개인정보 보호법상 동의 제도의 개선 방안, 가장된 자율성에 대한 성찰

개인정보 보호법에서는 개인정보자기결정권을 실현하도록 하는 주된 수단으로 동의 제도를 채택하고 있다. 사실 일상에서도, 일을 하면서도, 동의 제도를 채택하지 않는 곳은 아직 본 적이 없다. 그리고 개보위와 KISA가 진행한 <2022 개인정보보호 및 활용조사>에 따르면, 개인정보 수집 근거로 정보주체의 동의를 활용하는 경우가 공공기관은 96.5%, 민간기업은 98.1%에 달한다고 한다. 자세한 내용은 아래와 같다.

 

특히나 민간인 경우 동의 제도의 비중이 매우 크다는 것을 알 수 있다. 그런데 개인정보보호법 상 동의 제도는 전세계적으로 꾸준히 비판의 대상이 되어 왔다. 이유는 동의 모델이 지닌 한계 때문이다. 잠깐 이야기를 새서, 민법에서 자연인이라 함은 온전한 인지 능력, 의사판단 능력 등을 지녔음을 인정하는 대상이다. 그렇기에 법적 책임을 질 수 있는 사람이 되는 것이다. 그렇다면, '동의'라는 것도 같은 맥락으로 바라보아야 할 것이다. 동의라는 것에는 정보주체의 정보력, 판단력, 인지력, 독립성 등이 충분히 담보가 되어야 할 것이며, 그것들이 밑바탕이 될 때 동의가 진정으로 정당성을 확보한다고 볼 수 있을 것이다. 허나 현실은 어떨까? 우리는 그저 매번 '동의'를 형식적으로 클릭할 뿐이다. '동의'의 힘이 엄청 강력함에도 불구하고 말이다. 그렇게 되면 개인정보의 오남용이 이루어질 수도 있을 것이다. 문제가 발생하더라도, '네가 동의했잖아'라고 말하는 것에 뭐라고 대항할 수 있겠냐는 것이다. 또한, 사물인터넷의 발달로 인해 개인정보의 수집과 이용에 대한 사전 동의는 점점 비현실성이 다소 커지고 있어, 동의 제도를 기계적으로 관철하거나 확장하는 것은 과학기술의 발달에 장애가 될 가능성도 있을 것이다. 

 

개인정보보호법은 2011년 최초 시행된 이후로 꾸준한 개정을 거쳤는데, 동의에 관한 내용은 거의 변화가 없었다. 그대신 다른 것들이 생겨나며 동의를 최대한 피할 수 있는 방법이 생기기도 했으나, 실효성에 여전히 의문부호가 남아 있다. 예를 들어, 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체의 동의 없이 개인정보를 이용 및 제공할 수 있다고 되어 있다. 그러나 해당 조항의 적용을 받기 위해서는 정보주체의 이익을 부당하게 침해하는지, 개인정보의 추가적인 이용 또는 제공에 대한 예측가능성을 올바르게 해석했는지 판단하기가 쉽지 않다. 아니, 명백히 어렵다. 그렇기에 실무상 적용의 한계가 생겨난 것이다. 가명정보의 처리도 마찬가지다. 공익적 기록 보존, 과학적 연구, 통계 작성의 목적으로 동의 없이 가명정보를 처리할 수 있으나, 가명처리의 구체적 수준을 어떻게 해야할지 부터가 명확하지 않은 것이다. 그러다 보니, 담당자들이 할 수 있는 것은 뻔하다. 개인정보보호위원회의 가이드라인 배포를 기다리는 것이다. 그러나 가이드라인도 언제나 그렇듯, 모든 것을 커버할 수는 없는 노릇이고, 구체적인 지침이 있다는 것의 의미를 지닐 뿐이다.

 

많은 개정이 한계를 지녔으나, 동의 제도에서 좋은 시도가 생겨난 것이 있다. 제15조 1항의 4호인데, 내용은 아래와 같다.

 

구법: 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

현헹법: 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

 

'불가피'라는 말이 너무 난해했는데, '정보주체의 요청에 따른 조치를 이행하기 위해' 필요한 경우에는 정보주체의 동의 없이도 개인정보를 수집 및 이용할 수 있는 정당성이 확보될 수 있다는 것이다.

 

그러나 마냥 좋기만 하다면 이미 담당자들 사이에서 큰 화제가 되었을 것이다. 15조 1항 4호에는 한계도 존재한다. 이 내용에 대해 개보위가 제시하고 있는 예시는 다음과 같다.

 

① 판매한 상품에 대한 A/S 상담을 위해 전화한 고객의 성명, 연락처, 상품정보 등을 수집하여 이용하는 경우

② 회사가 취업지원자와 근로계약 체결 전에 지원자의 이력서, 졸업증명서, 성적증명서 등 정보를 수집·이용하는 경우

 

'요청에 따른 조치 이행'이라는 것에 너무 명확한 사례다. 그런데 우리가 일을 하면서 이렇게나 명확한 사례에 맞아 떨어지는 경우가 많을까, 모호한 경우가 많을까? 단연코 후자가 압도적으로 많다고 생각한다. 우선, 정보주체의 요청에 따른 조치라는 것도 해석이 너무 불분명하기에 그렇다. 결국 개인정보처리자는 불분명한 것에 도박을 하느니, 사용자인 정보주체로부터 동의를 받는 것을 선택하게 되는 것이다. 동의를 받는 시스템은 어느 곳이나 갖춰져 있기 마련인데, 굳이 사용하지 않을 이유는 없으니 말이다.

 

결국 이러쿵저러쿵 시도는 있었으나, 담당자에게 있어 실효성 있는 개정은 딱히 없었다는 게 현재까지의 결과인 것이다. 그렇다면, 동의 제도를 어떻게 개선할 수 있을까? 정말 실무에 적용할 수 있는, 현실적인 변화를 담을 수 있는 방향으로 말이다.

 

첫째, 동의 제도 남용에 대한 제재 부과

가장 단순하지만, 반발이 상당히 클 것이기에 쉽지는 않은 방법이다. 그러나 EU의 경우를 생각해 본다면 영 현실성 없는 말인 것은 아니다. 개인정보처리의 법적 근거에 대해 진지하게 고민하지 않고 정보주체로부터 일단 관성적으로 동의를 받아 개인정보를 처리한 경우, '적법 근거를 결여한 개인정보의 처리'로 취급하는 방안을 고려할 수 있다는 것이다. 이를 통해 개인정보처리자가 법적으로 동의를 받기 위한 형식적 요건은 충족했을지라도, '다른 법적 근거가 적합한 경우임에도 불구하고 굳이 불필요할 수 있는 동의를 받은 경우'에 적법 처리 근거를 흠결한 것으로 취급 가능할 것이다.

 

둘째, 고지 항목의 현실화를 통한 동의 방식의 개선

현행 제도에서는 동의를 거부할 시 정보주체가 받을 수 있는 불이익의 내용에 대해 설명하도록 하고 있다. 보통 내용은 뻔하다. 서비스의 일부 또는 핵심적인 부분에 있어 제한을 받는다는 것이다. 그런 불이익의 내용은 어찌 보면 뻔하고, 형식적이다. 그 내용이 현실적으로 유명무실하다는 것이다. 앞서 말한 '관성적'인 것과 동일한 맥락이다.

 

따라서 여기서 제시하는 것은 동의를 할 시 정보주체가 받을 수 있는 불이익의 내용에 대해 알리도록 하는 것이다. 개인정보처리를 함에 있어 발생할 수 있는 '구체적인' 위험에 대해 알리는 것이다. 

 

현행의 경우, 불이익: 서비스를 일부 또는 전체 이용할 수 없음

제시된 내용의 경우, 불이익: 금전적 손해, 사생활 침해, 광고성 문자 발송

등이 되는 것이다. 정보주체 입장에서는 당연히 아래가 훨씬 눈에 들어오게 된다. 물론, 모든 동의 상황에서 일반적인 위험을 나열하지 못하도록 해야 한다. 그러면 역시나 유명무실해질 것이기 때문이다. 이점에 있어서는 '구체적인' 위험을 정보주체에게 알려야 할 것이다.

 

이러한 점에 관해 최대한 투명하게 알린 후 동의를 받도록 규제한다면, 특히 경쟁이 치열한 온라인 환경에서 개인정보처리자들로 하여금 더욱 안전한 방식으로 개인정보를 처리하도록 유도할 수 있을 것이며, 정보주체의 입장에서도 동의 여부를 선택함에 있어 보다 유의미한 정보를 제공받을 수 있을 것이다.

 

 

 

출처: https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART003042024