요약문

1. 제목

• 개정법 시행에 따른 개인정보 처리 기준 개발 및 개선방안 연구

 

2. 연구개발의 목적 및 중요성

• ’23년 「개인정보 보호법」이 개정되면서 개인정보 수집·이용 및 제공에 대한 적법 근거, 정보주체의 유효한 동의 획득 방법, 개인정보 처리의 위·수탁 등과 관련한 규정에서 많은 변화가 있었음, 개정 취지를 고려하여 개인정보처리자가 동의 외 개인정보 합법처리근거를 활용할 수 있도록 예측가능한 해석 기준 제시가 필요함 
• 인공지능(AI)이나 자율주행, 클라우드 컴퓨팅, 플랫폼 서비스 등의 고도화가 이루어지며 개인정보의 처리에 있어서도 영상정보나 위치정보의 처리라든지, 국외이전 이슈, 다자간 관계에서의 개인정보 처리 구조에 관한 문제 등 처리기준을 둘러싼 다양한 이슈가 제기되고 있음. 기술의 발전에 따라 변화하는 개인정보 처리환경 및 새롭게 발생할 수 있는 개인정보보호에 대한 위협에 대응하여 개인정보 규제체계에 대한 변화의 필요성 및 방향성을 검토하고, 개인정보보호법의 개정 취지와 환경 변화를 반영하여 개인정보처리를 둘러싼 합리적 기준을 제시할 필요가 있음

 

3. 연구개발의 내용 및 범위

• 주요 개인정보 처리 제도에 관한 현행 법제, 가이드라인 분석
  • 개인정보보호법 및 관련 해설서, 가이드라인등에 개인정보 수집·이용·제공 및 위·수탁 규정에 대한 기본 원칙 및 주요 내용과 해석, 적용 사례 등을 분석·검토하여 적법한 개인정보 처리 기준 정립의 기초자료로 활용함(아래 검토 대상 예시에 한하지 않고 개인정보보호위원회의 고시, 해설서, 가이드라인 등 폭넓게 검토 예정)
    • 개인정보 보호법
    • 개인정보 보호법 시행령, 고시
    • 표준 개인정보 보호지침(24.1.4. 일부개정)
    • 개인정보 처리 방법에 관한 고시(23.10.16. 일부개정)
    • 개인정보의 안전성 확보조치 기준(23.9.22. 일부개정)
    • 개인정보 보호법 및 시행령 개정 안내서
    • 개인정보 보호법 및 시행령 2차 개정사항 안내서
    • 개인정보 보호법 표준 해석례 2023, 2022, 2021
    • 해외사업자의 개인정보 보호법 적용 안내서(2024.4.)
    • 개인정보 손해배상책임 보상제도 안내서
    • 공공분야 가명정보 제공 실무안내서(21.1.)
    • 개인정보 유출 등 사고대응 매뉴얼(2023.09. 개정)
    • 보건의료데이터 활용 가이드라인(2024.1.)
    • 2020 개인정보 보호 법령 및 지침·고시 해설서
    • 아동·청소년 개인정보보호 가이드라인
    • 가명정보 처리 가이드라인(2024.2.)
    • 고정형 영상정보처리기기(CCTV) 설치운영 가이드라인 (2024.1. 개정)
    • 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서
    • 알기쉬운 개인정보 처리 동의 안내서
    • 2023 개인정보 법령해석 사례 30선
    • 개인정보보호 가이드라인(공공기관 편)(2023.12. 제정)
    • 홈페이지 개인정보 노출방지 안내서(2023.12.개정)
    • 개인정보보호 가이드라인(통계작성 편)(2023.11. 제정)
    • 개인정보 보호 법규 위반에 대한 징계권고 기준(2023.10.11. 시행)
    • 개인정보 보호법 위반에 대한 공표 및 공표명령 지침(2023.10.11. 시행) 등  
  • 개인정보처리자가 예측가능한 개인정보 합법처리근거의 합목적적 해석 기준 제시가 필요, 이와 같은 기조 하에 개인정보처리기준을 세분화해 연구하고자 함 

 

• 주요 개인정보 처리에 대한 사례 조사 및 분석 
  • 주요 개인정보 수집·이용 및 제공 유형별, 처리 근거별 사례와 개인정보 처리에 대한 정보주체의 동의 획득 사례 및 개인정보 처리 위·수탁, 제3자 제공 등 다수의 ‘참여자’가 관련된 개인정보 처리 유형·사례 조사 분석하고, 신기술·서비스 도입 등에 따른 신규 개인정보 처리 이슈, 산업계 의견·애로 사항 청취 및 관련 판례, 언론 이슈 등을 분석함으로써 주요 개인정보 처리 제도 적용 기준에 반영

 

• 주요 개인정보 처리 제도의 구체적 적용 기준 및 개선안 마련
  • 앞선 주요 개인정보 처리 제도에 관한 현행 법제, 가이드라인 분석 및 주요 개인정보 처리에 대한 사례 조사 및 분석을 통한 연구결과를 바탕으로 개인정보 처리에 관한 구체적 적용 기준을 정립하고자 함 
  • 또한 현행 법령 적용의 한계가 있는 경우 향후 법제 개선 방안에 관하여도 함께 제시

 

• 개인정보 처리 제도 적용에 대한 안내서 초안 마련 
  
  • 연구 결과를 바탕으로 마련한 개인정보 처리 제도의 구체적 적용 기준을 개인정보처리자가 실무에서 쉽게 확인하고 적용할 수 있도록 안내서 초안을 마련함, 안내서는 기존 해설서 및 가이드라인 내용에 법 개정사항 및 최신 사례 등을 반영하여 포함하고 각 항목별 수립된 세부 기준에 관한 설명, 적용할 수 있는 사례, 보호위 의결¸판례 또는 FAQ 등을 통해 실무자의 이해도 제고할 수 있도록 목차와 세부 구성안, 안내서에 포함되어야 하는 구체적 컨텐츠 등 초안 작성

 

4. 연구결과

• 총칙
  • 개인정보보호법의 목적과 개인정보 보호 원칙에 관한 제3조의 의의와 역할 검토
  • 개인정보 보호 원칙을 규정한 제3조는 개인정보보호법이 추구하는 기본적인 방향성을 제시함과 함께 개별적·구체적 사안에서 개별 법규정을 적용함에 있어서 해석의 기준을 제시해줌
  • 개인정보처리자에게는 행동의 지침을 제시해 주고, 정책담당자에게는 정책 수립 및 법 집행의 기준을 제시해 주며, 사법부에 대해서는 법 해석의 이론적 기초를 제시해줄 수 있음

 

• 개인정보의 수집·이용
  
  • 법률에 규정·법령상 의무 준수 범위(제15조 제1항 제2호) : ‘법률에 특별한 규정이 있는 경우’를 수집·이용의 요건으로 할 때 해당 법률은 구체적으로 규정되어 있어야 하고, 이에 따라 제3자로부터 정보주체의 개인정보를 수집·이용하는 경우 제공하는 제3자 측에서의 제공할 수 있는 적법처리근거, 제공받는 자 측의 제공 요청에 대한 적법처리근거가 모두 규정되어 있어야 함, 다만 향후에는 개인정보를 요청할 수 있다는 개인정보 요청의 근거 규정과 함께, 요청받은 자는 요청에 응해야 한다는 의무규정을 같이 두어 개인정보 제공의 근거 규정이 마련할 수 있도록 하는 입법적 지원이 지속적으로 필요할 것으로 보임. 또한‘법령상 의무’의 요건을 충족하기 위하여서는 전단의 ‘법률에 특별한 규정이 있는 경우’와는 구별되게 법률 이외에 법률의 위임을 받은 법령까지도 개인정보 수집·이용목적, 개인정보처리자, 수집·이용되는 개인정보의 유형, 해당 정보주체, 개인정보가 공개될 수 있는 대상, 수집·이용목적의 제한, 보유기간 등이 특정되어야 하며 ‘불가피한 경우’의 요건을 충족하기 위하여서는 개인정보를 수집·이용을 하지 않고는 법령에서 부과하는 의무를 이행하는 것이 불가능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우에 해당하여야 함
  • 공공기관 소관 업무 수행 범위 : ‘법령 등에서 정하는 소관업무’의 예시로는 정부조직법 및 각 기관별 직제령·직제규칙, 개별 조직법 등에서 정하는 소관 사무, 주민등록법, 국세기본법, 의료법, 국민건강보험법 등의 법령에 의해서 부여된 권한과 의무 수행, 조례에서 정하고 있는 지방자치단체의 업무 등이 있음. 이 경우 법률의 위임 범위는 법률에 위임근거가 있는 가운데 시행령, 시행규칙에 소관 업무가 규정된 경우에 한함. 통상적으로 공공기관의 소관업무는 정부조직법이나 특별법에서 규정하고 있음. 간혹 일부 특수법인의 경우 소관 업무가 시행령, 시행규칙, 정관 등에 규정된 경우가 있는데 이러한 경우에도 법률에 따른 위임의 범위 내에서 부여된 업무로 소관업무 수행의 범위를 한정해야 하며 정관 등에 비로소 새롭게 규정된 경우는 위임의 범위를 벗어난 것으로 보아야 함. 또한 제3호는 공공기관의 소관업무 수행임을 명확히 하여 제2호와 별도로 규정한 조항에 해당함. 별도로 규정되어 있더라도 제2호와 제3호는 제정의 취지가 양 요건 간 서로를 배제하고자 하는 것이 아니고 동시에 만족할 수 있는 규정이기에 공공기관이 제2호와 제3호의 요건에 모두 해당하는 경우에는 제2호와 제3호가 중복하여 적용될 수 있음
  • 계약의 체결 및 이행 : 개인정보처리자는 “정보주체와 체결한 계약을 이행”하거나 “계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여” 필요한 경우에는 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있음. 법 조항의 취지에 따라 계약 이행과 체결을 구분하여 “정보주체와 체결한 계약을 이행”하거나 “계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여” 필요한 경우의 두 요건으로 나누어 고려하여야 함. 약관도 본 조항의 “계약”에 포섭된다고 할 것이고 다만, 약관에는 계약의 한쪽 당사자가 일방적으로 내용을 미리 포함하는 방식으로 작성될 수 있으므로, 계약의 이행 등에 해당되는지 여부는 약관의 구체적인 내용을 보고 판단해야 할 것임, 한편 포괄적인 법 조항의 해석상 어떠한 개인정보까지 계약의 체결·이행을 위해 수집하거나 이용할 수 있는 것인지 문제가 되는데 정보주체에 대한 고지·동의 없이도 개인정보를 수집할 수 있도록 한 것이라는 취지를 고려하여 구체적 사안에 따라 판단하여야 할 것으로 보임. 본조의 경우 “개인정보처리자와 정보주체가 계약과 관련하여 서로 예상할 수 있는 합리적인 범위 내”에 해당하는지가 중요한 기준이 될 것임. 계약으로 제공하고자 한 서비스의 특성, 계약의 근거 및 핵심 내용에 비추어 정보주체에게 그 계약에 합리적으로 수반되는 개인정보 처리에 관하여도 이용자가 충분히 예상할 수 있는 경우에는 계약의 체결 및 이행을 위해 필요한 경우라고 할 것임. 즉, 법 제15조 제1항 제4호의 적용 여부는 ① 정보주체와의 계약이 전제된 것인지, ② 정보주체의 예측 가능성이 있는지, ③ 계약의 체결 또는 이행과 합리적 관련성이 있는지 등을 종합적으로 고려하여야 할 것인데, 구체적으로는 각 요건을 판단할 때 본 계약의 대상이 되는 서비스, 기술의 특성 그리고 시장환경의 변화 등도 종합적으로 고려해야 할 것임 
  • 명백히 급박한 필요성이 인정되는 경우 : 법 제15조 제1항 제5호에 근거하여 개인정보 수집·이용이 이루어지는 경우 개인정보의 수집·이용 목적은 명백하게 정보주체 또는 제3자의 생명·신체·재산 상의 이익을 위한 것이어야 하며 이익과 동시에 손해가 함께 발생하는 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 없게 되어 제5호가 적용되지 않으며, 특히 제3자의 재산상 이익은 정보주체의 생명·신체 상의 이익을 앞설 수는 없다고 볼 수 있음, 또한 급박한 생명·신체·재산 상 이익의사표시를 할 수 없는 상태에 있거나 주소불명의 상태까지는 아니더라도 생명·신체·재산 상의 이익을 보호해야 하는 상황에서 동의를 받기 위한 충분한 시간적 여유가 없고 단시간 내 조치가 반드시 요구된다면 급박성을 인정할 수 있을 것임 
  • 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 : 정당한 이익은 먼저 개인정보 처리를 통해 개인정보처리자가 달성하고자 하는 이익이 정당해야 하고, 이익이 정당해야 하므로, 다른 법률에 저촉되지 않는 합법적인 것이어야 하며 정당한 이익의 범위 자체를 법률상 이익으로 한정할 필요는 없으나 그 이익의 주체는 ‘개인정보처리자’이므로 넓게 해석된 이익이 최소한 개인정보처리자와 관련성은 있어야 함. 한편, 개인정보처리자의 정당한 이익은 처리를 통해 달성하고자 하는 ‘목적’을 통해 구체화되며, 개인정보보호법상 목적 명확화 원칙(법 제3조 제1항)의 구속을 받음. 따라서 정당한 이익은 막연하고 추상적이며 일반적인 목적(예컨대, 향후 기업 영리행위 추구 등)으로는 충분하지 않고, 구체적이고 명확한 목적(예컨대, 판매 증진을 위한 마케팅 관점에서의 기존 고객 데이터 분석 등)이 있어야 인정될 수 있음. 개인정보처리자의 정당한 이익을 달성하기 위해 개인정보를 수집·이용할 필요성이 인정되어야 하고, 이러한 수집·이용은 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위 내에 있어야 하며 합리적인 범위 내의 수집인지를 판단하기 위해서는 목적 달성을 위해 필요 최소한의 개인정보 수집한 것인지 검토할 필요가 있음. 또한 개인정보처리자의 정당한 이익이 명백하게 정보주체의 권리보다 우선해야 하며, 이를 판단하기 위해 정당한 이익과 정보주체의 권리 간에 구체적인 이익 형량을 해야 함. 한편, 구체적인 이익 형량 결과 개인정보처리자의 정당한 이익이 명백하게 정보주체의 권리보다 우선해야 하는데, 이 때 “명백하게 우선”한다는 조건의 의미가 문제되는데 개인정보처리자의 정당한 이익이 정보주체의 권리보다 월등해야 한다는 견해와 개인정보처리자의 정당한 이익이 정보주체의 권리보다 우선한다는 점이 명백하면 충분하다는 견해가 있음. 개인정보보호위원회는 2023. 3. 14. 법률 개정을 통해 정보주체의 동의를 제외한 다른 개인정보 처리 근거의 활용을 확대하고자 하고 있기 때문에 이러한 경향에 맞추어 개인정보처리자의 정당한 이익 요건을 활성화하기 위해서는, 기존의 구체적인 이익 형량 결과의 판단 기준을 완화할 필요가 있음. 즉 개인정보처리자의 정당한 이익이 정보주체의 권리보다 우선한다는 점이 명백하면 충분하다는 방향으로 해석될 필요가 있다고 생각됨
  • 공공의 안전을 위해 긴급한 경우 : ‘공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우’는 ‘공공의 안전’을 위한 경우와 ‘공공의 안녕’을 위한 경우로 구분할 수 있으며, ‘안전’과 ‘안녕’의 범위를 모두 포섭하여 해석할 수 있음. 기존의 각종 전염병의 확산방지를 위한 환자 격리, 감염원 추적 등의 활동과 천재지변·긴급재난 등으로부터 이재민을 구조·구호하기 위한 활동은 ‘공공의 안전’의 범위에 국한된 것이므로 ‘법질서, 개인적 법익, 또는 국가와 그 시설의 존속 및 기능이 아무런 장해도 받지 않고 있는 상태’를 의미하는 ‘공공의 안녕’의 범위에까지 해석의 확장이 필요함. 다만, ‘긴급히’라는 요건이 있으므로, 긴급성의 요건을 충족하여야 함. 긴급성의 요건과 관련하여 법원은 경찰관 직무집행법 제6조의 긴급한 경우를 ‘급박성’이라 하면서 그 의미를 “당장 제지하지 않으면 손해가 발생할 것이 객관적으로 인정되고, 그 방법 외에는 결과를 막을 수 없는 절박한 상황”으로 설시하고 있음(대법원 2013. 6. 13. 선고, 2012도 9937 판결). 형사소송법에서는 긴급체포의 요건인 긴급성을 “체포영장을 받을 시간적 여유가 없는 때”로 명시하고 있으며, 법원도 긴급체포, 체포·구속장소에서의 피의자 수색, 범죄장소에서의 압수수색 등에서 긴급성을 점점 더 엄격하게 판단하고 있음. 위 요건에 비추어 경찰 등 수사기관에서 바디캠이나 드론을 이용하여 수사하는 경우 일반적인 수사를 진행하는 경우에는 해당되지 아니하고 개별적인 신
    고에 의한 수사에 해당하거나 현행범 체포 상황 등의 급박한 상황에서 그 처리가 가능하다고 할 수 있을 것임
  • 개인정보의 추가적 이용·제공 : 개인정보의 추가적 이용·제공 제도는 1) EU GDPR의 양립가능성 판단 기준을 참고하여 신설된 것으로서, 양립가능성 판단은 개인정보의 추가 처리 목적이 당초 수집 시의 처리 목적과 양립할 수 있다면 정보주체의 동의를 받지 않고 사용하는 것을 허용한다는 점, 2) 개인정보 보호법 제15조 제3항 및 제17조 제4항은 그 입법취지
    를 볼 때 개인정보처리자가 수집된 정보를 (정보주체의 개인정보 자기결정권을 침해하지 않는 선에서) 보다 넓은 범위에서 유연하게 이용·제공할 수 있게끔 하기 위하여 만들어진 것이라는 점을 고려할 때, 시행령 제14조의2에서 규정하고 있는 네 가지 기준을 지나치게 엄격하게 해석하는 것은 법 제15조 제3항 및 법 제17조 제4항을 형해화하는 것으로서 지양해야 할 것으로 판단됨
  • 동의 의무 위반(제15조)과 동의 받는 방법 위반(제22조)의 관계 : 개인정보보호법 제22조에 위반하는 경우 1천만원 이하의 과태료만 부과되는 것에 비하여, 개인정보보호법 제15조 위반으로 의율되는 경우 최대 전체 매출액의 100분의 3 범위에서 과징금이 부과될 수 있는 만큼, 제15조 위반으로 의율하는 것에는 특히 신중해야 할 것으로 보임. 특히 법 체계상 동의 방식 위반으로 제22조의 별도의 제재를 마련해 놓은 취지에 비추어 보면, 최소한의 형식적 동의는 있다고 생각되는 경우에는 가급적 제22조 위반으로 해석함이 타당함. 한편, 시행령 제17조에 규정된 조건들이 유효한 동의 여부 판단에 있어서 전혀 고려되지 않을 것은 아니나, 시행령 제17조는 기본적으로 개인정보보호법 제22조, 즉 동의 방식과 관련된 것이기 때문에, 시행령 제17조 위반은 기본적으로는 개인정보 동의 방식 위반으로 봄이 타당하고, 시행령 제17조 위반을 미동의로 의율함은 타당하지 않음. 종전과 유사하게, 개별적이고도 구체적인 사안별로 동의를 유효하지 않다고 볼만한 사정이 있는지를 판단하여 결정하는 것이 타당함 

 

• 개인정보의 수집 제한
  
  • 개인정보 보호법(이하 ‘법’이라 한다) 제16조에서는 개인정보처리자가 법 제15조 제1항 각 호에 따라 정보주체로부터 개인정보를 수집할 때에는 그 목적에 필요한 범위 내에서 최소한의 개인정보만을 수집하도록 규정하면서,(제1항) 필요 최소한의 정보 외의 개인정보로서 부가적 내지 선택적 필요 목적의 개인정보에 대해서는 동의하지 아니할 수 있다는 사실을 구
    체적으로 알리도록 하고 있으며,(제2항) 이러한 부가적 내지 선택적 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부할 수 없도록 의무화 하고 있음(제3항), 즉, 법 제16조의 경우 이른바 “최소수집의 원칙”을 명문화한 것으로 평가되는바, OECD의 개인정보 보호 8원칙 수집제한의 원칙(Collection Limitation Principle), 
    정보 정확성의 원칙(Data Quality Principle), 목적의 명확화 원칙(Purpose Specification Principle), 이용제한의 원칙(Use Limitation Principle), 안전성 확보의 원칙(Security Safeguards Principle), 공개의 원칙(Openness Principle), 개인 참가의 원칙(Individual Participation Principle), 책임의 원칙(Accountability Principle)중 수집제한의 원칙(Collection Limitation Principle)과 그 취지를 같이 하는 것으로 평가할 수 있음. 나아가, 법 제15조 제1항 각 호에 따른 적법성을 통한 개인정보 수집 시에도 필요 최소한도의 개인정보만을 수집하도록 함으로써, 수집 단계에서 개인정보 보호
    를 보다 실효성 있게 만들어 주는 역할을 수행함

 

• 개인정보 이용ㆍ제공 제한 및 파기
  
  • 개인정보의 목적 외 이용·제공 제한 : 개인정보처리자는 정보주체에게 이용·제공의 목적을 고지하고 동의를 받은 범위나 이 법 또는 다른 법령에서 이용·제공이 허용된 범위를 벗어나서 개인정보를 이용하거나 제공하여서는 안됨. 이는 개인정보처리자가 개인정보 수집·이용 동의 시 정보주체에게 통지한 특정 목적 내에서 처리를 하도록 함으로써 포괄동의를 방지함과 동시에 법 제16조 제1항의 최소수집원칙에 따라 수집한 필요 최소한의 개인정보를 정보주체에게 사전에 인지된 목적 범위 내에서 수집·이용되거나 제공되어야 하는 점을 다시 한번 확인적으로 규정하고 있음. EU GDPR 제5조 제1항 b호에서도 목적 명확화 원칙(Purpose Specification Principle)을 규정함으로써 개인정보는 당초 목적을 벗어나 처리할 수 없는 원칙을 정하고 있고, 미국의 경우 공공부문의 일반적 개인정보 관련 법률인 Privacy Act of 1974에서 정부기관이 일정 목적으로 수집된 정보를 다른 용도로 사용할 수 없도록 하고 있음. 한편, 법 제15조 제2항 및 제17조 제2항에 따라 기존 동의 목적 이외에 다른 목적으로 사용하기 위해서는 변경 동의를 받도록 규정하고 있어 본 규정의 독자적 입법실익에 대해 의문이 제기될 수 있으나, 공공기관 등과 같이 다른 법률에 따라 개인정보를 처리하는 경우로서 정해진 목적 이외의 범위에서 개인정보를 예외적으로 처리하는 경우에 대한 근거 규정으로서 의미가 있다는 점에서 독자적 입법 실익이 인정될 수 있음
  •  개인정보 제공받은 자의 이용·제공 제한 : 개인정보를 제3자 제공하기 위해서는 법 제17조에 따라 원칙적으로 이용 목적 등에 대해 구체적으로 알린 후 별도 동의를 받아야 하는바, 법 제19조에서는 이러한 제3자 제공을 통해 개인정보를 받은 자의 개인정보 처리에 대한 구체적 기준을 제시함으로써 개인정보처리자와의 형평성을 제고하기 위한 것에 본 규정의 취
    지가 있다고 할 것임. 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우이거나 다른 법률에 특별한 규정이 없는 이상 해당 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 없음. 별도 동의를 받기 위해서는 제15조, 제17조 내지 제18조 등의 동의와는 구분하여 동의를 받아야 할 것임(법 제22조 제1항 제4호). 또한, 본 
    규정은 개인정보를 제공받은 자의 ‘목적 외’ 이용·제공을 금지하는 규정으로서, 제공받은 ‘목적 내’ 범위라면 개인정보를 제공받은 자는 해당 개인정보를 별도 동의 없이 제3자 제공할 수 있는 것으로 해석해야 할 것임
  • 개인정보의 파기 : 개인정보처리자는 개인정보 보유기간의 경과, 개인정보 처리 목적 달성, 가명정보의 처리 기간 경과 등 개인정보를 더 이상 보유할 필요가 없을 때에는 해당 개인정보를 지체 없이 파기하여야 함(법 제21조 제1항). 개인정보를 보유할 필요성이 소멸하였음에도 개인정보처리자가 이를 지속적으로 보유하는 경우, 개인정보처리자가 쉽게 처리목적을 넘어 활용할 가능성이 높고, 관리부실에 따른 개인정보 유출이나 제3자의 해킹 등 보안위험성이 높아지기 때문에 이러한 위험에서 벗어나 개인정보를 안전하게 보호하기 위한 것이 본 규정의 취지라고 볼 수 있음. 파기와 관련하여 계약 이행을 위해 처리되는 개인정보의 경우 사전에 처리방침 등에 보유기간이 명시되어 있는 경우 해당 보유기간을 근거로 파기 여부
    를 결정하면 될 것이나, 별도로 보유기간을 구체적으로 명시하지 않은 경우(예: 처리 목적 달성시) 언제 파기의무가 발생하는지 문제될 수 있음. 구 법상 개인정보 유효기간제가 폐지됨에 따라 장기 미이용 정보주체에 대한 개인정보 처리 방안에 대해 별도 기준점 제시가 요구되기도 하는바, 별도 보유기간이 명시되어 있지 않은 경우에도 원칙적으로 계약 종료 시
    점에 파기 의무가 발생하는 것으로 보아야 할 것이고 다만, 장기 미이용자에 대한 계약 종료 시점에 대한 판단이 명확하지 않은 경우라면 가급적 이용약관 등에 장기 미이용자 직권해지 규정 등의 도입을 통해 가급적 개인정보 처리 기간이 명확히 설정될 수 있도록 근거를 마련하는 것이 바람직할 것임

 

• 동의를 받는 방법
  •  조항의 목적과 구분동의의 원칙 : 개인정보보호법 제22조는 정보주체의 개인정보 자기결정권을 실질적으로 보장하기 위하여, 구체적으로 처리되는 개인정보가 무엇인지를 명확하게 알리고 동의를 받을 것을 규정하고 있고, 개인정보보호법 시행령 제17조는 이에 대한 구체적인 기준을 제시하고 있음
  •  필수동의와 선택동의의 구분 : 정보주체가 ‘선택적으로 동의할 수 있는 사항’(선택동의 사항)의 범위는 개인정보 보호법상 명확하게 규정되어 있지 않고, 어느 범위까지를 필수동의의 범위로 보아 별개의 동의가 필요하지 않은 항목인지가 문제될 수 있는데, 필요한 최소한의 개인정보라 함은 본질적 기능을 수행하기 위하여 반드시 필요한 것으로서, 이 때 서비스는 이용자가 합리적으로 예상할 수 있는 개별 서비스를 기준으로 함
  • ‘자유로운 의사에 따른 동의’의 명확한 의미 : 2024. 9. 15.부터 시행된 개인정보보호법 시행령 제17조는 “정보주체의 자유로운 의사에 따라 동의여부를 결정할 수 있을 것”을 정보주체 동의에 대한 조건으로 명시하고 있다. 기존에도 판례를 통해서도 적용되어 온 조건이나, 시행령에도 새로이 규정된 것으로 해석됨. 다만 구체적인 사례에 있어 어떤 방식의 동의가 자유로운 의사에 따른 동의인지는 법 문언상 명확하지 않음. ‘자유로운 의사’의 해석은 그 범위가 모호하고, 결국 구체적인 사실관계에 대한 개별적 판단을 통해 기준을 확립해 나가야 할 것으로 보임. 다만 기본적으로 정보주체들에게는 계약의 자유가 인정되고, 판례도 기타 민사 사례에서 자유로운 의사에 기하지 않은 법률 행위는 비교적 넓게 인정하지 않고 있다는 점에서, 이를 과도하게 좁게 해석하는 것은 타당하지 않다고 생각됨. 또한, 자유로운 의사가 없었다고 넓게 해석하는 경우 서비스제공자로서는 이용자의 자유로운 의사가 확보되었음을 입증하기 위해 서비스 이용 시에 개인정보의 동의와 관련된 각종 추가적인 조치를 취할 수밖에 없게 되어, 오히려 원만한 서비스 제공이 어려울 수 있음. 따라서, 자유로운 의사가 심하게 저해되었다는 예외적인 사정 하에서만 자유로운 의사가 제한되었다고 보는 것이 합리적임

 

• 아동의 개인정보보호
  • 개정법에 따라 만 14세 미만 아동에 대한 특별한 보호를 위해 종전의 특례규정과 일반규정에 분산되어 있던 규정을 정비, 아동의 개인정보 처리시 법정대리인의 동의의무 및 법정대리인 동의 확인의무, 알기 쉬운 언어 사용 등의 의무를 모든 개인정보처리자로 확대함에 따라 법정대리인의 동의 및 동의확인방법, 연령확인절차, 아동에 대한 개인정보 처리 고지시 
    이해하기 쉬운 양식, 언어 등에 대한 검토가 필요함
  • 법정대리인의 동의를 받기 위해 아동에게 법정대리인의 성명과 연락처 등 최소한의 정보를 요구할 수 있으나, 가족관계증명서 또는 주민등록등본 등의 서류를 제출받아야 하는 것은 아니라는 것이 보호위 입장임. 현행 동의 방식은 아동의 법정대리인임을 보장할 수 있는 기술적 관리적 방식은 아님. 아동이 부모가 아닌 다른 성인의 휴대전화 본인인증 등을 이용
    하여 동의를 허위로 받는 것은 가능함. 본인확인을 통해 신원을 확인할 수 있어도 그가 해당 아동의 법정대리인인지를 확인하기는 어렵기 때문임
  • 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 ‘이 법에 따른 동의’를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다고 규정(법 제22조 제1항). ‘이 법에 따른 동의’라고 명시하고 있으므로, 동의 외 적법처리근거를 갖추었을 경우 법정대리인의 동의가 필요없다는 해석이 가능하며, 아동이 계약 체결 이행의 주체가 되는 경우에도 법 제15조 제1항 제4호에 따라 동의 없이 수집 이용이 가능하므로, 문언해석상 법정대리인의 동의 역시 필요 없다고 해석할 경우 만14세 미만 아동의 개인정보보호에 관한 보호체계에 있어 사각지대가 발생할 수 있음, 미성년자의 법률행위는 법정대리인의 동의를 얻어야 하며, 동의를 받지 않는 경우에는 취소할 수 있으므로(민법 제5조). 미성년자가 법정대리인의 동의 없이 계약을 체결한 것을 알게 된 법정대리인이 이를 취소하면, 해당 계약은 소급하여 무효가 됨(민법 제141조). 이 경우 개인정보 수집 이용의 근거가 된 계약이 사라지게 되어, 개인정보처리자는 더 이상 아동의 개인정보를 보유할 수 없으므로, 사후적으로 민법에 따른 보호가 가능할 수 있음. 다만, 미성년자가 계약을 체결한 것을 법정대리인이 몰라 취소권을 행사할 수 없거나, 권리만을 얻거나 의무만을 면하는 행위(민법 제5조 제1항 후문), 처분을 허락한 재산(민법 제6조) 등 법정대리인의 동의가 필요하지 않는 계약 체결의 경우 등은 여전히 문제가 될 수 있음. 따라서 만14세 미만 아동은 계약 체결 및 이행의 경우에도 법정대리인의 동의가 필요하다고 개정할 필요성 있다고 봄

 

• 민감정보 등의 처리제한
  • 민감정보의 처리 제한 : 민감정보는 원칙적으로 사생활을 현저히 침해할 우려가 있는 개인정보이므로, 다른 개인정보에 비하여 더 강한 규제의 대상이므로, 어떤 정보가 민감정보에 해당하는지 그 기준을 명확히 설정해야 할 필요가 있음
  • 건강에 관한 정보’와 관련하여 해석론(개인정보보호위원회 심결, 대법원 판결, 헌법재판소 결정 등)상으로 ‘사생활을 현저히 침해할 우려가 있는지’를 중심으로 특정‘건강에 관한 정보’가 민감정보에 해당하는지 여부를 판단해 온 것으로 보임. 개인정보보호법의 민감정보 처리에 관한 규정은 권리를 제한하거나 의무를 부과하는 법률로, 규율 대상자(수범자)에게는 무엇이 금지되는 행위이고 무엇이 허용되는 행위인지 미리 알 수 있도록 해야 하고, 법집행자에게는 객관적 판단지침이 무엇인지를 알 수 있도록 함으로써 법적 안정성과 예측 가능성을 확보할 수 있도록 해야하므로, ‘사생활을 현저히 침해할 우려가 있는지’에 따라 개별 사안을 판단하는 경우 명확성의 원칙에 위반된다는 지적이 있을 수 있음. 건강 관련 정보이면 전부 ‘민감정보’에 해당하는지도 명확하지 않음. GDPR 전문규정(35)과 같이 다소 포괄적이더라도, 특별 취급의 대상이 되는 건강정보의 ‘범주’별로 세분화 하여‘정의’함으로써, 특별 취급 대상이 되는 ‘건강정보’의 범주가 무한히 확정되는 것을 방지하고 수범자의 예측가능성을 높여줄 필요가 있음(예컨대, 안색에 관한 정보, 개인생성 건강데이터(Person-Generated Health Data, PGHD)는 병원 진료 또는 의료서비스 제공 시 의료인들에 의해 생성되는 데이터가 아닌 사용자가 스마트폰, 웨어러블 기기, 애플리케이션 등을 이용하여 혈압, 혈당과 같은 생리학적 데이터뿐만 아니라 운동, 식단, 수면과 같은 일상생활 중에 기록하거나 수집된 데이터 가운데 ‘언제 어느 장소에서 어떤 운동을 했다’는 등의 정보 등 일반 개인정보로 분류할 수 있는 것들은 제외하는 취지의 규정을 두는 것도 고려해 볼 수 있음) 
  • 고유식별정보처리의 제한 : 개인정보 보호법 시행령 제21조 제4항 제3호에서는 다른 법률에 따라 고유식별정보의 안전성 확보 조치 이행 여부에 대한 정기적인 점검이 이루어지는 경우로서 ‘고유식별정보 안전조치 관리실태 조사에 준하는 것’으로 인정되는 경우에 조사의 예외를 인정하고 있음. 그런데 명시적으로 예시된 “「신용정보의 이용 및 보호에 관한 법률」 제45조의5에 따른 개인신용정보 활용ㆍ관리 실태에 대한 상시평가” 외에 어떻게 점검이 이루어지는 경우 ‘고유식별정보 안전조치 관리실태 조사에 준하는 것’으로 볼 수 있는지 판단기준이 명확하지 않음. 조사예외에 대한 판단기준, 조사결과의 공표기준, 기타 세부기준 마련을 위해 현재 고유식별정보 안전조치 관리실태 조사 운영 현황과 유사 점검 사례를 살펴볼 필요가 있음. 고유식별정보 안전조치 관리실태 조사에 준하는 경우인지 여부는 ① 조사 주기, ➁ 조사 항목, ➂ 보호조치 기준 측면에서 고유식별정보 안전조치 관리실태 조사에 상응하는 정기적인 점검이 이루어지는지를 구체적으로 살펴보고 판단해야 함. 고유식별정보 안전조치 관리실태 조사 결과, 특정 개인정보처리자에게서 발견된 ‘법 위반사실을 공개’하는 것은 ‘위반사실등의 공표’에 해당될 수 있으므로, 「행정절차법」 제40조의3에 따라 적법한 절차를 거쳐, 지정된 방법으로 공표/공개해야 함. 그러나‘우수한 사례’나 ‘통계’ 결과는 공표/공개 가능하다고 판단되며, 이 경우 웹사이트, 보도자료, 사례집 등을 활용할 수 있음
  • 주민등록번호 처리제한 : 처리제한의 예외 사유로서 ‘제2호 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우’와 관련하여 보호위원회에 의하면, 단순히 정보주체의 생명, 신체, 재산의 이익이 있다는 이유만으로는 제2호 사유가 인정되는 것이 아니며, 급박성이 인정되어야 한다고 함. 그러므로 충분한 시간적 여
    유가 있거나 다른 수단에 의하여 생명, 신체, 재산의 이익을 보호할 수 있다면 급박한 상태에 있다고 보기는 어렵다는 것임. 
  • 제3호 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우’와 관련하여서도 현재 보호위원회가 제1호 및 제2호 사유에 준하는 것으로 인정하여 별도 고시를 정해두고 있지는 않은데, 주민등록번호 처리를 위해 고시하기 위해서는 다음의 기준에 의하여야 할 것으로 판단됨
    • 1) 주민등록번호 처리가 불가피할 것: 주민등록번호를 수집하지 않으면 그 해당 업무의 수행이 근본적으로 불가능한 경우여야 할 것임
    • 2) 1)의 목적에 관한 명백성과 급박성이 인정될 것: 1)로 인하여 수행하려는 업무가 (i) 정보주체 또는 제3자의 생명ㆍ신체ㆍ재산상 이익을 보호할 수 있는 경우임이 비교적 명확한 경우로서, (ii) 법률등을 제정할 충분한 시간적 여유가 없는 이례적인 경우여야 할 것임
  • 한편 고유식별정보 처리에 대해서는 형사처벌 규정을 두면서, 주민등록번호 처리에 대해서는 과태료 규정만 두고, 고유식별정보 처리제한에 관한 형사처벌조항을 적용하는 것은 문제점이 적지 않으므로, 입법 개선이 필요한 영역으로 보임

 

• 개인정보 위수탁과 관련한 쟁점 검토
  • 개인정보 위수탁과 인접 개념의 검토 : 제3자 제공과 위탁을 구분하는 기준과 관련하여 대법원은 제3자 제공은 개인정보의 수집, 이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보보호법 제26조의 개인정보의 ‘처리위탁’은 본래의 개인정보 수집, 이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다고 하며, 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 아래의 요소를 종합하여 판단하여야 한다고 판시함
     ① 개인정보의 취득 목적
     ② 개인정보의 취득 방법
     ③ 수탁에 대한 대가의 수수 여부
     ④ 수탁자에 대한 실질적인 관리, 감독 여부
     ⑤ 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향
     ⑥ 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 여부
  • 개인정보 수탁자와 개인정보 취급자의 구분관련해서 해설서는 개인정보 처리 업무 등을 수탁받아 처리하고 있는 수탁자도 개인정보 취급자라고 할 수 있으나, 수탁자에 대한 교육 및 관리 감독 규정은 제26조에서 별도로 규정하고 있으므로 이에 따른다고 설명하고 있음. 또한, 해설서는 수탁자도 이 법의 적용대상인 개인정보처리자에 해당되나 수탁자의 법규 준
    수의무를 명확히 하기 위하여 별도의 조문으로 관련 규정이 준용됨을 명시한 것이라고 설명함
  • 법인에 대한 개인정보취급자 인정 여부와 관련하여서는 취급자는 소위 ‘피용자’에 준하는 개념으로 볼 것이고, 그 본질 상 개인만 해당하고 법인으로 해당하지 않는 것으로 볼 것임
  • 위탁자의 의무 등 개별 쟁점 검토 : 교육의 방법 및 횟수 등을 수탁자의 개인정보보호 역량, 위수탁 업무의 성격, 개인정보 위험, 위수탁 기간 등을 고려하여 위탁자와 수탁자가 협의하여 결정할 수 있을 것으로 판단됨. 이에 따라, 제3자(개인정보보호 전문가, 전문기관 등)를 통한 수탁자 교육·관리·감독 방식이 가능할 것임
  • 위탁사보다 수탁사의 규모가 크거나 전문성이 높은 경우에 위탁사의 교육ㆍ관리감독 책임을 어느 범위까지 볼 것인지가 문제가 됨. 수탁사가 자체 교육을 수행하더라도, 관리감독 책임은 여전히 위탁사에 있는데, 대규모의 전문수탁사의 경우 이 체계가 실질적인 책임성에 부합하는지 여부가 논란이 될 수 있음. 대규모 수탁자와 계약을 체결할 수 밖에 없다고 하더
    라도 이 점을 들어 소규모 클라우드 고객에게 관리 감독 의무를 면책시킬 수는 없다고 보아야 함. 그러나, 관리 감독의 수준의 양자의 관계에 따라서 유연하게 해석할 수 있을 것임
  • 재위탁의 범위와 관련하여 개인정보법상 재위탁을 하는 경우, 재위탁의 제한에 관한 사항이 위탁 문서에 포함되어 있어야 하는 바, 재위탁 제한에 관한 사항이 위탁 문서(계약서)상 특별히 명시되지 않으면 수탁받은 업무 범위 내에서 재위탁을 할 수 있다고 보아야 함. 개인정보보호법의 적용에 있어서, 수탁자는 위탁 계약에서 제한되지 않는 한 수탁자가 위탁받은 처리 업무의 범위의 중요한 일부는 물론 전부에 대하여 재위탁하더라도 개인정보보호법 상법 위반의 문제는 없다고 볼 것임. 즉, 별도의 내재적 제한은 없다고 보아야 할 것임. 다만, 2023년 개정에 따라 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 함. 한편, 위탁자는 재수탁자의 행위에 대하여도 정보주체에 대한 관계에서 책임을 부담하므로 위수탁 계약의 내용에서 재위탁의 절차에 대한 사항은 물론, 재위탁의 범위에 대하여도 한정할 수 있음

 

• 기타 이슈
  • 정보주체에 의해 공개된 개인정보의 활용 : 개인정보보호법은 공개된 정보에 대하여 별도의 규정을 두고 있지 않으므로, 개인정보가 공개되어 있는지 여부는 개인정보보호법에 따른 보호에 원칙적으로 영향을 미치지 아니함(개인정보보호법, 최경진 외 12, 2023, 220면 등). 표준 개인정보보호지침(개인정보보호위원회고시 제2020-1호) 제6조 제4항은 개인정보처리자가 인터넷 홈페이지 등 공개된 매체 또는 장소에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다고 규정하고 있으나, 위 규정은 법령이 아닌 개인정보보호위원회의 고시(2020.8.11. 이전에는 '훈령')에 해당하는 것이므로 사법적 판단 기준이 된다고는 할 수 없음. 공개된 정보의 처리에 있어서 대법원 2014다235080 판결이 일응의 기준을 제시하였으나, 그 이외에 다른 법적 근거가 마련될 수는 없는지에 대한 논의가 있음(같은 책 223면 이하). 이러한 논의는 정당한 이익에 따른 처리를 그 근거로 삼은 것임. 먼저 공개된 정보의 처리에 있어서 가장 유력한 적법처리의 근거 조항은 법 제15조 제1항 제6호임. 정보주체가 스스로 공개한 경우 그 공개된 정보에 대한 정보주체의 권리의 인정 범위는 축소될 여지가 있으며 그에 비하여 그러한 정보를 처리하는 개인정보처리자의 정당한 이익이 있는지 여부 및 정당한 이익이 정보주체의 권리보다 우선하는지 여부를 판단하여 공개된 정보를 처리할 수 있다고 함이 적절함. 법 제15조 제1항 제6호를 합법처리근거로 삼는 경우 그 구체적인 판단 기준은 대법원 2009다42430 사건에서 언급한 것과 같은 비교형량을 통하여 해당 요건의 충족 여부를 판단할 수 있을 것임
  • 신규 서비스와 적법 처리 근거 : 개인정보보호법은 개인정보의 수집·이용에 관하여 7가지 합법처리근거를 제시하고 있음(법 제15조 제1항), 그 중에서도 '동의'는 각종 고지와 통지 의무가 부과되어 매우 제한적이고 엄격하게 운영됨에도 불구하고 구법상 대부분의 개인정보 처리는 동의에 의존하고 있었음. 다만 이러한 엄격한 합법처리 요건은 기술과 서비스의 변화 속도가 빠르고 복잡한 현대사회에서 현실과의 괴리를 키우는 등 한계를 지닐 수밖에 없음. 일반적 이익형량 규정(법 제15조 제1항 제6호)은 매우 예외적인 상황에서 엄격한 요건을 충족하는 경우에만 적용하도록 하여 합법처리근거 요건으로서의 실질적인 역할을 다하고 있지 못하였고, 이러한 고려를 바탕으로 동의 제도를 실질화 하고 GDPR 등 세계적 규범과의 상호운용성을 확보하기 위하여 추가적인 합법처리근거를 마련하면서 체계를 정비함(개인정보보호법, 최경진 외, 151면 이하) 
  • AI 학습과 가명정보의 처리와 관련하여 가명정보의 처리에 관한 규정은, 기존 규정만으로는 데이터의 이용 활성화를 통한 신산업 육성에 한계가 있다는 고려에 따라 가명정보의 개념과 특례를 도입한 것임. 개인정보 문제를 해결하기 위해서는 TDM(Text and Data Mining)을 통하여 수집한 정보들을 익명처리하면 대부분의 문제가 해결될 수 있으나, 익명처리를 위
    한 비용이 많이 들 뿐만 아니라, 익명처리를 하는 경우 데이터가 변형되게 되는데 그 처리된 데이터는 활용 목적에 맞게 사용하기에는 부적절한 데이터가 될 수 있다는 점이 더 문제임. 이러한 문제를 지원하기 위하여 2020년 법 개정을 통하여 가명처리에 관한 규정이 도입된 것임. 그러나, 가명처리 역시 정도의 차이만 있을 뿐 유사한 문제는 여전히 안고 있음
    (개인정보보호법, 최경진 외, 2023, 234면) 
  • 자율주행 자동차 관련 개인정보의 처리근거와 관련하여 개인정보보호법은 2023. 3. 14. 개정 시 고정형 영상정보처리기기 외에 이동형 영상정보처리기기 정의조항을 신설하고, 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상(개인정보에 해당하는 경우)을 촬영하기 위해서는 법 제15조 제1항 각 호에서 정하는 
    개인정보의 수집, 이용의 근거가 있거나, 옵트-아웃(Opt-out) 방식으로 정보주체가 촬영 거부 의사를 밝히지 아니한 경우 등에 한정하여 허용하는 방식으로 이동형 영상정보처리기기의 규제 필요성과 현실적인 규제 가능성의 균형점을 모색한 이동형 영상정보처리기기의 운영 제한 규정을 도입함(개인정보보호법, 최경진 외, 2023, 359면)

 

5. 기대효과

• 실무에서의 현행 법령 준수를 위한 적법한 개인정보 처리 기준을 정립하고, 향후 AI 등 진화하는 디지털 환경에 대응할 수 있는 합리적인 제도 개선 방안 마련의 기초자료로 활용