“이 개인정보, 이렇게 써도 될까?” 적법한 개인정보 이용을 위한 확인사항

파트너사로부터 새로운 비즈니스 모델을 함께 개발하자는 제안을 받았다. 이를 위해 현재 보유하고 있는 고객들의 개인정보 데이터를 분석하고 이용하는 것이 필요하다. 과연, 고객 데이터를 이렇게 이용해도 괜찮은걸까?

혹은, 신규 서비스를 기획하는 과정에서 고객들로부터 기존에 수집하고 있지 않던 새로운 개인정보를 수집하는 것이 필요하다는 결론이 나왔다. 개발팀에 문의한 결과, 해당 개인정보들이 서비스 이용과정에서 추가로 수집될 수 있게 하려면 프로그램의 업데이트가 필요하다고 한다. 업데이트를 통해 새로운 개인정보들을 수집해서 이용해도 되는걸까?

다른 데이터들과 달리, “개인정보”는 기업이 보유한 데이터 자산인 동시에, 해당 “개인”들의 존엄과 가치의 구현을 위해 별도의 법으로 보호되고 있는 정보이다. 따라서 기업이 보유하고 있는 개인정보를 이용하거나, 새로 수집하여 이용하고자 할 때에는 해당 법령, 즉, ‘개인정보 보호법’에 따라 그 이용이 적법한 가를 확인해야 한다. 본 고에서는 앞선 사례와 같은 상황에서 해당 개인정보의 이용이 적법한 것인지를 확인하기 위한 방법을 소개한다.

<1단계> 수집 및 이용하고자 하는 개인정보에 대한 “육하원칙” 확인

“이 개인정보를 이렇게 써도 될까?”에 대한 대답을 하기 위해서는, 먼저 이용하고자 하는 개인정보를 육하원칙에 따라 ‘누가(who), 언제(when), 어디서(where), 무엇을(what), 어떻게(how), 왜(why)’로 나누어 살펴봐야 한다. 이때 각 항목은 가능한 구체적으로 기술하는 것이 도움이 된다.

예를 들어, A라는 기업이 신규 서비스 개발을 위하여 기존 고객들을 대상으로 서비스 이용 패턴을 확인할 수 있는 정보를 수집해서 이용하고자 한다면 아래와 같이 육하원칙에 따라 기술해 볼 수 있다.

• 누가: A 기업(정보통신서비스 제공자등)의 신규 서비스 기획팀
• 언제: 서비스 이용 기간 동안 (회원 가입시부터 회원 탈퇴 시까지)
• 어디서: 서비스 시스템이 운용되고 있는 클라우드 컴퓨팅 환경상에 개인정보들이 저장되는 데이터베이스에 함께 저장되고, 신규 서비스 개발팀이 사용하는 데이터 분석 프로그램에서 이용됨 (대한민국 리전)
• 무엇을: (기존 보유정보) 고객의 연령, 성별, 서비스 가입일, 로그인 일시, (신규 수집예정 정보) 특정 메뉴에 대한 이용 일시, 특정 메뉴 안에서 클릭한 링크 정보 및 클릭 일시
• 어떻게: 특정 메뉴에 대한 이용 패턴 분석을 통한 회원 분류
• 왜: 신규 서비스의 타겟 고객군 선정 및 고객 유형별로 차별화된 서비스 구성을 위하여

이렇게 육하원칙의 항목을 모두 확인하고 나면, 기업이 이용하려는 개인정보들이 과연 이용할 수 있는 정보인지, 이용할 수 있다면 어떤 법적 근거가 있고 어떤 준비를 해야 하는지에 대해 고려할 수 있다.

<2단계> 개인정보 수집 및 이용의 법적근거 확인

기업이 이용하고자 하는 개인정보를 육하원칙에 따라 나눠서 살펴봤다면, 다음으로는 어떤 법적근거에 기반하여 개인정보를 수집하고 이용할 수 있는지를 살펴봐야 한다. 개인정보 수집 및 이용의 근거는 국내 개인정보 보호법 제15조에서 다루고 있는데, 제15조 제1항의 각 호에서 개인정보를 수집 및 이용할 수 있는 경우를 아래와 같이 명시하고 있다.

제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

앞서 1단계에서 확인한 개인정보의 수집 및 이용이 6가지 중 어디에 해당되는 지에 따라, 각 호의 해당사실을 증명할 수 있는 근거를 확보하는 것이 필요하다. 예를 들어 제15조제1항제2호나 제3호에 해당된다면 해당 법률 상의 규정이나 법령상의 조항 및 해당 사실을 증명할 수 있는 자료를 보관하면 된다. 만약 제15조제1항제1호에 따른 이용이라면 정보주체에게 제공한 동의서 일체와 동의 사실여부를 증명할 수 있는 자료들을 보관해야 하는데, 이 때 수집하는 동의서에 기재되어야 하는 내용은 앞서 확인한 육하원칙에 기반하여 다음 단계에서 소개할 적용 조항에 따라 다르다.

<3단계> 개인정보 보호법 상의 유관 조항 확인

적법한 개인정보 이용을 위해 준수해야 하는 개인정보 보호법 상의 해당 조항들은, 육하원칙의 6가지 기준 중에서도 ‘누가’ 개인정보를 이용하는 가와 ‘왜’ 이용하는 가에 따라 달라진다.

1. 개인정보의 이용 주체(who)에 따른 확인

‘누가(who)’는 개인정보를 수집한 주체가 직접 쓸 것인지 혹은 수집한 주체와 이용하는 주체가 다른지를 판단하는 것으로, 쉽게 말해 우리 기업이 쓸 것인지 다른 기업이 쓸 것인지를 고려해야 한다는 의미이다. 이 때, 다른 기업에 개인정보 처리 업무를 위탁하는 경우도 개인정보를 수집한 주체가 직접 이용을 하게되는 경우에 포함되며, 개인정보 보호법 제26조가 적용된다. 반면, 개인정보를 수집한 주체와 이용하는 주체가 다른 경우는 우리 기업이 수집한 개인정보를 제 3자에게 제공하거나 개인정보를 국외이전하는 경우에 적용되는 조항들을 확인해야 한다.

이렇게 ‘누가’의 기준은 개인정보를 수집하고 이용하는 주체가 누구인지, 즉 개인정보를 수집한 주체가 직접 이용하거나(위탁 제공 포함), 개인정보를 수집한 주체와 이용하는 주체가 다른 형태의 제 3자 제공과 국외이전과 같은 상황에 따라 적용되는 조항이 달라지기 때문에 ‘누가’에 대해 먼저 고려해야 한다.

1) 개인정보 수집 주체와 이용 주체가 동일한 경우

• A기업이 수집해서 A기업이 이용하는 경우
• A기업이 수집해서 B기업에게 개인정보 처리업무 위탁을 주는 경우

2) 개인정보 수집 주체와 이용 주체가 다른 경우

• A기업이 수집해서 B기업에게 개인정보를 제공하는 경우(개인정보 제3자 제공)
• A기업이 수집해서 국외이전하는 경우

또한, ‘누가’의 경우에서 사업자의 성격에 따라 적용되는 법령이 달라지기도 하는데 정보통신서비스 제공자가 그 예에 해당한다. 만약, 개인정보처리자가 고객의 개인정보를 수집・이용하기 위해 동의를 받는 경우 정보통신서비스 제공자가 아닌 개인정보처리자는 개인정보 보호법 제15조의 적용을 받지만, 정보통신서비스 제공자라면 개인정보 보호법 제39조의3에 따라야 한다.

2. 개인정보의 이용 목적(why)에 따른 확인

다음으로 ‘왜(why)’라는 기준은 어떤 목적으로 사용하느냐에 대한 부분으로, 당초 수집・이용하려는 목적과 동일한 목적으로 이용하려는 것인지 혹은 당초 수집・이용하려는 목적과 다른 목적으로 이용하려는 것인지 혹은 새로운 목적인지에 따라 적용되는 법령이 달라 지기 때문에 ‘왜’라는 목적 또한 반드시 고려해야한다.

1) 당초 수집 시 동의를 받은 목적 범위 안에서 이용하는 경우

2) 당초 수집 시 동의를 받은 목적과는 다른 목적으로 이용하는 경우

당초 수집 목적과 동일한 범위의 목적으로 이용하는 경우에는 별도의 동의를 획득하는 절차 없이, 당초에 동의 받은 보유 및 이용기간 내에서 이용가능하지만, 당초 수집목적과 다른 목적으로 이용하고자 할 때에는 새로운 목적에 대한 동의를 새로 받거나 변경된 부분에 대한 별도의 동의를 받아야 한다.

더불어 개인정보 중에서도 민감정보나 고유식별정보, 특히 주민등록번호 같은 경우를 수집하고 이용하고자 한다면 다른 조항들도 살펴보아야 하는데, 예를 들어 기업에서 고객의 주민등록번호를 처리하고자 한다면 이는 개인정보 보호법의 제24조의2에서 명시하고 있는 경우를 제외하고는 고객의 동의를 받더라도 처리가 불가하다. 즉, 주민등록번호를 처리하고자 할 때 개인정보 보호법 제24조의2에서 명시하고 있는 경우에 해당하지 않는다면, 고객의 동의를 받았다고 하더라도 고객의 주민등록번호를 처리할 수 있는 법적 근거가 없다고 할 수 있다.

따라서 기업은 개인정보 보호법에서 명시한 바에 따라 개인정보를 이용하고 수집할 수 있는 법적근거에 기반하여 수집한 목적의 범위에서 이용할 수 있고 개인정보를 당초 수집한 목적의 범위를 초과하여 이용하면 안되기 때문에, 고객의 개인정보를 이용하기 전 이용 가능여부를 먼저 판단하고 이에 맞는 계획을 세우는 것이 필요하다. 또한 이 모든 과정은 개인정보 수집 최소화의 원칙을 지켜야 한다.

개인정보 수집 최소화 원칙이란?

개인정보처리자가 개인정보를 수집하는 경우에는 필요 최소한의 개인정보만을 수집하여야 하며, 여기서 필요 최소한의 개인정보라는 입증책임은 개인정보처리자가 부담해야 한다.

결과적으로 기업에서 개인정보의 이용가능 여부를 판단하고자 할 때에는 수집 및 이용이 필요한 개인정보들에 대해 육하원칙에 맞춰 살펴본 뒤, 법적 근거에 따라 개인정보의 이용가능 여부를 판단해야 한다.