한국인터넷진흥원

요약

1. 제목
 개인정보 처리 동의제도 개선방안 연구

2. 연구개발의 목적 및 중요성
 개인정보의 수집 등에 따른 동의제도는 정보주체가 자신의 정보에 대해 통제권을 가진다는 의미에서 정보주체자의 권리를 보장하기 위한 필수적인 요소라고 할 수 있지만 동의 항목이나 동의내용, 방법 등이 지나치게 복잡하고 많아 이용자가 동의사실과 내용을 충분히 인지하지 못하거나 아예 그러한 내용을 확인하지 않고 동의를 해버리는 것이 현실이다. 이에 본 연구의 목적은 4차 산업혁명으로 인한 개인정보의 안전한 활용 요구가 증대하여 개인정보 수집·이용의 근간인 동의 제도의 개선방안을 마련하는 것이다.

3. 연구개발의 내용 및 범위
가. 동의 제도와 관련한 법적 쟁점 조사 및 그 내용을 분석하여 개인정보 처리에 있어서 동의의 개념과 법적 성질(개인정보자기결정권과 동의권의 관계 분석), 헌법상의 권리로서 개인정보자기결정권이 보장된다는 것의 규범적 의미, 개인정보자기결정권과 동의권의 구별, 전통적인 사생활비밀보호권과 새로운 개인정보자기결정권의 구별을 시도하고, 정보주체의 통제권이 약화되는 현상과 현행 동의권의 형해화 문제점 분석과 함께, 유럽연합(EU) 등 주요국의 동의 관련 법·제도, 가이드라인 분석하여 법적 쟁점과 시사점을 도출한다.
나. 개인정보 보호 관련 규제의 내용과 수준에 있어서 한편에서는 비교법적으로 공정하고 합리적인 수준으로 조정하면서, 또 다른 한편에서는 개인정보의 보호를 실질적으로 확보할 수 있는 법제 정비방안을 구체적으로 제시함. 이 경우 우리나라의 사회·문화적 요소를 고려한 합리적 방안을 제시하도록 한다.
 다. 국내 고용, 의료, 교육, 금융, 정보통신(온라인(포털)) 5개의 업종으로, 그 안에서 기업유형 별 개인정보처리자의 동의 제도 운영 행태 조사(기업의 개인정보처리방침 내지 운영 현황) 및 현황 조사 분석을 통하여 분야의 특성에 맞는 동의 가이드(안)을 마련한다. 특히, 서비스 업종별 개인정보의 수집목적, 개인정보 처리에 있어서 동의제도(사전동의/개별적 및 선택적 동의)를 이행하는데 어려운 점 내지 문제점, 동의 방식으로 인해 어려움이나 부담을 갖는 이유 등에 관한 항목으로 조사 및 분석하여 개인정보 처리자가 동의제도 활용 시 준수해야할 가이드라인(안)을 제시한다.

4. 연구개발의 결과
개인정보보호모델에서 동의가 어떤 법적 지위를 가지는지의 관점에서 고찰할 때, 보호모델은 크게 두 가지 다른 기준이 세계적으로 통용되고 있는 것으로 평가될 수 있다. 하나는 유럽연합의 General Data Protection Regulation(이하 ‘GDPR’)이 채택하고 있는‘이용과 보호의 균형모델’이고, 다른 하나는 미국과 일본이 채택하고 있는 이른바‘자율적/제한적 보호모델’이다. 
전자의 GDPR은 정보처리의 합법성을 요구하면서 정보주체의 동의를 합법적 근거의 하나로 요구한다. 그러나 동의 외에 여러 합법적 처리의 근거를 허용하고 있고, 특히 정보처리자(controller)나 제3자의 정당한 이익을 합법적 처리의 근거로 폭넓게 인정한다. 그러나 합법적 근거가 있다 하더라도 정보주체에게 다양한 개인정보보호권을 인정하여 사후적 통제를 가능하게 함으로써 이용과 보호의 균형을 맞추고 있다. 
이에 비해, 미국과 일본은 달리 정보처리의 합법적 근거를 요구하지 않는다. 따라서 정보처리자가 어떤 목적을 위해 어떤 개인데이터를 어떻게 수집하고 활용한 것인지에 관해서는 원칙적으로 정보처리자의 자율에 맡겨져 있다. 정보주체의 동의가 있어야 하거나 또는 법률에 근거가 있어야만 정보처리를 할 수 있는 것이 아니다. 그리하여 정보처리자가 정보주체의 동의를 획득하는 것은 법의 요구에 의한 것이 아니라, 전적으로 자율적 판단에 따른 것이다. 그러나 입법 정책적으로 데이터처리의 오남용의 위험(risk)을 예방하는 입법조치를 취하고 있다. 예컨대, 목적구속의 원칙을 분명히 한다. 즉, 처음 수집할 때 목적을 특정하게 하고, 원칙적으로 그 목적범위 내에서 활용하도록 요구한다. 나아가 정보주체에게는 열람청구권/사후적거부권(opt-out)을 인정하여 사후적 통제권을 행사할 수 있도록 한다(일본/미국 CCPA). 또 처리하는 개인데이터의 내용이 사실이 아닌 때에는 정정/삭제청구권을 부여한다(일본). 
그러나 한국의 개인정보보호법제는 몇 가지 주요 측면에서 이들 글로벌 기준과는 동떨어진 경직된 보호모델을 가지고 있다. 첫째, 개인정보의 처리에 사전동의(opt-in)를 원칙으로 요구한다. 즉, 법률(개인정보보호법/정보통신망법)은 '개인정보'를 '사생활비밀'처럼 보호하는 강력한 규제모델을 채택하고 있다. 이는 다음의 4가지 측면에서 확인할 수 있다. 첫째, 모든 개인정보의 처리에 대해 사전동의(opt-in)를 원칙으로 요구한다(“사전동의의 원칙”). 둘째, 개별적/선택적 동의를 요구한다(“포괄동의금지의 원칙”). 셋째, 정정/삭제/처리정지청구권을 거의 절대적 권리로 규정한다. 권리의 행사요건/항변사유/예외를 거의 인정하지 않고 있다(“개인정보보호권의 절대화”). 넷째, 위반 시 5년/3년/2년 이하 징역이라는 과도한 형벌권을 행사하고 있다
요컨대, 개인정보자기결정권이 반드시 사전동의라는 수단에 의해서만 보장되어야 한다는 명제는 절대적이지 않다. 개인정보의 운명을 결정할 수 있는 통제권이 효과적으로 보장될 수 있으면 족한 것이다. 개인정보자기결정권의 법리에서 사후거부 방식이 절대 허용되지 않는 것은 아니다. 오히려 개인정보자기결정권의 기본설정 및 전제에 충실히 따르면 정보주체는 합리적이고 이성적인 결정을 내릴 수 있는 능력이 있다. 이러한 전제를 고려하면, 사전 동의 이건 사후거부 방식이건 정보주체가 개인정보에 대한 적절한 통제를 할 수 있는 것 이다. 어떠한 방식을 택하더라도 개인정보자기결정권이 부정되는 것은 아니다
개인정보의 유형에 따라 사전동의 제도 보다 사후통제권을 보장하는 것으로 충분한 경우가 있을 수 있기 때문에 모든 개인정보 사용에 사전동의 제도를 절대적으로 요구하는 것은 적절하지 않다. 특히, 개인정보 보호에 의한 프라이버시와 다른 공익이 충돌하는 경우에는 부득이 보호가치간의 비교 형량이 불가피하다. 즉, 개인의 프라이버시는 각 개인의 주관적인 감정에 따라 평가되기 때문에 그 객관적인 가치가 실제 사회적 평가가치와 다를 수밖에 없고, 개인의 주관적 가치평가가 지나치게 높을 경우 제한이 필요하다. 
개인정보는 보호의 대상이기도 하지만 공공의 것이기도 하다. 개인정보의 유형에 따라 강력한 보호의 대상이 되어야 하고, 전적으로 정보주체의 동의에 강력한 힘을 실어주어야 할 경우도 있지만, 반대로 이러한 보호의 필요성 보다는 사회적 활용 가능성이 더 요긴한 정보도 있다. 또한, 어떠한 목적으로 어떠한 상황에서 개인정보를 이용하게 되었는지를 고려할 필요도 있다. 따라서 정보의 민감성이나 정보주체에 미치는 영향, 정보이용의 목적, 정보 활용의 범위 등에 따라 사전전동의 요건의 엄격성을 결부시키는 것도 합리적인 규범 조화적 개선 방안이다.

목차

제 1 장  서   론 1
 제 1 절  연구의 필요성과 목표 1
 제 2 절  연구의 내용과 범위 3
  1. 연구의 주요 내용 3
  2. 연구의 범위 4

제 2 장  한국 개인정보보호법제에서 동의의 법적 위상(位相) 7
 제 1 절  서언 7
  1. 데이터경제에서 개인정보의 효용성 7
  2. 데이터경제에서 개인정보의 위험성 8
 제 2 절  개인정보보호법제에서 개인정보자기결정권의 위상 10
  1. 기본권으로서의 개인정보자기결정권과 그 헌법적 보장의 의미 10
  2. 전통적인 사생활비밀보호권과 새로운 개인정보자기결정권의 구별  11
 제 3 절  개인정보보호법제에서 동의의 법적 위상 15
  1. 프라이버시 역설과 개인정보를 둘러싼 시소-게임  15
  2. 개인정보자기결정권과 동의권의 구별  17
  3. 개인정보를 마치 사생활비밀처럼 보호하고자 하는 한국 개인정보보호법제 18

제 3 장  동의제도의 규범과 정책에 관한 비교법적 분석 21
 제 1 절  서언 21
 제 2 절  유럽연합의 동의제도 분석 23
  1. GDPR상의 동의제도 23
  2. GDPR상의 동의제도가 주는 시사점 48
 제 3 절  일본의 동의제도 분석 55
  1. 개요 55
  2. 일본 개인정보보호법상의 동의제도 62
  3. 일본 분야별 가이드라인상에서의 동의제도 72
 제 4 절 미국  86
  1. Privacy Act(1974) 87
  2. 소비자 프라이버시 권리장전  89
  3. 아동 온라인 프라이버시 보호법(COPPA) 90
  4. 가족 교육권 및 프라이버시 법(FERPA) 93
  5. 캘리포니아 소비자 프라이버시법(CCPA) 97
 제 5 절 호주의 동의제도 분석 101
  1. 호주의 개인정보보호 체계 101
  2. ｢프라이버시법｣상 동의제도 101
  3. 시사점 105
 제 6 절 캐나다의 동의제도 분석 107
  1. 캐나다의 개인정보보호 체계 107
  2. ｢프라이버시법｣상 동의제도 108
  3. ｢개인정보보호 및 전자문서법｣(PIPEDA)상 동의제도 110
  4. 시사점 113
 제 7 절 분석의 결론 : 시사점 114
  1. 국내 개인정보보호법제와 해외 법제의 비교  114
  2. 귀납적 결론 : 개인정보의 이용과 보호에 관련된 3가지 모델 130
  3. 시사점 : 패러다임의 전환 136

제 4 장  동의제도의 운영실태에 관한 분석 139
 제 1 절  서언 139
 제 2 절 한국의 현행 동의제도 실효성에 대한 평가 140
  1. 현행 사전 동의제도의 문제점 140
  2. 국내 동의제도 실효성에 관한 실태조사 분석 155
  3. 실태분석을 통한 시사점 : 실질적 동의를 획득할 수 있는 방안 연구 166
 제 3 절  5개 분야별 동의제도 운영행태 분석 168
  1. 「인사․노무」 168
  2. 「의료」 203
  3. 「교육-학원․교습소」 259
  4. 「포털」 282
  5. 「금융」 297

제5장 신기술 서비스 분야에서 동의 운영 행태 및 실태 분석 311
 제 1 절  개인정보와 인공지능 기술 311
 제 2 절 Smart Health Care  315
  1. 핏빗 315
  2. NUVANT MCT 318
 제 3 절 Smart Home Appliances  320
  1. 스마트 TV 321
  2. 스마트 냉장고 323
  3. 스마트 세탁기 325
  4. 로봇 청소기 327
 제 4 절 신기술(스마트 헬스, 스마트 홈 등) 동의 운영형태 분석 329
  1. 개인정보 수집 항목 고지 사항 및 동의거부권 330
  2. 개인정보 동의(필수 및 선택사항) 334
  3. 구체적인 동의 철회권과 처리정지권 337
 제 5 절 개인정보보호법과 인공지능 사이의 숙명적 긴장 339
  1. 프라이버시 우려를 야기하는 인공지능의 기술적 특징들  340
  2. 유럽연합의 GDPR이 인공지능의 활용에 미칠 영향 343
  3. GDPR이 인공지능 기술 활용에 미칠 부정적 효과 350
 제 6 절 소결 355

제 6 장 각 분야별 동의제도 및 개선방안에 대한 설문 분석 358
 제 1 절 연구개요 358
  1. 조사 개요  358
  2. 본 연구와의 연계성 및 시사점 359
 제 2 절 설문분석 361
  1. 종합 분석 : 동의제도전반에 대한 문제인식 361
  2. 각 영역별 세부 분석 366

제 7 장 동의제도의 개선을 위한 대안제시  381
 제 1 절 패러다임의 전환 : 사후규제로의 전환 381
  1. 합리적 목적을 위한 개인정보 활용에 대한 사후적 규제 허용  382
  2. 개인정보유형에 따른 사후통제권의 보장 383
 제 2 절 현행 사전동의 제도 개선을 위한 정책적 제안 384
  1. 고지의 형식화 개선을 위한 제도적 대안 384
  2. 고지의 실질화를 위한 제도 개선 386
 제 3 절 합리적 동의제도를 위한 정책적 제안 390
  1. 개인정보주체의 동의 없는 개인정보의 처리  390
  2. 개인정보 유형에 따른 차등화 391
  3. 빅데이터환경에서 현행 동의방식의 한계  392

<참고문헌>  395