GNN 뉴스통신

개인정보보호위원회, 개인정보 필수동의 관행 개선한다

당사자 간 서비스 이용계약에 필요한 개인정보는 동의 없이 처리 가능

권대표 기자 | 기사입력 2024/09/12 [19:05]

개인정보보호위원회, 개인정보 필수동의 관행 개선한다

당사자 간 서비스 이용계약에 필요한 개인정보는 동의 없이 처리 가능
권대표 기자 | 입력 : 2024/09/12 [19:05]

▲ 개인정보보호법 개정 전후 비교


[GNN 뉴스통신=권대표 기자] 지난해 9월 개인정보 보호법 개정으로 계약 이행 등을 위하여 필요한 경우에는 정보주체의 동의 없이 개인정보를 수집·이용할 수 있게 된 데 이어, 올해 9월 15일부터는 동의를 받아 개인정보를 수집ㆍ이용하려는 경우 지켜야 할 원칙과 방법에 관한 보호법 시행령 규정(영 §17①)이 시행될 예정이다.

이에, 개인정보보호위원회는 홈페이지 가입 등 서비스 이용계약과 관련하여 개인정보를 수집ㆍ이용할 때에는 동의 없이 가능하다는 점을 명확히 하고,계약과 관련이 없는 영역에서 정보주체의 동의가 필요한 경우 정보주체의 선택권을 제약하지 않도록 하는 조치방법에 대하여 지속적으로 안내하는 등 필수동의 관행을 단계적으로 개선해 나갈 계획이라고 밝혔다.

’99년 정보통신망법 개정 이후 온라인 사업자는 서비스 제공 시 필수적으로 동의를 받아야 했고, 정보주체도 동의를 하지 않으면 서비스를 이용할 수 없는 관행이 계속되어 왔다. 또한, 공공부문과 오프라인 부문에서도 ’11년 개인정보보호법 제정 이후 계약 체결 및 이행을 위해 “불가피한 경우” 외에는 필수적으로 동의를 받는 관행이 오랜 기간동안 지속되어 왔다.

이러한 관행으로 인해, 기업 등은 서비스 제공계약에 필요하더라도 정보주체의 동의를 받아야만 하는 문제와 함께 동의만 받으면 개인정보 수집ㆍ이용에 대한 책임이 정보주체에게로 넘어가는 문제가 있었다.

이에, ’23년 개인정보보호법 개정을 통해 기업 등이 서비스 이용계약 과정에서 신뢰에 기반하여 별도의 동의 없이 개인정보를 이용할 수 있도록 하고, 동의가 꼭 필요한 경우에 한정하여 정보주체로부터 명시적인 동의를 받도록 개선한 바 있다.

당사자 간 계약에 수반되는 개인정보에 대한 형식적 필수동의는 없애는 대신 동의가 필요한 영역에서는 알고 동의하는 문화를 정착시켜, 정보주체와 기업 모두에게 도움될 수 있는 환경을 단계적으로 유도해 나가기 위한 것이다.

이와 함께 올해 9월 15일부터 시행되는 개인정보보호법 시행령에서는 정보주체가 명확히 그 내용을 알고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 동의받는 방법에 관한 원칙을 명확히 규정했다.

[ 개인정보 수집ㆍ이용시 동의 여부 및 방법 안내]

① 서비스 이용계약 관련 개인정보 ⇨ 동의 없이 수집ㆍ이용

개인정보처리자는 서비스 이용 등 계약과 관련하여 필요한 개인정보는 정보주체에게 동의를 요구할 필요가 없다. 이때 동의 없이 처리할 수 있는 필수적 개인정보라는 입증책임은 개인정보처리자가 부담(법 §22③)하게 된다.

계약 관련하여 필요한 개인정보(동의 불필요)에 대해 필수동의를 받았다고 하더라도 그 효과는 해당 내용을 고지한 것에 그치게 되며, 개별 상황에 따라서는 보호법 상 “동의를 받는 방법”(법 §22 및 영 §17①)에서 정한 원칙에 저촉될 수 있으므로 개선할 필요가 있다.

② 서비스 이용계약과 관련 없는 개인정보 ⇨ 동의원칙 준수

서비스 이용계약 이행 등과 관련이 없는 개인정보에 대하여 수집·이용 동의를 받으려는 때에는 정보주체가 동의내용을 충분히 알 수 있도록 쉬운 문구 등을 사용하여 알리고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 하는 등의 조치를 해야 한다.

서비스 이용계약 이행 등에 필요하지 않은 개인정보임에도 불구하고 특별한 사정 없이 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 없도록 제한하거나, 동의내용을 명확하게 알리지 않은 경우에는 법 제15조의 적법요건을 충족하지 않게 될 수 있다는 점을 유의할 필요가 있다.

③ 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 ⇨ 분리 조치

만일 필수동의를 받아 온 동의내용에 계약 이행 등에 필요한 개인정보가 포함되어 있다면 해당 항목은 삭제하고, 그 외의 개인정보는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 영 제17조제1항에 부합하는 조치를 해야 한다.

더불어, 정보주체가 개인정보 처리 상황을 알 수 있도록 개인정보 처리방침에 정보주체로부터 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보를 구분하여 공개하는 조치를 해야 한다.

④ 민감정보ㆍ고유식별정보의 경우 ⇨ 서비스에 불가피한 경우 필수동의

계약 이행이나 서비스 제공 특성 상 정보주체의 민감정보1)나 고유식별정보(주민등록번호 제외)2)의 처리가 불가피하게 필요한 경우에는 정보주체에게 동의내용을 충분히 알린 후 별도로 필수동의를 받아 처리하여야 하고, 다만 법령에 규정이 있는 경우에는 동의 없이 처리할 수 있다.

개인정보위는 연말까지 현장의 혼선이 없도록 '개인정보 처리 통합 안내서'를 마련하여 구체적인 상황별 사례를 안내할 예정이다. 안내서에는 개인정보 보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획이다.

개인정보위 양청삼 개인정보정책국장은 “현장에서 개인정보를 수집ㆍ이용할 때 동의를 받아야 하는지, 동의가 필요한 구체적인 상황에서는 어떻게 조치해야 하는지에 대해 많은 관심을 갖고 있다는 것을 알고 있다”라면서,

“필수동의는 20년 이상 지속되어 온 제도임을 고려하여 산업계 등과 적극적으로 소통하면서, 적법한 개인정보 처리 사례를 지속 발굴하여 설명회 등을 통해 안내하고 개편된 제도가 현장에 무리 없이 안착될 수 있도록 지속적으로 홍보 및 안내해 나갈 계획”이라고 밝혔다.
  • 도배방지 이미지