지난 번에 개인정보보호법과 정보통신망법의 주요 차이점에 대해 포스팅한 적이 있습니다. (여기) 지난 번 포스팅에 이어 이번에도 두 법령의 차이점에 대한 포스팅 입니다.
온라인과 오프라인에서 개인정보를 수집할 때에는 개인정보보호법과 정보통신망법에서 규정하고 있는 개인정보 수집·이용 동의 방법을 적용하여 이용자(정보주체)의 동의를 받아야 합니다. 그런데… 동의를 받는 방법 중에서 “개인정보처리 위탁”에 대한 동의를 개인정보 수집·이용 동의와 구분하여 별도로 받아야 하는가에 대한 규정이 정보통신망법과 개인정보보호법에서 미묘하게 차이가 있습니다. 그래선지 정보보호관련 컨설팅을 받았다고 하는 여러 기업이나 기관의 홈페이지나 오프라인 회원가입 신청서를 보면 개인정보 처리업무의 위탁에 대한 동의 부분이 전혀 다른 경우가 종종 발견됩니다.
과연 개인정보 위탁 시 별도동의를 받아야 하는지 법 조문을 추적해보겠습니다.
개인정보보호법의 개인정보 수집·이용 동의 규정
먼저 개인정보보호법의 개인정보 수집·이용 동의를 받는 방법에 대한 규정입니다.
제22조(동의를 받는 방법) ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. <개정 2017. 4. 18.>
제22조 제①항에서 정보주체(이용자)에게 동의를 받을 때는 각각의 동의 사항을 구분하여 알리고 각각 동의를 받으라고 하고 있습니다. 이 조항만 보면 수집·이용 동의와 위탁에 대한 동의를 구분하여 알리고 별도 동의를 받아야하지 않나 생각됩니다만 구분하여야 하는 각각의 동의 사항이 무엇인지는 포함하고 있지 않습니다.
다음은 제22조 제③항에 또 동의를 받아야 하는 대상에 대해 설명합니다.
③ 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. <개정 2016. 3. 29., 2017. 4. 18.>
이 조항에서는 동의를 받아야 하는 네 개의 경우를 명시하고 이 네 가지 법조항에 따라 개인정보 수집단계에서 정보주체(이용자)의 동의를 받으라고 합니다. 그리고 그 중에서 정보주체(이용자)와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하라고 하고 있습니다.
이 4개의 법조항에서 의미하는 동의가 각각 무엇인지 알아보면…
제15조 제1항 제1호는 개인정보의 수집·이용에 대한 정보주체(이용자)의 동의를 의미합니다. 즉 일반적인 개인정보를 수집할 때 받아야 하는 동의죠.
제17조 제1항 제1호는 개인정보의 제3자 제공에 대한 정보주체(이용자)의 동의를 뜻합니다. 즉 수집한 개인정보를 제3자에게 제공할 때 필요한 동의 입니다.
제23조 제1항 제1호는 민감정보를 수집·이용하기 위한 정보주체(이용자)의 동의를 가리킵니다. 즉 민감정보처리에 대한 동의입니다.
제24조 제1항 제1호는 고유식별정보를 수집·이용하기 위한 정보주체(이용자)의 동의입니다.
그리고 정보주체의 동의없이 처리할 수 있는 개인정보가 있다면 동의를 받지 않아도 된다고 이야기 하는 듯 합니다. 하지만 동의 없이 처리할 수 있는 개인정보라는 것을 개인정보처리자가 입증해야 한다고 명시합니다. 법률에서 동의 없이 수집 및 처리할 수 있다고 명확하게 명시해준 케이스는 몇 개 없습니다. 해당 케이스를 제외하곤 정보주체(이용자) 동의 없이 수집할 수 있다는 것을 개인정보처리자가 입증해야 한다는 이야기인데… 그런 위험을 감수할 필요가 있을까요?
즉 위의 4개 케이스는 각각 분리하여 고지하고 별도 동의를 받는 것이 준거성 측면에서 가장 안전하고 편합니다.
그런데… 개인정보 처리업무 위탁에 대해서 별도 동의를 받으라는 규정은 아직 없습니다. 다만 개인정보의 수집·이용 목적을 달성하기 위해 개인정보 처리업무를 위탁할 때에는 문서에 의할 것이며 개인정보처리업무를 위탁받은 수탁사에 대해 교육하고 감독할 것 그리고 위탁현황을 정보주체(이용자)에게 고지할 것을 명시하는 규정만 있습니다.
즉 개인정보보호법에서는 개인정보 처리업무를 위탁할 때 별도의 구분된 동의는 필요 없습니다. 개인정보처리방침에 위탁 현황을 상세하게 알리기만 하면 됩니다.
하지만 정보통신망법은 조금 복잡하게 개인정보 처리위탁에 대해 다루고 있습니다.
정보통신망법의 개인정보 처리위탁 동의 관련 규정
정보통신망법에서는 개인정보의 처리를 위탁할 때 이용자(정보주체)의 동의를 받아야 하는지를 명확하게 규정하고 있습니다.
제25조(개인정보의 처리위탁) ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는
제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(이하 “처리”라 한다)를 할 수 있도록 업무를 위탁(이하 “개인정보 처리위탁”이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다.
다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. <개정 2016. 3. 22.>
1. 개인정보 처리위탁을 받는 자(이하 “수탁자”라 한다)
2. 개인정보 처리위탁을 하는 업무의 내용
② 정보통신서비스 제공자등은
정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁에 따른 제1항의 고지절차와 동의절차를 거치지 아니할 수 있다.
제1항 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. <개정 2014. 5. 28., 2016. 3. 22.>
제25조 제1항에서 개인정보 처리업무를 위탁하는 경우 이용자에게 개인정보를 위탁받는자와 위탁하는 업무의 내용을 알리고 동의를 받으라고 규정하고 있습니다. 다만 개인정보의 수집·이용 동의와 분리하여 별도 동의를 받으라고는 하지 않고 있습니다.
그런데 제2항에 보면 예외 규정이 있습니다. 엄격하게 해석해보면 수집·이용 목적에 해당하는 계약 이행을 할 때 이용자 편의 증진 등을 위해 필요한 경우 개인정보처리방침(제27조의2제1항)에 위탁관련 사항을 고지할 경우 고지절차와 동의 절차를 생략할 수 있다고 해석할 수 있습니다.
다만 주의할 점이 있는데, 바로 제24조의2항의 내용입니다. 제24조의2항은 동 법에서 서술한 이용자(정보주체)의 동의 없이 개인정보를 수집할 수 있는 경우 외에는 개인정보를 제3자에게 제공할 때 이용자에게 알리고 동의를 받아야 한다는 규정입니다. 그런데 문제는 이 조항에서 언급하는 제3자가 업무를 위탁하기 위한 제3자인지 목적외 이용을 위해 제공하는 제3자인지가 명확하지 않다는 점입니다. 문맥상으로는 목적외 이용을 위해 제공하는 제3자로 보입니다.
제24조의2(개인정보의 제공 동의 등) ① 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제22조제2항제2호 및 제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
② 제1항에 따라 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자는 그 이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우 외에는 개인정보를 제3자에게 제공하거나 제공받은 목적 외의 용도로 이용하여서는 아니 된다.
③ 제25조제1항에 따른 정보통신서비스 제공자등은 제1항에 따른 제공에 대한 동의와 제25조제1항에 따른 개인정보 처리위탁에 대한 동의를 받을 때에는 제22조에 따른 개인정보의 수집ㆍ이용에 대한 동의와 구분하여 받아야 하고,
이에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 아니 된다. <신설 2011. 4. 5., 2016. 3. 22.>
그런데 3항에 보면 정보통신서비스 제공자등은 제1항에 따른 제공 즉 개인정보의 제3자 제공 동의와 개인정보 처리위탁 동의(제25조제1항)를 받을 때에는 개인정보의 수집·이용 동의와 구분하여 받아야 한다고 규정하고 있습니다. 언뜻 보면 개인정보 처리위탁을 별도 동의 받아야 하는 것처럼 해석될 소지가 많습니다.
결론적으로 제25조는 개인정보 처리위탁에 대한 내용이고 제24조는 목적외 이용 제한에 대한 내용이므로 제24조의2 제3항은 약간 오류가 있는 조항이 아닌가 생각됩니다. (순전히 개인적인 판단임) 제24조는 전체적으로 목적외 이용을 위한 제3자 제공 동의에 대한 내용인데 제3항에서 뜬금없이 제25조제1항 즉 개인정보처리 위탁 동의를 제22조의 개인정보 수집·이용 동의와 분리하라는 조항이 삽입된 것입니다.
원래 제3항에서 하고자하는 이야기는 “개인정보 처리업무를 위탁하고자 하는 정보통신 서비스 제공자는 목적 외 이용을 위한 제3자 제공 동의를 받을 때 개인정보처리 위탁에 대한 동의 및 개인정보 수집·이용 동의와 분리하여 받아야 한다”는 이야기를 하고 싶은 것이 아닌가 싶습니다.
결국 정보통신망법에서 별도동의를 받아야 하는가 말 것인가의 결정은 개인정보 처리위탁이 서비스의 본질적 목적을 수행하는 업무이고 명백하게 이용자 편의 증진등을 위한 것이라는 것을 입증할 수 있느냐 없느냐에 따른다고 볼 수 있습니다.
실제 사례
실제로 ISMS인증과 PIMS 인증을 받은 기업의 회원가입 페이지를 들여다 보면 두가지 케이스가 모두 존재합니다.
개인정보 처리위탁에 대한 동의를 별도로 구분하여 받은 곳(고지도 함께 함)과 개인정보처리방침에 개인정보 처리위탁에 대한 현황을 자세하게 고지하고 실제 회원가입시에는 처리위탁에 대해서는 일언반구도 언급하지 않고 동의를 받지 않는 곳도 있는 것이 현실입니다.