![[사진=연합뉴스]](https://images-cdn.newspic.kr/detail_image/181/2024/9/18/433a9f3a-7043-4b04-9992-007b8ce6b454.jpg?area=BODY)
[이뉴스투데이 이승준 기자] 정부가 서비스 제공계약 간 동의만으로 개인정보 수집·이용에 대한 책임이 정보주체로 넘어가는 문제를 포착, 필수동의 관행을 개선하기로 했다.
개인정보보호위원회는 지난해 9월 개인정보보호법 개정으로 계약 이행 등을 위해 필요한 경우 정보주체의 개인정보를 수집·이용할 수 있게 된 데 이어 15일부터는 동의를 받아 개인정보를 수집·이용하려는 경우 지켜야 할 원칙과 방법에 대한 보호법 시행령 규정이 시행될 예정이라고 18일 밝혔다.
개인정보위는 홈페이지 강비 등 서비스 이용계약과 관련 개인정보를 수집·이용할 때 동의 없이 가능하다는 점을 명확히 했다. 또 계약과 관련 없는 영역에서 정보주체의 동의가 필요한 경우 정보주체의 선택권을 제약하지 않도록 하는 조치방법에 대해 지속적으로 안내하는 등 필수동의 관행을 단계적으로 개선해 나갈 계획이라고도 했다.
1999년 정보통신망법 개정 이후 온라인 사업자는 서비스 제공 시 필수적으로 동의를 받아야 했고, 정보주체도 동의하지 않으면 서비스를 이용할 수 없는 관행이 계속돼 왔다. 이 같은 관행으로 기업 등은 서비스 제공계약에 필요하더라도 정보주체의 동의를 받아야만 하는 문제와 동의만 받으면 개인정보 수집·이용에 대한 책임이 정보주체에게로 넘어가는 문제가 있었다.
지난해 개인정보보호법 개정을 통해 기업 등이 서비스 이용계약 과정에서 신뢰에 기반해 별도의 동의 없이 개인정보를 이용할 수 있도록 하고, 동의가 꼭 필요한 경우에 한정해 정보주체로부터 명시적인 동의를 받도록 개선한 바 있다.
당사자 간 계약에 수반되는 개인정보에 대한 형식적 필수동의는 없애는 대신 동의가 필요한 영역에서는 ‘알고 동의하는’ 문화를 정착시켜 정보주체와 기업 모두에게 도움될 수 있는 환경을 단계적으로 유도해나가기 위한 것이라는 게 개인정보위의 설명이다.
이와 함께 15일부터 시행된 개인정보보호법 시행령에서는 정보주체가 명확히 그 내용을 알고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 동의받는 방법에 관한 원칙을 명확히 규정했다.
먼저 개인정보처리자는 서비스 이용 등 계약과 관련해 필요한 개인정보는 정보주체에 동의를 요구할 필요가 없어졌다. 이때 동의 없이 처리할 수 있는 필수적 개인정보라는 입증책임은 개인정보처리자가 부담하게 된다.
개인정보위는 필수동의를 받았다 하더라도 그 효과는 해당 내용을 고지한 것에 그치게 되며, 개별 상황에 따라서는 보호법상 ‘동의를 받는 방법’에서 정한 원칙에 저촉될 수 있으므로 개선할 필요가 있다고 강조했다.
서비스 이용계약 등과 관련 없는 개인정보에 대해서 수집·이용 동의를 받으려 할 때는 정보주체가 동의내용을 충분히 알 수 있도록 쉬운 문구 등을 사용해 알리고, 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 하는 등의 조치를 해야 하게 바뀌었다.
개인정보위는 서비스 이용계약 이행 등에 필요하지 않은 개인정보이나 특별한 사정 없이 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 없도록 제한하거나, 동의내용을 명확히 알리지 않은 경우에는 법 제15조의 적법요건을 충족하지 않게 될 수 있다는 점도 짚었다.
만일 필수동의를 받아 온 동의내용에 계약이행 등에 필요한 개인정보가 포함돼 있다면 해당 항목은 삭제하고, 이외 개인정보는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 시행령 제17조제1항에 부합하는 조치를 해야 한다.
이와 함께 정보주체가 개인정보 처리 상황을 알 수 있도록 개인정보 처리 방침에 정보주체로부터 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보를 구분해 공개하는 조치를 해야 한다.
민감정보·고유식별정보의 경우 서비스에 불가피한 경우 필수동의 대상이 된다. 계약이행이나 서비스 제공 특성상 정보주체의 민감정보나 고유식별정보(주민등록번호 제외)의 처리가 불가피하게 필요할 경우에는 정보주체에게 동의내용을 충분히 알린 뒤 별도로 필수동의를 받아 처리해야 한다. 다만, 법령에 규정이 없는 경우에는 동의 없이 처리할 수 있다.
개인정보위는 연말까지 현장에 혼선이 발생하지 않도록 ‘개인정보 처리 통합 안내서’를 마련, 구체적인 상황별 사례를 안내할 예정이다. 안내서에는 개인정보보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심을 종합적으로 제시할 계획이다.
양청삼 개인정보위 개인정보정책국장은 “현장에서 개인정보를 수집·이용할 때 동의를 받아야 하는지, 동의가 필요한 구체적인 상황에서는 어떻게 조치해야 하는지에 대해 많은 관심을 갖고 있다는 것을 알고 있다”고 말했다.
이어 “필수동의는 20년 이상 지속돼 온 제도라는 점을 고려해 산업계 등과 적극적으로 소통하면서 적법한 개인정보 처리 사례를 지속 발굴해 설명회 등을 통해 안내하고 개편된 제도가 현장에 무리 없이 안착될 수 있도록 지속적으로 홍보·안내하겠다”고 덧붙였다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
