[개인정보보호법 개정에 따른 필수동의 관행의 주요 변화와 실무적 시사점]

안녕하세요. 법무법인 청출 이영경 변호사입니다.

오늘은 2024년 9월 15일부터 시행되는 개정 개인정보보호법의 주요 내용과 실무적 시사점을 개인정보보호위원회의 2024. 9. 12.자 보도자료를 상세히 분석해 드리고자 합니다.

1. 개정 배경과 핵심 변화

개인정보보호위원회는 그동안 지속되어 온 '필수동의' 관행을 개선하기 위해 의미 있는 법 개정을 단행했습니다. 1999년 정보통신망법 개정 이후 약 20년간 온라인 사업자들은 서비스 제공 시 필수적으로 정보주체의 동의를 받아야 했고, 정보주체 역시 동의하지 않으면 서비스를 이용할 수 없는 상황이었습니다. 공공부문과 오프라인 부문에서도 2011년 개인정보보호법 제정 이후 계약 체결 및 이행을 위해 "불가피한 경우" 외에는 필수적으로 동의를 받는 관행이 지속되어 왔습니다.

이러한 관행은 두 가지 중대한 문제를 야기했습니다. 첫째, 기업들은 서비스 제공계약의 이행을 위해 명백히 필요한 개인정보조차 별도의 동의를 받아야 했고, 둘째, 형식적인 동의 절차를 통해 개인정보 처리의 책임이 정보주체에게 전가되는 부작용이 발생했습니다.

2. 개정법 제15조에 따른 새로운 개인정보 처리 기준

이번 개정의 핵심은 개인정보 처리의 적법근거를 명확히 한 것입니다. 법 제15조에 따르면 다음과 같은 경우에는 정보주체의 동의 없이도 개인정보를 수집·이용할 수 있습니다:

-       정보주체와의 계약의 체결·이행을 위해 필요한 경우

-       법령상 의무 준수를 위해 필요한 경우

-       정보주체 또는 제3자의 생명·신체·재산상 이익 보호를 위해 필요한 경우

-       개인정보처리자의 정당한 이익 달성을 위해 필요한 경우(정보주체의 권리보다 우선하는 경우에 한함)

특히 주목할 점은, 정보주체의 자유로운 의사에 반하는 동의 요구나 동의 내용을 명확히 알리지 않는 경우 법 제15조의 적법요건을 충족하지 못하게 된다는 것입니다.

3. 제3자 제공에 관한 세부 기준

개정법은 개인정보의 제3자 제공에 대해 다음과 같은 세부 기준을 제시합니다:

(1) 목적 내 제공 (법 제17조)

계약 이행을 위해 제3자 제공이 불가피한 경우, 관련 사실을 고지하고 필수동의를 받을 수 있습니다.

예시: 온라인 쇼핑몰의 물품 배송을 위한 택배사 정보 제공

(2) 목적 외 제공 (법 제18조)

별도 동의가 필요하며, 정보주체의 실질적인 선택권이 보장되어야 합니다.

예시: 제휴사 마케팅을 위한 고객정보 제공

(3) 동의 없는 추가 제공 가능 사례 (영 제14조의2)

당초 수집 목적과 합리적으로 관련되고, 정보주체에게 불이익이 없으며, 예측 가능한 범위 내라면 추가적인 동의 없이 제공이 가능합니다.

4. 동의 획득 시 구체적 준수사항

개정 개인정보보호법 시행령 제17조 제1항에서는 정보주체로부터 ‘동의’를 받을 때 충족하여야 하는 사항에 대하여 원칙을 명확히 규정하였습니다. 이는 기존 대법원 판결로도 인정되고 있는 내용이었는데, 법령에 직접 편입되었다는 의미가 있습니다.

▸ 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것

▸ 동의를 받으려는 내용이 구체적이고 명확할 것

▸ 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것

▸ 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

5. 민감정보 및 고유식별정보의 처리

서비스 특성상 불가피하게 민감정보나 고유식별정보(주민등록번호 제외)를 처리해야 하는 경우에는 다음과 같은 기준이 적용됩니다:

계약 이행이나 서비스 제공에 해당 정보가 반드시 필요한 경우 별도의 명시적 동의 필요함.

예시: 항공권 발급을 위한 여권번호 처리, 렌터카 서비스를 위한 운전면허번호 처리

다만, 법령에 근거가 있는 경우 동의 없이 처리 가능

6. 향후 대응 방향

개인정보보호법상 개인정보 수집 및 이용의 체계가 ‘동의’ 기반에서 ‘신뢰’ 기반으로 변경되면서 일선에서는 많은 혼란이 예상됩니다. 이에 개인정보보호위원회는 2024년 연말까지 「개인정보 처리 통합 안내서」를 통해 더욱 상세한 가이드라인을 제시할 예정입니다. 이에 기업과 개인정보처리자는 개정 개인정보보호법에 따른 소관부처의 법 적용 사례를 지속적으로 추적할 필요가 있겠습니다.

법무법인 청출은 개인정보보호법 자문과 관련 사건에 대해 풍부한 경험과 전문성을 갖추고 있습니다. 이와 관련한 사건을 고민하고 계신다면 언제든 연락 주시기 바랍니다.