- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 28. 개인정보처리자의 정당한 이익 달성을 위하여 필요한 경우(제15조 제1항 제6호)
28.개인정보처리자의 정당한 이익 달성을 위하여 필요한 경우(제15조 제1항 제6호)
개인정보처리자의 정당한 이익 달성을 위하여 필요한 경우(제15조 제1항 제6호)
1. 의의
개인정보처리자가 정보주체의 개인정보를 수집, 이용하려면 개인정보보호법 제15조 제1항 각호 중의 하나를 갖추어야 한다.
개인정보보호법 제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. <개정 2023. 3. 14.> 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. 7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 |
위 각호 내용을 보면 알 수 있겠지만, 1호, 4호, 5호는 정보주체의 자기결정이나 이익을 위한 경우로 볼 수 있고, 2호, 3호, 7호는 법령상 또는 공익을 위한 경우로 볼 수 있는데, 유일하게 개인정보처리자의 이익 측면에서 적법처리의 근거를 논하고 있는 조문이 바로 6호이다. (6호는 수집이나 이용에 적용되는 게 종래의 법규정이었으나, 제17조 제1항 제2호가 개정되어 2023. 9. 15.부터는 제공의 경우도 적용된다)
개인정보처리자 입장에서는 많은 기대를 하고 있지만, 그러나 구조적으로 이 조문의 활용도는 낮을 수밖에 없다.
첫째, 규정 자체가 모호하고 추상적이고 이익형량이 전제되어 있어서, 따라서 판단자에 따라서 재량이 나타날 수 있고 일관성이나 예측성이 낮기 때문에 개인정보처리자 입장에서 리스크 회피를 하기 위한 조문으로 활용하기에 태부족이다.
둘째, 개인정보처리자가 6호의 사유를 적용하여 수집, 이용하고 있다 하더라도, 정보주체가 제37조 제1항의 처리정지권을 행사하면 더 이상 처리할 수 없다(6호는 옵트아웃으로 운영되는 구조임). 즉 문언상 정보주체의 명시적 의사에 반하여 처리를 할 수 있는 조문은 아니라는 점이다.
셋째, 개인정보처리자의 정당한 이익이 정보주체 권리보다 '명백하게 우위'여야 하므로, 문언상의 제약도 존재하고 있다.
2. 비교 입법례 : GDPR 제6조 (1)(f)
GDPR 제6조 (1)(f)는 '컨트롤러 또는 제3자가 추구하는 정당한 이익 목적을 위해 처 리가 필요한 경우'를 개인정보 처리의 적법요건으로 규정하고 있는데, 다만 '그러한 이익보 다 개인정보의 보호가 요청되는 정보주체의 이익 또는 정보주체의 기본적 권리와 자유가 우선시되는 경우는 제외하며, 정보주체가 아동인 경우에는 특히 그러한 경우 제외됨'이라고 규정하고 있다.
이 조문의 적용을 위해서 3단계 균형 테스트를 실행하고 있는데, 1단계 정당한 이익의 정의(이익 테스트), 2단계 정당한 이익 달성을 위해서 당해 개인정보 처리가 필요한지(필요 테스트), 3단계 정보주체의 이익 또는 기본적 권리와 자유와 비교해서 우선하는지(균형 테스트)가 그것이다.
3. 요건
가. 정당한 이익 : 개인정보처리자의 정당한 이익이 존재해야 한다.
개인정보처리자의 이익에는 생명, 신체상 이익 외에도 상업적 이익, 영업상 이익과 관련되어 발생하는 사회적 이익 등 다양한 층위의 이익도 포함된다. EU GDPR은 개인정보처리자의 정당한 이익뿐만 아니라 제3자의 정당한 이익까지 포함하고 있으나, 우리법은 개인정보처리자의 정당한 이익에 한정하고 있다.
공공기관의 정당한 이익이 6호의 정당한 이익에 포함되는지 문제되는데, EU GDPR의 경우 전문47에서 '공공기관이 개인정보를 처리하는 법적 근거는 입법기관이 법률로써 규정한다는 점을 고려하면 공공기관이 본연의 업무를 수행할 때 발생하는 처리에는 해당 법적 근거가 적용되지 않는다.'고 밝히고 있는 점, 공공기관은 법령에 근거하여 업무를 처리해야 한다는 점 등에 비추어 부정하는 게 타당하다.
개인정보처리자의 정당한 이익은 개인정보처리자와 정보주체와의 관계를 기반으로 해서, 정보주체가 합리적으로 예상하는 범위에서 인정될 수 있는데, 정보수집의 시점이나 정보수집의 상황 등을 고려하여 신중하게 평가해야 한다. 따라서 정보주체가 합리적으로 예상하는 범위를 넘은 경우에는 정당한 이익으로 인정될 수 없다.
개인정보처리자의 정당한 이익은 개인정보 처리를 위해 달성하고자 하는 목적을 통해 구체화되는바, 개인정보처리자의 이익은 구체적인 이익이어야 하므로, 모호하고 일반적이거나 추상적이며 광범위한 이익은 포함되지 않는다. 예컨대 '회원 개인정보 처리에 정당한 이익이 있다'는 것만으로는 정당한 이익에 포섭될 수 없고, '판매 증진을 위한 마케팅 이익' 등과 같이 구체적이어야 한다. '만약의 경우를 대비'해서 개인정보를 수집하는 경우도 정당한 이익에 포섭될 수 없다.
개인정보처리자의 이익은 합법적이어야 한다. 불법적이거나 비윤리적인 경우에는 정당한 이익으로 포섭할 수 없다. GDPR 전문47은 사기 방지, 직접 마케팅 등을 정당한 이익의 예시로 들고 있다.
개인정보보호위원회는 해설서에서, 요금 징수 및 정산, 채권추심, 소 제기 및 진행 등을 위하여 증빙자료를 조사·확보하는 경우, 영업비밀 유출 및 도난방지, 출입이 통제되고 있는 사업장 내 시설안전을 목적으로 한 CCTV 설치 등을 정당한 이익으로 인정하고 있다.
나. 명백한 우선 : 정당한 이익이 정보주체 권리보다 명백하게 우선해야 한다.
법문에는 '정보주체의 권리'로 되어 있지만 6호가 이익형량 조문이라는 점에서 정보주체의 이익으로 넓게 이해하는 것이 타당하다. 정보주체의 권리로는 사생활 보호, 차별금지, 표현의 자유 등이 포함되고, 정부주체의 이익으로는 사회적 평판을 유지할 이익 등이 포함될 수 있다.
정보주체의 이익은 개인정보처리자의 이익과 달리 정당한 이익일 필요는 없다. 반드시 합법적인 이익이 아니라도 정보주체의 이익으로 거론될 수 있다.
정당한 이익이 정보주체의 이익보다 '명백하게' 우선해야 하므로, 정보주체의 사생활을 과도하게 침해하거나 정보주체의 기본권에 심각한 간섭이 발생한 경우에는 처리될 수 없다. 명백성 우선성은, 개인정보처리자의 일정한 정보주체 권리 침해 위험 경감 조치나 안전성 확보조치 등을 통해서 달성할 수도 있다.
정보주체가 합리적으로 예상하기 어려운 경우 또는 정부주체가 명확히 처리를 반대하는 경우라면 정당한 이익이 명백하게 정보주체 권리보다 우선한다고 보기 어려울 것이다.
또한 동의나 법령에 의해서만 처리가 의무화된 민감정보 또는 정보주체가 아동인 경우 등은 많은 경우 정당한 이익이 정보주체 권리보다 명백하게 우선된다고 보기 어려울 것이다.
개인정보보호위원회는 해설서에서, "회사가 업무효율성 및 영업비밀 보호 등을 이유로 직원의 업무처리 내역 및 인터넷 접속내역 등을 모니터링하는 시스템을 설치하는 것은 정보주체 권리보다 명백히 우선한다고 보기는 어려우므로, 이 경우는 노사 협의에 따라 처리하거나 직원에 대한 고지 또는 동의절차를 거치는 것이 바람직하다."고 밝히고 있다.
다. 필요성, 상당성과 합리성 : 당해 개인정보 처리가 정당한 이익 달성을 위해서 필요하고, 상당한 관련이 있고 합리적인 범위를 초과하지 않아야 한다.
개인정보처리자의 정당한 이익이 전제되면, 당해 개인정보 처리가 정당한 이익 달성을 위해서 필요하고, 이 정당한 이익과 당해 개인정보 또는 그 처리 사이의 상당한 관련성이 있어야 하고, 상당한 관련이 있어도 합리적인 범위를 초과하지 않은 범위에서의 개인정보 처리이어야 한다.
당해 개인정보를 처리하지 않고도 어렵지 않게 개인정보처리자가 원하는 결과를 얻을 수 있다면, 개인정보처리자의 정당한 이익이 부정되거나 또는 정당한 이익이 정보주체 권리보다 명백하게 우선되지 않은 경우이거나 또는 합리적인 범위를 초과하는 것으로 볼 가능성이 크다.
정당한 이익이 인정되어도 처리되는 개인정보 또는 그 처리행위는 합리적인 범위 내어야 하므로, 개인정보처리자 입장에서는 더 적은 개인정보로, 정보주체의 이익을 덜 침해하는 방법으로 처리하도록 노력해야 한다.
4. 우리나라의 사례
가. 보호위원회 결정 제2015-12-22호
한국철도공사가 철도사고시 사고원인 규명을 위하여 폐쇄된 공간인 철도차량 운전실에 폐쇄회로 텔레비전을 설치하여 각종 계기판과 안전운행장치 등으로 구성된 운전제어대와 그 위에 위치한 기관사의 두 손을 촬영하고, 촬영된 영상정보를 최장 7일간 각 철도차량 운전실 저장장치에 저장하고 철도사고 시에만 사고원인 규명을 위하여 열람·이용한 사안에서 ① 철도사고 원인규명과 승객의 안전 확보가 한국철도공사의 정당한 이익에 해당하며 ② 본건 영상정보의 수집 및 이용이 그러한 목적 달성에 필요하며 ③ 목적 달성을 위하여 합리적인 범위를 초과하지 않고 ④ 본건 영상정보의 촬영 대상, 보관 기간 등을 감안하면 한국철도공사의 정당한 이익이 본건 영상정보의 위와 같은 촬영으로 인하여 제한되는 정보주체(기관사)의 개인정보자기결정권보다 명백히 우선한다는 이유로 법 제15조 제1항 제6호 사유가 있다고 판단됨
나. 2016년 개인정보 분쟁조정 사례집, 55-57면
회사(피신청인)가 직원 복리후생 제도의 일환으로 이동전화요금 일부를 대납하여 주는 ‘분리과금’을 제공하고 있었는데, 퇴사한 직원(신청인)이 ‘분리과금’을 해지하지 않은 채 휴대전화번호를 변경하여 회사가 이를 해지하기 위해 이동통신사를 통하여 직원의 변경된 휴대전화번호를 조회한 사안에서 ① 복리후생 제도의 일환으로 이동전화요금 일부를 대납하여 주는 ‘분리과금’은 재직 중인 직원에게만 제공되는 혜택으로, 신청인 또한 이를 인지하고 퇴사 이후에는 ‘분리과금’ 혜택이 해지될 것을 충분히 예상할 수 있었으며 ② 피신청인 입장에서 퇴사한 신청인에 대한 ‘분리과금’을 피신청인이 해지하지 아니할 경우 신청인에게 부과되는 이동전화 요금 중 일부를 계속하여 부담하여야 하고, ‘분리과금’의 해지를 위해서는 해당 회선의 이동전화 번호가 확인되어야 하는 점을 고려할 때 불가피하게 변경된 신청인의 이동전화번호를 조회할 수밖에 없었다는 점이 인정되므로 제15조 제1항 제6호에 해당한다고 보임
다. 2015년 개인정보 분쟁조정 사례집, 101-106면
피신청인이 시설안전과 범죄예방 목적으로 주상목합건물 관리사무소 사무실에 CCTV를 설치하여 상시 운영한 사안에서 해당 공간이 주간에는 일반에게 공개되지만 야간에는 일반에게 공개되지 않고 신청인 등 경비원이 취침 등 휴식공간으로도 사용하고 있는 점 등을 고려할 때 비록 건물관리에 필요한 시설물의 안전을 위하여 CCTV를 설치하였더라도 야간 근무자의 취침공간까지 지속적으로 촬영할 필요까지는 인정하기 어렵고, 나아가 사생활 보호를 위한 최소한의 조치 없이 사무실 전체를 모두 촬영하는 데 따른 피신청인의 이익이 정보주체인 신청인의 권리보다 명백하게 우선한다거나 사생활이나 다른 이익을 과도하게 침해하는 것이 아니라고 단정하기 어렵다고 판단됨(제15조 제1항 제6호에 해당하지 않음)
