개인정보보호법은 크게 ①개인정보의 처리에 관한 규정 ②정보주체의 권리 규정 ③개인정보처리자의 법적책임 규정으로 이루어져 있다.
이 중 핵심은 ‘개인정보의 처리에 관한 규정’이며, 개인정보의 처리 규정에는 개인정보의 보호 및 이용이라는 두 가지 상반되어 보이는 목표 달성을 위한 여러 가지 구체적인 내용이 개인정보의 처리단계 또는 라이프사이클 순서대로 반영되어 있다.
개인정보보호법의 개인정보 처리 규정을 제대로 이해하기 위해서는 3가지 핵심키워드를 이해해야 하는데, 3가지 핵심키워드란, ‘①식별성 ②목적제한성 ③동의 및 고지’ 이다.
즉 개인정보보호법상의 개인정보처리는 ①식별정보에 대하여만 적용되며, ②목적범위 내에서만 처리되어야 하고 ③처리과정에서 변동이 생긴 경우에는 정보주체의 동의나 정보주체에 대한 고지가 이루어져야 한다.
이 3가지 핵심키워드는 개인정보보호 역사에 있어 고전적·전통적인 개념으로서 개인정보보호 법제를 지금까지 지배하여 왔지만 최근 빅데이터·웨어러블 IT 등 기술적·사회적 여건 변화로 인하여 이 핵심키워드를 그대로 유지해야 하는가에 대한 고민이 행해지고 있다.
여건 변화에 따른 고민은 다른 기고를 통해서 살펴보기로 하고 아래에서는 이 3가지 핵심 키워드가 현행 개인정보보호법에 어떻게 반영되어 있는지 살펴보면서 더불어 개인정보보호를 체계적·구조적으로 이해하는데 도움을 주고자 한다.
식별성
개인정보를 분류하자면, 식별정보·비식별정보·익명정보, 민감정보·비민감정보, 고유정보·비고유정보, 공개적으로 수집하는 정보·비공개적으로 수집하는 정보, 활용도가 높은 정보·활용도가 낮은 정보 등으로 분류할 수 있고, 또는 개인을 식별하는 정보, 개인의 행태에 관한 정보, 개인의 상태에 관한 정보 등으로도 분류할 수 있다.
이러한 여러 가지 기준 중에서 우리 개인정보보호법은 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수’ 있는 ‘식별정보’만을 보호하고 있다. 다만 식별정보는 ‘결합용이성(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보)’에 의하여 확장되어 진다(제2조 제1호).
위 일반개인정보(=식별정보)에 비하여 민감성, 고유성, 공개수집성의 성질상 특별한 취급을 해 주는 특별개인정보가 3가지 있는데, ①정보주체의 사생활을 현저히 침해할 우려가 있는 민감정보(제23조) ②고유성을 가진 고유식별정보(제24조 내지 제24조의2) ③영상정보처리기기에 의하여 수집되는 영상정보(제25조)가 그것이다.
이 중에서 민감정보나 고유식별정보는 가중된 보호를 하고 있다. 즉, 개인정보처리자는 별도의 동의를 얻거나 법령에 근거가 없는 한 민감정보나 고유식별정보를 원칙적으로 처리해서는 아니 되며, 처리를 하기 전에 다른 개인정보와 구분하여 별도로 동의를 얻어야 한다.
반면 영상정보는 복합적인 보호를 하고 있다. 영상정보는 수집시 엄격한 정보주체의 동의 대신에 안내판 설치로 갈음할 수 있어 완화되어 있지만, 수집목적은 범죄예방 및 수사·시설보호·교통관리 목적으로 제한되어 있어 강화된 보호를 하고 있다.
목적제한성
개인정보보호법에서 가장 비중 있고 자주 나오는 단어 하나를 고르라면, 그것은 ‘목적’이다. ‘목적’을 잘 이해하면 개인정보보호법을 쉽게 정복할 수 있다고 할 정도로, ‘목적제한성’은 중요한 개념이다. ‘목적(=처리목적)’은 ‘수집목적’, ‘제공목적’, ‘이용목적’으로 구분해서 이해해야 한다.
‘목적제한성’의 개념이 어떻게 작용하는지 개인정보 처리 순서대로 정리해 본다.
첫째, 개인정보 수집 시에는 서비스 목적을 고려하여 최소한의 개인정보를 수집하여야 한다(제16조). 이를 흔히 ‘최소수집의 원칙’이라고 하는데, 최소성 여부를 결정하는 기준이 바로 ‘수집목적’이다.
즉 서비스 목적을 달성하기 위한 최소한의 정보만 수집해야 하는데, 이 최소한의 정보를 ‘필수정보’라고 한다. 여기서 서비스 목적 달성을 위한 최소한의 정보는 개인정보처리자의 주관적 의도가 아니라 서비스의 성질이나 목적에 따라 객관적으로 결정해야 할 것이다.
서비스 목적 달성을 위한 최소한의 정보에 해당하지 않은 선택정보는, 필수정보와 달리 정보주체가 그 수집에 동의하지 않더라도 개인정보처리자는 재화 또는 서비스의 제공을 거부할 수 없다.
한편, 서비스 목적의 달성을 위하여 필요한 필수정보로서 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우는 동의를 받지 않아도 되지만(제15조 제1항 제4호, 제16조 제1항), 그렇지 않은 개인정보는 수집시 반드시 동의를 얻어야만 수집할 수 있다.
앞으로의 논의전개의 편의상, 수집시 동의가 불필요한, 서비스의 제공을 위하여 필요한 최소한의 필수정보를 결정하는 수집목적을 ‘협의의 수집목적’이라 하고, 수집시 동의가 필요한 개인정보까지를 결정하는 수집목적을 ‘광의의 수집목적’이라 칭한다.
사견으로는, 개인정보 수집시 또는 개인정보처리방침에 두 수집목적을 구분하여 명기하고, 그 해당 목적과 관련된 개인정보 역시 함께 구분하여 기재하게끔 하는 것이 바람직해 보인다. 이렇게 해야만 정보주체가 자신의 개인정보가 개인정보처리자에 의하여 어떻게 이용·처리되는지에 대하여 제대로 인식할 수 있기 때문이다.
둘째, 개인정보의 제3자 제공 역시 미리 사전에 동의 받은 ‘제공목적’ 범위 내에서 이루어져야 한다(제17조, 공유는 제공과 동일하게 취급).
한편 ‘수집목적’과의 관계에서 ‘제공목적’의 범위가 문제되는데, ‘제공목적’의 범위는 ‘협의의 수집목적’이 아닌 ‘광의의 수집목적’ 범위 내라고 이해하면 된다. 개인정보의 제공 또는 공유는 미리 동의 등의 절차를 통하여 적법하게 수집한 개인정보 범위 안에서 이루어질 수밖에 없기 때문이다.
나아가 개인정보처리자로부터 개인정보를 제공받은 자는 원래의 ‘제공목적’ 범위 내에서 이를 처리해야 한다(제19조).
셋째, 개인정보의 이용 역시 ‘이용목적’ 범위 내에서 이루어져야 한다(제18조). ‘이용목적’에 대하여 ‘광의의 수집목적’과 동일하게 보는 게 일반적이나, 정확하게는 ‘광의의 수집목적’에서 ‘제공목적’을 제외한 것으로 이해하면 된다. 따라서 개인정보의 이용은 광의의 수집목적 범위를 초과할 수 없다.
넷째, 개인정보처리자로부터 개인정보의 처리를 위탁받은 수탁자는 ‘위탁목적’ 범위 내에서 이를 처리해야 하며(제26조 제5항), 개인정보처리자로부터 영업의 전부 또는 일부의 양도·합병으로 인하여 개인정보를 이전받은 자는 ‘본래목적’ 범위 내에서 이를 처리하여야 한다(제27조 제3항). 여기서 ‘위탁목적’, ‘본래목적’의 범위가 문제되는데, ‘이용목적’ 범위 내라고 이해하면 될 것이다.
다섯째, 개인정보의 ‘처리목적’을 달성한 경우에는 그 개인정보를 파기해야 한다(제21조). 따라서 ‘처리목적’은 개인정보의 라이프사이클을 결정하는 매우 중요한 인자라 할 수 있다. 다만 개인정보의 라이프사이클을 정함에 있어 되도록 이면, 기준이 불명확한 ‘처리목적 달성’이라는 기준보다는 처리목적 달성을 예정하여 미리 설정한 ‘보유기간’을 활용하는 것이 바람직해 보인다.
여섯째, 개인정보처리자는 개인정보의 ‘처리목적’에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다(제3조 제3항). 그리고 개인정보처리자는 개인정보의 ‘처리 방법 및 종류’ 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험의 정도를 고려하여 개인정보를 안전하게 관리하여야 한다(제4항). 즉 개인정보의 관리 범위 및 방법을 결정하는 중요한 인자 중의 하나도 개인정보의 처리목적이라는 것을 알 수 있다.
동의 및 고지
개인정보가 수집되어 처리되는 동안, 그 과정에 대하여 정보주체는 권리를 가진다. 이러한 권리는 정보주체의 일방적인 청구로 행사될 수도 있지만(제5장 참조), 대체로 개인정보처리자의 의무적인 행동으로 실현된다. 즉 개인정보처리자의 정보주체에 대한 ‘동의나 고지’로 인하여 정보주체는 자신의 개인정보가 어떻게 활용되는지를 인지할 수 있는 것이다.
그렇다면 어떤 때에 엄격한 동의절차를 밟아야 하고, 어떤 때에 완화된 고지절차만 밟으면 되는 것인가? 이것 역시 ‘목적 범위’에 의하여 결정된다. 그만큼 ‘목적’은 개인정보보호법의 핵심적 동인이라 할 수 있다.
개인정보보호법은 정보주체의 권리보장을 위하여 ‘목적 범위’라는 기준 하에, ①목적 범위를 초과한 개인정보 처리라면 정보주체의 동의를 얻게 하고 있다. 동의로써 목적제한성을 깰 수 있는 것이다. 참조할 점은 동의 과정에서 실질적 동의가 되게 하기 위하여 반드시 고지절차가 병행된다는 점이다.
반면 ②목적범위 내의 처리라면 동의 절차 없이 행할 수 있다. 다만 목적범위 내의 처리라도 정보주체의 권리보장이 특히 필요한 경우에는 고지 절차를 이행하여야 한다. 어떤 처리행위가 목적범위 내인지 아니면 목적범위 외인지는 각 나라의 입법례마다 약간씩 차이를 보이고 있다. 우리 개인정보보호법을 기준으로 구체적으로 살펴본다.
첫째, 서비스 제공 목적에 필요한 최소한의 필수정보로서 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 있다(협의의 수집목적).
하지만 그 이상의 개인정보를 수집하는 경우에는 반드시 정보주체의 동의를 얻어 수집하여야 한다(광의의 수집목적). 동의로써 엄격한 목적제한성을 극복하는 것이다. 더불어 동의를 받을 때에는 구체적인 수집목적, 수집항목 등을 고지하여야 한다.
둘째, 수집한 개인정보를 제3자에게 제공할 때에는 사전에 정보주체의 동의를 얻어야 한다(제17조). 정보주체의 동의는 개인정보 수집시에 얻어도 되고, 또는 실제 제공시에 얻어도 된다. 어느 경우이든지 불특정한 제3자에게 제공하여서는 아니 되고, 특정한 제3자에게 제공하여야 한다.
이렇게 개인정보의 제3자 제공에 대하여 정보주체의 동의를 얻게 한 것은, 제3자 제공으로 인하여 개인정보처리자가 사실상 달라지는 것이므로 원 개인정보처리자의 수집목적 범위를 초과하였다고 볼 수 있기 때문이다. 이 경우 제공자는 정보주체에게 개인정보 제3자 제공에 관한 사항을 고지하여야 한다.
셋째, 개인정보처리자의 이용목적이 광의의 수집목적을 초과하는 경우에는, 원칙적으로 정보주체로부터 별도의 동의를 받아야 한다(제18조 제1항, 제2항). 더불어 개인정보처리자의 제3자 제공목적이 원래의 제공목적을 초과하는 경우에도, 원칙적으로 정보주체로부터 별도의 동의를 받아야 한다(제18조 제1항, 제2항).
목적범위 외의 처리를 할 때에는 목적제한성을 깨는 것이기 때문에 별도의 동의가 필요하기 때문이다. 이 경우 개인정보처리자는 이용 또는 제공에 대한 사항을 정보주체에게 고지하여야 한다.
넷째, 개인정보의 위탁, 영업양도·합병 등에 따른 개인정보의 이전의 경우에는 동의를 받지 않아도 되며, 고지로 족하다(제26조, 제27조).
정보주체의 권리보호 측면에서 보면, 개인정보의 이전이 있으므로 동의를 받게 하는 것이 바람직해 보이기 하나, 개인정보보호법은 업무처리의 유연성을 고려하여 목적범위 외의 처리가 아니라 보아서 고지 정도로 만족하고 있다.
다만 정보통신망법은 위탁의 경우에 원칙적으로 동의를 받도록 하고 있음에 유의하여야 한다(정보통신망법 제25조 제1항).
이상의 내용을 간략하게 정리하면 다음과 같다.
△ 동의 및 고지 : 광의의 수집, 제공
△ 별도의 동의 및 고지 : 목적 외 이용, 목적 외 제공
△ 고지 : 위탁, 영업양도·합병
△ 고지도 불요 : 목적 내 이용, 목적 내 제공
다만 정보통신망법에 따르면 아래와 같다.
△ 동의 및 고지 : 광의의 수집, 제공, 위탁
△ 별도의 동의 및 고지 : 목적 외 이용, 목적 외 제공
△ 고지 : 영업양도·합병
△ 고지도 불요 : 목적 내 이용, 목적 내 제공
* 법무법인 민후 김경환 변호사 작성, 보안뉴스(2013. 9. 24.), 블로그(2013. 9. 27.) 기고.