- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 32. 개인정보의 제3자 제공
- 32.2. 개인정보 제3자 제공 동의의 적법조건: 법정고지사항의 명확한 인식에 따른 사전동의
32.2.개인정보 제3자 제공 동의의 적법조건: 법정고지사항의 명확한 인식에 따른 사전동의
개인정보 제3자 제공 동의의 적법조건: 법정고지사항의 명확한 인식에 따른 사전동의
개인정보보호법 제17조 제2항은, 개인정보 제3자 제공을 위한 동의를 받을 때에는 5가지 법정고지사항을 정보주체에게 고지하도록 의무화하고 있다.
개인정보보호법 제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4., 2023. 3. 14.> 1. 정보주체의 동의를 받은 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 |
이는 개인정보보호법이 개인정보자기결정권의 구체적인 실현 방법으로서 법정고지사항의 명확한 인식에 따른 사전동의제(옵트인 제도)를 채택하고 있음을 보여주는 조문이다.
대법원과 헌법재판소는, "인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보 자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리"라고 판시하였는바{대법원 2014. 7. 24. 선고 2012다49933 판결, 헌법재판소 2005. 7. 21. 선고 2003헌마282,425(병합)}, 개인정보 자기결정권은 자신에 관한 정보가 언제(개인정보의 보유ㆍ이용 기간) 누구에게(개인정보처리자, 제3자 등) 어느 범위까지(개인정보의 처리 목적, 처리하는 개인정보의 항목, 개인정보의 보유ㆍ이용 기간) 알려지고 또 이용되도록(수집ㆍ이용ㆍ제공 등) 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다.
그리고 이러한 결정사항들에 대해 정보주체가 스스로 결정하는 방법은 크게 나누면 2가지 방식이 있는데, 옵트인 방식과 옵트아웃 방식이 그것이다.
옵트인 방식이란, 정보주체가 먼저 위 결정사항들을 스스로 결정하면(사전 동의) 개인정보처리자가 그에 따라 개인정보를 수집ㆍ이용ㆍ제공 등 처리하는 방식이고,
옵트아웃 방식이란, 개인정보처리자가 먼저 개인정보를 수집ㆍ이용ㆍ제공 등 처리하다가 정보주체가 자신의 개인정보 처리에 대해 거부의 의사를 표시하면(사후 거부) 그에 따라 개인정보 처리를 중지하는 방식이다.
옵트인 방식은 일단 정보주체가 먼저 결정사항들에 대해 인식하고 동의를 해야만 개인정보를 처리할 수 있는 반면, 옵트아웃 방식은 정보주체의 동의 없이 개인정보를 처리하다가 정보주체가 이를 어떤 경로로든 인식하고 거부를 해야만 개인정보 처리가 중지되기 때문에, 필연적으로 옵트인 방식이 정보주체의 개인정보를 보다 두텁게 보호한다.
옵트인 제도는 정보주체에게 주체적ㆍ능동적인 사전 결정권을 보장하는 제도이기 때문에 그 당연한 전제로서, 어떻게 하면 정보주체가 보다 정확하게 자신이 결정해야 할 사항을 이해하게 할 수 있을 것인가를 고민하게 된다. 즉 정보주체의 결정사항을 정보주체에게 알리고 이해시키는 구체적인 방식에 대해 여러 논의가 있게 되는 것이다.
그리고 이러한 방식에 있어서 우리나라는, 사전 동의를 받을 당시에는 '자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지'와 같은 핵심적인 사항만 골라서 충분히 설명하고(동의서로 법정고지사항 고지 후 사전 동의 획득. 개인정보 보호법 제15조, 제17조), 그 외에 정보주체가 알아야 할 사항은 별도의 문서로 따로 공개하여 정보주체가 언제든지 접근할 수 있게(개인정보처리방침 상시 공개. 개인정보 보호법 제30조 등) 하는 방식을 채택하였다.
우리나라가 처음부터 이러한 방식으로 옵트인 제도를 구현했던 것은 아니다. 1999년부터 정보통신서비스 이용자의 개인정보 보호에 관하여 규정하였던 구 정보통신망법은 본래 정보주체가 알아야 할 모든 사항을 고지하거나 약관에 명시하게 하였으나, 2007년도 개정으로 동의서와 개인정보처리방침을 분리했고, 이는 2011년도에 제정된 개인정보보호법에도 동일하게 도입되었다.
이는, 당시 정보통신서비스 제공자들(개인정보처리자들)이 이용약관에 너무 많은 내용을 기재하여, 정보주체들이 중요한 사항을 제대로 읽거나 이해하지 못한 채 동의를 하게 되고, 또한 이러한 내용들을 읽더라도 구체적으로 무엇에 대해 동의하는 것인지를 알기 어렵다는 문제점이 지속적으로 제기됨에 따른 것이었다.
즉 우리나라는 입법부는, 개인정보자기결정권을 실현하는 방법에 대하여, ① 옵트인 제도를 채택하고 ② 옵트인 제도를 구체적으로 구현하는 방식으로서 '자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지'의 핵심 법정고지사항을 골라 고지한 뒤 사전 동의를 받는 방식을 채택한 것이다.
법원 역시 이러한 「법정고지사항의 명확한 인식에 따른 사전동의제(옵트인 제도)」를 명시적으로 설명한 바 있다.
인터넷 사이트에서 개인정보를 수집하면서 적법한 동의를 받았는지 문제된 사건에서, 1심 행정법원은 "정보기술의 발달로 개인은 이제 자신이 원하지 않더라도 자신의 개별적인 생활방식이 모두 디지털화되어 흔적을 남기게 되는 것을 경험하게 된다. 개인이 사회적 존재인 이상 사회적 관계를 맺기 위해서는 자신을 드러낼 수밖에 없는데, 전자적 정보처리에 의하여 개인에 관한 모든 정보가 타인에 의해 수집되어 디지털화된 데이터베이스에 저장된 만큼 개인은 자신의 모든 것이 타인에게 노출된 상태에 있게 되고, 개인이 이를 의식하는 이상 개인은 자신의 생활양식을 정하는 데 크나큰 제약을 받게 된다. 이러한 상황에서 개인은 자신의 실존인격이 디지털화되어 저장된 가상인격에 의해 규정지어지게 될 우려가 크다. 이처럼 무분별하게 수집된 개인정보에 의해 개인의 사회적 정체성이 왜곡되는 경우 그 개인의 사회적 활동에 미치는 위험성은 지대할 뿐만 아니라 나아가 개인의 인격 자체에도 치명적인 위해를 가할 수 있다. (중략) 정보통신망법은 위와 같은 개인정보 자기결정권을 보장하기 위해 정보통신서비스 제공자의 개인정보를 수집 · 이용 및 제공 등에 특별한 제한을 두고 있다. 정보통신망법 제22조 제1항은 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간을 이용자에게 알리고 동의를 받아야 한다고 규정하고 있고, 같은 법 제24조의2 제1항은 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간을 이용자에게 알리고 동의를 받아야 한다고 규정하고 있으며, 같은 법 제31조 제1항은 정보통신서비스 제공자 등이만 14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다고 규정하고 있다. 한편 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제12조 제1항은 (중략) 정보통신서비스 제공자는 동의를 얻어야 할 사항을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하여야 한다고 규정하고 있다. (중략) 정보통신망법의 위 각 규정은 이용자의 개인정보 자기결정권을 보호하기 위한 중요한 수단으로 기능하고 있는 점, 개인정보의 수집·제공은 사실상 이용자에게 개인정보 자기결정권의 포기 또는 제한을 요구하는 것이므로, 이용자가 개인정보의 수집·제공의 이유, 영향 등을 명확히 인식하는 것이 대단히 중요한 점, 정보통신서비스 제공자의 개인정보 수집은 전자장치에 의해 매우 단시간에 일어나는 반면, 한번 수집된 이용자의 개인정보는 정보통신서비스 제공자가 사실상 영구적으로 보관할 수 있는 점 등에 비추어 볼 때, 정보통신서비스 제공자가 이용자로부터 개인정보 수집·제공에 대한 동의를 받는 경우에는 이용자에게 정보통신망법에 따른 동의를 얻어야 할 사항에 대한 단순한 인식 가능성만을 부여하는 것으로는 충분하지 아니하고, 이용자가 동의를 얻어야 할 사항을 명확히 인식하고 확인함으로써 동의 의사를 명시적으로 표현할 수 있도록 하여야 한다고 봄이 타당하다."고 판시하였고(서울행정법원 2013. 5. 2. 선고 2012구합21154 판결),
서울고등법원도 동일한 취지로 판시하였으며(서울고등법원 2014. 1. 9. 선고 2013누14476 판결),
대법원도 "정보통신서비스 제공자가 이용자로부터 개인정보 수집·제공에 관하여 정보통신망법에 따라 적법한 동의를 받기 위하여는, 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 정보통신서비스 제공자가 미리 해당 인터넷 사이트에 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 아울러, 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 수집·제공에 대한 동의 여부를 판단할 수 있어야 하고, 그에 따른 동의의 표시는 이용자가 개인정보의 수집·제공에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 그 실행 방법이 마련되어야 한다."고 하여 같은 취지로 판시하였다(대법원 2016. 6. 28. 선고 2014두2638 판결).
따라서, 대법원 판례가 명시한 바와 같이
1) 미리 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하고
2) 법정 고지사항을 게재하는 부분과 정보주체가 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 정보주체가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 제공에 대한 동의 여부를 판단할 수 있도록 하며,
3) 그에 따른 동의의 표시는 정보주체가 개인정보의 제공에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 그 실행 방법이 마련되는 등의
조건을 만족한 제3자 제공 동의여야만 적법한 동의를 받은 것으로 볼 수 있다.
