 통해 정보주체와 계약을 체결했을 때 해당 서비스를 제공하는 데 필요한 개인정보는 정보주체의 동의 없이 수집할 수 있게 됨으로써, 회원 가입이나 서비스 제공 시 프로세스를 줄일 수 있도록 한다는 데 의의가 있다. ‘해야 한다’가 아니라 ‘할 수 있다’라는 점에 주목할 필요가 있다.
| 법 제22조(동의를 받는 방법)
(상략) |
이 조문의 하위 시행령은 다음과 같다.
| 시행령 제17조(동의를 받는 방법) ① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 다음 각 호의 조건을 모두 충족해야 한다. class=”has-inline-color has-vivid-red-color”>1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 |
법 제22조 제5항의 주요 내용은 종전에도 있었다. 문제는 이 조항의 내용을 제15조 제1항 제4호와 연계시킴으로써 제15조 제1항 제4호의 내용이 ‘의무 조항’으로 성격이 바뀌었다는 점이다. 즉, 영 제17조 제1항 제1호에 따르면 정보주체의 동의는 ‘정보주체의 자유로운 의사’에 따라 이뤄져야 하는데, 서비스 가입을 위해 어쩔 수 없이 동의한다면, 이는 ‘자유로운 의사’에 따른 동의 규정을 위반한다고 설명한다.
시행령 제17조 제1항 제1호를 준수하려면, 개인정보 수집에 동의하지 않더라도 서비스가 제공되어야 하므로, 이는 ‘선택 동의’에만 해당하는 조문이며, 따라서 제15조 제1항 제4호의 필수 개인정보는 동의를 받아 수집할 수 없다는 것이다.
개인정보위의 설명에 일리가 있다고 생각하면서도, 제15조 제1항 제4호의 수집 요건이 “할 수 있다”에서 “해야 한다”로 바뀌는 것에 대한 설명으로 충분해 보이지는 않는다. (11월 칼럼에서 계속됩니다.)
[email protected]
Read More from This Article: 강은성의 보안 아키텍트| 동의 없이 개인정보 수집, 할 수 있다 vs 해야 한다 (1)
Source: News