본문으로 바로가기 주메뉴 바로가기

이 누리집은 대한민국 공식 전자정부 누리집입니다.

글자작게 100% 글자크게

지식창고

개인정보 보호와 적정 활용의 조화를 위한 제도 도입 연구
연구보고서 제목 :
  • 발행연도
  • 조회수13,264

<연구자>

연구책임자: 정 찬 모 (인하대 교수)
공동연구자: 이 창 범 (KISA 팀장)   
연구 자문 : 박 균 성 (경희대 교수)

<개요>
o 지식정보화사회에서의 개인정보 활용 수요 분석
o 개인정보 위탁제도의 적정 규제 방안
o 국내외 개인정보 DB 대여사업ㆍ마케팅 대행사업 현황 및 관련 법제도 분석
o 공개된 개인정보의 범위 및 규율 방안
 

<요약>

 

⏏ 서

o 우리나라 개인정보보호 관련법들의 특징은 겉으로는 지나치리만큼 엄격한 규제로 정직하게 개인정보를 수집․이용하려는 기업들에게는 많은 비용과 노력을 요구하지만, 개인정보의 보호와 활용을 위한 세부적인 장치는 부족하여 편법적 수집․이용․제공에는 너무나 무기력함.

o 따라서 정상적인 개인정보 수집․이용․제공 활동에 대해서는 규제를 완화하되, 소비자 또는 이용자들이 통상 예상하기 어려운 개인정보의 수집․이용․제공 활동에 대해서는 편법적인 방법이 통하지 않도록 법제 개선이 필요함

o 이하에서는 민간부문에서 개인정보 보호와 적정 활용의 조화를 위한 개인정보처리에 대한 실체적 규율법제 개선 방안을 이 연구의 결과를 요약함


⏏ 개인정보처리 규율체계 정비

o 한국의 개인정보법제는 개인정보의 수집, 관리, 이용, 위탁, 제공 등에는 다른 어떤 국가보다도 엄격한 규제를 하고 있는데 반하여 개인정보침해사고에 대한 정보처리자의 책임을 묻는 측면은 부실함.
 - 우리법상 개인정보보호 규정 위반에 대한 법정 최고형량은 높으나 실제 선고되는 수준은 낮으며 민사책임은 훨씬 미약함

o 개선방안으로 개인정보 수집, 이용에 필요한 동의의 방식으로서 옵트아웃(opt-out)방식의 일반화와 이와 연동하여 개인정보의 민감성의 정도를 반영한 법적요건의 차별화를 제안함. 


⏏ 개인정보의 적절한 수집․활용의 보장

1. 개인정보 수집․이용․제공 등에 대한 동의원칙의 완화

o 현행 정보통신망법(제22조, 제24조, 제24조의2)은 물론 개인정보보호법안도 개인정보의 수집․이용․제공에 대해서 매우 엄격한 동의원칙을 채택하고 있음으나 동의 원칙은 외관상으로는 소비자의 개인정보를 강력히 보호하는 것으로 보일 수 있지만, 현실적으로는 그 반대의 역효과를 나타내는 경우가 많음.

o 사업자들은 개인정보를 수집할 때 법률에서 동의를 요구하고 있다는 핑계를 들어 이용약관이나 개인정보 수집․이용 동의서 등에 갖가지 이용․제공의 목적과 필요성을 백화점식으로 열거해 소비자들로부터 동의를 받고 있음.

o 따라서 세심한 주의력을 가진 소비자들에게조차도 ‘동의’는 권리보호 수단으로써의 의미가 사라진지 오래이며 정보주체에게 있어서 동의는 하나의 거추장스러운 장식절차로 전락함.

o 현행 정보통신망법상도 계약을 이행하기 위하여 필요한 개인정보에 대해서는 동의를 면하는 듯하나 이를 위해서는 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우임을 입증할 것을 요구함으로서 사실상 동의를 필요로 함.

o OECD 프라이버시 가이드라인과 일본 개인정보보호법은 개인정보의 수집․이용에 있어서 고지 또는 공표를 원칙으로 채택하고 있으며, 수집 이후에 이용 목적이 동질성을 상실할 정도로 변경되거나 새롭게 제3자 제공 필요성이 생긴 경우에 한해 동의원칙을 채택하면서도 동의에 대한 광범위한 예외를 인정하여 활용의 이익을 균형있게 고려하고 있음.

o EU 개인정보보호지침과 독일 개인정보보호법은 개인정보 수집․이용․제공시 동의원칙을 채택하고 있지만, 정보주체와 체결한 계약의 목적 달성을 위해 필요한 경우, 개인정보처리자 자신의 정당한 이익을 위해서 필요한 경우, 정보주체 및 제3자의 정당한 이익을 보호하기 위해서 필요한 경우, 공공의 안전 및 공익을 위해서 필요한 경우, 그밖에 법률에서 개인정보의 수집․이용․제공을 요구하고 있거나 허용하고 있는 경우에는 역시 동의 없이 개인정보를 수집․이용․제공할 수 있는 광범위한 예외를 인정하고 있음.

o 한국도 최소한 다음과 같은 경우에는 정보주체의 동의없이도 개인정보를 수집․이용․제공할 수 있게 함으로써 개인정보의 수집․이용․제공을 둘러싼 이해당사자간의 갈등과 이익을 조정하고 동의 획득에 소요되는 불필요한 사회적 비용과 낭비를 제거하여야 할 것임.
  - 정보주체와 계약체결을 위해 필요하거나 체결한 계약의 목적 달성을 위해 필요한 경우.
 예컨대 계약서 작성, 상품배송, 애프터서비스, 결함상품 리콜, 소비자상담 및 불만접수, 청약의사 재확인, 계약만료 안내, 요금 고지서 발급 등을 위한 개인정보의 수집․이용․제공

  - 개인정보처리자 자신의 정당한 이익보호를 위해 필요한 경우
 예컨대, 당해 계약으로 인해 발생한 분쟁해결을 위한 소송의 증거자료로 활용하고자 하는 경우, 정보주체가 직․간접적으로 관련되어 있는 분쟁에서 소송의 증거자료로 활용하기 위한 경우, 정보주체와 관련한 채권의 회수를 위한 경우, 그밖에 사회적으로 개인정보처리자에게 정당한 이익이 있다고 볼 수 있는 객관적 근거가 있는 경우

  - 정보주체 또는 제3자의 정당한 이익 보호를 위해 필요한 경우
 예컨대, 응급환자의 발생, 화재․홍수 등 긴급상황의 발생, 전염병 예방, 청소년 보호, 아동․노인․부녀자 학대신고 등 사람의 생명․신체․재산을 보호하기 위해 필요한 경우, 언론기관․종교단체․노동조합 등이 법에서 인정한 정당한 활동을 위해서 필요한 경우

  - 공공의 이익보호를 위해 필요한 경우
 예컨대, 의료인이 헌혈 경험 있는 환자가 수혈에 부적합한 의약품을 복용하고 있거나 질병을 앓고 있는 사실을 발견한 경우, 인터넷 불법정보 모니터링 업무에 종사하는 자가 범죄의혹이 농후한 정보를 발견한 경우

2. 개인정보 취급업무 위탁시 고지 및 동의 원칙의 폐지

o 개인정보 취급업무의 위탁에 대해서 고지 및 동의 의무를 부여하고 있는 나라는 전세계적으로 그 입법 사례를 찾아보기 어려움.

o 기업들이 한, 두 개 수탁사업자와 업무 위탁관계를 맺고 있는 것이 아니고 수십, 수백 개의 수탁사업자를 두고 있는 경우가 많고, 업무위탁 기간도 1회성에서부터 수일, 수개월, 수년 등으로 다양하며, 수탁사업자가 수시로 바뀌기 때문에 수탁업무와 수탁사업자를 특정해서 공개하거나 고지하는 것이 쉬운 일은 아님.

o 그런데, 우리나라에서는 개인정보의 취급이 수반되는 업무를 제3자에게 위탁할 때에는 원칙적으로 정보주체의 사전 동의를 받아야 하고, 계약이행을 위해 필요한 업무를 위탁할 때 조차도 위탁의 목적, 수탁자의 이름 등을 정보주체에게 고지하거나 공개하여야 함(정보통신망법 제25조)

o 이에 반해 수탁자에 대한 위탁자의 관리감독 책임은 EU 지침(제17조)이나 독일 개인정보보호법(제11조)에 비해서는 상대적으로 완화되어 있음.

o 우리나라도 독일, 일본 등 다른 나라와 마찬가지로 개인정보 취급업무 위탁시 위탁자의 고지 및 동의 의무를 폐지하여 기업들이 분업화와 아웃소싱을 통해 국제적인 경쟁력을 갖출 수 있도록 지원하되, 이에 대한 보완책으로 수탁자의 선임에 있어서 위탁자의 주의의무와 선임후 관리감독의무를 보다 구체적으로 명시하고, 위탁계약의 내용과 기술적․관리적 조치의무 등을 문서로 작성해 보관하도록 의무화 하는 한편, 수탁자의 손해배상 책임에 대해서뿐만 아니라 개인정보보호와 관련한 모든 법령의 준수에 대해서도 위탁자가 직접 책임을 지도록 하는 것이 바람직함.

3. 개인정보의 국외이전에 대한 고지 및 동의 원칙 폐지 

o 정보통신망법(제63조)은 개인정보의 국외 이전시 정보통신서비스 제공자에게 기술적․관리적 조치 등의 보호조치를 마련하도록 하는 외에, 이전되는 개인정보 항목, 개인정보가 이전되는 국가, 이전일시 및 이전방법, 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처), 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간 등을 정보주체에게 고지하고 동의를 받도록 요구함.

o 이와 달리 EU지침과 독일 개인정보보호법은 원칙적으로 개인정보보호 수준이 떨어진 제3국으로의 개인정보이전을 금지하고 있지만 이하의 경우에는 국외 이전이 허용됨.
- 개인정보 국외이전에 대해 정보주체가 동의한 경우,
- 계약의 이행을 위해서 필요한 경우, 중요한 공익을 위해 필요한 경우,
- 소송의 제기, 수행 및 방어를 위해 필요한 경우,
- 정보주체의 중요한 이익을 보호하기 위해서 필요한 경우,
- 개인정보처리자가 계약, 기업준칙 등을 통해 보호조치를 약속한 경우.

o 현행 정보통신망법과 개인정보보호법안은 정보주체의 동의가 없으면 어떤 국가로의 개인정보 이전이나 제공도 금지함으로써, 세계화․국제화 추세에 어긋날 뿐만 아니라 자칫 무역마찰의 빌미를 제공할 수 있음.

o 요식행위에 불과한 동의절차를 두는 것 보다는 개인정보처리자로 하여금 그의 포괄적 책임 하에 개인정보 국외 이전에 따른 기술적․관리적 보호조치를 제대로 강구하도록 하는 것이 더 바람직할 것임.

4. 신상품 개발, 시장조사, 타깃마케팅 등을 위한 개인정보의 활용 원활화

o 거래과정에서 자연스럽게 생산되거나 생성된 개인정보를 수집해서 신상품 개발, 마케팅 전략 수립 등을 위한 전체 고객의 트렌드 분석에 이용하고자 하는 경우 정보주체의 동의가 필요한지 여부에 대하여 현행법상 명확한 규정이 없으나, 정보통신망법(제27조의2제2항 제6호)은 정보통신서비스 제공자가 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치를 설치ㆍ운영할 때에는 자동 수집 장치의 설치․운영 및 그 거부에 관한 사항을 개인정보취급방침에 공개하도록 요구하고 있음.

o 거래과정에서 생산․생성된 정보들을 실명으로 관리하는 경우뿐만 아니라 익명으로 관리하는 경우에도 다른 정보와 결합하여 정보주체에 대한 식별이 가능하면 현행법상으로는 개인정보라고 보아야 하기 때문에 현실적으로 대부분의 경우에 정보주체의 동의를 받아야만 해당정보를 소비자 트렌드 분석 등에 활용할 수 있음.

o 그러나 거래과정에서 생산․생성된 정보를 익명으로 이용하는 경우까지 단순이 식별성이 존재한다는 이유만으로 정보주체의 동의를 받게 하는 것은 개인정보처리자에게 비합리적인 비용을 부담케 할 우려가 크므로 동의의무를 면제하는 것이 바람직함.

o 한편, 온라인 맞춤 광고를 위한 웹서핑 정보의 수집․저장은 실명은 아니더라도 IP는 언제든지 위치 추적이 가능하기 때문에 네티즌에게 그에 관한 정보가 수집․저장․분석․이용되고 있다는 사실을 개인정보취급방침이나 이용약관에 공개 내지 고지하도록 함과 동시에 옵트아웃 방식의 수집․이용 정지 요구권을 인정하여야 할 것임.

5. 개인정보DB사업 신고제 또는 등록제 도입

o 소비자 개개인을 상대로 한 직접 상품홍보(다이렉트 마케팅)가 새로운 마케팅 형태로 정착함에 따라 잠재 고객군의 개인정보에 대한 기업의 수요가 날로 증가하고 있음

o 그러나 현행법상 제3자에게 개인정보를 제공하거나 제3자와 개인정보를 공유하기 위해서는 정보주체의 동의를 받아야 하고, 특히 제공받거나 공유하게 될 제3자의 명단을 정보주체에게 고지해야 하기 때문에 대량으로 개인정보를 사고팔거나 대여하는 등의 사업은 현실적으로 불가능함.

o 대기업 그룹 소속의 기업들은 지주사를 통해 여러 다른 회사의 고객 개인정보를 상대적으로 용이하게 마케팅 등에 활용하고 있는 반면, 시장에 새로 진입하는 후발 기업이나 기업그룹에 소속되어 있지 아니한 회사들은 주로 광고나 마케팅을 개인정보를 대량으로 보유하고 있는 회사에 위탁하거나 암시장 등을 통해 불법적으로 개인정보를 취득해 이용하는 실정임

o  이와 같이 지주회사, 콜센터 등이 여러 기업이나 다른 루트를 통해 때로는 적법하게, 때로는 불법적으로 개인정보를 수집․취합하여 개인정보 데이터베이스를 기반으로 하는 영리 사업을 펼치고 있지만 이를 규제할 수 있는 적합한 법적 장치는 마련되어 있지 않고 오히려 현행법상 일반적 개인정보판매대여업은 허용되지 않는다는 유력한 견해도 있음.

o 따라서 개인정보DB 사업자에 대한 신고제 또는 등록제를 도입하여 적정한 개인정보 활용을 위한 관리․감독 장치를 마련하여야 함.
  - 즉 광고대행, 마케팅대행, 시장조사, 여론조사 등 개인정보DB사업을 목적으로 개인정보를 제3자에게 제공․대여하거나 제3자와 공유하는 사업을 하고자 하는 자는 개인정보를 제공받거나 공유하게 될 자의 명단 대신 범위 또는 범주만 고지하고 동의를 받으면 되도록 하되, 시․도지사 또는 소관 중앙행정기관에 등록하거나 신고하도록 하여 개인정보가 불법적으로 이용되거나 오남용 되지 않도록 관리․감독 필요

⏏ 정보주체의 실질적 권익향상

6. 강요․기망에 의한 개인정보 수집․이용․제공 동의 금지

o 개인정보 수집․이용․제공과 관련하여 현재 소비자들이 가지고 있는 가장 큰 불만은 자신이 원하지 않았음에도 불구하고 해당 서비스를 이용하기 위해 또는 상품구입이나 회원가입을 위해 어쩔 수 없이 개인정보 수집․이용․제공에 동의할 수밖에 없었다는 것과 이용약관이나 개인정보이용․제공 동의서에 동의를 하긴 하였지만 자신의 개인정보가 다른 회사상품의 광고․마케팅에 이용되거나 제3자에게 제공되리라고는 미처 생각하지 못했다는 사실임

o 현행법상 정보주체의 동의를 일반적 요건으로 한 것이 오히려 소비자 또는 이용자들에게 개인정보의 수집․이용․제공에 동의하도록 강요하는 환경을 만들고 있음.

o  따라서 계약이행을 위해 꼭 필요한 개인정보인지 여부를 사업자가 입증하도록 하고, 사업자가 사실상 강요에 의해서 동의를 받았거나 기망의 방법으로 동의를 받은 경우에는 동의를 무효로 하여야 하며, 위반시 행정벌(과태료)은 물론 과징금까지 부과해 부당이득을 완전히 회수함으로써 불법적인 개인정보 수집․이용․제공의 유혹을 제거하여야 함.

o 개인정보 수집 대가로 정보주체에게 경품 등을 제공한 경우에는 동의의 철회 또는 취소를 할 수 없는 기간을 정보주체에게 알기 쉽게 고지․설명하고 동의를 받은 경우에 한하여 유효한 계약으로 인정하여 정보주체가 경품에 어두워 성급하게 개인정보 수집․이용․제공에 동의하지 않도록 안전장치 마련.

o 개인정보의 이용에 관한 동의와 제공에 관한 동의를 모두 받고자 하는 경우에는 양자를 각각 분리해서 고지하고 동의를 받도록 해야 함.

o 또한 개인정보 제3자 제공에 대해서 동의를 받을 때에는 개인정보를 제공받게 될 자(수령자)를 선택할 수 있도록 해야 하며, 만약 개인정보를 제공받는 사람이 다수이거나 특정되어 있지 아니하여 정보주체의 동의를 받기 전에 정보주체에게 수령자를 취사선택할 수 있는 기회를 주기가 어려운 경우에는 제공받는 자의 범주 내지 범위를 선택할 수 있게 하여야 함.

o 개인정보의 이용 목적이 2가지 이상인 경우에는 정보주체가 이용 목적을 각각 선택할 수 있도록 하여 정보주체의 선택권 행사를 최대한 보장.

7. 정보주체 이외로부터의 수집과 공개된 개인정보에 대한 제도개선

o 개인정보처리자가 일반적으로 정보주체 이외로부터 개인정보를 수집하는 경로로는 ①계열사․협력회사, ②개인정보DB 판매상, ③동창회명부․회원명부․임직원명부, ④공공기관, ⑤신문․잡지․웹사이트․검색사이트 ⑥쿠키정보, 인터넷접속정보, 거래내역 등을 수집․분석해서 생산․생성해 낸 개인정보가 있음.
 
o 현행법은 정보주체 이외로부터의 개인정보를 수집․이용해도 된다는 명확한 규정을 두고 있지도, 정보주체로부터 직접 수집해야 한다는 명시적 규정도 두고 있지는 않으나 일반적으로 원칙적으로 정보주체 이외로부터의 개인정보 수집을 금지하는 것으로 해석됨(정보통신망법 제22조 제1항)

o 그러나 동창회명부, 임직원 전화번호부 등에 실린 개인정보가 공공연하게 유통되고 있고 관계당국도 이를 문제 삼고 있지 않는 것이 법현실.

o 정보주체 이외로부터 개인정보를 수집하여 이용하거나 제공하고자 할 때 정보통신망법과 개인정보보호법안에는 정보주체에 대한 고지의무 및 고지절차가 마련되어 있지 아니하여 자신의 개인정보가 개인정보처리자의 손에 어떻게 들어가게 되었는지 그 수집 출처에 대해 의구심을 갖는 소비자가 많으며 정보주체의 개인정보자기결정권 행사를 어렵게 하고 있는바, 정보주체 이외로부터 개인정보를 수집할 때에도 정보주체에게 수집․저장 사실, 수집 출처, 수집 목적, 수집된 개인정보의 항목, 보존 및 이용 기간, 제3자 제공 여부 등을 고지 또는 공표하도록 하여 정보주체의 개인정보자기결정권 행사가 방해받지 않도록 하여야 할 것임(변재일의원안 제11조 참조)

o EU 개인정보보호지침과 독일과 일본의 개인정보보호법은 개인정보를 정보주체로부터 직접 수집한 경우와 정보주체 이외로부터 수집한 경우를 분명하게 나누어 규정하고 있음.
- 예컨대 독일 개인정보보호법상 개인정보처리자는 정보주체로부터 개인정보를 직접 수집하는 것이 원칙이지만, 법률에서 정보주체 이외로부터의 개인정보 수집을 전제로 하고 있거나 명시하고 있는 경우, 행정업무의 성격상 또는 사업 목적상 다른 사람이나 기관으로부터의 개인정보 수집이 필요로 하는 경우, 정보주체로부터의 개인정보 수집에 비비례적인 노력이 요구되는 경우에는 정보주체의 동의 없이 정보주체 이외로부터 개인정보를 수집․이용하는 것이 가능. 그러나 이 경우 정보주체가 개인정보의 수집․이용․제공 사실을 인지하고 있지 못한 경우에는 반드시 정보주체에게 개인정보의 수집․저장 사실, 수집출처, 수집한 개인정보의 유형, 수집․처리․이용의 목적, 개인정보처리자의 신원 등을 고지해야함. 개인정보처리자가 영업 과정에서 ‘제3자 제공 목적’으로 정보주체의 개인정보를 수집․저장하는 경우에는 최초의 제공사실과 제공되는 개인정보의 유형을 정보주체에게 고지하여야 하고 정보주체가 그와 같은 사람이나 단체에게 자신의 개인정보가 제공되리라고 예상할 수 없는 상황에는 개인정보를 제공받는 자의 범주에 대해서도 고지하여야 함.

o 정보주체 이외로부터의 수집·이용 중 특별한 경우로서 공개된 개인정보를 수집·이용하는 경우에는 좀 더 완화된 규율이 현실적이어서 이용·제공의 경우에 사전고지가 아니라 정보주체의 요구에 의한 고지의무만을 부과하는 것이 적절함.

8. 광고메일 및 광고전화의 반복발신 제한

o 정보통신망법은 광고성 정보전송 행위와 관련하여 이메일 스팸에 대해서는 이른바 옵트아웃 정책을 도입하고 전화 스팸에 대해서는 옵트인 정책을 도입하고 있으며 이와 달리 대다수 유럽 국가와 일본은 이메일 스팸에 대해서는 옵트인 정책을 도입하고 있음.

o 한국은 중소기업들에게 저렴한 비용으로 광고할 기회를 제공한다는 이유로 전자우편에 대해서 옵트아웃 정책을 유지하고 있으나 전자우편을 통해 옵트아웃 방식으로 광고성 정보를 전송하는 업체들은 음란물, 불법대출, 고리대금업, 성인용품 등을 취급하는 불법 사업자이거나 사행행위를 조장하는 사업자가 대부분으로 중소기업 보호의 취지와는 거리 있음. 따라서 동일 발신자가 동일 성질의 광고메일을 보내는 것은 일회에 한하여서만 허용하고 이회부터는 옵트인 수신자를 대상으로 하는 방식을 도입.

o 전화 스팸의 경우에도 기존의 거래관계가 있는 고객에게는 무제한적으로 광고성 정보를 전송할 수 있도록 허용하는 경우 소비자의 사생활 침해가 심하므로 기존의 거래관계를 불문하고 반복발신은 제한함이 적절함.

9. 수탁사업자의 책임강화 및 공정거래질서 확립

o 최근 영세 중소기업들이 개인정보의 수집․저장 및 관리 업무를 웹호스팅사업자, 데이터관리센터(IDC), 클라우드컴퓨팅사업자 등에게 위탁하는 사례가 늘면서 개인정보의 소유권에 대한 분쟁이 자주 발생하고 있음.

o 개인정보의 수집․관리 등 계약이 끝난 경우 웹호스팅사업자, 데이터관리센터, 클라우드컴퓨팅사업자는 즉시 관련 개인정보를 쇼핑몰 등에게 반환하도록 하고, 반환할 수 없는 경우에는 재생할 수 없는 방법으로 관련 개인정보를 파기․삭제하도록 함.

10. 개인정보유출시 고지의무 도입

o 개인정보 오남용에 대한 국내법규정 자체는 강하나, 실제로 사업자의 준수 수준은 이와는 상당한 격차를 가지고 취약하게 준수되는 이유 중에는 개인정보를 유출시킨 기업에게 고지의무가 없는 제도상 맹점이 있음.

o 2002년 미국 캘리포니아 주가 개인정보를 유출시킨 기업에게 정보주체와 개인정보감독기관에 이 사실을 고지하도록 입법한 이후에 전 세계적으로 이러한 입법례가 증가하고 있는 바, 한국도 조속한 입법적 보완이 요망됨.
 

정책연구관리시스템 정책연구관리시스템으로 이동하시면 법제처 정책연구용역 및 타부처 정책연구용역에 대한 자세한 정보를 보실 수 있습니다. go