개인정보보호법 분석3

2. 개인정보 제공

 1) 제공 요건

 개인정보를 제3자에게 제공하기 위해서는 다음의 경우에만 허락된다.

기존 정보통신망법에서는 원칙적으로 개인정보 제공을 금지하고, 이용자의 동의가 있는 경우에만 허락하고 있다. 개인정보보호법은 공공기관도 포함되므로 공공기관에서 법령에 따른 제공, 정보주체의 명백한 이익이 우선되는 경우에는 동의없이도 제공이 가능하도록 하는 내용이 포함되었다.

기본원칙은 정보주체의 동의가 없는 경우에는 제공할 수 없도록 하여 원칙상 변화는 없다고 할 것이다.

2) 제공 시 동의내용

제공 시 동의를 받아야 하는 항목은 기존 3개 항목은 동일하고(제공목적, 제공정보, 기간), 수집동의와 마찬가지로 '동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익 내용'이 추가되었다.

3, 정보주체 이외로부터 수집한 개인정보의 수집출처 고지

개인정보처리가자 정보주체 이외로부터 수집한 개인정보를 처리하고자 하는 때에는 정보주체의 요구가 있으면, 수집 출처와 처리목적, 처리중지 요구에 대한 사항을 알려야 한다.

다만, 국가안전에 관한 사항이나, 고지로 인해 타인의 이익에 부당한 침해 우려가 있는 경우에는 예외로 한다.

조문 내용을 보면 정보주체의 요구가 있으면 수집출처 등의 알려야 한다고 되어 있는데, 그럼 정보주체의 요구가 없으면 고지하지 않고 처리해도 된다는 의미일까요? 정보주체가 이외로부터 수집했는데, 해당 정보주체가 내 개인정보를 처리하는 지 알 수 없는 경우도 있을텐데 말이죠.

이 조문에 대한 해석의 질의도 해 볼 필요가 있겠습니다.

4. 개인정보 파기(21조)

개인정보 처리 기간의 경과, 처리 목적이 달성되어 더이상 개인정보가 불필요하게 되었을 때는 지체없이 개인정보를 파기하여야 하고, 복구 또는 재상되지 않도록 파기하도록 규정하고 있습니다.

정보통신망법에 비해 한가지 추가된 사항은 다른 법령에 의해 보존하여야 하는 경우에는 해당 개인정보를 기존 개인정보와 분리하여 저장 관리해야 한다는 규정이 들어갔습니다.

즉, 해지 고객 정보를 일정기간 동안 보관하고 있었는데, 기존 DB에 같이 보관하면서, 광고메일이 날아간다던지 하는 사례가 발생하고 있기 때문에 분리 보관하도록 하고 있습니다.

파기방법에 대해서는 시행령으로 정하도록 하고 있는데, 최근에 입법예고된 시행령을 보면 파기방법으로 아래 두가지 방법을 규정하고 있습니다.

1. 개인정보가 기록된 출력물, 서면 등 : 파쇄 또는 소각

2. 전자적 파일형태 : 복원이 불가능한 방법으로 영구 삭제

5. 동의획득 방법(제22조)

1) 명확하게 인지할 수 있도록

개인정보 수집 및 제공 동의 등 이 법에 따라 동의를 받아야 하는 경우에는 각각의 동의사항을 구분하여 정보주체가 명확히 인지할 수 있도록 내용을 알리고 각각 동의를 받도록 하고 있습니다.

즉, 이용약관에 포함한다거나 여러 동의사항을 한꺼번에 모아 동의를 받으면 안된다는 의미입니다.

기본적으로 수집 동의, 제3자 제공동의, 민감정보 수집 동의, 고유식별정보 처리에 대한 동의, 재화및서비스 홍보판매에 관한 동의 등 각종 동의는 각각 구분하여 내용을 알리고 동의를 받아라는 의미일 것 같습니다.

다만, 명확하게 인지할 수 있도록 하여야 된다는 조문과 관련하여서는 어디까지 어떻게 표시를 해야 명확성이 있다고 볼 것이가에 대한 해석의 논란이 있을 수 있기 때문에, 정부에서 표준 사례를 제시하는 작업이 필요할 것 같습니다.

2) 동의사항 구분

동 조 제2항에서는 정보주체의 동의가 필요한 사항과 동의없이 처리할 수 있는 개인정보는 서로 구분하여 표시하도록 하고 있습니다. 동의없이 처리할 수 있는 정보를 생각해 보면, 주로 자동으로 생성되는 정보가 해당될 것 같은데, 웹사이트 접속 시 마다 발생하는 쿠키정보, 핸드폰 사용 시 자동으로 생성되는 통화내역 정보 등일 것입니다. 이러한 정보는 생성될 때마다 별도로 동의를 받기에는 현저히 곤란한 정보이기 때문에 동의없이 처리되는 정보가 되고, 이러한 정보는 별도로 구분하여 동의없이 처리되는 정보임을 표시하라는 의미로 보면 될 것 같습니다.

3) TM 등 마케팅 목적으로 처리하는 정보는 더 엄격하게 동의

동 조 제3항에서는 재화, 서비스를 홍보하거나 판매하기 위하여 개인정보를 처리하기 위하여 동의를 받을 때는 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받으라고 하고 있습니다.

즉, TM을 하거나, 마케팅을 위해 광고를 보내기 위해 개인정보를 처리할 때는 더 엄격하게 명확하게 인지시킨 다음에 동의를 받아라는 의미입니다.

다른 동의사항과 내용을 섞어 정보주체가 내용을 잘 모르고 동의하는 경우를 방지하기 위함이고, 동 조 제4항과 더불어 정보주체가 광고 목적으로 개인정보를 처리하는 것을 쉽게 거부할 수 있도록 하기 위한 조치 입니다.

4) 동의에 대한 선택권 보장

동 조 제4항에서는 아래와 같은 선택적으로 동의할 수 있는 사항에 대해 동의를 하지 않는다는 이유로 재화나 서비스 제공을 거부해서는 안된다고 규정하고 있습니다.

 - 동의가 필요한 개인정보와 동의없이 처리할 수 있는 개인정보를 구분하여 동의를 받는 경우
 - 재화나 서비스의 홍보 판매를 위해 개인정보를 처리하는 것에 대한 동의
 - 개인정보를 목적 외 이용하거나 제3자에게 제공하는 것에 대한 동의

최근에 개정된 정보통신망법에도 본 조항과 취지가 비슷한 내용이 들어가 있는데요. 즉, 개인정보 제3자 제공에 대한 동의나 취급위탁에 대한 동의는 개인정보 수집 동의와 구분하여야 하고, 이에 대한 동의를 하지 않는다는 이유로 서비스 제공을 거부해서는 안된다고 규정하고 있습니다.

예전에 회원가입에서 개인정보 제3자 제공에 대한 동의를 필수로 하여 동의를 하지 않으면 아예 가입조차 되지 않는 사례가 많이 있어, 무분별한 개인정보 제공을 막고자 도입된 규정입니다.

5) 만14세 미만 아동의 개인정보 수집

만14세 미만 아동의 개인정보를 수집하고자 할 때는 법정대리인의 동의를 받아야 하고, 법정대리인의 동의를 받기 위해 아동으로 부터 법정대리인의 최소한의 개인정보는 수집할 수 있도록 하고 있습니다. 이 조항은 기존 정보통신망법에도 그대로 있는 조항으로 차이는 없습니다.

6) 세부적으로 동의를 받는 방법

위에서 규정한 이외에 동의를 받는 세부적인 방법은 시행령에서 정하도록 하고 있고, 최근 입법예고된 시행령에 따르면 아래와 같은 방법으로 동의를 받도록 하고 있습니다.

 - 서면으로 된 동의를 교부하여 서명 날인 받는 방법(직접 교부, 우편, 팩스로 전송)
 - 전화의 경우에는 전화로 동의내용을 알리고 의사표시를 받거나, 동의내용을 확인할 수 있는 홈페이지를 알려주고 재차 전화하여 동의 의사표시를 확인
 - 인터넷 사이트에 동의내용을 표시하고 정보주체가 직접 동의하는 방법
 - 동의내용이 적인 전자우편을 발송하고 정보주체의 동의의사표시가 적힌 전자우편을 받는 방법
 - 그 밖에 유무선 통신으로 동의내용을 알리고 동의 의사표시를 확인하는 방법으로 행안부 고시로 정하는 방법