[프라임경제] 개인정보 자기결정권은 자신의 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지 스스로 결정하고 관리할 수 있는 헌법적 권리를 말한다. 

우리나라의 개인정보 보호법은 개인정보의 여러 활용에 대한 정보주체의 사전 동의권을 명시함으로써 동의를 개인정보 자기결정권의 가장 핵심적인 권리행사 방식으로 삼고 있다. 

이처럼 개인정보 동의 제도는 정보주체의 헌법상 권리를 지탱하는 핵심적 요소로 기능하고 있지만 그 한계에 대한 논의 지속 돼왔다. 특히 개인정보 보호법은 동의의사의 진정성을 담보하기 위해 개인정보처리자가 동의의 대상이 되는 내용에 관해 충실히 사전 고지하도록 명하고 있음에도 불구하고 획일화된 고지 방식과 정보주체의 무관심으로 인해 많은 경우 정보주체의 동의는 형식적인 동의에 그친다는 점이 계속해서 문제로 지적됐다.

나아가 개인정보처리자는 그처럼 형식적인 동의만으로 개인정보 활용에 관한 법적 면죄부를 얻을 수 있게 된다는 점도 동의제도의 한계였다. 

 

동의제도의 개선을 위해 2023년 개인정보보호법 시행령 제17조 제1항이 신설됐다. 해당 조항에 따르면 개인정보처리자는 정보주체의 동의를 받을 때 △정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있어야 하고(제1호) △동의를 받으려는 내용이 구체적이고 명확하여야 하고(제2호) △그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용하며(제3호) △동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공하여야 한다(제4호). 해당 조항의 시행은 2024년 9월 15일까지 유보되어 있었다. 

그간 개인정보보호위원회는 해당 조항에서 '정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있도록' 해야 한다고 규정한 것에 따라, 2024년 9월 15일 이후에는 기존의 '필수 동의 항목, 즉 서비스 이용을 위해 반드시 요구되는 개인정보 수집 및 이용에 무조건적으로 동의하도록 하는 관행을 개선해야 할 것이라 예고했다.

개인정보보호위원회가 2024년 9월 12일 배포한 자료에 의하면 추후 개인정보 동의 관행은 네 가지 원칙을 기준으로 개선돼야 한다. 

첫째 서비스 이용 등 계약과 관련하여 필요한 개인정보는 정보주체에게 동의를 요구할 필요가 없다. 다만, 동의 없이 처리할 수 있다는 점에 대한 입증은 개인정보처리자가 부담한다. 만일 필수 동의를 받았다고 하더라도 이는 단순히 해당 내용을 고지한 효과에 그치게 된다. 

둘째 서비스 이용과 관련 없이 개인정보처리자의 필요에 따라 수집하는 개인정보에 대해 동의내용을 명확히 알리고 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있어야 한다. 

셋째 필수 동의를 받아 온 동의내용에 서비스 이용계약 이행 등에 필요한 개인정보가 있다면 해당 항목은 삭제하고, 그 외의 개인정보는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 분리해야 한다. 

또한 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보가 무엇인지 개인정보처리방침 내에 각각의 항목을 구분하여 작성해둬야 한다. 

마지막으로 민감정보와 고유식별정보의 경우 서비스 제공을 위해 불가피하게 필요한 경우라면 정보주체에게 동의내용을 충분히 알린 후 별도로 필수 동의를 받아야 한다. 즉 민감정보와 고유식별정보를 이용하는 경우에는 기존의 필수 동의 방식을 그대로 유지해야한다.

필수 동의 항목이 불필요해지면서 개인정보처리자는 자신이 구비해야 할 동의 항목이 줄어들었으므로 이 변화가 반가울 수도 있다. 그러나 이번 동의 제도 개선의 취지는 동의 제도를 실질적으로 개선하기 위해 기존의 동의 항목들 중 불필요한 것을 개인정보처리자가 직접 선별하게끔 하고 이를 서비스 운영 과정 및 개인정보처리방침에 직접 반영해 동의제도의 실질과 투명성을 높이려는 데에 있다. 

개인정보처리자로서는 개인정보의 활용 현황을 점검해 동의 절차를 수정하고, 동의 절차의 적법성을 스스로 담보해야 하므로 개인정보처리자의 부담이 가중되었다고 보는 것이 좀 더 정확하다. 

회사의 개인정보 보호 책임자라면 이번 기회를 활용해 법률 전문가와 함께 깨끗하고 일관된 개인정보 처리 절차와 문서를 마련하는 것이 바람직하다.