공정거래위원회(이하 ‘공정위’)는 이달 중순 구글, 페이스북, 네이버, 카카오 등 국내외 온라인 사업자 4곳의 서비스 약관을 심사해 10개 유형의 불공정 약관 조항을 시정토록 했다. 특히 구글의 경우 문제되는 불공정 약관 조항에 개인정보보호법에 위배되는 내용의 조항을 포함하고 있는데, 이는 한국의 개인정보보호 법령 규율대상에 해당되는 기업에 시사하는 바가 크다.
구글의 불공정 약관의 구체적인 조항은 구글 계정 만들기 화면에서 ‘동의’를 선택하면 서비스약관 뿐만 아니라 개인 정보 처리 방침에도 포괄적으로 동의하는 것으로 규정하고 있다는 점이다. 이처럼 회원 가입 과정에서 서비스 약관과 개인 정보 처리 방침에 대한 동의를 한 번에 받을 경우, 고객은 각각의 내용에 대한 충분한 숙지 없이 일괄로 동의할 우려가 있다. 따라서 개인 정보의 수집·이용 등은 약관과는 별도로 설명하고 자발적인 의사에 따라 동의 여부를 결정하도록 해야 한다.
또한 구글은 약관에서 유용한 제품 기능을 제공할 목적으로 콘텐츠(이메일 포함)를 분석할 수 있도록 규정했다. 개인 정보 보호 관련 법령에서는 사업자가 이용자의 개인정보를 수집하는 경우 목적과 항목을 구체적으로 밝히고, 서비스 제공을 위해 필요한 최소의 정보만을 수집하도록 정하고 있다. 따라서 ‘유용한 제품 기능을 제공할 목적’과 같이 추상적·자의적 사유로 이메일까지 분석하는 것은 개인 정보를 과도하게 수집해 사생활을 침해할 우려가 있기 때문에 불공정 조항에 해당되는 것이다.
이번 구글 등에 대한 공정위의 시정권고를 통해 기업이 준수해야 할 올바른 개인정보 수집과 이용의 구체적인 내용에 대해 살펴보고자 한다. 개인정보보호법 제15조에서는 개인정보처리자가 개인정보를 수집·이용할 수 있는 경우로서 6가지를 규정하고 있는데, 이 중 기업이 특히 알아둬야 할 사항을 확인해 보자.
정보주체의 동의를 받은 경우
개인정보처리자가 수집·이용에 대한 동의를 받을 때는 정보주체가 그 내용과 의미를 명확히 알 수 있도록 미리 ①개인정보 수집·이용 목적 ②수집하려는 개인정보의 항목 ③개인정보 보유와 이용기간 ④동의 거부권이 존재한다는 사실과 동의 거부에 따른 불이익의 내용을 알려줘야 한다.
특히 개인정보 수집·이용 목적과 수집하려는 개인정보의 항목을 주의해야 하는데, 구글의 약관에서 문제된 바와 같이 내용이 구체적이지 않거나 광범위하고 추상적이라면 이는 정보주체의 동의를 받은 경우로 보기 어렵다고 판단할 수 있다. 따라서 내용은 구체적이어야 한다. 특히 개인정보 이용 목적과 개인정보 항목에 열거사항 외에 이에 준하거나 유사한 항목을 포함하는 의미로 ‘등’의 용어를 사용하는 것은 피해야 한다.
이처럼 일일이 정보주체의 사전동의 절차를 거치지 않고도 정보주체의 동의가 있는 것으로 인지하고 개인정보를 수집·이용할 수도 있다. 대표적인 예가 바로 명함을 주고받는 행위다. 이는 정보주체의 명시적 동의가 없어도 명함에 기재된 개인정보를 이용할 수 있다고 보는 것인데, 일반적으로 명함을 교환하는 행위에는 명함에 기재된 정보를 사용해도 된다는 동의 의사가 내재돼 있다고 해석할 수 있기 때문이다.
예를 들어 정보주체가 자동차 구매를 위해 자동차판매점을 방문하고 담당직원에게 명함을 준 경우, 그 직원은 정보주체의 동의가 없었지만 자동차 구매와 관련한 정보의 제공 등을 위해 명함에 기재된 연락처를 이용할 수 있다. 그러나 자동차판매점 직원이 자동차 판매와 관련하지 않은 목적 즉, 지속적인 홍보, 이벤트 안내 등을 위해 고객의 정보를 이용하기 위해서는 별도로 고객의 동의를 받아야 한다.
또한 인터넷 홈페이지 등 공개된 매체, 장소 등에 정보주체가 자신의 개인정보를 수집·이용해도 된다는 명시적인 동의의사를 표시하거나, 홈페이지의 성격, 게시물 내용에 비춰 동의 의사가 있었다고 인정되면, 해당 정보주체의 개인정보는 동의 없이 수집·이용할 수 있다. 예를 들어, 인터넷 중고거래 사이트에서 상품을 팔기위해 정보주체가 판매물품에 대한 설명과 자신의 전화번호를 기재한 경우, 이는 해당 상품의 거래목적으로 전화번호를 이용해도 된다는 동의 의사를 표한 것으로 볼 수 있다. 또한 근로자와 사용자가 근로계약을 체결하는 경우에도 근로기준법상 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위해 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.
계약 체결·이행을 위해 불가피하게 필요한 경우
정보주체와 계약 체결이나 이행을 위해 개인정보의 수집이 불가피하게 필요할 수밖에 없는 경우까지 정보주체의 동의를 받도록 하면 경제활동에 막대한 지장을 초래하고 동의를 얻는데 소요되는 비용만 증가할 수 있다. 따라서 계약 체결이나 이행을 위해 불가피하게 필요한 개인정보는 정보주체에 대한 고지·동의 없이도 개인정보를 수집할 수 있도록 한 것이다.
‘계약체결’에는 계약체결을 위한 준비단계도 포함된다. 예를 들어, 부동산거래 시 계약체결 전에 해당 부동산의 소유자, 권리관계 등을 미리 조사·확인하는 경우가 이에 해당한다. 단, 계약 미체결 시에는 수집한 개인정보는 즉시 파기해야 한다. 계약 체결·이행을 위해 불가피하게 필요한 경우에 대한 또 다른 경우 중 계약 체결의 사례로는, 거래 체결 전에 거래상대방의 신용도 평가를 위해 정보를 수집·이용하는 경우나 회사가 취업지원자와의 채용, 근로계약 체결 전에 지원자의 이력서, 졸업증명서, 성적증명서 등 정보를 수집·이용하는 경우 등이 있다. 또한 계약 이행의 사례로는 홈쇼핑 회사가 고객이 주문한 상품을 배송하기 위해 주소, 연락처 정보를 수집하는 경우, 경품 행사시 당첨자에게 경품을 발송하기 위해 주소와 연락처 정보를 요구하는 경우 등이 있다.
개인정보처리자의 정당한 이익 달성을 위해 필요한 경우
개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 있다. 그러나 개인정보처리자의 이익이 명백하게 정보주체의 권리보다 우선해야 하고, 수집하고자 하는 개인정보가 개인정보처리자의 정당한 이익과 상당한 관련이 있어야 하며, 합리적인 범위를 초과해서는 안 된다.
‘정당한 이익’의 예로는 요금 징수나 정산, 채권추심, 소 제기나 진행 등을 위해 증빙자료를 조사·확보하는 경우, 영업비밀 유출이나 도난방지, 출입이 통제되고 있는 사업장 내 시설안전 등의 목적으로 CCTV 설치를 하는 경우 등을 들 수 있다. 이같은 개인정보처리자의 정당한 이익 달성의 사례로는 사업자가 고객과의 소송이나 분쟁에 대비해 요금정산자료나 고객의 민원제기내용, 대응자료 등을 수집ㆍ관리하는 경우를 들 수 있다.
이미 해결된 민원인데도 계속해서 민원을 제기하는 경우나 기존의 민원제기 내역과 대처기록 등의 자료를 기록·보관할 때, 요금 정산이나 과금에 대한 불만 발생시 이를 증빙할 수 있는 서비스 이용 내역에 대한 증빙 자료를 생성·관리할 때 사전에 동의를 받는다면 사업자의 영업활동에 과도한 부담이 되기 때문이다.
글 | 최재윤 법무법인 태일 구성원 변호사
