개인정보 필수동의 관행 개선한다... 9월 15일부터 보호법 시행령 개정안 시행

2024-09-13 13:27
  • 카카오톡
  • 네이버 블로그
  • url
당사자 간 서비스 이용계약에 필요한 개인정보는 동의 없이 처리 가능
동의 받을 때 ‘자유로운 의사 보장 등’ 동의 원칙 시행


[보안뉴스 김경애 기자] 지난해 9월, 개인정보보호법(이하 보호법) 개정으로 계약 이행 등이 필요한 경우, 정보주체의 동의 없이 개인정보를 수집·이용할 수 있게 됐다. 올해 9월 15일부터는 동의를 받아 개인정보를 수집·이용에 관한 보호법 시행령(이하 영) 규정(영 §17①)이 시행될 예정이다.


[이미지=gettyimagesbank]

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 개인정보를 수집·이용 시 동의 없이 가능하다는 점을 명확히 하고, 동의가 필요한 경우 필수동의 관행을 단계적으로 개선해 나갈 계획이라고 밝혔다. 또한 연말까지 ‘개인정보 처리 통합 안내서’를 통해 처리 단계별 준수해야 할 사항을 사례 중심으로 안내할 예정이다.

그동안 온라인 사업자는 1999년 정보통신망법 개정 이후 서비스 제공 시 정보주체 동의를 받아야 했다. 이러한 필수 동의 관행은 △기업 등이 서비스 제공계약에 필요해도 정보주체의 동의를 받아야만 하는 문제와 △동의만 받으면 개인정보 수집·이용에 대한 책임이 정보주체에게로 넘어가는 문제가 있었다. △또한, 공공·오프라인 부문에서도 2011년 개인정보보호법 제정 이후 계약 체결과 이행을 위해 ‘불가피한 경우’ 외에는 필수 동의 관행이 지속돼 왔다.

이에 2023년 개인정보보호법 개정을 통해 기업 등이 서비스 이용계약 과정에서 신뢰에 기반할 경우 별도의 동의 없이 개인정보를 이용할 수 있도록 했다. 동의가 꼭 필요한 경우에는 한정해 정보주체로부터 명시적인 동의를 받도록 개선했다.


[자료=개인정보보호위원회]

오는 15일부터 시행되는 개인정보보호법 시행령에서는 정보주체가 명확히 그 내용을 알고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 동의받는 방법에 관한 원칙을 명확히 규정했다.

동의를 받을 때 충족해야 하는 사항(시행령 제17조제1항)
△정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
△동의를 받으려는 내용이 구체적이고 명확할 것
△그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
△동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

개인정보 수집·이용시 동의 여부 및 방법 안내
① 서비스 이용계약 관련 개인정보 ⇨ 동의 없이 수집·이용

개인정보처리자는 서비스 이용 등 계약과 관련해 필요한 개인정보는 정보주체에게 동의를 요구할 필요가 없다. 이때 동의 없이 처리할 수 있는 필수적 개인정보라는 입증 책임은 개인정보처리자가 부담(법 §22③)하게 된다.

계약과 관련해 필요한 개인정보(동의 불필요)에 대해 필수동의를 받았어도 효과는 해당 내용을 고지한 것에 그치며, 개별 상황에 따라 보호법 상 ‘동의를 받는 방법’(법 §22 및 영 §17①)에서 정한 원칙에 저촉될 수 있어 개선할 필요가 있다.


[자료=개인정보보호위원회]

② 서비스 이용계약과 관련 없는 개인정보 ⇨ 동의원칙 준수
서비스 이용계약 이행 등과 관련이 없는 개인정보에 대해 수집·이용 동의를 받으려는 때에는 정보주체가 동의내용을 충분히 알 수 있도록 쉬운 문구 등을 사용해 알리고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 조치해야 한다.

서비스 이용계약 이행 등에 필요하지 않은 개인정보임에도 불구하고 특별한 사정 없이 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 없도록 제한하거나 동의내용을 명확하게 알리지 않은 경우에는 법 제15조의 적법요건을 충족하지 않게 될 수 있다는 점을 유의할 필요가 있다.

③ 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 ⇨ 분리 조치
만일 필수동의를 받아 온 동의내용에 계약 이행 등에 필요한 개인정보가 포함돼 있다면 해당 항목은 삭제하고, 그 외의 개인정보는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 영 제17조제1항에 부합하는 조치를 해야 한다.

더불어 정보주체가 개인정보 처리 상황을 알 수 있도록 개인정보 처리방침에 정보주체로부터 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보를 구분하여 공개하는 조치를 해야 한다.

④ 민감정보·고유식별정보의 경우 ⇨ 서비스에 불가피한 경우 필수동의
계약 이행이나 서비스 제공 특성상 정보주체의 민감정보 민감정보(법 §23) : 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보(유전자검사 등의 결과로 얻어진 유전정보, 범죄경력자료, 생체인식정보, 인종·민족에 관한 정보)나 고유식별정보(주민등록번호 제외) 고유식별정보(법 §24)는 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말한다.

이중 주민등록번호는 법 §24의2의 주민등록번호 법정주의에 따라 법률·대통령령 등의 구체적 규정이 있는 경우, 생명·신체·재산의 이익을 위해 명백히 필요하다고 인정되는 경우에만 처리가 가능한데, 처리가 불가피하게 필요한 경우에는 정보주체에게 동의내용을 충분히 알린 후 별도로 필수동의를 받아 처리해야 하고, 다만 법령에 규정이 있는 경우에는 동의 없이 처리할 수 있다.

개선 계획
개인정보위는 연말까지 현장의 혼선이 없도록 ‘개인정보 처리 통합 안내서’를 마련해 구체적인 상황별 사례를 안내할 예정이다. 안내서에는 개인정보보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획이다.

개인정보위 양청삼 개인정보정책국장은 “현장에서 개인정보를 수집·이용할 때 동의를 받아야 하는지, 동의가 필요한 구체적인 상황에서는 어떻게 조치해야 하는지에 대해 많은 관심을 갖고 있다는 것을 알고 있다”라면서, “필수동의는 20년 이상 지속되어 온 제도임을 고려해 산업계 등과 적극적으로 소통하면서, 적법한 개인정보 처리 사례를 지속 발굴해 설명회 등을 통해 안내하고 개편된 제도가 현장에 무리 없이 안착될 수 있도록 지속적으로 홍보 및 안내해 나갈 계획”이라고 밝혔다.

자주묻는 질문(FAQ)
Q. 현재 개인정보 수집·이용 동의를 받는 내용에 서비스 이용계약 이행 등에 필요한 것인지에 대한 분석 없이 필수동의를 받고 있는데, 향후에도 계속 유지해도 되는지?
서비스 이용계약을 이행하기 위해 필요한 개인정보는 정보주체와의 신뢰에 기반해 동의 없이 수집해 이용할 수 있으나, 계약 이행 등과 관련 없는 개인정보를 수집·이용하려는 경우에는 정보주체가 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 조치해야 한다.

서비스 제공 과정에서 정보주체의 자유로운 의사에 따른 동의 선택권(선택동의)을 부여하지 않을 경우 사안에 따라 법 제22조 또는 제15조 위반이 될 수 있다는 점에 유의해야 한다.

Q. 그 동안 서비스 이용계약 이행 등에 필요한 개인정보에 해당함에도 필수적으로 동의를 받아온 경우 어떻게 개선하면 되는지?
필수동의 내용에 계약 이행 등을 위해 필요한 개인정보가 포함된 경우, 해당 내용은 동의를 받을 필요가 없어 동의내용에서 제외한 후, 정보주체가 해당 내용을 쉽게 알 수 있도록 개인정보 처리방침에 동의를 받아 수집하는 개인정보 항목과 구분해 공개하는 조치가 필요하다.

다만, 현장에서 계약 이행 등에 필요한 개인정보에 대한 필수 동의가 오랫동안 유지되어 왔고, 정보주체도 이러한 관행에 익숙한 점을 고려해 계약 이행 등을 위해 필요한 개인정보에 대하여 정보주체에게 고지 및 안내하는 방안도 고려될 수 있다.

계약 이행 등에 필요한 개인정보는 종전에 관행적으로 필수동의를 받는 것에서 이제는 정보주체에게 ‘고지(안내)’하는 것으로 변경됐다.

Q. 민감정보 또는 고유식별정보의 경우 정보주체의 필수동의를 받아도 되는지?
계약 이행이나 서비스 제공 특성상 민감정보·고유식별정보(주민등록번호 제외)의 처리가 필요한 경우, 정보주체에게 동의 내용을 충분히 설명한 후에 별도로 필수 동의를 받아 해당 정보를 처리할 수 있다(법 §23, §24).

다만, 계약 이행이나 서비스 제공에 해당 정보가 반드시 필요하지 않은 경우에는 정보주체로부터 자유로운 의사에 따른 선택 동의를 별도로 받아 해당 정보를 처리할 수 있다.

Q. 법 제22조(동의를 받는 방법)에서는 개인정보 수집·이용 외에 ‘제3자 제공’할 때에도 구분해 각각 동의(별도 동의)를 받도록 규정하고 있는데, 이 경우에도 선택동의 원칙을 준수해야 하는지?
법 제18조에 따라 목적 외로 개인정보를 이용·제공하려는 때에는 동의사항을 구분해 각각 동의(별도 동의)를 받아야 하고, 이 경우 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 선택권을 부여해야 한다.

법 제17조에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제3자에게 제공하려는 때에는, 개인정보를 제공하지 않으면 정보주체와의 계약 이행이 곤란한 경우에는 관련 사실을 알리고 필수동의를 요구할 수 있다.

다만, 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 예측가능성 등을 고려해 개인정보를 추가적으로 제공할 수 있는 경우에는 동의 없이 제공 가능(영 제14조의2)하다.

자세한 사항은 개인정보 보호법 개정 안내서(2023년 12월, 개인정보위 누리집)를 참조하면 된다.

Q. 필수동의는 20년 이상 지속되어 온 제도로 단기간에 개선하기에는 시행착오에 따른 부담이 수반될 것으로 보이는데, 향후 개선을 위한 계획은?
현재 다양한 개인정보 동의 사례를 검토하고 있으며 연말까지 ‘개인정보 처리 통합 안내서’를 통해 처리 단계별 준수해야 할 사항을 사례 중심으로 안내할 예정이다.

안내서 마련과 함께 필수동의 관행을 개선하여 현장에서 안정적으로 정착할 수 있도록 지속적으로 홍보 및 안내해 나갈 예정이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기