개인정보보호 자율규제규약 톺아보기

공동 규제(Co-regulation)

개인정보보호위원회는 2021. 11. 17. 쇼핑 플랫폼 분야 공동규제의 후속조치로서 개인정보 보호법상 온라인 쇼핑 분야 자율규제 단체 중의 하나로 지정되어 있는 한국온라인쇼핑협회(KOLSA)와 그 회원사인 10개 온라인쇼핑 플랫폼사와 함께 ‘온라인쇼핑(중개)부문 민관협력 자율규제 규약’을 마련하고 2022년 7월 13일 위원회 전체회의에서 자율규제규약에 대하여 심의ᆞ의결했다.

이러한 규약은 소위 공동규제라고 불리우는데, 자율규제는 규제당국의 개입 정도에 따라 강제적인 경우(mandated), 협상을 전제로 한 경우(negotiated), 협력을 전제로 한 경우(cooperated), 순수한 자율 규제(pure)의 4단계로 나뉘고[1], 그 중 협력을 전제로 하는 소위 cooperated self-regulation(공동규제) 모델이라고 할 수 있다. 이러한 공동규제 모델이 아주 특별한 것은 아니며, 완전히 민간 자율로 맡겨 정부가 방임한다는 비난을 받지 않으면서도 민간의 자발적인 참여를 유도하는 중간 즈음에 있는 방식이다. 물론, 그 구조를 잘 짜더라도 실제 운영에 정부가 지나치게 관여하고자 하거나 정부가 initiative(주도권)을 놓치 않으려는 경우 강제적 자율규제, 심지어는 무늬만 자율규제로 흐르게 될 위험성이 언제나 존재한다.

자율규제 협약을 둘러싼 논란들

개인정보보호법상의 자율규제는 2016년 자율규제단체 지정 규정이 고시로 마련되면서 법적 테두리 내에서 논의가 진행되었다고 보는 것이 대체적인 듯하다.[2] 그 후 개인정보보호위원회는 2022. 5. 개인정보 자율규제 체계를 공동 규제로 개편하는 계획을 수립하였고,[3] 개인정보보호위원회는 국민생활과 밀접한 온라인플랫폼 7대 업종[4]을 우선적으로 선정하고 각 분야별로 규약 마련을 유도했다.[5] 그 첫번째 결과로서 온라인 쇼핑 플랫폼사들의 ‘쇼핑 플랫폼과 셀러툴 사업자간 개인정보 보호조치 강화(안)’이 제안되어 이를 바탕으로 자율규제 규약(안)을 제시하고 온라인쇼핑협회(KOLSA)를 상대방으로 하여 협의를 시작했다. 그 후 약 3개월 간 참여사의 의견 수렴 절차가 이어졌고 2022. 7. 13. 자율규제규약이 마련됐다.

한편, 자율규제규약의 논의와는 별개로 온라인 쇼핑 플랫폼 사와의 사이에서는 또다른 쟁점이 있었다. 온라인 쇼핑 플랫폼은 사업자들에게 쇼핑 플랫폼을 제공하여 손쉽게 전자상거래 환경을 구현할 수 있도록 지원하고 있는데, 그 과정에서 사업자들은 쇼핑 플랫폼이 제공하는 개인정보처리시스템에 접근해 자신이 운영하는 쇼핑몰 관리를 해 왔다. 그런데, 사업자들의 입장에서는 플랫폼의 기능들을 모두 관리하기가 어려워 실무적으로 외부의 제3의 사업자들에게 쇼핑몰 관리의 일부를 맡겨 왔다. 그러한 관리 업무를 담당하는 사업자들을 셀러툴 사업자라고 하는데, 셀러툴 사업자는 사업자들로부터 접근 권한을 부여 내지 전달받아서 온라인 쇼핑 플랫폼에 직접 접속하여 쇼핑몰에 게재된 상품 및 재고, 고객 관리 업무 등을 수행했다. 그 과정에서 사업자들과 셀러툴 사업자들은 온라인 쇼핑 플랫폼의 개인정보처리시스템에 접근해 이용자의 개인정보를 처리하게 되는데, 개인정보보호위원회는 이처럼 온라인 쇼핑 플랫폼이 관리하는 개인정보처리시스템에 접근하는 사업자에 대하여 개인정보취급자의 지위에 있다고 보고 플랫폼사들이 개인정보 보호법이 요구하는 안전성 확보조치 의무를 다하지 아니하였다고 보아 일부 플랫폼사들에 대하여 과태료 처분을 했다. 플랫폼 사업자들은 사업자 내지 이들로부터 개인정보처리업무를 수탁받은 셀러툴 사업자가 개인정보취급자에 해당하지 아니하므로, 그 의무 위반을 지적한 위원회의 과태료 처분은 부당하다고 이의를 제기했고, 이후 법원은 온라인 쇼핑 플랫폼사의 주장이 타당하다고 보아 과태료 처분에 대한 취소를 명하였다(서울행정법원 2022. 7. 8. 선고 2021구합79278 판결). 이 사건은 위원회가 항소해 소송이 계속 중에 있다. 그 와중에 개인정보호위원회는 사업자들과 셀러툴 사업자들에 대한 개인정보처리시스템에 대한 안전성 확보를 위한 조치가 필요하다고 보고 자율규제 방식을 통하여 플랫폼 내 이용자 보호를 강화하고자 꾀한 것이다.

자율규제 규약의 주요 내용

온라인쇼핑 플랫폼 분야 자율규제 규약의 주된 내용은 다음과 같다.

첫째, 플랫폼의 접근통제 기능을 강화했다. 사업자가 플랫폼에서 이용자의 개인정보를 조회, 이용하고자 할 경우, 안전한 인증수단을 적용하고 자동 접속 차단 등 접근 통제를 강화하며, 셀러툴 사업자에 대하여는 플랫폼사와 API 연동을 위한 협약을 체결하고, 셀러툴 사업자의 접속 시 판매자 및 셀러툴 사업자의 인증정보를 확인한 후 접속을 허용하기로 했다.

둘째, 사업자의 플랫폼 내 이용자 개인정보의 열람 등을 제한하도록 했다. 사업자는 구매가 완료된 직후 이용자의 개인정보를 마스킹 처리하도록 해 조회가 제한되도록 하고 일정 기간이 경과한 이후에는 판매자 PC로 이용자의 개인정보가 다운로드 되는 것을 제한하도록 했다.

셋째, 플랫폼은 사업자를 위한 개인정보보호 활동을 강화하도록 했다. 플랫폼은 사업자에게 개인정보 보호 유의사항을 상시 알리도록 하고 교육자료를 제공하도록 했으며, 판매자의 개인정보처리방침 공개 기능을 제공할 수 있도록 해 개인정보 처리의 투명성을 확보할 수 있도록 했다.

넷째, 참여자에 대한 인센티브를 부여했다. 플랫폼이 자율규제를 잘 이행할 경우 해당 플랫폼이 과태료 등 행정처분을 받게 되더라도 이행 상황을 감안해 과태료 감경 등의 인센티브를 부여할 수 있도록 했다.

다섯째, 위원회는 미이행사에 대해 이행점검을 할 수 있도록 했다. 참여사는 규약의 준수 여부를 자율적으로 점검하고 이를 협회에 공유하고, 협회는 공유된 내용을 확인해 개선 유도 및 지원을 할 수 있도록 했다. 그런데 만약 자율점검을 준수할 것을 약속하고서도 실제로 자율점검규제 내용을 잘 따르지 아니하고 위원회가 자율점검 결과에 따른 개선조치를 이행하지 않을 경우 그 미이행 사업자에 대하여는 연 1회 이행점검을 할 수 있도록 했다.

평가

이번 자율규제협약은 빠르게 변화하는 온라인 플랫폼 비즈니스의 세계에서 법에 의한 강제적인 준수 의무 이행이 아니라 수범자가 자율적으로 이행을 약속하고 그에 대하여 규제 당국이 수범자의 자율규제 이행의지를 받아들여 추가적인 개인정보보호조치를 취할 수 있도록 했다는 점에서 의미가 있고, 규제 완화를 목표로 하는 현 정부의 정책 기조와도 잘 부합하는 좋은 사례라고 할 수 있다.

다만 애초 자율규제는 규제가 있지만 그 세부적인 기준이 명확하지 아니하거나 업종에 따라서 변화가 매우 빨라 세부적인 기준으로 법령을 정하는 것이 적절치 않다고 판단되는 경우, 규제가 없지만 규제의 도입이 필요하다고 판단되는 영역에서 강제적이고 엄격한 규제를 도입하는 대신 유연한 자율규제를 우선시 한다는 것이 그 애초의 취지이다. 즉, 법령상 의무가 부여되지 않은 경우에 추가적인 의무를 부과하는 것이 자율규제의 원칙적인 모습은 아니다. 그런데, 현재 자율규제 규약에 담긴 많은 내용들은 개인정보보호법상 그 수범자인 플랫폼 사업자들이 반드시 준수해야 하는 법상 의무사항에 해당하는 것은 아니다.

그럼에도 불구하고 플랫폼 사업자는 추가적인 이용자의 개인정보 보호조치를 제공함으로써 이용자의 개인정보에 대한 보호수준을 한층 높일 수 있도록 하고 그 결과 이용자들도 더욱 안심하고 온라인쇼핑을 이용할 수 있도록 하는 결과로 이어질 것이라고 기대되고 있다. 향후 자율규제를 통한 이용자 개인정보 보호가 활성화될 수 있기를 기대해 본다.

---

[1] 구체적인 내용은, 김민호, 윤석열 정부의 ICT 자율규제 의미와 전망, KISO저널, 2022. 6. 참조.

[2] 개인정보보호와 관련한 자율규제 근거와 그 연혁적인 사항들에 대해서는 이해원, 개인정보 보호와 자율규제: 그 사법적 함의 및 개선방안을 중심으로, 한국경쟁법학회 등 주최 학술대회 자료, 2022. 8. 참조.

[3] 개인정보보호위원회, (보도자료) 온라인플랫폼 분야 개인정보 보호 국민체감 확 높인다, 2022. 5. 11.

[4] 오픈마켓, 주문배달, 모빌리티, 구인ᆞ구직, 병의원 예약접수, 부동산, 숙박. 개인정보보호위원회가 제시한 일정 상으로는 2022년 4분기 중 주문배달, 모빌리티에 대해, 2023년 1분기까지 구인ᆞ구직 및 병의원 예약접수 분야에 대해 자율규제 규약을 확정하겠다는 일정을 제시하고 있으나, 온라인 쇼핑 분야에 비해 자율규제 협의에 난이도가 더 높은 분야이기에 다소 무리한 일정이라는 느낌을 지우기 어렵다.

[5] 개인정보보호위원회, 개인정보 보호 ‘민관협력 자율규제’ 설명회-온라인플랫폼 분야-, 2022. 6. 29.자