이제 동의받지 않고 개인정보 수집·이용·제3자 제공 가능? [긱스]
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
온라인 서비스를 제공하는 스타트업에 개인 정보 관리는 쉽지 않습니다. 어느 정도 수준까지 소비자의 동의를 받아야 하는지 확인이 필요합니다. 동의 없이 활용 가능한 수준도 법으로 정해져 있죠. 관련 규정이 과도한 규제라는 비판도 있었습니다. 최근 개인정보위원회는 지난해 개정한 개인정보법의 구체적인 가이드라인을 내놨습니다. 관련 스타트업은 반드시 알아야 할 내용입니다. 최앤리 법률사무소의 최철민 변호사가 관련 내용을 소개합니다.서설. 개인정보 보호법의 개정 및 가이드라인 발표 배경
대부분 회사는 온, 오프라인 영업을 가리지 않고 고객들의 ‘개인정보’를 기반으로 사업을 펼치고 있다. 이처럼 개인정보가 중요해짐에 따라 개인 정보의 무분별한 남용과 피해를 방지하기 위해 정부의 규제는 강화됐다. 언제나 규제는 시대의 속도를 따라가지는 못하는 법이라 현실과 맞지 않은 불편한 규제는 기업의 발목을 잡고 있다.
이런 현실 목소리를 반영해 개인정보법을 주관하는 개인정보위원회(개보위)는 2023년 3월 14일에 개인정보 보호법(개정법)을 대폭 개정했으며, 2023년 9월 15일부터 개정법이 시행됐다. 그러나 법은 해석과 그 적용이 늘 어려운 것인지라 개보위는 2023년 12월 29일에 ‘개인정보 보호법 및 시행령 개정사항 안내’(가이드)를 발표하면서 실무에서 개정법에 따른 개인정보 활용 방법에 대한 구체적인 가이드라인을 제시했다.
이번 칼럼에서는 가이드 중에서 가장 중요한 ‘개인정보 수집, 이용, 제3자 제공을 위한 동의’에 대해 어떤 점이 변경됐고 구체적으로 어떤 상황에서는 동의받지 않아도 되는지 살펴보겠다. 개인정보처리자(회사)의 개인정보 수집, 이용에서 정보주체(고객)의 ‘동의’ 여부
구체적인 내용에 앞서 먼저 짚고 갈 것은 이제 개인정보 수집 및 이용을 위해 개인정보주체의 동의를 전부 받지 않아도 되는 것은 아니다. 원칙은 동의를 받는 것이다. 다만 동의를 받지 않고도 가능한 경우가 현실성 있게 개정된 것이다.
온, 오프라인 사업 구별 없이 일원화
종전법에서는 오프라인 사업 주체를 기본으로 하고 있었다. 정보통신서비스(인터넷 쇼핑, 포털, 온라인게임, SNS 등, 이하 ‘온라인 서비스’)를 제공하는 회사의 경우에는 개인정보 수집 및 이용의 일반조항 제15조가 아니라 제39조의3을 신설해 별도로 적용을 해왔다. 종전법에서는 온라인 서비스는 개인정보를 수집 및 이용을 하기 위해서는 무조건 정보주체의 동의가 필요했다.그러나 개정법에서는 별도로 관리하던 제39조의3을 삭제하고 제15조에서 온,오프라인 서비스 구분 없이 일원화해 적용하도록 하였다. 따라서 이제 온라인 서비스도 경우에 따라서 고객의 개인정보를 수집 및 이용할 때 별도 동의를 받지 않아도 된 것이다. 개인정보를 수집 및 이용할 때 ‘동의’ 안 받아도 되는 사유 완화
종전 법에서도 오프라인 서비스는 법령에 따른 경우, 공공기관의 경우, 계약 체결 및 이행을 위해 불가피한 경우, 의사표시를 할 수 없을 정도로 명백하고 급박한 피해가 있는 경우 등에서는 정보주체의 동의를 받지 않고 개인정보를 수집 및 이용할 수 있었다. 그러나 위 예외 조항 내용이 지나치게 엄격하여 실효성이 떨어졌고, 대다수의 회사가 온라인 서비스를 영위하기 때문에 이마저도 적용대상이 아니었던 것이다.
개정법에서는 회사와 고객 간 계약을 체결하기 준비단계이거나 체결한 계약을 이행하기 위해서 개인정보 확인이 필요한 경우에는 불가피한 경우가 아니라도 개인정보 수집 및 이용이 가능하게 됐다. 즉, 개정법에서는 ‘불가피하게’를 삭제하여 회사와 고객 간 자유로운 서비스 이용 과정에서는 번거롭게 동의를 받지 않아도 된 것이다. 스타트업 법률자문으로 주로 하는 필자가 생각하기에 이 부분이 이번 개정법에서의 핵심 사항으로 생각되며 매우 환영하는 부분이다.
가이드가 제시한 구체적인 사례를 살펴보면, 인터넷 쇼핑몰이 고객으로부터 구매상품을 주문을 받아 ‘결제-배송-AS’ 등 계약 이행을 위해 고객의 주소, 연락처, 결제 정보 등을 수집하고 이용하는데 고객의 동의가 필요하지 않는다. 계약 체결하는 과정에서도 마찬가지다.
우리가 흔히 접하는 온라인서비스를 이용하기 위해서는 회원가입을 해야 한다. 기존에는 고객이 회원가입을 할 때 개인정보를 입력하고 개인정보 수집 및 이용에 대한 동의 체크박스가 있어야만 했다. 이에 따라 고객도 이를 선택해야만 회원가입이 가능했다. 그런데 이제는 고객은 회원가입을 요청하는 경우 회사는 별도 동의를 받지 않아도 고객의 이름, 연락처, 생성 아이디 등을 수집하고 이용할 수 있다. 제3자 제공에서도 동의를 받지 않아도 가능한 경우
개인정보의 제3자 제공 부분이 개인정보 관련 이슈에서 가장 까다로운 이슈 중 하나다. 개인정보의 제3자 제공도 기본적으로는 회사(개인정보처리자)의 수집 및 이용과 유사하다. 다만 앞서 살펴본 법 제15조 제1항 제4호인 ‘고객과의 계약 체결이나 계약 이행을 위함’은 제3자 제공에서는 제외돼 정보주체의 동의를 별도로 받아야 한다.
그러나 개정법에서는 사람의 생명, 신체, 재산의 이익에 대해서 굉장히 위급한 상황이 발생하거나 공중 위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우에는 정보주체의 동의 없이 제3자에게 개인정보를 제공해도 된다는 부분으로 완화됐다.
예를 들어 렌터카 사업자가 아동 대상 범죄가 예상되는 급박한 상황에서 관계기관으로부터 구조를 위해 렌터카 고객(범죄자)의 이름, 주소 등 정보를 요청받으면 정보 주체인 범죄자의 동의 없이 알려줄 수 있게 됐다. 또한 재난 및 실종 등 국민의 생명, 신체에 대한 위험이 급박한 상황에서는 신속한 구조를 위해 정보주체 동의 없이 CCTV를 제공할 수도 있게 -됐다.
마무리. 서비스 이용 및 제공을 위해서는 이제 '동의' 없어도 가능
이번 개인정보호보법의 개정은 앞서가던 시대 흐름에 한발 더 다가간 내용으로 평가되고 있다. 실무 현실에 맞지 않는 불필요한 절차를 줄여주었으며 그동안 온라인 서비스를 특수 취급했던 괴리감을 해결했다. 이제 많은 IT회사와 스타트업도 온라인 서비스를 만들 때 복잡하고 번거로웠던 개인정보 수집 및 이용에 대한 동의 체크박스에 대한 부담이 낮아지게 됐다. 최철민 최앤리법률사무소 대표
△연세대 법과대학 졸업
△서울시립대 법학전문대학원 졸업
△공무원 연금공단 감사관
△창업진흥원 예비·초기창업패키지 법률멘토