개인정보 필수 동의와의 이별을 준비하며

1. 들어가며

20년 넘게 유지되어 온 ‘개인정보 필수 동의’ 제도가 역사 속으로 사라지고 있다. 2023년 9월 개정된 개인정보 보호법은 ‘계약의 체결 및 이행’ 등 정당한 사유가 있는 경우, 정보주체의 동의 없이도 개인정보 수집ㆍ이용이 가능하도록 변경되었다. 이는 국내 개인정보 보호 체계의 구조적 전환이라 할 수 있으며, 형식적 동의 중심에서 실질적 보호 중심으로의 중대한 패러다임 이동이다.

이번 개정을 통해 우리는 개인정보의 수집ㆍ이용이 단순한 동의 여부가 아닌, 보다 복합적인 법적 근거에 따라 판단되어야 하는 시대로 접어들었다. 본 기고에서는 제도 변화의 배경과 의의, 실무상 우려 사항과 향후 과제에 대해 살펴보고자 한다.

2. 개인정보 필수 동의제도와의 이별

2023년 9월 개정된 개인정보 보호법에 따라 ‘계약 체결 및 이행’ 등을 위하여 필요한 경우, 정보주체의 동의 없이도 개인정보를 수집ㆍ이용할 수 있게 되었다. 사실 개정 이전에도 법 제15조에 따라 동의 외 적법 요건에 기반한 수집ㆍ이용은 가능했으나, 관련 조문에 포함된 ‘불가피한 경우’, ‘명백히 필요하다고 인정되는 경우’ 등의 모호한 문구로 인해 실무에서는 동의 외의 법적 근거를 적용하기가 쉽지 않았다.

개정 전

개정 후

(구) 개인정보보호법 제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

개인정보보호법 제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. 7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

특히 정보통신서비스 제공자는 데이터 3법 개정 이전에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 적용을 받아왔으며, 통합 개인정보 보호법 체계에서도 특례 조항으로 인해 실질적으로는 ‘동의 기반 처리’ 외의 선택지가 없었다. 이로 인해 국내 인터넷 서비스는 글로벌 서비스 대비 UI/UX가 복잡해지고, 이용자의 실질적 권리 보장보다는 형식적 동의 확보에 집중할 수밖에 없는 구조적 한계를 안고 있었다.

(구) 개인정보보호법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) ① 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.1. 개인정보의 수집ㆍ이용 목적2. 수집하는 개인정보의 항목3. 개인정보의 보유ㆍ이용 기간② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우3. 다른 법률에 특별한 규정이 있는 경우   (이하 생략)

이처럼 해외 주요 국가들과 비교해 국내의 ‘동의 중심주의’는 오히려 정보주체의 권리 보호에 실효성이 부족하다는 비판을 받아왔다. 명목상 ‘필수 동의’를 아무리 강조해서 받더라도, 실제로 동의서 전체를 읽고 가입하는 이용자는 드문 현실이다. 따라서 동의 요건을 지나치게 강조하는 접근은 개인정보 보호의 본질적 목적에서 벗어난 측면이 있었다.

3. 개인정보 적법요건 다양화의 의미

20년이 넘는 개인정보 ‘필수 동의’ 제도는 2023년 9월 법 개정으로 인해 이제 우리나라 개인정보 보호 제도의 주연에서 조연 또는 보조 수단으로 자리를 옮기게 되었다. 17년간 기업에서 개인정보보호 담당자로 일해왔던 입장에서는 2020년 데이터 3법 개정 당시 보다 더 큰 변화로 느껴진다.

지금까지는 개인정보 수집ㆍ이용, 또는 제공이 발생할 때에 최소한의 개인정보를 처리하는 것이 맞는지, 법에서 정한대로 적법하게 동의를 받고 처리하는지, 만 14세 미만 아동의 개인정보에 대해서는 법정대리인 동의를 받고 처리하는 것인지 등을 검토했다. 그런데 이제부터는 개인정보 수집ㆍ이용 등이 발생할 경우 동의, 계약 체결 및 이행, 개인정보처리자의 정당한 이익 등 여러 적법요건 중 어느 조항을 적용하여 처리할지를 우선 검토해야 한다.

‘동의’ 제도에 대해서는 20년이 넘는 역사 동안 몇 가지 판례가 쌓였고, 다수의 정부 가이드라인이 나왔으며, 다양한 적용례와 실무 경험도 있기 때문에 업무 처리 시 큰 어려움이 없었다. 그러나 계약법 상 ‘계약 체결 및 이행’으로 인정받을 수 있는 개인정보 처리인지를 정확하게 이해하거나 개인정보처리자의 ‘정당한 이익’에 해당한다고 판단하는 일은 지금까지 해본 적이 없고, 새롭게 접해야 하는 미지의 영역이다.

수집, 이용ㆍ보관, 제공ㆍ위탁, 파기에 이르는 개인정보 생명주기 동안 위험 관리에 기반하여 개인정보를 관리ㆍ보호해야 한다는 원칙이 있었으나, 지금까지는 국내의 관련 법령과 정부 가이드라인에 따라 각 단계별 준수 사항에 따라 개인정보가 처리되는지를 살펴보면 되었다. 즉, 적법하게 동의를 받고 수집된 개인정보는 ‘수집 단계’에서의 준수 사항이 지켜지는 것이었고, 수집 이후의 단계로 넘어갈 수 있었다.

그러나 이제부터는 개인정보의 ‘수집 단계’가 아니라 ‘전체 처리 단계’에서 개인정보 수집이 가능한지를 종합적으로 판단하고 검토해야 한다. 서비스 제공 과정에서 개인정보 수집이 필요할 때에 해당 수집이 이용자(고객)와 체결한 계약을 이행하는 과정에서 필요한 개인정보가 맞는지 판단해야 한다. 만약 ‘개인정보처리자의 정당한 이익’으로 개인정보를 수집하기 위해서는 개인정보 전체 처리 과정에서 개인정보처리자의 정당한 이익과 정보주체의 개인정보 자기결정권 간 이익형량을 해야 하며, 이 활동은 단발성으로 끝나서는 안 되고 정기적인 이익형량을 통해 정보주체의 사생활을 과도하게 침해하거나 다른 이익을 침범하지 않는지 관리해야 한다.

4. 제도 변경에 대한 기대와 우려

미국ㆍEUㆍ일본 등 국외 개인정보 보호법제와 비교했을 때, 개인정보 ‘필수 동의’ 제도와의 작별, 그리고 개인정보 적법요건 다양화는 글로벌 스탠다드에 부합하는 변화이다. 형식적인 동의제도와의 이별을 통해 정보주체의 권리를 실질적으로 보장하고, 개인정보처리자 입장에서도 무의미한 동의절차 추가로 인한 불편한 인터넷 서비스 이용환경을 개선할 수 있는 긍정적인 효과가 기대된다.

하지만 한 번도 가보지 않은 새로운 길을 걸어가야 하는 개인정보 분야 실무자들에게는 기대만큼의, 또는 기대보다 더 큰 우려도 있다. 개인정보보호위원회에서 밝힌 개인정보 보호법의 방향성은 정보주체의 권리 강화, 글로벌 규제와의 정합성 확보, 디지털 환경 변화에 따른 법체계 정비 등인데, 이를 쉽게 이해하면 AI 시대에 국가 경쟁력 강화를 위해 실질적인 정보주체의 권리를 지속 강화해 가되, 형식적인 규제 등은 완화하여 데이터 활용을 확대해 가는 방향으로 이해한다. 그런데 이번 법 개정 및 적용 과정에서 ‘개인정보 처리자의 정당한 이익’에서 ‘명백성’ 요건이 삭제되지 않고 남아있어 여전히 본 조항의 적용이 부담되는 상황에서 ‘계약 체결 및 이행’이 좁게 해석될 경우, 기존보다 개인정보의 수집범위 및 이용범위가 축소되어 오히려 국내 기업의 경쟁력 약화를 가져오는 결과가 초래될 수 있다.

따라서 개인정보 보호법이 개정 취지에 맞게 해석되고 운용되기 위해서는 우선, 기존에 필수 항목으로 수집했던 개인정보에 대해 ‘계약 체결 및 이행’, ‘개인정보처리자의 정당한 이익’으로 적법요건이 전환될 수 있도록 개인정보보호위원회에서 법 해석과 운영 과정에서 운용의 묘를 살려야 할 것이다.

이를 위해서는 개인정보처리자들의 노력도 필요하다. 개인정보를 수집할 때에 적법하게 수집했는지만 살펴보던 현행에서 나아가 전체 개인정보 처리 과정에서 계약 이행을 위해 필요한 개인정보가 맞는지, 정보주체의 권리를 과도하게 침해하는 개인정보 처리는 아닌지, 적법한 개인정보 처리라고 해도 조금이라도 더 개인정보를 안전하게 관리하고 정보주체의 권리를 더 잘 보호하기 위한 방법(예: 암호화, 가명처리 등)이 있는지 등을 이전보다 더 치열하게, 그리고 정기적으로 검토하고 실천해야 할 것이다.

다음으로는 추가 개정을 통해 ‘개인정보처리자의 정당한 이익’에 남아있는 ‘명백성’ 요건을 삭제하여 본 적법요건이 지금보다 폭넓게 검토 및 활용될 수 있도록 하고, 개인정보 수집ㆍ이용(법 제15조)과 제공(법 제17조 및 제18조)에서 각각 다르게 규정하는 적법요건을 통일하여 개인정보 처리가 단계별로 검토ㆍ관리되는 것이 아니라 끊임없이 이어지는 하나의 프로세스 내에서 주기적ㆍ정기적으로 관리되도록 해야 할 것이다.

앞에서도 언급했으나, ‘개인정보처리자의 정당한 이익’의 경우, 정보주체 권리와의 구체적인 이익형량이 필요한데, 개인정보처리자는 왜 자신들의 개인정보 처리가 정보주체의 권리보다 우선하는지에 대해 검토를 하고 해당 검토 내역을 관리해야 하며, 시간과 사정의 변경으로 인해 검토 내역에 변경이 발생했는지 주기적으로 다시 검토를 해야 할 필요가 있다. 따라서 본 적법요건의 사용이 정보주체의 권리 보장에 있어서도 오히려 효과적으로 작동할 수 있다.

5. 마치며

개인정보 필수 동의제도의 종식은 형식적 절차에서 벗어나 실질적인 정보주체 권리 보호와 개인정보 활용의 균형을 도모하려는 진일보한 시도이다. 그러나 이러한 제도적 진화가 현장에서 제대로 작동하기 위해서는 개인정보보호위원회에서 법 개정 취지를 고려한 법령 해석과 일관된 운영이 뒷받침되어야 하며, 현장 실무자들도 변화된 법 체계에 대한 이해와 적극적인 실천을 위해 노력해야 한다.

‘계약체결 및 이행, 정당한 이익’ 요건의 실질적 활용과 적용 확대, 개인정보 처리 단계 전반에서의 통합적 관리, 정보주체 권리에 대한 주기적 검토와 보호 강화 등은 결코 쉬운 과제가 아니다. 그럼에도 불구하고, 이러한 노력이 모여야만 개인정보 보호와 활용이라는 두 마리 토끼를 잡을 수 있다. 이번 제도 변화가 우리 사회에 보다 실효성 있는 개인정보 보호 문화를 정착시키는 계기가 되기를 기대한다.