- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 16. 무동의와 불완전동의 - 동의받는 방법 위반은 과태료만 부과될까 과징금도 부과 가능할까?
이 페이지의 첫 번째 전문가가 되어주세요!
OOO 변호사
OOO 검사
OOO 법학박사
OOO 판사
위키를 작성하면 이 곳에 프로필이 표시됩니다.
프로필은 본인 닉네임 클릭 > ‘내정보관리’에서 설정할 수 있습니다.
16.무동의와 불완전동의 - 동의받는 방법 위반은 과태료만 부과될까 과징금도 부과 가능할까?
무동의와 불완전동의 - 동의받는 방법 위반은 과태료만 부과될까 과징금도 부과 가능할까?
무동의, 불완전동의란?
무동의는 개인정보처리자가 정보주체로부터 동의를 받지 않은 경우를 말하고, 불완전동의는 개인정보처리자가 정보주체로부터 형식적으로는 동의를 얻었지만 고지사항을 일부 흠결하는 등 하자가 있는 경우를 말한다.
무동의와 불완전동의에서의 핵심 이슈는 무엇일까? 그에 관한 견해들과 판례는?
여기서의 핵심 이슈는, 불완전동의의 경우 개인정보보호법 제22조의 동의받는 방법 위반에 그쳐 과태료 부과 사안만 되는 것이냐, 아니면 개인정보보호법 제15조 제1항 제1호의 적법한 동의를 받지 못한 것에 해당하여 과징금 부과 사안에까지 이를 수 있는 것이냐다. 후자의 경우 예컨대 고지사항을 일부 흠결하는 등 하자의 경우에도 개인정보보호법 제15조 제1항 위반이 문제될 수 있다는 것이다.
이에 대해 어떤 견해는 무동의에 대해서는 예컨대 개인정보보호법 제15조 제1항 위반이 문제되지만, 불완전동의의 경우 동의 방식에 관한 개인정보보호법 제22조 각항이 문제될 수 있다고 주장하기도 한다.
그러나 다른 견해는, 이와 같은 해석은 개인정보처리자가 정보주체의 동의를 형해화해 정보주체의 동의권이 유명무실해지는 경우에도 형식적으로 동의가 존재하면 과징금이 아닌 과태료로 제재받게 되는 부당한 현상이 발생하는바, 형식적인 기준인 동의의 존재ㆍ부존재가 아니라, 실질적인 기준인 동의의 유효ㆍ무효를 따져서 결정함이 타당하다고 본다.
법원은 후자의 입장이다.
일단 대법원은 "정보통신서비스 제공자가 이용자에게서 개인정보 수집·제공에 관하여 정보통신망법에 따라 적법한 동의를 받기 위하여는, 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 정보통신서비스 제공자가 미리 인터넷 사이트에 통상의 이용자라면 용이하게 ‘개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간’(이하 통틀어 ‘법정 고지사항’이라 한다)의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 아울러, 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 수집·제공에 대한 동의 여부를 판단할 수 있어야 하고, 그에 따른 동의의 표시는 이용자가 개인정보의 수집·제공에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 실행 방법이 마련되어야 한다."고 하여 동의받는 방법에 하자가 있는 경우로서 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 없었던 경우라면 '적법한 동의'를 받은 것으로 볼 수 없다는 취지로 판결한 바 있다(대법원 2016. 6. 28. 선고 2014두2638 판결).
그리고 최신 판결에서도 위와 같은 대법원 판결을 인용하여 이 이슈를 정면으로 다루었는바, 구글과 메타가 맞춤형 광고를 위한 타사 행태정보를 적법한 동의 없이 수집하여 합계 약 1000억원의 과징금이 부과된 사건에서, 1심 법원은, 개인정보보호법 제22조 위반에 불과하여 과태료 부과 사안이라는 원고의 주장에 대해 아래와 같이 그 주장을 배척하는 취지로 판시하였다. 즉 아래 판결에 따르면, 동의받는 방법에 관한 제22조 위반에 해당하는 사안이라도 그 정도가 정보주체의 개인정보자기결정권을 실현한다고 보기 어려울 정도라면 '단순히' 제22조 위반이라고만은 볼 수 없고 '적법한 동의'를 받지 못한 것으로서 과징금 부과가 가능하다는 것이다.
서울행정법원 2025. 1. 23. 선고 2023구합54259 판결 라. 개인정보 수집ㆍ이용 동의를 받았는지 여부에 관한 판단 1) 관련 규정 및 법리 가) 대한민국 헌법은 제10조 제1문에서 인간의 존엄과 가치 및 행복추구권을, 제17조에서 사생활의 비밀과 자유를 규정하고 있는데, 위 규정들은 고도로 정보화된 현대 사회에서 개인이 그에 대한 개인정보를 자율적으로 통제할 수 있는 적극적인 권리까지도 보장하기 위한 취지로 해석되고(대법원 1998. 7. 24. 선고 96다42789 판결 참조), 위 규정들에 기초하여 개인은 자신의 개인정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 스스로 결정할 수 있는 권리, 즉 정보주체인 개인이 개인정보의 공개와 이용에 관하여 스스로 결정할 권리에 해당하는 ‘개인정보 자기결정권’을 가진다고 볼 수 있다[헌법재판소 2005. 5. 26. 선고 99헌마513, 2004헌마190(병합) 결정 등 참조]. 나) 구 개인정보 보호법은 제39조의3 제1항에서 정보통신서비스 제공자가 이용자의 개인정보를 이용하려고 수집하는 경우에는 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유ㆍ이용 기간(이하 ‘법정 고지사항’이라 한다)을 이용자에게 알리고 동의를 받아야 한다고 정하여 정보통신서비스 제공자가 개인정보를 이용하려고 수집하는 경우 정보주체에 해당하는 이용자의 동의를 그 전제요건으로 정하고 있고, 제22조 제1항에서 이용자의 동의를 받는 방법으로 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받을 것을 정하고 있다. 구 개인정보 보호법에서 정한 이러한 개인정보 수집에 관한 동의 절차는 정보 주체인 이용자에게 보장된 개인정보 자기결정권을 실현할 수 있는 것이어야 한다. 그러므로 구 개인정보 보호법 제39조의3 제1항에서 이용자의 개인정보 수집에 관한 동의가 적법하려면, 정보통신서비스 제공자가 이용자에게 법정 고지사항에 대한 인식 가능성만을 부여한 것으로는 충분하지 않고, 이용자가 개인정보의 수집에 관한 개인정보 자기결정권을 충분히 행사할 수 있도록 통상의 이용자라면 각각의 법정 고지사항의 구체적 내용을 알아볼 수 있게 게시하고, 법정 고지사항의 내용을 명확하게 인식한 상태에서 동의 여부를 자유롭게 선택할 수 있도록 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여야 한다(대법원 2016. 6. 28. 선고 2014두2638 판결 등 참조). (중략) 3) 구체적 판단 앞서 본 인정사실, 갑 제1, 36 내지 38호증의 각 기재에 변론 전체의 취지에 의하여 알 수 있는 다음의 사실 및 사정들을 종합해 보면, 정보통신서비스 제공자인 원고는 이 사건 서비스 회원들로부터 개인정보인 타사 행태정보의 수집ㆍ이용에 관하여 구 개인정보 보호법 제39조의3 제1항에 따른 적법한 동의를 받았다고 보기 어렵다. 이에 반하는 원고의 주장은 이유 없다. 가) 정보통신서비스 제공자에 관한 구 개인정보 보호법 제39조의3을 비롯한 제6장의 규정들은 개인정보처리자에 관한 구 개인정보 보호법 제3장의 특례규정으로 봄이 타당하고, 정보통신서비스 제공자에 대해서도 특례규정에 반하지 않는 한 일반규정인 구 개인정보 보호법 제3장의 내용들이 준용될 수 있다는 점은 앞서 본 바와 같다. 따라서 개인정보처리자가 정보주체로부터 동의를 받는 방법에 관하여 정한 구 개인정보보호법 제22조는 정보통신서비스 제공자인 원고가 개인정보의 수집ㆍ이용에 관하여 동의를 받는 경우에 있어서도 그대로 적용된다. 따라서 정보통신서비스 제공자는 통상의 이용자라면 용이하게 ‘개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유ㆍ이용기간’ 등 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 아울러, 그에 따른 동의의 표시는 이용자가 개인정보의 수집ㆍ이용에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 실행 방법이 마련되어야 할 것이다. 나) 아래와 같은 사정들을 종합할 때, 원고는 이용자가 이 사건 서비스 계정을 생성하는 과정에서 법정 고지사항을 불충분한 문구를 통해 모호하게 설명하여 통상의 이용자로 하여금 법정 고지사항을 명확하게 인식할 수 없도록 하였다고 봄이 타당하다. (중략) 다) 나아가 원고는 이용자가 데이터 정책에 동의를 하지 않는 경우 가입을 할 수 없도록 설정해두면서 사후적으로 이용자가 그 설정을 변경하도록 하는 방식을 취하고 있다. (중략) 라) 원고가 유럽 이용자에 대하여 타사 행태정보를 결합하기 위한 쿠키 사용 허용 여부에 대한 동의 화면을 제공하면서 유럽 이용자가 쿠키 사용에 동의하지 않는 경우 수집된 타사 행태정보가 ‘삭제된다’고 안내하는 등 타사 행태정보와 이용자 계정정보를 결합하지 않을 선택권을 부여하는 경우와 비교하여 보더라도, 수집 동의를 받는 데 개인정보 자기결정권을 실질적으로 보장하기 위한 방법이 없다고 보이지도 않는다. 마) 한편, 원고는 자신의 법 위반행위는 동의를 받는 방법에 관한 구 개인정보 보호법 제22조 제1, 2항 위반행위에 해당하므로, 이 사건 과징금 부과처분이 아닌 구 개인정보보호법 제75조 제4항 제2호에 따른 과태료의 제재가 이루어져야 한다는 취지로도 주장을 한다. 그러나 앞서 살핀바와 같이 원고가 개인정보인 타사 행태정보를 수집함에 있어 구 개인정보 보호법 제39조의3 제1항에 따른 적법한 동의를 받지 않았다고 판단한 이상 원고의 타사 행태정보 무단 수집행위가 단순히 구 개인정보 보호법 제22조 제1, 2항을 위반한 것이라고 볼 수 없다. |
이러한 판례의 태도는 개인정보자기결정권의 실질적 실현이라는 법령의 취지와 그간의 법령 연혁 및 판례의 일관성을 고려할 때 적절하다고 생각된다.
