한국인터넷진흥원

요약

1. 제목

 

  온라인상 개인정보 처리 고지제도 개선방안 연구

2. 연구의 목적 및 범위

  o 4차 산업혁명의 도래로 데이터 경제가 활성화 되고 있고, 이를 기반으로 한 서비스가 기하급수적으로 늘어나고 있음 
  o 이와 더불어 개인정보 유출 문제가 대두되고 있으나, 기존의 웹사이트에 비하여 앱에서 개인정보의 접근 및 처리의 문제에 대해서는 아직 조사 및 연구가 활발히 진행되고 있지 않음 
  o 그럼에도 불구하고 일반적으로는 이용자가 웹사이트 또는 앱에서 제공하는 동의서의 내용을 이해하기 어렵거나 번거롭다는 이유로 제대로 읽지 않는 경우가 많기 때문에 개인정보와 관련한 일련의 동의에 대한 실효성을 확보하고자 하는 시도들이 제안되고 있음 
  o 특히 지난 2018년 5월 박선숙의원은 개인정보 활용 범위 등급제 등을 도입 관련한 정보통신망법 개정안을 발의한 바 있음 
  o 이 개정안의 제안이유는 현행 개인정보 관련 법령에 따른 개인정보 처리 고지제도 하에서는 사업자의 개인정보 처리·고지가 어렵고 정보주체는 개인정보 활용범위 파악이 어려운 문제가 존재하기 때문에 이를 해결하기 위한 것이라고 함
  o 본 보고서에서는 현재 우리나라에서 자주 활용되는 앱과 웹사이트의 개인정보처리방침에 대해 확인하고 이들을 분석함과 동시에 이들 앱과 웹사이트의 개인정보처리방침이 갖는 문제점을 도출하는 것을 1차적인 목표로 설정함 
  o 또한 우리나라의 개인정보와 관련된 일련의 법ㆍ제도와 법률개정안을 확인하고 선진국들의 제도를 미국, 일본 그리고 유럽 및 독일을 통해 확인하고자 함 

  o 마지막으로 개인정보 활용범위 등급제의 도입이 현재의 온라인상 개인정보 처리 고지제도의 문제점들을 극복할 수 있는 대안인지 실효성 분석을 통해 확인하고 대안을 검토하고 도출하고자 함

3. 온라인상 개인정보 처리 고지 현황

  o 국내의 앱의 경우 대부분 접근권한을 필수적 접근권한과 선택적 접근권한으로 구분하여 정보를 제공하고 동의를 받고 있으나, 필수적 접근권한과 선택적 접근권한을 구분하기 위한 명확한 기준이 존재하지 않음 
  o 또한 각각의 앱마다 고지방식과 동의방식이 동일하지 않아 이용자가 동의의 내용을 인식하는데 매우 어려움 
  o 해외 앱의 경우 국내의 앱과 비교할 때 우리 법규정을 준수하지 않는 경우가 상당수 존재 
  o 국내의 웹사이트의 경우 오랜 기간 동안 체계적인 관리가 있었던 까닭에 대부분의 개인정보처리방침이 관련 법률에 따라 적절하게 정비되어 있으나 소셜로그인에 대한 방식과 정보처리 방식 등에 대해서는 관련된 고지가 적절하게 이루어지고 있지 않음 
  o 해외 웹사이트의 경우 각국마다 제시되는 개인정보지침이 큰 틀에서는 동일하다고 평가할 수 있으나 약간의 차이점들이 존재하고 있고, 이는 각 국가의 개인정보보호와 관련된 법률규정이 상이함으로 인한 것이라고 판단됨 
  o 특히 우리나라의 개인정보보호법제는 주요국에 비해 엄격하게 규정되어 있기 때문에 해외 웹사이트 등이 이를 엄격하게 준수하고 있다고 보기 어려운 점이 많으며, 특히 제3자에게 정보가 제공되는 경우에 지켜야 하는 일련의 규정에 부합하지 않은 개인정보처리방침이 확인되는데, 이는 우리나라의 경우 정보보호 책임이 감독책임이 있는 정부보다는 정보를 활용하는 기업 및 정보주체에게 대부분 전가되어 있기 때문으로 파악됨

4. 법제분석

  o 국내의 경우 ｢개인정보보호법｣이 일반법의 역할을 하고, 분야별로 ｢정보통신망법｣,   ｢신용정보보호법｣이 존재하고 있으며, 이들 법률이 온라인상 개인정보 처리 고지제도와 관련하여 규정하고 있는 내용들을 적시하였음
  o 특히 의미가 있는 것은 신용정보보호법의 개정과 관련된 논의인데, 금융위원회에서는 2018년 5월 「금융분야 개인정보 내실화방안」을 발표하여 개인정보 활용에 대한 국민 불신을 해소하고자 하였음 
  o 이에 따르면 개인정보와 관련한 제도운영의 경직성 등을 빅데이터 분석 등 금융권 데이터 활용을 통한 4차 산업혁명 대응에 걸림돌이라 판단하여, 정보주체를 실질적으로 보호하고, 데이터 활용에 대한 국민 신뢰를 제고해 나가기 위해 정보보호 제도의 내실화를 추진하여야 함을 지적하고 있음 
  o 특히 금융분야 개인정보 내실화방안은 수집ㆍ이용ㆍ제공되는 정보의 내용에 대해 정보주체에게 요약 정보를 우선 제공하도록 하는 것, 정보활용 동의서의 등급제 도입, 이용목적별ㆍ기관별 동의제도를 도입하는 것을 골자로 하고 있음 
  o 이러한 일련의 신용정보법 개정은 「개인정보 활용 범위 등급제」와 내용적인 측면에서 매우 유사하지만 실질적으로는 큰 차이가 있음에 유의하여야 함 
  o 신용정보법 제4조 제1항에서 신용정보업의 종류 및 그 업무를 특정하고 있을 뿐만 아니라 제2항에 따라 신용정보업을 하려는 자는 그 업무의 종류별로 금융위원회의 허가를 받아야 함 
  o 따라서 신용정보업을 하는 자가 누구인지 확인이 가능하기 때문에 등급제가 도입될 여지도 있음 
  o 그러나 일반적인 앱과 웹사이트에서도 개인정보 활용 범위 등급제를 전면적으로 도입하는 것은 현실적이지 않을 뿐만 아니라 국내기업들에 대한 역차별의 문제를 발생시킬 여지가 큼 
 
  o 이와 더불어 미국, 일본 및 독일의 법제를 소개하였음 
  o 미국의 정보보호 방식은 우리 법제와 여러 면에서 달라 우리나라에 직접 도입하여 적용하기는 어려움이 있으나, 미국의 정보보호에 대한 시장자율규율 방식이나 개인이 정보주체로서 권리를 행사할 수 있도록 하는 점들에서 기업들과 개인이 정보보호의 주체가 될 수 있는 사회적 분위기를 만들어내는 것은 필요하다고 판단됨 
  o 최근 온라인상의 정보를 이용하는 경우 많은 걸림돌이 되고 있는 강력한 개인정보 보호는 옵트인이라는 체계에서 비롯된다는 의견들이 많기 때문에, 인터넷의 자유로운 이용을 위해 옵트아웃 체계를 적절히 도입하여 개인정보보호를 보다 적절하게 완화할 수 있는 방안도 함께 고려되어야 할 것임
 
  o GDPR 및 독일의 정보보호 방식은 우리 법제와 여러 면에서 유사하기 때문에 우리나라에 시시하는 바가 큼 
  o GDPR 및 독일의 법제도에서는 정보주체 및 정보처리자의 권리와 의무에 대한 내용 역시 매우 자세하게 규정되어 있으나 개인정보와 관련하여 우리의 법률제도가 독일의 제도에 비해 크게 뒤쳐진다고 볼 수는 없다고 판단함 
  o 물론 일반적인 보호의 필요성이 있는 앱(Apps)에서의 정보보호를 위한 심사목록을 민간기업들에게 제시하도록 하는 것은 나름대로의 의미가 있으나, 지역적인 한계를 분명히 드러내고 있으며, 이를 전면적으로 시행할 경우 통상의 문제를 일으킬 수 있을 뿐만 아니라 역차별의 문제도 발생할 수 있음

  o 개인정보보호법, 정보통신망법, 신용정보보호법 정리표 생략

5. 개인정보 활용범위 등급제에 대한 실효성 분석

  o 개인정보 활용범위 등급제는 정보통신망법 개정을 통해 “개인정보 활용범위 등급제를 도입하여 정보통신서비스 제공자 등이 이용자의 동의를 받을 때 등급을 고지하도록 함으로써 이용자가 본인의 개인정보가 어떻게 활용될 것인지를 명확하고 쉽게 인식할 수 있도록 하고 개인정보보호에 관심을 기울일 수 있도록” 하는 목적을 두고 있음
  o 그러나 이러한 등급제의 도입을 통해 이용자가 자신의 개인정보 활용범위를 인지하고 이를 기반으로 자기결정권 향상을 위한 결정과 같은 개인정보보호 강화와 연관성을 찾기가 어려움 
  o 특히 이 개정안은 개인정보 활용범위 등급제의 적용대상을 정보통신서비스제공자등으로 하고 있는데, 이는 현재 존재하고 있는 국내 다른 유사 등급제와 비교해볼 때, 적용 대상의 범위가 지나치게 광범위하고, 적용대상을 특정할 수 없다는 문제점이 존재함
  o 또한 국내 타 등급제의 경우, 등급 대상이 수치화가 용이하거나, 특정 연령을 유해 환경으로부터 보호를 위해 연령기준으로 등급 분류함
   - 전자제품 에너지 효율 등급제, 자동차 배출가스 등급제 등의 경우, 에너지 소비량·자동차 배기가스 양 등 등급 대상의 정량적 측정이 용이하여 등급화에 적합
   - 게임물 등급제, 영상물(영화) 등급제 등의 경우, 게임, 영화 등 한정된 분야에서 특정 연령을 보호하기 위하여 등급 분류를 연령을 기준으로 하므로 등급화에 적합 
  o 결론적으로 개인정보 활용범위 등급제의 경우, ‘활용 범위’라는 특성상 정량적 수치화/등급화 불가능하며, 산업 분야별·서비스별 등급 대상인 ‘개인정보 활용범위’가 다양하게 존재하며, 개인정보 활용범위를 산업별, 서비스별 통일된 기준으로 분류하기 어려운 문제가 존재함
  o 또한 이 개정안은 등급분류에 따라 위험정보 유출 시 개인정보처리자 등 사업자에게 부담이 되는 문제가 제기될 수 있으며, 정부 주도 등급분류 시 소비자단체 등 시민사회 반대의 우려뿐만 아니라 정부 기관 등급분류 시 등급지정에 대한 민원 및 행정소송의 우려가 있음 
  o 편익분석을 한 결과 개인정보 활용범위 등급제에서의 직접비용, 직접편익 및 간접편익은 없으나 간접비용이 있는 것으로 분석됨
   - 국가기관이 개인정보 활용범위 등급제를 운용하고, 사업자에게 개인정보 활용범위 등급제 고지 규제를 실시함에 따른 기업의 부담은 큰 반면, 소비자, 정보주체 등 이용자 보호 강화에 기여하는 효과는 경미할 것이기 때문임 
  o 통상과 관련해서도 문제가 제기될 수 있는데, 엄격한 개인정보 국외이전 규제로 인해 개인정보처리를 외주에 의존하는 미국 인터넷기업이 우리나라 인터넷기업에 비해 경쟁상 불리해짐을 그 이유로 들고 2016년 정보통신망법 개정에 따른 법위반에 대한 제재도 과도하다는 입장을 밝히고 있다는 점 등도 감안하여야 함
  o 국내 유사 등급제 분석, 비용·편익분석, 통상이슈 분석 결과, 개인정보 활용범위 등급제는 이용자를 위한 실효성이 없는 제도라고 판단됨 

6. 제언

  o 온라인상 개인정보 처리 고지제도 개선을 위하여 웹사이트·앱의 개인정보 처리 고지 현황, 해외 법제도 분석, 개인정보 활용범위 등급제 실효성 분석 등을 통해 이용자 개인정보보호 권리를 실질적으로 보장할 수 있는 방안으로 다음과 같은 제언을 하고자 함
  o 온라인 사업자 또는 유관 협·단체 중심의 개인정보보호 자율규제 일환으로 으로 1)사업자의 주요 개인정보 처리 내역 또는 개인정보 보호조치 내역을 작성하여 이용자에게 고지하도록 하는 방안과 2)이용자 개인정보보호 권리 행사를 쉽게 할 수 있도록 온라인 홈페이지에서 이용자가 자신의 개인정보보호 권리를 즉시 행사할 수 있도록 사업자가 해당 웹페이지로 연결되는 링크를 제공하는 방안을 제안함
  o 1) 관련하여, 현행 개인정보보호 자율규제는 이용자에 대한 아무런 고지 없이 사업자의 자율적인 개인정보보호 체크리스트 제출 및 규제기관의 심사 등으로만 이루어지고 있음 
   - 이에 현행 개인정보보호 자율규제 방식에 이용자에 대한 고지를 추가하는 방식의 대안을 제안함
  o 2) 관련하여, 현행 정보통신망법에서는 이용자에게 다양한 권리를 부여하고 있으나, 이용자의 해당 권리 존재 및 행사 방법 미인지, 사업자의 연락처 미기재 등으로 이용자가 권리를 행사하기 쉽지 않은 것이 현실임
  - 모든 사업자가 회원정보 페이지 등 손쉬운 곳에 개인정보보호를 위한 이용자의 권리를 즉시 행사할 수 있도록 개인정보보호 자율규제 일환으로 웹사이트와 앱에 명백하게 링크 등을 표시하는 방식을 고려할 수 있음

목차

제1장 서 론 1
제1절 문제의 제기 1
제2절 연구내용과 범위 및 연구방법 1
가. 연구 내용과 범위 1
나. 연구 방법 2

제2장 온라인상 개인정보 처리 고지 현황 3
제1절 앱 기반 온라인 서비스상 개인정보처리 고지 현황 3
가. 앱 개인정보 접근권한 모니터링 현황 3
나. 조사내용 3
다. 조사결과 6
제2절 웹사이트 개인정보 처리 고지 현황 7
가. 웹사이트 개인정보 접근권한 모니터링 현황 7
나. 조사결과 7
제3절 해외사례 9
가. 쇼핑 - 아마존 9
나. SNS – 페이스북 18
다. 포털 – 구글/유튜브 20
라. 게임 – EA 21
마. 조사결과 24

제3장 법제분석 25
제1절 한국 25
가. 개요 25
나. 개인정보보호법 25
다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 28
라. 신용정보법 30
마. 신용정보법 개정 등 – 금융위(안) I 31
바 신용정보법 개정 등 – 금융위(안) II 35
사. 신용정보법 개정 등 – 금융위(안) III 36

제2절 미국 37
가. Children's Online Privacy Protection Act (COPPA)와 COPPA Rule 37
나. California Online Privacy Protection Act (CalOPPA) 38
다. California Consumer Privacy Act(CCPA) 40

제3절 유럽 및 독일 43
가. GDPR  43
나. Bundesdatenschutzgesetz  49

제4절 일본 57
가. 일본 개인정보보호 법제의 체계 57
나. 일본 개인정보보호법의 정비 60
다. 개인정보 수집, 이용, 제공 동의절차, 처리 고지제도 검토 61

제5절 시사점 65

제4장 개인정보 활용범위 등급제 도입에 대한 실효성 분석 72
제1절 국내 유사등급제 분석 72
제2절 개인정보 활용 범위 등급제 분석 73
가. 개요 73
나. 분석 및 검토 74
제3절 개인정보 활용범위 등급제와 통상문제에 대한 검토 88

제5장 제언 95

참고문헌 97

붙임 1 국내ㆍ외 주요 분야 앱 개인정보 접근권한 현황 조사 98
붙임 2 국내ㆍ외 주요 앱 및 웹사이트 개인정보처리방침 현황 조사 103
붙임 3 국내ㆍ외 주요 웹사이트의 개인정보처리방침 현황 조사 114