- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 116. 개인정보 처리에 대한 동의철회권 (개인정보 보호법 제37조 제1항)
이 페이지의 첫 번째 전문가가 되어주세요!
OOO 변호사
OOO 검사
OOO 법학박사
OOO 판사
위키를 작성하면 이 곳에 프로필이 표시됩니다.
프로필은 본인 닉네임 클릭 > ‘내정보관리’에서 설정할 수 있습니다.
116.개인정보 처리에 대한 동의철회권 (개인정보 보호법 제37조 제1항)
개인정보 처리에 대한 동의철회권 (개인정보 보호법 제37조 제1항)
개인정보 보호법 제37조 제1항은 "정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다."고 규정하고 있으며, 이 중 "개인정보 처리에 대한 동의를 철회할 수 있다"는 부분이, 정보주체의 권리 중 동의철회권에 해당하는 부분이다.
| 개인정보 보호법 제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. <개정 2023. 3. 14.> |
동의철회권 행사는 회원탈퇴 방식으로만 할 수 있을까?
개인정보 처리에 대한 동의는 필수동의인 경우도 있고 선택동의인 경우도 있다. 필수동의[1]는 통상 그 동의를 하지 않으면 회원가입 자체를 할 수 없는 경우 즉 서비스 자체를 이용할 수 없는 경우에 하게 된다.
때문에 필수동의에 대한 동의철회권 행사는 회원탈퇴의 방식으로 하도록 하는 경우가 많다.
그러나 선택동의에 대한 동의철회권 행사는 회원탈퇴 방식이 아니라 그냥 그 부분 동의에 대해서만 철회하는 방식으로 할 수 있어야 한다.
정보주체가 동의철회권을 행사하면 개인정보처리자는 무엇을 해야 할까?
정보주체가 이처럼 개인정보 처리에 대한 동의를 철회한 경우, 개인정보처리자는 지체 없이 관련 개인정보를 파기하는 등 필요한 조치를 취해야 한다.
다만
- 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
- 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
- 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
에는 동의 철회에 따른 조치를 하지 않을 수 있다. (개인정보 보호법 제37조 제3항, 제2항 각호)
그리고 이처럼 예외사유에 해당하여 조치를 하지 않은 경우에는 정보주체에게 지체 없이 그 사유를 알려야 한다. (개인정보 보호법 제37조 제4항)
정보주체의 동의철회권 행사는, 개인정보 수집 과정보다 어려워선 안 된다.
예전에는 이런 규정이 존재했었다. 2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 즉 2023년 9월 14일까지 시행되었던 구 개인정보 보호법 제39조의7 제2항에서는 "정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다."고 규정하여, 정보통신서비스 제공자등에 한정하여, 개인정보 처리 동의철회권 행사를 개인정보 수집절차보다 더 쉽게 해야 한다는 취지의 규정을 두고 있었다. (이는 구 정보통신망법의 규정을 옮겨온 것이었다)
그러나 2023년 9월 15일부터 시행된 개정 개인정보 보호법에서는 이 내용이 삭제되었다. 반면 개인정보 열람권, 정정권, 삭제권, 처리정지요구권에는 이러한 취지의 내용이 시행령에 존재한다.
하지만 이후, 개인정보 보호법 제38조 제4항에는 "이 경우 열람등요구의 방법과 절차는 해당 개인정보의 수집 방법과 절차보다 어렵지 아니하도록 하여야 한다"는 문언이 추가되었다(2023. 3. 14. 개정, 2024. 3. 15. 시행).
개인정보 보호법 제38조(권리행사의 방법 및 절차) ① 정보주체는 제35조에 따른 열람, 제35조의2에 따른 전송, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 및 동의 철회, 제37조의2에 따른 거부ㆍ설명 등의 요구(이하 “열람등요구”라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. <개정 2020. 2. 4., 2023. 3. 14.> ④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. 이 경우 열람등요구의 방법과 절차는 해당 개인정보의 수집 방법과 절차보다 어렵지 아니하도록 하여야 한다. <개정 2023. 3. 14.> |
따라서 현행법을 기준으로 할 때 결론적으로, 개인정보처리자는, 정보주체가 동의철회권을 행사하는 경우에도 지나치게 어려운 절차를 거쳐야만 하도록 해선 안 되고, 개인정보가 수집될 때랑 비교해서 더 어렵지 않도록 방법과 절차를 구성해야 한다.
참고로, 개정 전자상거래법 제21조의2 제1항 제4호에서는 '재화등의 구매, 계약체결, 회원가입 등 절차보다 그 취소, 해지, 탈퇴 등 절차를 복잡하게 하거나 그 방법을 제한하여 소비자의 자유로운 취소, 해지, 탈퇴 등을 방해하는 행위'를 다크패턴으로 보아 금지하는 규정을 신설하였는데, 이는 위 '개인정보 처리 동의철회권 행사를 개인정보 수집절차보다 어렵지 않게 해야 한다는 취지의 규정'과 유사한 취지라 할 수 있다.
1. 참고로, 개인정보 보호법 개정으로 인하여 "정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우"(개인정보 보호법 제15조 제1항 제4호)에는 동의 없이도 개인정보를 수집할 수 있게 되었으므로 사실상 필수동의는 위 규정으로 대체되었다고 보기도 한다.
