Home > 전체기사

[데이터3법 핵심 개정사항-3] 합리적으로 관련이 있는 경우의 추가 처리

  |  입력 : 2020-12-09 18:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
합리적 관련성을 판단할 수 있는 4가지 요소 살펴보니
개인정보의 활용 가능성을 열어준 점에서 큰 의미


[보안뉴스= 최보규 김·장 법률사무소 변호사] 2020년 2월 4일자로 개정되고 2020년 8월 5일부터 시행된 개정 개인정보 보호법(이하 ‘개정법’)은 개인정보 처리자가 당초 수집 목적과 합리적으로 관련된 범위 내에서 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나 제3자에게 제공할 수 있도록 했다(개정법 제15조 제3항, 제17조 제4항).

[이미지=utoimage]


기존의 규제 체계가 최초 수집 시에 명시된 개인정보의 처리 목적의 범위 내에서만 개인정보를 이용 또는 제공할 수 있도록 함으로써 정보주체의 개인정보 자기결정권 보호에는 실질적으로 기여하지 못한 채 사회적 비용 또는 비효용만을 초래하는 결과가 발생할 수 있다는 점을 고려해 적법하게 개인정보를 수집한 경우 합리적인 관련성이 있는 범위에서 개인정보를 추가적으로 처리할 수 있게 한 것이다. 이하에서는 이러한 개인정보의 추가적 처리의 적용범위와 적용요건에 대하여 간략히 소개해보고자 한다.

개인정보의 추가적 처리의 적용범위
개정법 제15조 제3항과 제17조 제4항에 의하여 정보주체의 동의 없이 당초 수집 목적과 합리적으로 관련된 범위에서 개인정보를 이용 또는 제공할 수 있는 주체에는 모든 개인정보처리자가 포함된다. 따라서 일반 개인정보처리자 외에 개인정보의 수집·이용 동의 등에 대한 특례규정(개정법 제39조의3)의 적용대상인 정보통신서비스 제공자 역시 신설된 규정에 따라 개인정보를 추가적으로 처리할 수 있다.

한편, 민감정보와 고유식별정보의 경우 신설된 규정에 근거하여 정보주체의 동의 없이 추가적으로 처리할 수 없다고 보는 견해가 우세하다. 민감정보 및 고유식별정보는 정보주체의 내밀한 사생활과 밀접한 관련을 갖는 경향이 있고, 정보의 오·남용으로 인해 발생할 수 있는 피해도 매우 중하다는 특징이 있는데, 이러한 점 때문에 민감정보와 고유식별정보를 처리함에 있어서는 일반 개인정보와 달리 특별 규정인 제23조, 제24조 및 제24조의2가 적용된다. 따라서 개정법에서 신설된 제15조 제3항 또는 제17조 제4항의 예외규정은 민감정보나 고유식별정보에 대해서는 적용되지 않고, 개인정보처리자는 당초 수집 목적과의 합리적 관련성 등을 근거로 하여 민감정보나 고유식별정보를 정보주체의 동의 없이 수집·이용하거나 제공할 수 없다고 보아야 할 것이다.

합리적 관련성의 판단 요소
개정법 시행령 제14조의2는, 개정법 제15조 제3항 또는 제17조 제4항에 따라 정보주체의 동의 없이 개인정보를 추가적으로 처리하기 위해서는 (1) 당초 수집 목적과 관련성이 있는지 여부 (2) 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부 (3) 정보주체의 이익을 부당하게 침해하는지 여부 (4) 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부를 고려해야 한다고 규정하고 있다.

기존에 공개된 시행령 개정안에서는 위 고려 요소들을 모두 ‘충족’해야 한다는 취지로 규정하고 있었으나, 최종 확정된 개정법 시행령에서는 위와 같은 요소들을 ‘고려’해야 한다고 규정함으로써 이들을 ‘충족’할 것을 요구하였던 개정안과 비교하여 합리적 관련성 판단에 있어 좀 더 유연한 해석을 가능하게 한 것으로 평가할 수 있다. 구체적으로 개정법 시행령에서 규정하는 합리적 관련성 판단 요소들은 다음과 같다.

(1) 당초 수집 목적과 관련성이 있는지 여부
먼저, 당초 수집 목적과 추가적 이용·제공의 목적 사이의 관련성을 고려해야 한다. 관련성이 있다는 것은 당초 수집 목적과 추가적 이용·제공의 목적이 서로 그 성질이나 경향 등에 있어서 연관이 있다는 것을 의미한다. 만약 당초 수집한 목적과 추가적인 이용·제공 목적이 궁극적으로 동일한 법률적·경제적·사실적 효과를 달성하는 것을 목표로 한다면 관련성이 인정될 수 있을 것이다.

(2) 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
개인정보의 추가적인 처리를 위해서는 개인정보를 수집한 정황이나 처리 관행에 비추어 합리적으로 예측 가능한지 고려해야 한다. 여기서 정황은 개인정보의 수집 목적·내용, 개인정보처리자와 정보주체 간의 관계, 현재의 기술 수준 등 당해 개인정보 처리에 관한 구체적 사정을 의미하고, 관행은 비교적 오랜 기간 정립된 일반적 사정을 의미한다. 다만 (아직 이에 관한 구체적인 학설이나 해석이 개진되지는 않은 것으로 아나) 동일한 상황에서 개별적인 정보주체의 주관적인 기대나 인지 수준에 따라 다른 평가결과가 도출되어서는 안 되므로, 여기서의 예측 가능성은 특정 정보주체를 기준으로 판단하는 것이 아니라 평균인의 관점에서 객관적으로 판단하여야 할 것으로 보인다.

(3) 정보주체의 이익을 부당하게 침해하는지 여부
개인정보를 추가적으로 처리하기 위해서는 정보주체의 이익을 부당하게 침해해서는 안된다. 개인정보의 추가적인 처리에 따라 정보주체의 이익이 침해되는 결과가 발생하더라도, 그러한 이익 침해가 ‘부당’한지 여부가 별도로 검토되어야 한다. 따라서 정보주체에게 다소 불편함을 끼치는 정도로는 정보주체의 이익이 부당하게 침해되었다고 보기는 어려울 것이고, 침해 내용이 사회통념상 허용되기 어려운 정도라면 당연히 부당한 침해로 보아야 할 것이다. 다만, 침해의 부당성이라는 추상적 조건의 해당 여부가 불확실할 경우가 많을 것으로 예상되는데, 그럴 경우에는 두번째 요소인 정보주체의 예측가능성과 이하에서 설명할 네 번째 요소인 안전성 확보에 필요한 조치를 취하였는지 여부를 함께 고려할 필요가 있을 것이다.

(4) 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
정보주체의 개인정보 침해 우려를 최소화하기 위해 개인정보의 추가적인 처리를 위해서는 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 했는지를 고려해야 한다. 안전조치의 내용은 가명처리나 암호화 조치에 한정되지 않고, 침해 가능성을 고려하여 적정한 안전성 확보 조치를 취하면 된다.

개인정보처리자가 어느 정도 수준의 안전성 확보 조치를 취하였는지에 따라 개인정보의 추가적인 처리 요건의 다른 요소들인 관련성, 예측 가능성, 부당한 이익 침해의 충족 여부 및 중요도가 달리 판단될 수 있다. 예컨대, 신규 서비스 또는 기술의 발전을 바탕으로 새로운 방식으로 개인정보를 처리하는 경우와 같이 기존의 처리 관행을 고려하여 관련성이나 예측 가능성을 평가하기 불가능하거나 어려운 상황에서는, 개인정보의 추가적인 처리로 인해 정보주체에게 불이익이 발생하지 않고, 적정한 안전성 확보조치를 취하였다는 점을 들어 개정법 시행령 제14조의2 제1항의 요건들이 충족되었다고 판단하는 것이 합리적이라고 생각된다.

동의 없는 이용 및 제공
위 요건들을 모두 충족할 경우 정보주체의 동의 없이 개인정보를 이용하거나 제공할 수 있다. 추가적 제공의 경우에는 당초 정보주체로부터 이미 개인정보 제공에 대하여 동의를 얻은 제3자에게 새로운 개인정보 항목을 추가로 제공할 수 있을 뿐만 아니라, 정보주체에게 고지되지 않은 새로운 제3자에게도 개인정보를 제공할 수 있다.

한편, 개인정보의 추가적인 처리가 허용되더라도, 목적 외 이용·제공에 관한 개인정보 보호법 제18조 제1항은 이와는 별개로 효력을 가진다. 따라서 개인정보처리자는 당초 수집 목적과 합리적인 관련이 있는 범위 내에서만 개인정보를 이용 또는 제공할 수 있을 뿐 그 목적 범위 자체를 명백히 초과하여 이용하거나 제공하여서는 안 된다.

기존 개인정보 보호법은 개인정보 보호의 측면이 지나치게 강조된 측면이 있었다. 이번 개정으로 동의 없는 개인정보의 추가적인 처리가 허용된 것은 개인정보 활용의 가능성을 열어준 점에서 큰 의미가 있다고 할 것이다. 하지만 추가 처리의 요건을 판단함에 있어 ‘관련성’, ‘예측 가능성’, ‘부당성’ 등 그 의미에 있어 해석의 여지가 많이 남아 있어, 앞으로 여러 사례가 축적될 필요가 있을 것이다. 개인정보 활용의 범위를 넓혀주는 개정이 이루어진 만큼, 정보주체의 권리를 보호하면서도 개정법의 취지가 퇴색되지 않도록 개인정보의 추가적인 처리에 관한 개정법 제15조제3항 및 제17조제4항을 효과적으로 운용하는 방안을 고민할 필요가 있다.
[글_ 최보규 김·장 법률사무소 변호사]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)