- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 37. 개인정보 처리를 위한 동의획득시 공통준수사항
- 37.5. '별도의 동의서' 대신 '개인정보처리방침'으로 개인정보 수집 등에 대한 동의를 받는 것이 적법한가?
이 페이지의 전문가를 소개합니다.
37.5.'별도의 동의서' 대신 '개인정보처리방침'으로 개인정보 수집 등에 대한 동의를 받는 것이 적법한가?
'별도의 동의서' 대신 '개인정보처리방침'으로 개인정보 수집 등에 대한 동의를 받는 것이 적법한가?
1. 문제상황: 개인정보처리방침에도 법정고지사항이 포함은 되어 있기 때문에, 개인정보처리방침을 제시하고 동의받더라도 위법은 아니지 않느냐는 의견이 있음. 그러나 개인정보처리방침으로 동의받을 경우, 동의절차가 형식적인 절차가 되어 버리게 됨
온라인 서비스를 제공하고 이용하는 과정에서는, 개인정보 수집·이용 또는 제3자 제공에 대한 동의를 획득하여야 할 상황이 많이 등장한다.
이 경우 개인정보보호법은 법정고지사항을 고지하고 동의를 받는 절차를 요구하며, 대부분의 사업자는 이를 별도의 동의서 양식으로 제공하고 있다. 온라인 서비스 내에 공개하여 두는 '개인정보처리방침'의 작성항목과, 동의를 받을 때에 고지하는 '법정고지사항'의 항목의 범위가 크게 다르기 때문이다. (개인정보처리방침의 작성항목이 훨씬 많다)
그런데 '법정고지사항'을 고지하는 '별도의 동의서' 양식을 제공하지 않고, '개인정보처리방침'을 동의서 대신 제시하여 동의를 받는 경우가 간혹 있다. 이는 특히 해외사업자의 경우에 두드러지게 나타나는 현상이다.
문제는, (법정고지사항만 간결하게 들어있어 상대적으로 내용을 확인하기 쉬운 '동의서'와 달리) 방대한 내용이 들어있어 내용을 빠르게 확인하기 어려운 '개인정보처리방침'이 제시될 경우, 지금 당장 서비스를 이용하고 싶어 동의절차를 빠르게 넘기기를 원하는 이용자 입장에서는 실제로 자신에게 필요한 내용을 손쉽게 확인하기가 어렵게 된다는 점이다. 이는 동의절차 자체를 형식적인 것으로 만들어 버리는 문제를 유발한다.
그럼에도 불구하고, '개인정보처리방침'에는 사실상 '법정고지사항'의 항목도 모두 포함되어 있기 때문에, '개인정보처리방침'을 제시하고 동의를 받더라도 위법이라고 할 수는 없지 않느냐는 의견이 있었다.
2. 개인정보 보호위원회의 공식 견해: 위법이다.
그런데 이에 대해 최근 공식적인 개인정보 보호위원회의 해석과 처분이 있었다.
Meta Platforms, Inc.(이하 '메타')는 페이스북을 운영하는 사업자이다. 메타는 페이스북을 회원가입 절차에서 개인정보 수집·이용 동의를 받았는데, 해당 동의를 받을 때에 개인정보처리방침 전문을 제시하였다.
[출처: 개인정보보호위원회 제2022-014-105호 (사건번호 : 2021조일0028) 심의·의결서 발췌]
이와 관련하여 개인정보 보호위원회는, 아래와 같은 내용의 판단을 하였다(아래에서 '보호법'은 '개인정보 보호법'의 약자임).
보호법 제39조의3 제1항은 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우 ①개인정보의 수집‧이용 목적, ②수집하는 개인정보의 항목, ③개인정보의 보유‧이용 기간(이하 ‘법정 고지사항’)의 모든 사항을 이용자에게 알리고 동의를 받도록 규정하고 있다.
 보호법 제4조 제1호 및 제2호는 “개인정보의 처리에 관한 정보를 제공받을 권리”와 “개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리”를 정보주체가 가진다고 명시하고 있다. 또한, 제22조 제1항은 “개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.”라고 규정하고 있으며, 동법 시행령 제17조 제1항 제4호에서 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법을 명시하고 있다. 나아가 제22조 제2항은 “개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집·이용 목적, 수집·이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.”고 규정하고 있으며, 개인정보 처리 방법에 관한 고시 제4조 제3호는 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시하도록 규정하고 있다. 즉, 보호법은 개인정보의 처리에 관한 내용을 정보주체가 쉽게 확인하고 알아볼 수 있도록 명확히 표시하여 이용자로 하여금 동의 범위 등에 대한 실질적인 선택 및 결정권을 행사할 수 있도록 하고 있는 것이다. (중략) 피심인이 피심인 서비스에 가입한 이용자의 개인정보로서 타사 행태정보를 수집‧이용하기 위해서는 그 수집·이용 주체22)인 피심인이 보호법 제39조의3 제1항에 따라 법정 고지사항을 이용자에게 명확히 알리고 동의를 받아야 한다. 아울러, 개인정보 수집·이용 동의 조항 연혁에서 살펴본 바와 같이 개인정보 수집·이용에 관한 동의와 개인정보 처리방침은 별개의 것으로 규율하고 있고, 개인정보 처리방침 전문이 아닌 별도의 개인정보 수집‧이용 동의를 통해 타사 행태정보 수집·이용에 관한 사항을 이용자에게 명확히 인지시키고 동의를 받아야 하나, 피심인은 이용자가 페이스북 및 인스타그램 계정을 생성하는 과정에서 “개인정보 처리방침” 전문을 확인하도록 한 것 외에 별도로 법정 고지사항을 제시하고 동의를 받고 있지 않다. 페이스북의 경우 개인정보 처리방침 전문(공백 포함 14,600여개 글자, 694줄)을 게시한 화면은 한 화면에 다섯 줄 밖에 보이지 않는 네모박스(폰트크기 16인 한글 기준 120글자)에 불과하므로 스크롤을 아래로 내려 사업자의 웹사이트 및 앱을 이용한 행태정보와 관련한 사항(“파트너가 제공하는 정보”)을 확인하기 쉽지 않고, 인스타 |
즉, 입법연혁에 따르면, 현재의 '법정고지사항 고지를 통한 동의 획득 제도'는, '개인정보처리방침의 공개 제도'와 별도의 목적을 가지고 일부러 분리시켜서 입법된 제도인바, 특히 이용약관 내지 개인정보처리방침 전문을 제시하고 동의받는 것의 부작용을 없애기 위한 목적으로 도입된 것이기 때문에, 이러한 입법목적에 반하여 여전히 동일하게 개인정보처리방침 전문을 제시하고 동의받는 것은 위법하다는 것이다.
따라서, 개인정보처리방침 전문을 제시하고 동의받는 것은 적법하지 않으며, 법정고지사항만 따로 정리하여 만든 동의서 양식을 제시하고 동의를 받아야만 적법한 동의라고 할 수 있다.
