개인정보 필수 동의 관행 개선 - 필수정보는 동의없이 처리가능
홈페이지 가입 등 서비스 이용계약과 관련하여 개인정보를 수집ㆍ이용할 때에는 정보주체 동의없이 가능
□ 개인정보 '동의' 개선 개요
당사자 간 서비스 이용 계약시 필수적으로 수집해야되는 개인정보는 정보주체 '동의'없이 처리가 가능하도록 법령 개정
□ 개인정보 동의 관행 개선 배경
1. `99년 정보통신망법 개정 이후 온라인 사업자는 서비스 제공 시 필수적으로 동의를 받아야 했고, 정보주체도 동의를 하지 않으면 서비스를 이용할 수 없는 관행이 계속되어 왔다. 또한, 공공부문과 오프라인 부문에서도 ’11년 개인정보보호법 제정 이후 계약 체결 및 이행을 위해 “불가피한 경우” 외에는 필수적으로 동의를 받는 관행이 오랜 기간동안 지속되어 왔다.
2. 이러한 관행으로 인해, 기업 등은 서비스 제공계약에 필요하더라도 정보주체의 동의를 받아야만 하는 문제와 함께 동의만 받으면 개인정보 수집ㆍ이용에 대한 책임이 정보주체에게로 넘어가는 문제가 있었다.
3. 이에, `23년 개인정보보호법 개정을 통해 기업 등이 서비스 이용계약 과정에서 신뢰에 기반하여 별도의 동의 없이 개인정보를 이용할 수 있도록 하고, 동의가 꼭 필요한 경우에 한정하여 정보주체로부터 명시적인 동의를 받도록 개선한 바 있다.
4. 당사자 간 계약에 수반되는 개인정보에 대한 형식적 필수동의는 없애는 대신 동의가 필요한 영역에서는 알고 동의하는 문화를 정착시켜, 정보주체와 기업 모두에게 도움될 수 있는 환경을 단계적으로 유도해 나가기 위한 것이다.
5. 이와 함께 올해(`24년) 9월 15일부터 시행되는 개인정보보호법 시행령에서는 정보주체가 명확히 그 내용을 알고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 동의받는 방법에 관한 원칙을 명확히 규정하였다.
□ 관련법령
1. 개인정보 보호법 시행령(시행 : 2024. 09. 15)
제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등)
① 개인정보처리자는 법 제15조제3항 또는 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하려는 경우에는 다음 각 호의 사항을 고려해야 한다.
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
□ 개인정보 수집/이용 시 동의 방법 안내
1. 서비스 이용계약 관련 개인정보 수집 → 동의없이 수집/이용 가능
- 개인정보처리자는 서비스 이용 등 계약과 관련하여 필요한 개인정보는 정보주체에게 동의를 요구할 필요가 없다. 이때 동의 없이 처리할 수 있는 필수적 개인정보라는 입증책임은 개인정보처리자가 부담(법 §22③)하게 된다.
- 계약 관련하여 필요한 개인정보(동의 불필요)에 대해 필수동의를 받았다고 하더라도 그 효과는 해당 내용을 고지한 것에 그치게 되며, 개별 상황에 따라서는 보호법 상 “동의를 받는 법”(법 §22 및 영 §17①)에서 정한 원칙에 저촉될 수 있으므로 개선할 필요가 있다.
2. 마케팅 등 서비스 이용 계약과 관련없는 개인정보 수집 → 동의없이 수집/이용 불가 (별도 동의 필요)
- 서비스 이용계약 이행 등과 관련이 없는 개인정보에 대하여 수집·이용 동의를 받으려는 때에는 정보주체가 동의내용을 충분히 알 수 있도록 쉬운 문구 등을 사용하여 알리고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 하는 등의 조치를 해야 한다.
- 서비스 이용계약 이행 등에 필요하지 않은 개인정보임에도 불구하고 특별한 사정 없이 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 없도록 제한하거나, 동의내용을 명확하게 알리지 않은 경우에는 법 제15조의 적법요건을 충족하지 않게 될 수 있다는 점을 유의할 필요가 있다.
3. 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 → 동의없이 수집/이용 불가 (필수/선택 개인정보 분리 후 선택정보는 별도 동의)
- 만일 필수동의를 받아 온 동의내용에 계약 이행 등에 필요한 개인정보가 포함되어 있다면 해당 항목은 삭제하고, 그 외의 개인정보는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 영 제17조제1항에 부합하는 조치를 해야 한다.
- 더불어, 정보주체가 개인정보 처리 상황을 알 수 있도록 개인정보 처리방침에 정보주체로부터 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보를 구분하여 공개하는 조치를 해야 한다.
4. 민감정보ㆍ고유식별정보의 경우 → 동의없이 수집/이용 불가 (서비스에 불가피한 경우 필수동의)
- 계약 이행이나 서비스 제공 특성* 상 정보주체의 민감정보나 고유식별정보(주민등록번호 제외)의 처리가 불가피하게 필요한 경우에는 정보주체에게 동의 내용을 충분히 알린 후 별도로 필수동의를 받아 처리하여야 하고, 다만 법령에 규정이 있는 경우에는 동의 없이 처리할 수 있다.
※ 서비스의 특성 상 필요하지 않은 경우에는 자유로운 의사에 따라 별도 동의 필요
□ '신용정보보법' 적용을 받는 금융회사 대상 여부
1. 금융회사가 고객의 개인정보를 수집할 때는, 개인정보보호법의 일반 원칙을 따르면서, 신용정보와 관련된 사항은 신용정보보호법을 우선적으로 적용해야 함.
2. 개인정보보호법에서 동의를 면제할 수 있다고 하더라도, 신용정보보호법에서 동의를 요구한다면, 해당 동의를 반드시 받아야 함.
3. 결론적으로, 금융 분야에서는 신용정보보호법이 특별법의 지위를 가지므로, 신용정보와 관련된 상황에서는 신용정보보호법의 규정이 우선 적용됩니다.
※ 특별법 우선의 원칙
- 일반적인 상황을 규율하는 법률(일반법)과 특정 상황을 규율하는 법률(특별법)이 충돌할 때는 특별법이 우선 적용됩니다.
- 신용정보보호법은 금융 분야의 신용정보 처리에 대한 특별법이며, 개인정보보호법은 전반적인 개인정보 보호에 대한 일반법으로 볼 수 있습니다. 따라서 금융 거래나 신용정보 관련 사항에서는 신용정보보호법이 우선적으로 적용됩니다.
□ 개선계획(개인정보보호위원회)
개인정보위원회는 연말까지 현장의 혼선이 없도록 「개인정보 처리 통합 안내서」를 마련하여 구체적인 상황별 사례를 안내할 예정이다. 안내서에는 개인정보 보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획 임.
□ FAQ(질문/답변)
질문1. 현재 개인정보 수집ㆍ이용 동의를 받는 내용에 서비스 이용계약 이행 등에 필요한 것인지에 대한 분석 없이 필수동의를 받고 있는데, 향후에도 계속 유지해도 되는지?
- 서비스 이용계약을 이행하기 위해 필요한 개인정보는 정보주체와의 신뢰에 기반하여 동의 없이 수집하여 이용할 수 있으나, 계약 이행 등과 관련 없는 개인정보를 수집ㆍ이용하려는 경우에는 정보주체가 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 조치해야 함
- 서비스 제공 과정에서 정보주체의 자유로운 의사에 따른 동의 선택권(선택동의)을 부여하지 않을 경우 사안에 따라 법 제22조 또는 제15조 위반이 될 수 있다는 점에 유의해야 함.
질문2. 그 동안 서비스 이용계약 이행 등에 필요한 개인정보에 해당함에도 필수적으로 동의를 받아 온 경우 어떻게 개선하면 되는지?
- 필수동의 내용에 계약 이행 등을 위해 필요한 개인정보가 포함된 경우, 해당 내용은 동의를 받을 필요가 없으므로 동의내용에서 제외한 후, 정보주체가 해당 내용을 쉽게 알 수 있도록 개인정보 처리방침에 동의를 받아 수집하는 개인정보 항목과 구분하여 공개하는 조치가 필요 함
- 다만, 현장에서 계약 이행 등에 필요한 개인정보에 대한 필수 동의가 오랫동안 유지되어 왔고, 정보주체도 이러한 관행에 익숙한 점을 고려하여, 계약 이행 등을 위해 필요한 개인정보에 대하여 정보주체에게 고지 및 안내하는 방안도 고려될 수 있음
※ 계약 이행 등에 필요한 개인정보 : 종전 필수동의 관행 → 정보주체에게 ‘고지(안내)’ 가능
질문3. 민감정보 또는 고유식별정보의 경우 정보주체의 필수동의를 받아도 되는지?
- 계약 이행이나 서비스 제공 특성 상 민감정보 또는 고유식별정보(주민등록번호 제외)의 처리가 필요한 경우, 정보주체에게 동의 내용을 충분히 설명한 후에 별도로 필수 동의를 받아 해당 정보를 처리할 수 있음(법 §23, §24)
-
질문4. 법 제22조(동의를 받는 방법)에서는 개인정보 수집ㆍ이용 외에 “제3자 제공”할 때에도 구분하여 각각 동의(별도 동의)를 받도록 규정하고 있는데, 이 경우에도 선택동의 원칙을 준수해야 하는지?
- 법 제18조에 따라 목적 외로 개인정보를 이용ㆍ제공하려는 때에는 동의사항을 구분하여 각각 동의(별도 동의)를 받아야 하고, 이 경우 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 선택권을 부여해야 함
- 법 제17조에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제3자에게 제공하려는 때에는, 개인정보를 제공하지 않으면 정보주체와의 계약 이행이 곤란한 경우에는 관련 사실을 알리고 필수동의를 요구할 수 있음
※ 다만, 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 예측가능성 등을 고려하여 개인정보를 추가적으로 제공할 수 있는 경우에는 동의 없이 제공 가능(영 제14조의2)
☞ 자세한 사항은 개인정보 보호법 개정 안내서 (’23.12월, 개인정보위 누리집) 참조
질문5. 필수동의는 20년 이상 지속되어 온 제도로 단기간에 개선하기에는 시행착오에 따른 부담이 수반될 것으로 보이는데, 향후 개선을 위한 계획은?
- 현재 다양한 개인정보 동의 사례를 검토하고 있으며 연말까지 “개인정보 처리 통합 안내서”를 통해 처리 단계별 준수해야 할 사항을 사례 중심으로 안내할 예정임
- 안내서 마련과 함께 필수동의 관행을 개선하여 현장에서 안정적으로 정착할 수 있도록 지속적으로 홍보 및 안내해 나갈 예정임
※ 민감정보 : 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보(유전자검사 등의 결과로 욷어진 유전정보, 범죄경력자료, 생체인식정보, 인종ㆍ민족에 관한 정보)
※ 고유식별정보는 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말하고, 이 중 주민등록번호는 법 §24의2의 주민등록번호 법정주의에 따라 법률ㆍ대통령령 등의 구체적 규정이 있는 경우, 생명ㆍ신체ㆍ재산의 이익을 위하여 명백히 필요하다고 인정되는 경우에만 처리 가능함
이상. 끝.