개인정보보호법, 신용정보법, 위치정보법; 개인정보 제공과 위탁의 차이
Intro
이 글에서는 "수집할꺼면 동의받고 해라" 원칙과 관련하여, 구체적으로 어떤 경우(when), 어떻게(how) 동의 받아야 하는지에 대해서 다뤄보겠습니다.
체크박스에 향한 개보법의 집착
우리나라 법령은 정보주체의 "진정한" 동의를 받는 것에 매우 집착하고 있습니다. 걔가 진짜 허락한거야? 걔가 허락해줄 때 그 용도로 쓰는거 진짜 알 수 있었어? 걔가 허락해줄 때 그 정보가 거기까지 흘러갈 것에 대해서도 진짜 알 수 있었어? 끊임없이 이런 질문을 던져서 확인하고 있습니다.
그래서 동의를 받을 때 형식적인 부분에 매우 주의하실 필요가 있습니다. 예를 들면 개인정보보호법은 동의 받을 때 고지할 항목들을 정해놓고 있으므로, 고지항목 중 일부를 빼놓고 동의를 받으면 위법이 될 수 있습니다. 고지항목 중에서도 중요한 사항에 대해서는 법령이 눈에 띄게(폰트 크게 굵게 밑줄 쫙 그어서) 표시하라고 요구하고 있으므로, 이러한 표시 방법을 준수하지 않으면 위법이 될 수 있습니다.
이 사건 경품행사는 다이아몬드 반지 등을 경품으로 내걸었고, … 응고권 뒷면과 인터넷 응모 화면에는 … ‘이용목적’은 ‘보험상품 등의 안내를 위한 전화 등 마케팅자료로 활용됩니다.’라는 내용 등의 법정고지사항이 약 1mm 크기의 글씨로 기재되어 있다.
…
응모권에 기재된 동의 관련 사항은 약 1mm 크기의 글씨로 기재되어 있어 소비자의 입장에서 보아 그 내용을 읽기가 쉽지 않다.
…
이러한 조치는 개인정보처리자가 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 하여야 한다는
개인정보 보호법」 상의 의무를 위반한 것이다
(서울중앙지방법원 2018. 8. 16.선고 2017노1296판결)
동의 체크박스와 동의서를 만드는 방법에 대한 규제가 워낙 복잡하고 자세하다보니 개인정보보호위원회도 시민의 이해를 돕기 위한 여러 안내서를 내고 있습니다. 개인정보보호위원회가 최근(2022년 3월) '알기쉬운 개인정보 처리 동의 안내서(링크)'를 발간하였으니 이 내용을 참고하시면 될 것 같습니다.
언제 동의를 받아야 할까? 언제 동의를 받을 필요가 없을까?
개인정보의 처리는 동의의 범위 안에서만 이루어져야 합니다. 동의의 원을 벗어나서 개인정보를 처리하면 위법이 되기 쉽상입니다. 동의의 원을 벗어나서 개인정보를 처리하려면 새로운 동의를 취득해야 합니다.
그러면 그 동의의 울타리의 범위는 어떻게 알 수 있는걸까요? 여기에선 동의가 언제 필요한지에 대해 큰 그림을 그려보겠습니다.
이전 글에서 개인정보를 남의 아이라고 생각해보라고 말씀드렸던 걸 기억하시나요? 다른 집 애를 데려다가 일을 시킨다면 어떨 때 부모의 동의를 받아야 할까요?
(1) 일단 데려올 때 동의를 받아야 합니다. 데려오면서 어떤 일을 시킬 것인지 언제 다시 집에 데려다 줄 것인지 알려줘야 합니다. (2) 종이 접기를 시키겠다고 해놓고 칼을 쥐어주고 고기를 썰라고 하면 안됩니다. 활용 목적을 고기 썰기로 바꾸려면 새로 부모의 동의를 받아야 합니다. (3) 자기 가게에 데리고 있겠다고 해놓고 남의 정육점이나 중국집에 파견근무를 보내면 안됩니다. 정육점 등에 파견근무를 보내려면 새로 부모의 동의를 받아야 합니다.
정보주체가 당연히 예측할 수 있었던 범위 내인가?
위 비유에서 어느 정도 감을 잡은 분도 계시겠지만, 동의의 범위는 거칠게 말해 "내가 동의할 당시에 알았던 혹은 당연히 예측할 수 있었던 범위"와 유사하게 돌아갑니다.
제가 "플리마켓" 앱을 새로 만들었다고 가정하겠습니다. 지역별로 플리마켓을 열 수 있도록 도와주는.. 방금 아이디어를 급조한 앱입니다.
이 앱을 개발하기 위해 여러분의 동의를 받고 여러분의 이름, 핸드폰번호, 주소지를 수집했습니다. 동의를 받을 당시 '플리마켓 진행'을 수집 및 이용 목적으로, '플리마켓 회원가입 탈퇴 시 지체없이 삭제'를 보유기간으로 안내했습니다. *참고로 개인정보 수집 동의 취득 시 개인정보 처리자는 개인정보 1) 항목, 2) 목적, 3) 보유기간 등을 고지해야 합니다.
여러분의 개인정보는 현재 제 회사의 서버안에 저장되어 있습니다.
제 직원이 동작구 플리마켓을 준비하기 위해 회사 서버에 접속해서 동작구 거주 회원분의 핸드폰 번호를 열람했습니다. 이 때 동의를 받아야 할까요? 요즘 직원 없는 회사는 거의 보기 힘들죠. 거의 모든 업무가 직원의 손에서 이루어집니다. 직원(이른바 '개인정보취급자')에게까지 흘러가는 것은 당연히 예측할 수 있으므로, 이에 대해서 새삼 동의 받을 필요는 없습니다. 다만 개인정보취급자가 개인정보를 취급할 때 유출되지 않도록 몇 가지 안전 규칙을 교육시키고 준수하도록 할 필요는 있습니다.
개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”)에 대하여 적절한 관리ㆍ감독을 행하여야 한다
(개인정보보호법 제28조 제1항)
약간 더 가보겠습니다. 제 회사가 발전해서 이제 제 직원만으로 고객관리를 하기 힘든 지경에 이르렀습니다. 문의가 많다보니 콜센터와 계약을 체결해서 콜센터가 고객 문의를 처리하도록 했습니다. 콜센터가 회사 서버에 접속해서 문의한 회원분의 핸드폰 번호를 열람했습니다. 이 때 동의를 받아야 할까요?
개인정보를 수집한 저의 이익을 위해 저의 일을 대신 해주는 자라면, 저의 직원의 경우와 다르게 취급할 필요성이 별로 없습니다. 현대사회에선 한 사람이 처음부터 끝까지 모든 업무를 직접 하는 경우가 오히려 드물고 필요에 따라 다른 사람에게 일부 업무를 위탁하는 경우가 대부분입니다.
따라서 콜센터(이른바 '개인정보 처리 업무를 위탁받은 수탁자')에게까지 흘러가는 것은 당연히 예측할 수 있으므로, 이에 대해서 새삼 동의 받을 필요는 없습니다. 다만 개인정보 수탁자가 개인정보를 취급하는 과정에서 유출되지 않도록 수탁자와 개인정보처리에 관한 계약을 체결해둘 필요는 있습니다(개인정보 보호법 제26조, 이 때 체결되는 계약서의 표준 양식은 링크를 참조).
개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우
위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항, 그 밖에 대통령령이 정한 사항을 포함한 문서에 의하여야 한다
(개인정보보호법 제26조 제1항)
조금 더 가볼까요? 제 회사가 발전해서 이제 10만 명 이상의 고객 데이터 베이스를 가지게 되었습니다. 사업제휴를 해보자는 군침도는 제안이 메일함에 빗발칩니다. 예를 들면 어떤 친환경 상품 판매사가 플리마켓에 방문하는 사람들은 환경에 관심도 많으니 제 데이터 베이스 고객을 대상으로 함께 친환경 상품을 팔아보자고 합니다. 이익은 5:5로 나누기로 했습니다. 이 때 동의를 받아야 할까요? 다른 사람의 사업을 위한 제공 같기도 하고, 그냥 제 기존 사업의 연장선인 위탁 같기도 합니다.
이 때 제공과 위탁을 구분하는 기준은 "제공받는 사람만의 독자적인 이익"이 있는지 입니다. 즉 정보를 이전해주는 자의 이익을 위해서만 정보가 처리된다면 그 이전은 위탁입니다. 반면 정보를 이전받은 자의 이익을 위해서도 정보가 처리된다면 그 이전은 제공입니다.
정보주체는 동의 받은 사람의 이익을 예상하고 동의한 것이지, 생전 누군지 알지도 못하는 제3자의 이익을 예상하고 동의한 것이 아닙니다. 따라서 제공받는 사람만의 독자적인 이익이 있다면, 그것은 정보주체의 예상범위를 벗어난 이용이므로, 정보주체로부터 해당 제공에 관한 동의를 받아야 합니다.
위 친환경 상품판매의 경우, 이익을 5:5로 나누기로 했으니 친환경 판매 상품사에 당연히 이익이 인정될 것입니다. 따라서 제가 위 제휴사에게 고객 데이터베이스에 저장된 고객의 개인정보를 전송하려면 그 전에 먼저 각 고객에게 제공에 대해 동의를 받아야 합니다.
개인정보처리자는 정보주체의 동의를 받은 경우 정보주체의 개인정보를 제3자에게 제공할 수 있다(개인정보보호법 제17조 제1항 제1호).
개인정보의 '제공'은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우이고,
개인정보의 '위탁'은 본래의 개인정보 수입·이용 목적과 관련된 위탁자 본인의 업무처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다.
개인정보 '위탁'의 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조에서 정한 '제3자'에 해당하지 않는다.
(대법원 2017. 4. 7. 선고 2016도13263 판결 참조).
적용
1. 프로젝트가 수집한 개인정보가 혹시 다른 업체의 서버에 전송되고 있진 않은지 체크해보세요
2. 전송되고 있다면, 해당 전송이 1) 위탁인지 아니면 2) 제공인지 판단해보세요
3. 제공이라면, 그에 대한 동의를 받고 있는지 체크해보세요