개인정보처리방침 자체에 동의를 받아도 되나요?

*본 콘텐츠는 SOVAC Together 콘텐츠 파트너 법무법인 미션의 전문가 칼럼을 담고 있습니다. 

많은 스타트업이 회원가입이나 서비스 이용 과정에서 ‘□ [필수] 개인정보처리방침’처럼 개인정보처리방침 자체에 대해 동의를 받고 있습니다. 언뜻 보면 개인정보보호법을 준수하는 것처럼 보이지만, 실제로는 법적 효력이 없는 무의미한 절차일 가능성이 높습니다.

개인정보보호법상 개인정보처리방침의 법적 성격

개인정보보호법 제30조는 개인정보처리방침을 공개하도록 규정하고 있습니다. 이는 개인정보처리방침이 개인정보처리자가 일방적으로 작성하여 정보 주체에게 알리는 고지사항임을 의미합니다. 마치 영업시간을 게시판에 붙여두는 것과 같은 성격으로, 동의의 대상이 아닌 공개의 대상입니다.

개인정보처리방침에는 개인정보의 처리 목적, 처리하는 개인정보의 항목, 보유 및 이용기간, 제3자 제공 현황 등이 포함되어야 하며, 이는 정보 주체가 자신의 개인정보가 어떻게 처리되는지 알 수 있도록 하기 위한 투명성 확보 장치입니다.

개인정보보호법상 동의란?

반면, 개인정보보호법상 동의는 매우 엄격한 요건을 갖춰야 합니다:

1. 법 제15조제2항: 개인정보수집이용동의는 개인정보의 수집·이용 목적, 항목, 보유 및 이용기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 구체적으로 구분하여 받아야 합니다. “개인정보처리방침 전체”에 대한 포괄적 동의는 이 요건을 충족하지 못합니다.

2. 법 제22조제5항: [법 제15조 제1항 각 호에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보]와 [정보주체의 선택에 따라 동의를 받아 처리할 수 있는 개인정보]를 구분하고, 선택적 동의를 거부했다는 이유로 서비스 제공을 거부해서는 안 됩니다. 개인정보처리방침 전체에 대한 동의로는 이러한 구분이 불가능합니다.

3. 법 제22조, 시행령 제17조: 개인정보처리자가 정보주체의 동의를 받을 때에는 1) 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있어야 하고 2) 동의를 받으려는 내용이 구체적이고 명확하여야 하는데, 개인정보처리방침에는 동의가 필요한 사항과 그렇지 않은 사항이 혼재되어 있습니다. 예를 들어,

    - 동의가 필요한 사항: 마케팅 목적의 개인정보 수집·이용, 제3자 제공

    - 동의가 불필요한 사항: 계약 이행을 위한 개인정보 처리, 법적 의무 이행

4. 법 제22조제1항: 개인정보수집이용동의, 개인정보제3자제공동의, 민감정보처리동의, 고유식별정보처리동의, 홍보 및 마케팅 활용 동의 등 여러 동의사항은 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의사항을 구분하여 각각 동의를 받아야 합니다. 개인정보처리방침 전체에 대한 동의로는 이를 준수할 수 없습니다.

스타트업을 위한 실무 조언

현재 개인정보처리방침 전체에 동의를 받고 있다면, 개인정보보호위원회나 전문가의 도움을 받아 개인정보 처리 현황을 재점검하고 올바른 동의 체계를 구축하시기 바랍니다. 단순히 체크박스 하나를 바꾸는 것이 아니라, 개인정보 거버넌스 전체를 재설계하는 작업이 필요할 수 있습니다.

법적 리스크를 줄이고 사용자의 신뢰를 얻기 위해서는 개인정보보호법의 취지를 제대로 이해하고 이를 준수하는 것이 무엇보다 중요합니다.

작성 : 김동주 변호사(법무법인 미션)

원문 : [법무법인 미션] 개인정보처리방침 자체에 동의를 받아도 되나요?