Posted by 앱 스토어에서 새로운 어플리케이션을 다운받아서 시작하려고 할 때, 혹은 친구가 추천해준 상품을 사고싶어서 전달받은 링크를 타고 들어가서 구매하기 버튼을 누를때 우리는 어김없이 “로그인” 또는 “회원가입” 창을 마주하게 된다. 그리고 진행되는 회원가입 단계에서 반드시 나타나는 ‘체크박스’들이 있는데, 바로 “약관에 동의합니다”와 “개인정보 수집 및 이용에 관한 동의”들이다.
이때, 간혹 “개인정보 처리방침에 동의합니다”라고 적힌 체크박스를 보게되는 경우가 있는데, 이 ‘개인정보 처리방침’에 대한 동의는 불필요한 사항이기 때문에 사실상 이 동의는 효력이 없다.
개인정보 처리방침에는 서비스 또는 상품을 제공하는 회사가 이용자들의 개인정보를 어떻게 처리한다는 사항이 자세하게 명시되어 있는 만큼, 이 처리방침에만 동의를 받으면 되는거 아닐까? 개인정보 처리방침에 대한 동의가 왜 개인정보의 수집 및 이용에 대한 효력이 없는걸까?
“개인정보 처리방침” 이란?
“개인정보 처리방침”은 개인정보처리자(=업무를 목적으로 개인정보를 처리하는 공공기관, 법인, 단체 및 개인)가 개인정보에 대한 처리 기준 및 보호조치 등 개인정보 보호법 제30호에 따른 기재사항을 포함하여 문서화 한 것을 말한다.
개인정보 보호법 제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
즉, ‘개인정보 처리방침’은 개인정보를 수집하여 이용하고자 하는 회사 또는 기관이, 이용자들의 개인정보를 어떤 기준으로 처리하고 어떻게 보호할 것인가에 대한 방침을 정하고, 정보주체들이 언제든지 이 회사가 어떤 기준으로 개인정보를 처리하고 있는지 확인하고 알 수 있도록 공개해둔 문서다.
따라서 이용자들이 그 회사가 어떤 기준으로 개인정보를 처리하겠다는 방침에 대해 동의를 표시하는 것은 불필요한 일이다. 설령 이용자들이 모두 동의를 하지 않는다 해도, 회사가 개제한 개인정보 처리방침은 그 회사의 개인정보를 처리하는 방침으로써 유효하다. 만약, 그 회사의 개인정보 처리방침에 동의하지 않는다면, 나의 개인정보에 대한 처리중지를 요구하거나 파기를 요구할 수 있고, 또는 고객센터를 통하여 개인정보 처리방침의 수정 또는 변경을 건의해 볼 수도 있겠다.
“개인정보의 수집 및 이용에 관한 동의”
이용자들의 동의를 기반으로 개인정보를 수집하여 저장하고, 서비스의 제공 및 관리, 개선 등을 위하여 이용하기 위해서는, 반드시 “개인정보의 수집 및 이용에 관한 동의”를 받아야한다.
동의서에는 개인정보 보호법 제15조제2항에서 명시한 ‘법정 고지사항’만을 간결하게 고지하고, 일반인이 이해할 수 있을 정도의 쉬운 용어를 사용하여야 한다. 특히, 선택동의 항목에는 이용자가 동의 여부를 선택할 수 있다는 사실 및 동의를 거부하더라도 서비스 이용은 가능하다는 사실을 쉽게 확인할 수 있도록 표시해야 하고, 민감정보의 처리나 고유식별정보 처리 동의, 제3자 제공 동의 등은 구분하여 별도로 동의를 받아야 한다.
개인정보 보호법 제15조(개인정보의 수집ㆍ이용)
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
서비스의 본질적 기능과 무관한 ‘마케팅 활용 목적’ 또는 ‘광고성 정보 수신’을 위한 동의 또한 선택동의 항목으로 이용자가 명확히 알 수 있도록 별도로 분리하여 개별동의 받아야 한다.
“개인정보 처리방침”에 대해 받은 동의는 “수집 및 이용에 관한 동의”로 부적합
그렇다면 혹시, ‘개인정보 처리방침에 대한 동의’를 ‘개인정보의 수집 및 이용을 위한 동의’로 갈음할 수는 없을까?
앞서 살펴본 바와 같이 개인정보의 수집 및 이용을 위한 동의를 받을 때에는 “개인정보의 수집 및 이용 목적”, “수집하려는 개인정보의 항목”, “개인정보의 보유 및 이용 기간”, “동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익”을 고지하고 동의를 받는다고 했다. 그러니까, 개인정보 처리방침에 대해 동의를 받아도, 개인정보 보호법 제15조제2항이 명시한 법정 고지사항들을 모두 고지하고서 동의를 받은 것이라고 볼 수 있는 것 아닌가?
물론 개인정보의 수집 및 이용을 위하여 동의를 받을 때에는 반드시 법정 고지사항을 반드시 고시해야 하지만, 더불어 그 이외의 사항을 장황하게 포함하지 않고 알아보고 이해하기 쉽게 간결하게 고지 해야 한다는 지침도 개인정보 보호위원회가 발간한 “온라인 개인정보 처리 가이드라인(2020.12)”에 명시되어 있다. 따라서, 개인정보 처리방침의 전체 내용을 동의를 받기 위하여 제공하는 것은 부적절하다고 볼 수 있다.
더불어, “선택항목”에 대한 동의는 반드시 이용자가 동의 여부를 “선택”할 수 있는 형태로 받아야 하고, 동의를 거부하더라도 서비스 이용은 가능하다는 사실도 고지가 되어야 하는데, 개인정보 처리방침에 대해 동의를 받으면, 사실상 선택항목에 대한 동의 여부를 선택할 수 있는 방법을 제공했다고 보기 어렵다.
설령, 수집항목 중에 선택항목이 없더라도, 민감정보의 처리나 고유식별정보 처리 동의, 제3자 제공 동의 등은 구분하여 별도로 동의를 받아야 하는데, 개인정보 처리방침에 대해 동의를 받으면 별도 동의를 받았다고 할 수도 없다.
특히, 서비스의 본질적 기능과 무관한 ‘마케팅 활용 목적’ 또는 ‘광고성 정보 수신’을 위한 동의들은 선택동의 항목으로 이용자가 명확히 알 수 있도록 별도로 분리하여 개별동의 받아야 하는데, 이 부분도 지켜지지 않았기 때문에, ‘개인정보 처리방침에 대한 동의’를 ‘개인정보의 수집 및 이용을 위한 동의’로 간주하기에는 부적절하다.
무엇보다 근본적으로, “개인정보 처리방침에 동의합니다” 라는 말은 ‘이 회사가 개인정보를 어떻게 수집해서 처리한다는 그 방침에 동의를 한다’는 뜻이기 때문에, ‘나의 개인정보를 이 회사가 수집해서 이용하는 것에 동의한다’로 볼 수가 없다. 따라서, “개인정보 처리방침”에 대해 받은 동의는 “개인정보의 수집 및 이용에 관한 동의”로 부적합하다.
따라서, 개인정보를 수집하여 이용하려는 개인정보처리자들은 반드시 개인정보의 수집 및 이용을 위하여 동의를 받는 방법에 따라 별도의 동의서를 통해 동의를 받아야 적합한 동의를 수집한 것으로 인정받을 수 있음을 명심하자.