[중기이코노미 전문가 칼럼] 고객 개인정보 어떻게 처리할까(1) 

(중기이코노미 전문가 칼럼 / 법무법인 청향 윤희창 파트너변호사)

1. 개인정보 보호의 중요성

고객에게 서비스를 제공할 때, 고객의 개인정보 없이는 어떤 고객에게 어떤 서비스를 어떤 조건으로 제공해야 하는지 확인할 방법이 없다. 새로운 서비스에 관한 마케팅을 진행할 때, 고객의 개인정보 없이는 해당 서비스를 필요로 하는 고객군에게 맞춤형 마케팅을 진행하기 어렵고 불특정다수의 고객에게 무차별적으로 마케팅을 진행할 수밖에 없다. 이처럼 서비스를 적절히 제공하고 효과적인 비즈니스 전략을 구사하기 위해서는 고객의 개인정보를 ‘잘 쓰는 것’이 필수적으로 요구된다. 한편, 서비스를 안전하게 제공하고 고객의 신뢰를 확보하기 위해서는 개인정보를 ‘잘 보호하고 관리하는 것’이 개인정보를 잘 쓰는 것 만큼이나, 혹은 그보다 더 중요하다. 이에, 지난해 9월 15일부터는 전면 개정된 「개인정보 보호법」이 시행되고 있고, 올해에는 개인정보보호위원회에서 ‘일상이 안전한 개인정보 보호체계 구축’과 ‘디지털 시대 정보주체 권익 강화’를 포함한 핵심 추진과제를 발표하는 등 정보주체의 권리를 강력히 보호하려는 추세가 점점 더 강해지고 있다. 이러한 흐름에 발맞추어 사업자가 알아야 할 기본적인 개인정보 보호 관련 지식을 아래와 같이 소개한다.

2. 개인정보란?

개인정보란, ‘살아있는 개인에 관한 정보’로서 ‘성명·주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’ 또는 ‘해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 정보’를 의미한다(「개인정보 보호법」 제2조 제1호). 즉, 우선은 ‘살아있는 자’에 관한 정보여야 하므로 사망자의 정보는 개인정보에 해당하지 않게 된다. 또한 ‘개인’에 관한 정보여야 하므로 법인 또는 단체에 대한 정보는 개인정보에 해당하지 않는다(단, 법인 또는 단체에 대한 정보이면서 동시에 사업자 개인에 대한 정보라면 개인정보로 취급될 수 있다). 개인정보 여부에 대한 판단을 가장 어렵게 하는 요건은 ‘그 자체로서 또는 다른 정보와 용이하게 결합하여 개인을 식별할 수 있는’ 정보여야 한다는 것인데, 개인정보를 처리하는 사람이 해당 정보 자체만으로 개인을 식별할 수 있는 가능성이 얼마나 있는지, 그 자체만으로는 식별이 어렵다고 하더라도 다른 정보와 얼마나 쉽게 결합할 수 있는지 등을 종합적으로 고려하여 개별적으로 판단하여야 한다.

참고로, 「개인정보 보호법」에서는 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보 없이 특정 개인을 식별할 수 없는 정보를 ‘가명정보’로 정의하고 있는데(「개인정보 보호법」 제3조 제1호 다목), 통계 작성‧과학적 연구‧공익적 기록 등을 위한 목적으로 처리하는 경우에는 정보주체의 동의 없이 처리할 수 있다는 점에서 다른 개인정보보다 완화된 규제를 적용받지만(「개인정보 보호법」 제28조의2), 그 외의 목적으로는 여전히 정보주체의 동의가 요구되는 등 「개인정보 보호법」 상의 규제가 적용된다.

3. 실무상 꼭 알아둬야 할 개인정보 보호 이슈 (1)

「개인정보 보호법」에 따라 기업이 개인정보를 잘 보호하고 관리하기 위하여 알아야 할 주요 이슈를 소개하면 아래와 같다.

① 민감정보와 고유식별정보를 다룰 때에는?

사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보 및 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 유전정보·범죄경력 자료·신체적 또는 행동적 특징에 관한 정보·인종이나 민족에 관한 정보 등은 「개인정보 보호법」 상 ‘민감정보’로 특별히 보호된다(「개인정보 보호법」 제23조 제1항). 또한 주민등록번호, 여권번호, 운전면허번호 외국인등록번호는 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 「개인정보 보호법」 상 ‘고유식별정보’로 특별히 보호된다(「개인정보 보호법」 제24조 제1항). 민감정보 또는 고유식별정보를 처리하기 위해서는 다른 개인정보와 별도로 추가적인 동의를 받거나, 그 처리를 요구하는 근거가 법령에 존재하여야 하므로 더욱 유의하여야 한다. 특히 주민등록번호는 정보주체로부터 동의를 받았는지 여부와는 관계없이 법령 등에 구체적으로 처리 근거가 있어야만 처리가 가능한 바(「개인정보 보호법」 제24조의2 제1항), 법령상 근거가 마련되어 있는 것이 아니라면 주민등록번호를 수집‧이용하지 않도록 각별히 주의하여야 할 것이다.

② 동의는 어떻게 받아야 할까?

개인정보처리자는 (i)개인정보의 수집·이용 목적, (ii)수집하는 개인정보의 항목, (iii)개인정보의 보유·이용 기간, (iv)동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 명확하게 인지할 수 있도록 알리고 정보주체로부터 동의를 받아야 한다(「개인정보 보호법」 제15조 제2항 및 제22조 제1항). 이와 관련하여, 대법원은 개인정보 활용에 관한 적법한 동의의 요건에 관해, “법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 활용에 대한 동의 여부를 판단할 수 있어야 하고, 그에 따른 동의의 표시는 이용자가 개인정보의 활용에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 실행 방법이 마련되어야 한다”는 입장이다(대법원 2016.6.28. 선고 2014두2638 판결). 따라서 동의를 받을 때에 위 법정 고지사항을 빠짐없이 고지하고, 고객의 인식가능성 및 실질적 동의권을 충분히 보장하는 방안으로 동의 절차를 구현하여야 할 것이다.

③ 개인정보 처리방침은 꼭 필요할까?

「개인정보 보호법」에 따라 모든 개인정보처리자에게는 개인정보 처리방침을 수립 및 공개할 의무가 있다(「개인정보 보호법」 제30조). 개인정보 처리방침에는 개인정보의 처리 목적 및 항목, 처리 및 보유 기간, 제3자 제공에 관한 사항, 파기절차 및 파기방법, 민감정보 공개 가능성 및 비공개 선택 방법, 처리 위탁에 관한 사항, 국외 이전에 관한 사항 가명정보의 처리 등에 관한 사항, 법정대리인의 권리의무 및 그 행사에 관한 사항, 개인정보 보호책임자의 성명, 개인정보 자동 수집 장치의 설치‧운영 및 그 거부에 관한 사항, 개인정보 안전성 확보 조치에 관한 사항 등이 포함되어야 하며, 개인정보처리자는 개인정보 처리방침을 인터넷 홈페이지에 지속적으로 게재하여야 한다. 만약 홈페이지에 게재할 수 없는 경우에는 사업장의 보기 쉬운 장소에 개시하거나 관보‧간행물‧계약서 등에 싣는 방법이 있다. 개인정보 처리방침을 개정하는 때에는 이전 버전의 개인정보 처리방침도 확인 가능하도록 링크 등을 통해 공개하여야 하는 점도 유의하여야 한다.

4. 마무리

지금까지 개인정보의 의미, 민감정보 및 고유식별정보 활용 시의 유의사항, 개인정보 활용 동의를 받는 방법, 개인정보 처리방침의 수립 및 공개에 관해 알아보았다. 그 외 개인정보 처리위탁‧제3자 제공‧국외이전 시의 유의사항, 목적 달성 후 개인정보 파기 등에 관하여는 다음 편에 이어서 살펴보겠다.