1 day Ago
에 이어 이번 달에도 ‘동의 없는 개인정보 수집’(개인정보보호법 제15조 제1항)에 관한 얘길 이어가 보려고 한다. 개인정보 수집(처리)의 적법성에 관한 기본 원칙을 담고 있는 개인정보보호법 제15조 제1항은 다음과 같다. 법 제15조 제1항 제1호에 따라 동의를 받을 때는 법 제22조 제1항 제1호를 준수하여야 한다.
법 제22조의 하위 시행령은 다음과 같다. 영 제17조 제1항 제2호~제4호는 개인정보보호 담당자에게 별로 낯설지 않다. ‘명시적 동의’라는 범주에 대체로 포함되기 때문이다.
문제는 제1호다. 제15조 제1항 제1호와 제22조 제1항 제1호, 영 제17조 제1항 제1호, 이 세 규정을 연결하면, 정보주체의 동의를 받아 개인정보를 수집하려면, 정보주체에게서 ‘자유로운 동의’를 얻어야 한다는 결론에 이른다. 법률 개정안이 공포될 때까지 설명된 바가 있어서 별로 관심을 두고 있지 않다가 뒤늦게 찾아보니, 개인정보보호법 개정안이 공포된 지 얼마 되지 않은 지난해 5월에 발표된 개인정보보호법 에서 ‘동의를 받는 방법'(영 제17조 제1항)의 신설 이유를 찾을 수 있었다.
(중요하지 않다고 판단해서인지 모르지만, 정작 법령정보센터에 올라온 시행령의 에는 영 제17조 제1항에 관한 신설 이유가 빠져 있다.) 영 제17조의 시행일이 다가온 올해 9월에 개인정보보호위원회에서는 보도자료 “ .”(2024.
9.12.)를 통해 법 제15조 제1항-법 제22조 제1항-영 제17조 제1항으로 구성된 ‘동의 꾸러미 규제’에 대한 세부 설명을 내놓았다.
종합하면 ‘동의 꾸러미 규제’의 핵심은, 라 할 수 있다. ‘동의 꾸러미 규제’에 관해 몇 가지 검토할 만한 사항을 다음 몇 가지로 정리해 본다. 첫째, 정보주체의 개인정보 처리 측면에서 본다면, 가장 큰 변화는 법 제15조 제1항이나 제22조 제1항의 개정이 아니라 오히려 하위 시행령인 영 제17조 제1항의 신설인 결과가 됐다.
만일 제15조 제1항 및 제22조 제1항 개정 시 영 제17조 제1항의 신설을 염두에 두고 법 개정의 취지를 설명했다면, 정보주체의 동의와 개인정보 수집에 관한 논의가 충실하게 되고, 혼란도 적었을 것 같다. 종전법에서 필수 동의(또는 계약의 체결 및 이행)에 해당하는 제15조 제1항 제4호에서 ‘불가피하게’를 삭제함으로써 개인정보처리자의 “개인정보 수집의 법적 요건이 완화”됐다는 설명은 동의 없이 수집할 수 있는 요건이 완화되었다는 의미로 읽혔는데, 현실적으로는 개인정보처리자에 동의 없이 수집해야 하는 규제가 새로 생겼다고 하는 것이 더 정확한 표현이 될 것 같다. 규제 완화가 아니라 규제 강화인 셈이다.
따라서 위 보도자료에서 필수동의 항목에 대한 ‘개선’은 ‘동의 불필요’가 아니라 ‘동의 금지’라고 해야 의미가 제대로 전달된다. 사실 대다수의 개인정보처리자가 필수항목을 정보주체의 동의 없이 개인정보를 수집하지 않았던 이유는 단지 ‘불가피하게’ 때문이 아니라, 동의 없이 수집해서 얻을 수 있는 이익(?)에 견줘 발생할 수 있는 ‘위험’이 상당하다고 본 이유가 크다. 규제 당국에서 발간한 여러 개인정보 수집·이용 관련 가이드에서도 명시적 동의, 별도 동의 등 오히려 동의에 따른 수집을 강조해 왔던 게 사실이다.
둘째, 필수항목에 대해 동의 없는 개인정보 처리를 의무화하는 것이 적절한지 검토해 볼 필요가 있어 보인다. 그동안 서비스 이용에 필수적인 항목 수집에 동의를 받음으로써 정보주체가 주의를 기울이지 않고 ‘동의’를 하게 되는 ‘동의 만능주의’의 폐해가 있고, 동의를 함으로써 수집·이용의 책임이 정보주체로 넘어가는 문제가 있다는 점에 대해서는 상당한 공감대가 있을 듯하다. 하지만, 그에 대한 대책이 필수항목을 동의 없이 수집해야만 하는 의무 규정으로 만들고, 위반 시 전체 매출액의 3% 이하 과징금이라는 강력한 제재를 하는 것이 유일한(또는 최고의) 대책인지, 과도하지는 않은지 검토할 필요가 있어 보인다.
개인정보보호위원회에서 참조했다고 밝힌 유럽연합 개인정보보호법인 GDPR(General Data Protection Regulation) 제6조(처리의 적법성)에서도 정보주체와의 계약의 체결이나 이행(제1항(b)), 컨트롤러나 제3자의 정당한 이익을 위해(제1항(f)) 정보주체의 동의 없이 개인정보를 수집할 수 있다고 규정하고, 실제로 많이 사용된다. GDPR 상에서 정보주체의 ‘자유로운 동의’를 얻는 요건이 까다로운 탓도 있다. 그렇다고 해서 정보주체와의 계약 이행을 위한 개인정보를 정보주체의 동의를 받아 수집하는 것을 금지하지 않는다.
정보주체에게서 자유롭고 명시적인 동의를 받으라고 동의의 요건을 규정할 뿐이다. 셋째, 과징금 부과 요건에 개인정보 수집·이용 동의뿐 아니라 ‘처리의 적법성’ 전반에 관한 규정 위반이 포함되었다. 관련 과징금 부과 규정은 다음과 같다.
종전법에서는 이용자에게 수집·이용 목적, 수집 항목, 보유·이용 기간을 알리고 동의를 받아야 한다는 (정보통신망법 시절부터 오랫동안 친숙했던) 제39조의3 제1항 규정을 위반하여 개인정보를 수집한 행위에 대해 과징금이 부과되는 반면, 현행법에서는 제15조 제1항, 즉 ‘동의 꾸러미 규제’를 위반했을 때 과징금이 부과될 수 있다는 점이 큰 차이다. 이와 비슷하게 유럽연합 내 GDPR 상의 감독기구가 정보주체의 동의를 받아 개인정보를 수집한 기업에 GDPR 위반으로 과징금을 부과한 사례가 있다. ‘자유로운 동의’가 아니라는 이유에서다.
2020년 4월, 네덜란드 개인정보보호 감독기구인 AP는 네덜란드 기업이 회사 직원들이 작업공간에 출입할 때 인증수단으로 지문인식을 사용한 것에 대해 “생체인식정보가 인증이나 보안 목적으로 필요하지 않으며, 직원들이 명시적으로 동의하지 않았으므로 위법하다”는 결론을 내리고, 했다(이후 회사가 이의를 제기하자 같은 해 11월쯤 코로나 위기를 이유로 50,000유로로 대폭 감액했다.). 회사는 직원들의 명시적 동의를 받았다는 증거를 내지 못했고, 직원들이 지문 제공을 거부하려면 사업책임자와 면담해야 했고, 처음에 거부했던 일부 직원이 책임자와 면담 뒤 동의했다는 사실이 밝혀졌다.
‘자유로운 동의’가 아니었다는 말이다. 그래서 GDPR이 적용되는 지역에서는 회사와 직원 사이같이 힘의 불균형이 명백한 관계에서는 진정 자유롭게 개인정보 수집에 동의하기 어려우므로, 가능하면 다른 법적 근거를 활용하라고 권고하기도 한다. 2019년 7월에는, 그리스 개인정보보호 감독기구가 세계적인 컨설팅업체 PwC 계열사에 대해 ‘개인정보 처리의 법적 근거를 잘못 선택하고 적용했다는 등의 이유(GPDR 및 위반)로 하기도 했다.
개인정보보호법에서는 개인정보처리자가 정보주체의 동의를 받아 필수항목을 수집하면, 비록 법에서 정한 사항을 정보주체에게 알리고 동의를 받았다 할지라도 과징금이 부과될 수 있다. 정당성과 비례성을 갖춘 제재인지 의문이다. 이제 개인정보보호 담당자는 개인정보를 수집할 때 무엇보다도 제15조 제1항 제2호~제7호에 따라 정보주체의 동의 없이 수집할 것인지, 아니면 제15조 제1항 제1호에 따라 정보주체의 자유로운 동의를 받아 수집할 것인지를 정확하게 판단해야 한다.
이게 틀리면 회사가 과징금 대상이 될 수 있다! 실무자들이 이런 고민을 하는 것이 적절한지, 동의 만능주의를 해결하겠다고 제재 만능주의로 가는 것은 아닌지 우려스럽다. [email protected].
