(1) 통신판매업과 통신판매중개업의 구분과 통신판매업의 신고
(2) 전자금융거래법의 적용 및 전자금융거래 이용약관 필요 여부의 확인
(3) 서비스 이용약관을 제정 및 게시
(4) 위치기반정보 서비스 이용약관 필요 여부 확인
(5) 개인정보 처리방침의 제정 및 게시
(6) 개인정보 수집·이용 동의서와 제3자 정보제공 동의서의 작성과 활용
(6) 개인정보 수집·이용 동의서와 제3자 정보제공 동의서의 작성과 활용
개인정보 수집 및 이용 동의와 제3자 제공 동의서 작성 및 활용에 관한 부분은 고객들의 개인정보를 수집하고 운영함에 있어 직접적으로 영향을 미치는 부분이기에, 오픈마켓 사업의 사업자들이 마지막으로 반드시 점검해야 하는 부분이라 생각된다.
개인정보 수집 및 이용 동의서를 작성하기 위해선, 개인정보 보호법에서 정하고 있는 개인정보 수집 및 이용에 관한 개괄적인 법리를 인지하고 있어야 한다. 따라서, 간략하게 필수적인 골자를 먼저 정리해보도록 하겠다.
1) 개인정보 처리 및 처리자의 개념
개인정보란, 살아 있는 개인에 관한 정보로서, ▲개인을 알아볼 수 있는 정보(예컨대, 성명, 휴대폰 번호, 주소 생년월일, 주민등록번호, 운전면허번호, 사진, 동영상 등), ▲해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(예컨대, 지문, 홍채, 휴대폰 번호 중 일부, 생년월일 중 일부 등) 및 ▲원래의 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아볼 수 없는 가명정보(예컨대, 아이디, 비밀번호, 회원번호, 주문번호 등)로, 개인정보 보호법 제2조 제1호에서 정하고 있는 모든 정보를 의미한다.
이러한 개인정보를 원천적으로 보유한 주체를 개인정보 주체라 하고, 개인정보를 수집·생성, 연계·연동, 기록하거나 저장·보유하거나 가공·편집하는 행위 또는 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 및 이와 유사한 여타의 모든 행위를 ‘처리 행위’라 하며, 개인정보 주체로부터 개인정보를 취득하여 위 처리행위를 하는 자를 개인정보 처리자 한다.
오픈마켓 사업을 위해 홈페이지를 운영하고, 그 사업을 위해 개인정보를 처리하는 행위를 하는 경우, 그 홈페이지 운영자 겸 사업주체가 개인정보 처리자가 된다.
2) 개인정보의 수집 및 이용에서의 필수 준수 원칙
개인정보처리자는 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집해야 하고, 최소한의 정보 수집이라는 점에 관한 입증책임은 개인정보처리자가 부담한다(개인정보 보호법 제16조제1항).
개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 개인정보를 수집해야하고(개인정보 보호법 제16조제2항), 또한, 개인정보처리자는 동의를 서면(전자문서를 포함)으로 받을 때에는 개인정보의 수집·이용 목적, 수집·이용하려는 개인정보의 항목 등 중요한 내용을 명확히 표시하여 알아보기 쉽게 해야 한다(개인정보 보호법 제22조제2항).
무엇보다도, 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부해서는 안 된다(개인정보 보호법 제16조제3항). 이를 위반하여 재화 또는 서비스의 제공을 거부한 자는 3천만원 이하의 과태료를 부과받을 수 있다(개인정보 보호법 제75조제2항제2호).
3) 개인정보의 수집 및 이용의 근거
개인정보처리자는 원칙적으로 정보주체로부터, ①개인정보의 수집·이용 목적, ②수집하려는 개인정보의 항목, ③개인정보의 보유 및 이용 기간 및 ④동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알리고, 정보주체가 위 ① 내지 ④를 명확히 인식함에도 개인정보처리자에게 열거된 자신의 개인정보 항목의 처리에 동의한다는 동의를 받아야 정보주체의 개인정보를 처리할 수 있다. 다만 후술하는 이유에서와 같이, 여기에서의 처리에는 제3자에게의 정보제공은 제외된다. 특히, 개인정보처리자는 위 ①내지 ④항을 변경하는 경우에도, 변경할 때마다 이를 정보주체에게 알리고, 변경되는 내용에 동의를 받아야 한다(개인정보 보호법제15조제2항).
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 자는 3천만원 이하의 과태료를 부과 받고(개인정보 보호법 제75조제2항제1호),
그러나, 개인정보 보호법 제15조는 위 원칙인 정보주체의 동의가 없는 경우라도, 예외적으로 ▲법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 또는 ▲정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 등에는 정보주체의 동의가 없더라도 정보주체의 개인정보를 수집 및 이용할 수 있음을 정하고 있다.
이처럼 개인정보 주체의 동의가 없이 개인정보를 수집하였고, 나아가 동의가 없이 예외적으로 수집 가능한 사유가 없는 경우에는 개인정보를 수집한 자에게 5천만원 이하의 과태료가 부과된다(개인정보 보호법 제75조제1항제1호).
4) 개인정보 수집 및 이용의 방법
개인정보처리자는 ▲동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법 등을 이용하여 정보주체로부터, 위 ① 내지 ④에 관한 내용을 상세히 명시 및 고지하고 그에 관한 동의를 얻어야 한다(개인정보 보호법 제22조제7항 및 동법 시행령 제17조제1항).
이때, 개인정보처리자가 정보주체로부터 별도의 동의를 받거나, 선택적으로 동의할 수 있는 사항에 대한 동의를 받으려는 때에는 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 확인할 수 있도록 선택적으로 동의할 수 있는 사항 외의 사항과 구분하여 표시해야 한다(시행령 제17조제3항).
위와 같은 정보주체의 동의를 얻는 방법에 관한 위의 사항을 위반하여 동의를 얻은 자는 1천만원 이하의 과태료를 부과 받을 수 있다(개인정보 보호법 제75조제4항제2호).
5) 홍보 목적 광고 정보 전송을 위한 개인정보 수집 및 이용
보다 중요한 것은, 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 것이다(개인정보 보호법 제22조제4항). 특히 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제50조 영리목적의 광고성 정보 전송을 위해 수신자의 사전 동의가 필요하다는 것과 병렬적으로 양립하는 것이므로, 양자 모두에 관한 동의를 받아야 한다는 점은 반드시 상기(想起)하고 있어야 하는 사항이다.
이를 위반하여 정보주체에게 위의 각 사실을 알리지 않은 자는 개인정보 보호법에 따라 3천만원 이하의 과태료를 부과 받을 수 있고(개인정보 보호법 제75조제2항제2호), 이에 더하여 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제50조의 위반 사항도 인정된다면 추가적으로 3천만원 이하의 과태료가 별도로 부과될 수 있다(정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조 제1항 제7호).
6) 개인정보 제3자 제공의 근거 및 방법
개인정보 처리자는 자신 이외의 제3자에게 정보주체의 개인정보를 이전하고자 하는 경우, ①개인정보를 제공받는 자, ②개인정보를 제공받는 자의 개인정보 이용 목적, ③제공하는 개인정보의 항목, ④개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 및 ⑤동의를 거부할 권리가 있는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 위 3)과 4)에서 정리한 방법과 동일한 방법으로 사전에 정보주체의 명시적인 제3자 제공 동의를 얻어야 한다. 이를 위반할 경우, 3천만원 이하의 과태료가 부과된다(개인정보 보호법 제75조제2항 제1호).
물론, 영업양도나 인수합병 등으로 개인정보가 이전되는 경우에는, 영업양도 이전에 미리, ①개인정보 이전의 사실과 ②영업양수자등의 상호 및 ③정보주체가 개인정보의 이전을 원하는 않는 경우 취할 수 있는 조치(탈퇴 등) 안내를 고지하는 것으로 개인정보가 영업양수인 등에게 이전될 수 있다(개인정보 보호법 제27조 및 동법 시행령 제28조 제4항).
다만, 개인정보 제3자 제공에서 중요한 쟁점은 개인정보처리자 이외의 타 회사 등이 제3자인지 아니면 개인정보처리 업무 위탁자인지를 구분하는 문제인 바, 이는 개별 사안에 따라 달리 판단될 문제이므로, 법률 전문가의 판단이 필요할 부분이라 생각된다.
7) 결어
이와 같이 오픈마켓을 운영하고자 하는 사업자는 반드시, 개인정보의 정보주체들로부터 개인정보의 수집 및 이용에 관한 동의, 광고나 기타 상업성 정보의 발송과 수신에 관한 동의 및 제3자 제공에 관한 동의를 사전에 받아야, 개인정보 보호법 및 정보통신망 이용촉진 및 정보보호에 관한 법률에서 정한 적법한 절차에 따라 사업을 운영할 수 있게 된다. 개인정보에 관한 부분은 4차 IT 산업의 붐에 따라 그 중요성이 점차 증대되고 있는 분야이므로, 정확한 법해석과 적용 및 불측의 손해 방지와 제재로 인한 시간과 비용의 소모를 예방하기 위해선, 사전에 법률전문가의 도움을 받는 것이 바람직 할 것이라 생각된다.
이번 기고를 끝으로, 각 내용이 오픈마켓 개설 사업자에게 조금이라도 도움이 되었기를 바라본다.
* 법무법인 민후 한지윤 변호사 작성, 디지털데일리(2022. 7. 8.) 기고.