당사자 간 서비스 이용계약에 필요한 개인정보는 동의 없이 처리 가능
동의 받을 때 ‘자유로운 의사 보장 등’ 동의 원칙 시행
[보안뉴스 김경애 기자] 지난해 9월, 개인정보보호법(이하 보호법) 개정으로 계약 이행 등이 필요한 경우, 정보주체의 동의 없이 개인정보를 수집·이용할 수 있게 됐다. 올해 9월 15일부터는 동의를 받아 개인정보를 수집·이용에 관한 보호법 시행령(이하 영) 규정(영 §17①)이 시행될 예정이다.
[이미지=gettyimagesbank]
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 개인정보를 수집·이용 시 동의 없이 가능하다는 점을 명확히 하고, 동의가 필요한 경우 필수동의 관행을 단계적으로 개선해 나갈 계획이라고 밝혔다. 또한 연말까지 ‘개인정보 처리 통합 안내서’를 통해 처리 단계별 준수해야 할 사항을 사례 중심으로 안내할 예정이다.
그동안 온라인 사업자는 1999년 정보통신망법 개정 이후 서비스 제공 시 정보주체 동의를 받아야 했다. 이러한 필수 동의 관행은 △기업 등이 서비스 제공계약에 필요해도 정보주체의 동의를 받아야만 하는 문제와 △동의만 받으면 개인정보 수집·이용에 대한 책임이 정보주체에게로 넘어가는 문제가 있었다. △또한, 공공·오프라인 부문에서도 2011년 개인정보보호법 제정 이후 계약 체결과 이행을 위해 ‘불가피한 경우’ 외에는 필수 동의 관행이 지속돼 왔다.
이에 2023년 개인정보보호법 개정을 통해 기업 등이 서비스 이용계약 과정에서 신뢰에 기반할 경우 별도의 동의 없이 개인정보를 이용할 수 있도록 했다. 동의가 꼭 필요한 경우에는 한정해 정보주체로부터 명시적인 동의를 받도록 개선했다.
[자료=개인정보보호위원회]
오는 15일부터 시행되는 개인정보보호법 시행령에서는 정보주체가 명확히 그 내용을 알고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 동의받는 방법에 관한 원칙을 명확히 규정했다.
동의를 받을 때 충족해야 하는 사항(시행령 제17조제1항)
△정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
△동의를 받으려는 내용이 구체적이고 명확할 것
△그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
△동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
개인정보 수집·이용시 동의 여부 및 방법 안내
① 서비스 이용계약 관련 개인정보 ⇨ 동의 없이 수집·이용
개인정보처리자는 서비스 이용 등 계약과 관련해 필요한 개인정보는 정보주체에게 동의를 요구할 필요가 없다. 이때 동의 없이 처리할 수 있는 필수적 개인정보라는 입증 책임은 개인정보처리자가 부담(법 §22③)하게 된다.
계약과 관련해 필요한 개인정보(동의 불필요)에 대해 필수동의를 받았어도 효과는 해당 내용을 고지한 것에 그치며, 개별 상황에 따라 보호법 상 ‘동의를 받는 방법’(법 §22 및 영 §17①)에서 정한 원칙에 저촉될 수 있어 개선할 필요가 있다.
[자료=개인정보보호위원회]
② 서비스 이용계약과 관련 없는 개인정보 ⇨ 동의원칙 준수
서비스 이용계약 이행 등과 관련이 없는 개인정보에 대해 수집·이용 동의를 받으려는 때에는 정보주체가 동의내용을 충분히 알 수 있도록 쉬운 문구 등을 사용해 알리고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 조치해야 한다.
서비스 이용계약 이행 등에 필요하지 않은 개인정보임에도 불구하고 특별한 사정 없이 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 없도록 제한하거나 동의내용을 명확하게 알리지 않은 경우에는 법 제15조의 적법요건을 충족하지 않게 될 수 있다는 점을 유의할 필요가 있다.
③ 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 ⇨ 분리 조치
만일 필수동의를 받아 온 동의내용에 계약 이행 등에 필요한 개인정보가 포함돼 있다면 해당 항목은 삭제하고, 그 외의 개인정보는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 영 제17조제1항에 부합하는 조치를 해야 한다.
더불어 정보주체가 개인정보 처리 상황을 알 수 있도록 개인정보 처리방침에 정보주체로부터 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보를 구분하여 공개하는 조치를 해야 한다.
④ 민감정보·고유식별정보의 경우 ⇨ 서비스에 불가피한 경우 필수동의
계약 이행이나 서비스 제공 특성상 정보주체의 민감정보 민감정보(법 §23) : 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보(유전자검사 등의 결과로 얻어진 유전정보, 범죄경력자료, 생체인식정보, 인종·민족에 관한 정보)나 고유식별정보(주민등록번호 제외) 고유식별정보(법 §24)는 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말한다.
이중 주민등록번호는 법 §24의2의 주민등록번호 법정주의에 따라 법률·대통령령 등의 구체적 규정이 있는 경우, 생명·신체·재산의 이익을 위해 명백히 필요하다고 인정되는 경우에만 처리가 가능한데, 처리가 불가피하게 필요한 경우에는 정보주체에게 동의내용을 충분히 알린 후 별도로 필수동의를 받아 처리해야 하고, 다만 법령에 규정이 있는 경우에는 동의 없이 처리할 수 있다.
개선 계획
개인정보위는 연말까지 현장의 혼선이 없도록 ‘개인정보 처리 통합 안내서’를 마련해 구체적인 상황별 사례를 안내할 예정이다. 안내서에는 개인정보보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획이다.
개인정보위 양청삼 개인정보정책국장은 “현장에서 개인정보를 수집·이용할 때 동의를 받아야 하는지, 동의가 필요한 구체적인 상황에서는 어떻게 조치해야 하는지에 대해 많은 관심을 갖고 있다는 것을 알고 있다”라면서, “필수동의는 20년 이상 지속되어 온 제도임을 고려해 산업계 등과 적극적으로 소통하면서, 적법한 개인정보 처리 사례를 지속 발굴해 설명회 등을 통해 안내하고 개편된 제도가 현장에 무리 없이 안착될 수 있도록 지속적으로 홍보 및 안내해 나갈 계획”이라고 밝혔다.
자주묻는 질문(FAQ)
Q. 현재 개인정보 수집·이용 동의를 받는 내용에 서비스 이용계약 이행 등에 필요한 것인지에 대한 분석 없이 필수동의를 받고 있는데, 향후에도 계속 유지해도 되는지?
서비스 이용계약을 이행하기 위해 필요한 개인정보는 정보주체와의 신뢰에 기반해 동의 없이 수집해 이용할 수 있으나, 계약 이행 등과 관련 없는 개인정보를 수집·이용하려는 경우에는 정보주체가 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 조치해야 한다.
서비스 제공 과정에서 정보주체의 자유로운 의사에 따른 동의 선택권(선택동의)을 부여하지 않을 경우 사안에 따라 법 제22조 또는 제15조 위반이 될 수 있다는 점에 유의해야 한다.
Q. 그 동안 서비스 이용계약 이행 등에 필요한 개인정보에 해당함에도 필수적으로 동의를 받아온 경우 어떻게 개선하면 되는지?
필수동의 내용에 계약 이행 등을 위해 필요한 개인정보가 포함된 경우, 해당 내용은 동의를 받을 필요가 없어 동의내용에서 제외한 후, 정보주체가 해당 내용을 쉽게 알 수 있도록 개인정보 처리방침에 동의를 받아 수집하는 개인정보 항목과 구분해 공개하는 조치가 필요하다.
다만, 현장에서 계약 이행 등에 필요한 개인정보에 대한 필수 동의가 오랫동안 유지되어 왔고, 정보주체도 이러한 관행에 익숙한 점을 고려해 계약 이행 등을 위해 필요한 개인정보에 대하여 정보주체에게 고지 및 안내하는 방안도 고려될 수 있다.
계약 이행 등에 필요한 개인정보는 종전에 관행적으로 필수동의를 받는 것에서 이제는 정보주체에게 ‘고지(안내)’하는 것으로 변경됐다.
Q. 민감정보 또는 고유식별정보의 경우 정보주체의 필수동의를 받아도 되는지?
계약 이행이나 서비스 제공 특성상 민감정보·고유식별정보(주민등록번호 제외)의 처리가 필요한 경우, 정보주체에게 동의 내용을 충분히 설명한 후에 별도로 필수 동의를 받아 해당 정보를 처리할 수 있다(법 §23, §24).
다만, 계약 이행이나 서비스 제공에 해당 정보가 반드시 필요하지 않은 경우에는 정보주체로부터 자유로운 의사에 따른 선택 동의를 별도로 받아 해당 정보를 처리할 수 있다.
Q. 법 제22조(동의를 받는 방법)에서는 개인정보 수집·이용 외에 ‘제3자 제공’할 때에도 구분해 각각 동의(별도 동의)를 받도록 규정하고 있는데, 이 경우에도 선택동의 원칙을 준수해야 하는지?
법 제18조에 따라 목적 외로 개인정보를 이용·제공하려는 때에는 동의사항을 구분해 각각 동의(별도 동의)를 받아야 하고, 이 경우 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 선택권을 부여해야 한다.
법 제17조에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제3자에게 제공하려는 때에는, 개인정보를 제공하지 않으면 정보주체와의 계약 이행이 곤란한 경우에는 관련 사실을 알리고 필수동의를 요구할 수 있다.
다만, 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 예측가능성 등을 고려해 개인정보를 추가적으로 제공할 수 있는 경우에는 동의 없이 제공 가능(영 제14조의2)하다.
자세한 사항은 개인정보 보호법 개정 안내서(2023년 12월, 개인정보위 누리집)를 참조하면 된다.
Q. 필수동의는 20년 이상 지속되어 온 제도로 단기간에 개선하기에는 시행착오에 따른 부담이 수반될 것으로 보이는데, 향후 개선을 위한 계획은?
현재 다양한 개인정보 동의 사례를 검토하고 있으며 연말까지 ‘개인정보 처리 통합 안내서’를 통해 처리 단계별 준수해야 할 사항을 사례 중심으로 안내할 예정이다.
안내서 마련과 함께 필수동의 관행을 개선하여 현장에서 안정적으로 정착할 수 있도록 지속적으로 홍보 및 안내해 나갈 예정이다.
[김경애 기자(boan3@boannews.com)]
동의 받을 때 ‘자유로운 의사 보장 등’ 동의 원칙 시행
[보안뉴스 김경애 기자] 지난해 9월, 개인정보보호법(이하 보호법) 개정으로 계약 이행 등이 필요한 경우, 정보주체의 동의 없이 개인정보를 수집·이용할 수 있게 됐다. 올해 9월 15일부터는 동의를 받아 개인정보를 수집·이용에 관한 보호법 시행령(이하 영) 규정(영 §17①)이 시행될 예정이다.
[이미지=gettyimagesbank]
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 개인정보를 수집·이용 시 동의 없이 가능하다는 점을 명확히 하고, 동의가 필요한 경우 필수동의 관행을 단계적으로 개선해 나갈 계획이라고 밝혔다. 또한 연말까지 ‘개인정보 처리 통합 안내서’를 통해 처리 단계별 준수해야 할 사항을 사례 중심으로 안내할 예정이다.
그동안 온라인 사업자는 1999년 정보통신망법 개정 이후 서비스 제공 시 정보주체 동의를 받아야 했다. 이러한 필수 동의 관행은 △기업 등이 서비스 제공계약에 필요해도 정보주체의 동의를 받아야만 하는 문제와 △동의만 받으면 개인정보 수집·이용에 대한 책임이 정보주체에게로 넘어가는 문제가 있었다. △또한, 공공·오프라인 부문에서도 2011년 개인정보보호법 제정 이후 계약 체결과 이행을 위해 ‘불가피한 경우’ 외에는 필수 동의 관행이 지속돼 왔다.
이에 2023년 개인정보보호법 개정을 통해 기업 등이 서비스 이용계약 과정에서 신뢰에 기반할 경우 별도의 동의 없이 개인정보를 이용할 수 있도록 했다. 동의가 꼭 필요한 경우에는 한정해 정보주체로부터 명시적인 동의를 받도록 개선했다.
[자료=개인정보보호위원회]
오는 15일부터 시행되는 개인정보보호법 시행령에서는 정보주체가 명확히 그 내용을 알고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 동의받는 방법에 관한 원칙을 명확히 규정했다.
동의를 받을 때 충족해야 하는 사항(시행령 제17조제1항)
△정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
△동의를 받으려는 내용이 구체적이고 명확할 것
△그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
△동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
개인정보 수집·이용시 동의 여부 및 방법 안내
① 서비스 이용계약 관련 개인정보 ⇨ 동의 없이 수집·이용
개인정보처리자는 서비스 이용 등 계약과 관련해 필요한 개인정보는 정보주체에게 동의를 요구할 필요가 없다. 이때 동의 없이 처리할 수 있는 필수적 개인정보라는 입증 책임은 개인정보처리자가 부담(법 §22③)하게 된다.
계약과 관련해 필요한 개인정보(동의 불필요)에 대해 필수동의를 받았어도 효과는 해당 내용을 고지한 것에 그치며, 개별 상황에 따라 보호법 상 ‘동의를 받는 방법’(법 §22 및 영 §17①)에서 정한 원칙에 저촉될 수 있어 개선할 필요가 있다.
[자료=개인정보보호위원회]
② 서비스 이용계약과 관련 없는 개인정보 ⇨ 동의원칙 준수
서비스 이용계약 이행 등과 관련이 없는 개인정보에 대해 수집·이용 동의를 받으려는 때에는 정보주체가 동의내용을 충분히 알 수 있도록 쉬운 문구 등을 사용해 알리고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 조치해야 한다.
서비스 이용계약 이행 등에 필요하지 않은 개인정보임에도 불구하고 특별한 사정 없이 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 없도록 제한하거나 동의내용을 명확하게 알리지 않은 경우에는 법 제15조의 적법요건을 충족하지 않게 될 수 있다는 점을 유의할 필요가 있다.
③ 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 ⇨ 분리 조치
만일 필수동의를 받아 온 동의내용에 계약 이행 등에 필요한 개인정보가 포함돼 있다면 해당 항목은 삭제하고, 그 외의 개인정보는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 영 제17조제1항에 부합하는 조치를 해야 한다.
더불어 정보주체가 개인정보 처리 상황을 알 수 있도록 개인정보 처리방침에 정보주체로부터 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보를 구분하여 공개하는 조치를 해야 한다.
④ 민감정보·고유식별정보의 경우 ⇨ 서비스에 불가피한 경우 필수동의
계약 이행이나 서비스 제공 특성상 정보주체의 민감정보 민감정보(법 §23) : 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보(유전자검사 등의 결과로 얻어진 유전정보, 범죄경력자료, 생체인식정보, 인종·민족에 관한 정보)나 고유식별정보(주민등록번호 제외) 고유식별정보(법 §24)는 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말한다.
이중 주민등록번호는 법 §24의2의 주민등록번호 법정주의에 따라 법률·대통령령 등의 구체적 규정이 있는 경우, 생명·신체·재산의 이익을 위해 명백히 필요하다고 인정되는 경우에만 처리가 가능한데, 처리가 불가피하게 필요한 경우에는 정보주체에게 동의내용을 충분히 알린 후 별도로 필수동의를 받아 처리해야 하고, 다만 법령에 규정이 있는 경우에는 동의 없이 처리할 수 있다.
개선 계획
개인정보위는 연말까지 현장의 혼선이 없도록 ‘개인정보 처리 통합 안내서’를 마련해 구체적인 상황별 사례를 안내할 예정이다. 안내서에는 개인정보보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획이다.
개인정보위 양청삼 개인정보정책국장은 “현장에서 개인정보를 수집·이용할 때 동의를 받아야 하는지, 동의가 필요한 구체적인 상황에서는 어떻게 조치해야 하는지에 대해 많은 관심을 갖고 있다는 것을 알고 있다”라면서, “필수동의는 20년 이상 지속되어 온 제도임을 고려해 산업계 등과 적극적으로 소통하면서, 적법한 개인정보 처리 사례를 지속 발굴해 설명회 등을 통해 안내하고 개편된 제도가 현장에 무리 없이 안착될 수 있도록 지속적으로 홍보 및 안내해 나갈 계획”이라고 밝혔다.
자주묻는 질문(FAQ)
Q. 현재 개인정보 수집·이용 동의를 받는 내용에 서비스 이용계약 이행 등에 필요한 것인지에 대한 분석 없이 필수동의를 받고 있는데, 향후에도 계속 유지해도 되는지?
서비스 이용계약을 이행하기 위해 필요한 개인정보는 정보주체와의 신뢰에 기반해 동의 없이 수집해 이용할 수 있으나, 계약 이행 등과 관련 없는 개인정보를 수집·이용하려는 경우에는 정보주체가 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 조치해야 한다.
서비스 제공 과정에서 정보주체의 자유로운 의사에 따른 동의 선택권(선택동의)을 부여하지 않을 경우 사안에 따라 법 제22조 또는 제15조 위반이 될 수 있다는 점에 유의해야 한다.
Q. 그 동안 서비스 이용계약 이행 등에 필요한 개인정보에 해당함에도 필수적으로 동의를 받아온 경우 어떻게 개선하면 되는지?
필수동의 내용에 계약 이행 등을 위해 필요한 개인정보가 포함된 경우, 해당 내용은 동의를 받을 필요가 없어 동의내용에서 제외한 후, 정보주체가 해당 내용을 쉽게 알 수 있도록 개인정보 처리방침에 동의를 받아 수집하는 개인정보 항목과 구분해 공개하는 조치가 필요하다.
다만, 현장에서 계약 이행 등에 필요한 개인정보에 대한 필수 동의가 오랫동안 유지되어 왔고, 정보주체도 이러한 관행에 익숙한 점을 고려해 계약 이행 등을 위해 필요한 개인정보에 대하여 정보주체에게 고지 및 안내하는 방안도 고려될 수 있다.
계약 이행 등에 필요한 개인정보는 종전에 관행적으로 필수동의를 받는 것에서 이제는 정보주체에게 ‘고지(안내)’하는 것으로 변경됐다.
Q. 민감정보 또는 고유식별정보의 경우 정보주체의 필수동의를 받아도 되는지?
계약 이행이나 서비스 제공 특성상 민감정보·고유식별정보(주민등록번호 제외)의 처리가 필요한 경우, 정보주체에게 동의 내용을 충분히 설명한 후에 별도로 필수 동의를 받아 해당 정보를 처리할 수 있다(법 §23, §24).
다만, 계약 이행이나 서비스 제공에 해당 정보가 반드시 필요하지 않은 경우에는 정보주체로부터 자유로운 의사에 따른 선택 동의를 별도로 받아 해당 정보를 처리할 수 있다.
Q. 법 제22조(동의를 받는 방법)에서는 개인정보 수집·이용 외에 ‘제3자 제공’할 때에도 구분해 각각 동의(별도 동의)를 받도록 규정하고 있는데, 이 경우에도 선택동의 원칙을 준수해야 하는지?
법 제18조에 따라 목적 외로 개인정보를 이용·제공하려는 때에는 동의사항을 구분해 각각 동의(별도 동의)를 받아야 하고, 이 경우 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 선택권을 부여해야 한다.
법 제17조에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제3자에게 제공하려는 때에는, 개인정보를 제공하지 않으면 정보주체와의 계약 이행이 곤란한 경우에는 관련 사실을 알리고 필수동의를 요구할 수 있다.
다만, 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 예측가능성 등을 고려해 개인정보를 추가적으로 제공할 수 있는 경우에는 동의 없이 제공 가능(영 제14조의2)하다.
자세한 사항은 개인정보 보호법 개정 안내서(2023년 12월, 개인정보위 누리집)를 참조하면 된다.
Q. 필수동의는 20년 이상 지속되어 온 제도로 단기간에 개선하기에는 시행착오에 따른 부담이 수반될 것으로 보이는데, 향후 개선을 위한 계획은?
현재 다양한 개인정보 동의 사례를 검토하고 있으며 연말까지 ‘개인정보 처리 통합 안내서’를 통해 처리 단계별 준수해야 할 사항을 사례 중심으로 안내할 예정이다.
안내서 마련과 함께 필수동의 관행을 개선하여 현장에서 안정적으로 정착할 수 있도록 지속적으로 홍보 및 안내해 나갈 예정이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
