15.

개인정보의 처리에 대한 적법한 동의를 받는 방법

• 새 탭 열기
• 작성 이력 보기

개인정보보호법

제22조(동의를 받는 방법) ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제22조의2제1항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 이 경우 다음 각 호의 경우에는 동의 사항을 구분하여 각각 동의를 받아야 한다. <개정 2017. 4. 18., 2023. 3. 14.>

1. 제15조제1항제1호에 따라 동의를 받는 경우

2. 제17조제1항제1호에 따라 동의를 받는 경우

3. 제18조제2항제1호에 따라 동의를 받는 경우

4. 제19조제1호에 따라 동의를 받는 경우

5. 제23조제1항제1호에 따라 동의를 받는 경우

6. 제24조제1항제1호에 따라 동의를 받는 경우

7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우

8. 그 밖에 정보주체를 보호하기 위하여 동의 사항을 구분하여 동의를 받아야 할 필요가 있는 경우로서 대통령령으로 정하는 경우

② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다. <신설 2017. 4. 18., 2017. 7. 26., 2020. 2. 4.>

③ 개인정보처리자는 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. <개정 2016. 3. 29., 2017. 4. 18., 2023. 3. 14.>

④ 삭제 <2023. 3. 14.>

⑤ 개인정보처리자는 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제1항제3호 및 제7호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2017. 4. 18., 2023. 3. 14.>

⑥ 삭제 <2023. 3. 14.>

⑦ 제1항부터 제5항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법에 관하여 필요한 사항은 개인정보의 수집매체 등을 고려하여 대통령령으로 정한다. <개정 2017. 4. 18., 2023. 3. 14.>

개인정보보호법 시행령

제17조(동의를 받는 방법) ① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 다음 각 호의 조건을 모두 충족해야 한다. <신설 2023. 9. 12.>

1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것

2. 동의를 받으려는 내용이 구체적이고 명확할 것

3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것

4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

② 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다. <개정 2023. 9. 12.>

1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법

2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법

3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법

4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법

5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법

6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

③ 법 제22조제2항에서 “대통령령으로 정하는 중요한 내용”이란 다음 각 호의 사항을 말한다. <신설 2017. 10. 17., 2023. 9. 12.>

1. 개인정보의 수집ㆍ이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실

2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항

가. 민감정보

나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호

3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)

4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

④ 개인정보처리자는 정보주체로부터 법 제22조제1항 각 호에 따른 동의를 받으려는 때에는 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 알 수 있도록 표시해야 한다. <개정 2023. 9. 12.>

⑤ 법 제22조제3항 전단에서 “대통령령으로 정하는 방법”이란 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등의 방법”이라 한다)을 말한다. <개정 2023. 9. 12.>

⑥ 중앙행정기관의 장은 제2항에 따른 동의방법 중 소관 분야의 개인정보처리자별 업무, 업종의 특성 및 정보주체의 수 등을 고려하여 적절한 동의방법에 관한 기준을 법 제12조제2항에 따른 개인정보 보호지침(이하 “개인정보 보호지침”이라 한다)으로 정하여 그 기준에 따라 동의를 받도록 개인정보처리자에게 권장할 수 있다. <개정 2015. 12. 30., 2017. 10. 17., 2023. 9. 12.>

개인정보 처리 방법에 관한 고시

제4조(서면 동의 시 중요한 내용의 표시 방법) 법 제22조제2항에서 "보호위원회가 고시로 정하는 방법"이란 다음 각 호의 방법을 통해 종이 인쇄물, 컴퓨터 표시화면 등 서면 동의를 요구하는 매체의 특성과 정보주체의 이용환경 등을 고려하여 정보주체가 쉽게 알아볼 수 있도록 표시하는 방법을 말한다.  

1. 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것

2. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 

대법원 2016. 6. 28. 선고 2014두2638 판결

[1] (판시사항) 정보통신서비스 제공자가 이용자에게서 개인정보 수집·제공에 관하여 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 적법한 동의를 받기 위한 요건

(판결요지) 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 ‘정보통신망법’이라 한다) 제22조 제1항, 제24조의2 제1항, 제26조의2, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것) 제12조 제1항의 문언·체계·취지 등에 비추어 보면, 정보통신서비스 제공자가 이용자에게서 개인정보 수집·제공에 관하여 정보통신망법에 따라 적법한 동의를 받기 위하여는, 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 정보통신서비스 제공자가 미리 인터넷 사이트에 통상의 이용자라면 용이하게 ‘개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간’(이하 통틀어 ‘법정 고지사항’이라 한다)의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 아울러, 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 수집·제공에 대한 동의 여부를 판단할 수 있어야 하고, 그에 따른 동의의 표시는 이용자가 개인정보의 수집·제공에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 실행 방법이 마련되어야 한다.

[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 ‘정보통신망법’이라 한다)에 따른 정보통신서비스 제공자인 갑 주식회사가 오픈마켓 등 웹사이트의 배너 및 이벤트 광고 팝업창을 통하여 개인정보 수집 항목 및 목적, 보유기간에 대한 안내 없이 ‘확인’을 선택하면 동의한 것으로 간주하는 방법으로 명시적인 동의를 받지 않고 이용자 개인정보를 수집하여 보험사 등에 제공하였다는 이유로 방송통신위원회가 갑 회사에 시정조치 등을 한 사안에서, 갑 회사가 이벤트 화면에서 법정 고지사항을 제일 하단에 배치한 것은 법정 고지사항을 미리 명확하게 인지·확인할 수 있게 배치한 것으로 볼 수 없는 점, 이벤트 화면에 스크롤바를 설치한 것만으로는 개인정보 수집·이용 및 제3자 제공에 관한 동의를 구하고 있고 화면 하단에 법정 고지사항이 존재한다는 점을 쉽게 인지하여 확인할 수 있는 형태라고 볼 수 없는 점, 이벤트에 참여하려면 일련의 팝업창이 뜨는데, 팝업창 문구 자체만으로는 수집·제공의 대상이 ‘개인정보’이고 제공처가 제3자인 보험회사라는 점을 쉽고 명확하게 밝힌 것으로 볼 수 없는데도 이용자가 팝업창에서 ‘확인’ 버튼만 선택하면 개인정보 수집·제3자 제공에 동의한 것으로 간주되도록 한 점 등을 종합하면, 갑 회사가 이벤트 화면을 통하여 이용자의 개인정보 수집 등을 하면서 정보통신망법에 따른 개인정보의 수집·제3자 제공에 필요한 이용자의 적법한 동의를 받지 않았다고 본 원심판단이 정당하다고 한 사례.