[개인정보보호법 개정]: 동의 없이 개인정보 수집·이용이 가능

1. 개인정보 필수동의 관행 개선한다... 9월 15일부터 보호법 시행령 개정안 시행

https://m.boannews.com/html/detail.html?mtype=3&tab_type=6&idx=132828

개인정보 필수동의 관행 개선한다... 9월 15일부터 보호법 시행령 개정안 시행

 

+

https://www.yna.co.kr/view/AKR20240912087200530?input=1195m

고객 서비스에 필요한 개인정보, 동의없이 수집할 수 있다 | 연합뉴스

 

[ 요약정리 ]

1. 개인정보보호법 시행령 개정안이 시행되었다. 계약 이행 등이 필요한 경우, 정보주체의 동의 없이 개인정보를 수집 및 이용할 수 있게 됐다. 9월 15일부터 동의를 받아 보호법 시행령 규정이 시행될 예정이다.2. 개인정보보호위원장은 개인정보 수집·이용 시 동의 없이 가능하다는 점은 명확하고, 동의가 필요한 경우 단계적으로 개선해 나갈 계획이라고 밝혔다.

 

 

개정 전: "불가피하게" 필요할 때만 

• 온라인 사업자는 서비스 제공 시 정보주체 동의를 받아야만 했다.
• 동의만 받으면 개인정보 수집·이용에 대한 책임이 정보주체에게로 넘어간다.
• 이에 작년 보호법 개정을 통해 기업 등이 서비스 이용계약 과정에서 신뢰에 기반할 경우 별도 동의 없이 개인정보를 이용할 수 있도록 했다. 꼭 필요한 경우에만 정보주체로부터 명시적인 동의를 받도록 개선했다.

개정 후: 동의를 받을 때 충족해야 하는 사항

• 동의 여부를 자유롭게 결정할 수 있어야 함
• 동의 내용이 구체적이고 명확해야 함
• 쉽게 이해할 수 있는 문구를 사용해야 함
• 동의 여부를 명확히 표시할 수 있는 방법 제공

 

 

자주 묻는 질문 (FAQ)

Q1. 현재 개인정보 수집·이용 동의를 받는 내용이 서비스 이용계약 이행 등에 필요한 것인지에 대한 분석 없이 필수동의를 받고 있는데, 향후에도 계속 유지해도 되는지?

A.  서비스 이용계약 이행에 필요한 개인정보는 동의 없이 수집·이용이 가능함. 대신 계약과 무관한 개인정보는 정보주체가 자유롭게 동의 여부를 선택할 수 있도록 해야 함(아니면 법 위반)

 

Q2. 그동안 서비스 이용계약 이행 등에 필요한 개인정보에 해당함에도 필수적으로 동의를 받아온 경우 어떻게 개선하면 되는지?

A. 위 질문에 대해 동의받을 필요 없음. 동의내용에서 제외하고 정보 주체가 해당 내용을 쉽게 알 수 있도록 개인정보 처리방침에 동의를 받아 수집하는 개인정보 항목과 구분해 공개하는 조치가 필요함

필요한 개인정보에 대한 필수 동의가 오랫동안 유지되어 왔고, 정보주체가 이러한 관행에 익숙한 점을 고려해  해당 부분에 대해 정보주체에게 고지 및 안내하는 것도 방법이 될 수 있음

 

Q3. 민감정보 또는 고유식별정보의 경우 정보주체의 필수동의를 받아도 되는지?

A. 계약 이행이나 서비스 제공 특성상 민감정보·고유식별정보(주민등록번호 제외) 처리가 필요하다면 정보주체에게 충분히 설명하고 별도로 필수 동의를 받아야 함

다만, 계약 이행이나 서비스 제공에 꼭 필요한 게 아니면 정보주체로부터 자유로운 의사에 따른 선택 동의를 별도로 받아서 처리할 수 있음

 

Q4. 법 제22조(동의를 받는 방법)에서는 개인정보 수집·이용 외에 ‘제3자 제공’할 때에도 구분해 각각 동의(별도 동의)를 받도록 규정하고 있는데, 이 경우에도 선택동의 원칙을 준수해야 하는지?

A. 제3자가 제공할 때 동의 사항을 구분해 각각 별도의 동의를 받아야 하며, 정보주체가 자유롭게 동의 여부를 결정할 수 있도록 해야 함. 계약 이행에 필수적이라면 필수 동의를 요구할 수 있음

제 3자 제공 시에도 선택동의 원칙을 준수해야 함

 

 

[결론]

개정 전 불편점을 표로 정리해보았다.

단점	상세 내용
과도한 동의 요구	동의를 받는 과정이 복잡하고 번거로움
서비스 제공의 비효율성	서비스 제공이 지연되거나 비효율적일 수 있었음
정보주체의 책임 증가	정보주체가 동의서의 내용이나 개인정보 처리 방침을 충분히 이해하지 못한 채 동의를 해야 하는 상황이 초래되었음
유연하지 못한 법적 규제	기업들이 상황에 따라 유연한 대응이 어려워 서비스 개선, 새로운 비즈니스 모델 도입에 제약이 있었음
법적 요구 사항의 모호성	필수/비필수의 경계가 명확하지 않아 기업들이 법적 책임을 회피하려는 경향이 있었음. 이는 개인 정보 보호의 일관성을 떨어뜨림

 

정보주체의 동의를 강제화하였지만 개인정보 보호 강화하려는 법의 취지와는 반대로, 비효율성을 초래하거나 사용자의 권리를 충분히 보장하지 못하는 경우가 있었다.

 

개정된 법력은 이러한 문제를 개선하기 위해 동의 절차를 명확히 하고, 계약 이행에 필요한 개인정보는 동의 없이 수집할 수 있도록 변경하였다.

 

---

 

🤔 이에 대한 나의 생각

개정된 개인정보보호법 시행령은 정보주체의 동의 없이 개인정보를 수집할 수 있는 조건을 명확히 하고 있다.

이로 인해 기업과 서비스 제공자에게 더 많은 유연성을 부여하여, 특히 계약 이행에 필요한 개인 정보 처리 시의 부담을 덜어준다.

그러나 이러한 법적 변화가 기술 발전, 특히 보안 기술에 어떤 영향을 줄지에 대한 지속적인 검토와 조정은 필요하다고 생각한다.

정보주체의 권리를 보호하면서도 기업이 원활하게 운영될 수 있도록 하는 균형을 맞추는 것이 중요하다는 생각이 든다.