개인정보보호법 제15조 제1항은 개인정보를 수집 및 이용할 수 있는 법적 근거로서 6가지 사유를 제시하고 있는데, 대표적으로 동의 등이 존재한다.
제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
이 중에서 가장 논란이 되는 것은 제6호 사유로서, 요건 해석이라든지 적용범위에 있어 의견이 분분하다. 이에 그 요건을 살펴보고자 한다.
1) 제6호는 GDPR의 '정당한 이익' 조문에 근거한다. GDPR은 아래 조문에서 개인정보처리자의 정당한 이익이 있는 경우에는 동의 등이 없어도 개인정보를 처리할 수 있도록 규정하고 있는데, 개인정보보호법은 이를 원형으로 삼아 제6호의 사유가 탄생한 것이다.
“1.Processing shall be lawful only if and to the extent that at least one of the following applies:
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.”
위 '정당한 이익' 조문을 적용할 지 여부는 아래의 3단계 테스트를 거쳐서 결정한다.
․ Purpose test – is there a legitimate interest behind the processing? (정당한 이익이 존재합니까?)
․ Necessity test – is the processing necessary for that purpose? (그 목적을 달성하기 위해서 처리가 필요합니까?)
․ Balancing test – is the legitimate interest overridden by the individual’s interests, rights or freedoms? (정당한 이익이 정보주체의 권리에 의하여 무시됩니까?)
2) 우리 개인정보보호법 제6호 사유는 조문 내용이 위 GDPR 조문과 다른 점이 있는데, 그것이 '명백성'과 '합리적 관련성'이다. 하나 하나 그 요건을 살펴보기로 한다.
3) '개인정보처리자의 정당한 이익' (정당한 이익)
제6호를 주장하기 위해서는, 개인정보처리자의 정당한 이익이 존재해야 한다. 정당한 이익이이야 하므로 부당하거나 불법적인 이익은 제외한다. 예컨대 성차별을 하기 위한 것이나 이용자를 기망해서 재산상 이익을 얻기 위한 목적 등은 부당한 이익에 해당한다.
4) '정당한 이익을 달성하기 위해서 필요한 경우' (필요성)
정당한 이익을 얻기 위해서 필요한 경우에 한하여 제6호를 주장할 수 있다. 즉 정당한 이익을 얻기 위해서 필요한 경우에 한하여 동의 등이 없어도 정보주체의 개인정보를 처리할 수 있다.
5) '명백하게 정보주체의 권리보다 우선할 것' (명백성)
개인정보처리자의 정당한 이익이 정보주체의 권리보다 우선해야 한다. 즉 '정당한 이익 > 정보주체의 권리' 상태가 인정되어야 한다. 이것이 인정되어야 정보주체의 동의 등이 없어도 정보주체의 개인정보를 처리할 수 있는 것이다.
더 나아가 '정당한 이익 > 정보주체의 권리' 상태가 명백해야 한다. 명백하다는 것은 의심의 여지가 적거나 없다는 의미이다.
여기서 주의할 것은 '정당한 이익 > 정보주체의 권리' 상태가 명백하다는 것이 '정당한 이익 >> 정보주체의 권리'의 상태를 의미하는 것은 아니다. 명백성이은 우월성을 의미하는 것은 아니다.
6) 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않을 것 (합리적 관련성)
이 요건은 당연한 것이다. 예컨대 범죄 피해 확산을 위해서 가해자의 개인정보를 수집하더라도, 범죄 피해 확산과 무관한 결혼 유무, 자녀의 수 등은 합리적 관련성이 없으므로 처리해서는 안 되는 것이다.
7) 제6호 사유의 예시를 들어보면, 사기 예방, 범죄 예방, 보안, 공공안보 위협정보의 공유 등이 여기에 해당한다. 제6호 사유는 형법상의 정당방위나 긴급피난과 유사하다. 즉 정당한 이익, 필요성, 명백성, 합리적 관련성이 인정되면, 정보주체의 권리를 침해하더라도 정보주체의 동의 없이 개인정보를 처리하는 것이 용인된다는 의미이다.
8) 입법론적으로는, 개인정보처리자의 정당한 이익뿐만 아니라 제3자의 정당한 이익을 달성하기 위하여 필요한 경우도 포함시키는 것이 타당하다. 예컨대 개인정보처리자의 피해 예방뿐만 아니라 이용자에 대한 범죄가 예상되는 경우라도, 개인정보처리자는 가해자의 개인정보를 수집 또는 이용할 수 있다고 보는 것이 맞지 않나 하는 생각을 한다. GDPR도 제3자의 정당한 이익도 포함시키고 있다.
* 법무법인 민후 김경환 변호사 작성, 블로그(2020. 11. 12.) 기고.
