[법무법인 민후 김경환 변호사] 최근 개정된 개인정보보호법과 관련하여 해석이 문제되는 몇 가지 부분이 있다.
이에 핵심 개정내용의 해석에 대하여 EU GDPR을 참조하여 살펴보고자 한다.
개인정보의 경우 처리 단위를 결정하는 것은 개인정보의 항목과 목적범위이다. 따라서 일정한 개인정보의 항목에 대하여 동의 등을 얻더라도 이를 무제한적으로 처리할 수 있는 것은 아니고 목적에 의한 제한(purpose limitation)을 받게 된다.
예컨대 A 개인정보를 a 목적으로 처리하는 경우와 A 개인정보를 b 목적으로 처리하는 것은 별개로 봐야 하고, 따라서 전자에 대하여 정보주체로부터 동의를 받았다고 하여 후자에 대한 처리는 허용되지 않는다. 이 중 개인정보 항목 부분은 비교적 명확해서 논란의 여지는 매우 적으나, 목적 또는 목적제한성의 경우 그 범위와 의미를 획정하는 것은 매우 중요하지만 쉽지 않다.
특히 기존 개인정보보호법은 목적 내 범위와 목적 외 범위로만 구별되어 비교적 단순했던 반면, 개정 개인정보보호법은 제15조 제3항 등에 '당초 수집 목적과 합리적으로 관련된 범위'라는 중간영역을 등장시켰는바, 목적범위를 획정하고 목적제한성을 이해하는 것이 매우 복잡해졌다. 여기에 새로 도입된 가명정보의 경우 '통계작성, 과학적 연구, 공익적 기록보존 등의 목적'의 경우에는 동의 없이 처리할 수 있다고 규정하고 있어서(제28조의2) 검토할 부분이 많이 늘었다. 이에 목적에 대한 개정 개인정보보호법 이해를 목표로 목적 또는 목적제한성에 대하여 살펴보고자 한다.
일단 개정 개인정보보호법에서 나온 내용들의 관계를 표로 정리하면 아래와 같다.
위 표를 보건대 개정 개인정보보호법은 목적 내 처리와 목적 외 처리의 이분법적 분류가 아니라 중간영역(당초 목적과 합리적으로 관련된 범위, 통계작성 목적 등)을 설정하면서 개인정보의 활용을 지원하고 있다. 이에 아래 순서대로 기존의 목적 내 처리와 목적 외 처리의 구별을 응용하여 새롭게 설정된 '중간영역'에 대한 내용을 획정하고자 한다.
1) 수집 개인정보 항목과 목적과의 관계
수집 개인정보 항목과 목적과의 관계는 '최소 수집의 원칙'이 적용된다. 즉 개인정보를 수집하는 경우 '목적에 필요한 최소한의 개인정보'를 수집해야 한다. 주의할 점은 최소 수집의 원칙이란 목적범위를 제한하는 것이 아니고 단지 목적이 정해진 상황에서 수집 개인정보 항목을 필요한 최소한의 범위로 정하라는 의미일 뿐이다. 더불어 중간영역이라는 것은 개인정보의 항목과 무관한 것이고, 목적과 관련이 있다는 점도 주의할 필요가 있다.
2) 목적 내 처리와 목적 외 처리의 구별
기존 개인정보보호법 체제에서 목적 내 처리와 목적 외 처리의 구별은 어떻게 하는지이다. 대법원은 SKT의 부활충전 사건에서, 서비스 이용계약의 핵심적인 내용에 따른 이용자들의 의사, 이용자들이 당연히 예상할 수 있는 범위인지 여부, 이용자들에게 불측의 손해가 입게 되는지 등을 고려하여 판단하였다. 예를 들어서 이용자들이 당연히 예상할 수 없는 범위의 처리이면 목적 외 처리에 해당하는 것이다.
3) 중간영역의 지위
중간영역 즉 합리적으로 관련된 범위(이하 ‘합리적 관련 범위’), 통계작성 목적 등이 목적 내 처리인가 아니면 목적 외 처리인가에 대하여 먼저 판별할 필요가 있는데, 중간영역이 목적 내 처리라면 굳이 입법까지 도입할 필요성이 없었을 것이다. 중간영역은 기존 개인정보보호법에 따르면 목적 외 처리 영역에 있었던 것으로 봄이 타당하고, 따라서 목적 외 처리였던 중간영역을 왜, 무슨 근거로 목적 내 처리와 유사하게 처리해야 하는지에 대한 물음에 답을 제시하는 것이 중요하다.
4) 중간영역의 존재 아유
왜 목적 외 처리 영역에서 중간영역을 분리하여 목적 내 처리와 유사하게 취급해야 하는가? 중간영역에 대한 논의는 EU GDPR의 추가처리(further processing)에서 근원한 것이기에, 이 부분은 EU GDPR에 대한 논의를 살펴보는 게 적절할 것으로 보인다.
EU GDPR은 목적 제한성에 대하여 두 가지의 내용이 포함되어 있다고 설명하는데, 그 두 가지는 첫째, ‘목적의 특정성’으로서 수집시 목적은 특정되고 명시되어야 하며 정당해야 한다는 것이고, 둘째, ‘목적의 호환성’으로서 당초 목적과 호환가능(compatible)하지 않으면 추가처리는 허용되지 않는다는 것이다. EU GDPR은 목적 제한성을 추가처리까지 포함하여 설명하고 있다. ‘마케팅 목적’이나 ‘IT 보안 목적’, ‘연구 목적’ 등의 기재를 특정되지 않은 목적 기재로 파악하는 EU GDPR 체제에서 목적 특정성의 엄격성을 목적 호환성으로 완화하는 것으로 보인다.
이는 그간 우리법이 목적제한성에 대하여 첫째의 개념만 강조했고 둘째에 대하여는 논의가 없었던 것과 대조되며, 그 결과 우리 기업들은 아예 처리 목적을 다소 넓게 적는 경향이 생겼다고 보인다.
추가처리가 허용되어야 하는 이유에 대하여, 영국 개인정보보호당국인 ICO는 처리 목적이 시간의 경과로 변할 수 있고, 수집 초기에 예상할 수 없는 새로운 목적으로 처리해야 하는 상황이 올 수 있기 때문에, 추가처리는 금지되지 않는다고 설명하고 있다. 추가처리의 목적은 당초 목적과 비교하여 변경된 목적일 수도 있고, 부가된 목적일 수도 있다고 한다(추가목적 = 변경목적 + 부가목적).
예를 들어서 공공기관의 업무처리 목적으로 개인정보를 수집했는데, 공공기관에 새로운 업무가 부가되었고 호환가능한 목적인 경우 이는 추가처리가 허용되는 경우이다.
5) EU GDPR에서 추가처리가 허용되는 경우
EU GDPR은 추가처리가 허용되는 경우를 둘로 나누어서 설명하고 있다. 첫째, 동의 기반으로 개인정보를 수집한 경우는 새로운 동의를 받아야만 추가처리가 허용되고, 둘째, 동의 이외의 기반으로 개인정보를 수집한 경우에는 '호환가능한(compatible)' 경우에만 추가처리가 허용된다. 동의 이외의 기반으로는 계약, 법적 의무 준수, 긴급한 경우, 공적 업무 수행, 정당한 사유가 있는 경우를 의미한다. 더불어 추가처리가 허용되는 경우라도 개인정보처리방침에 필수적으로 기재해서 공개해야 한다.
결국 EU GDPR에서 논의의 중심은 '호환가능'을 어떻게 판단할 것인가인데, EU GDPR은 아래 5가지를 고려해야 한다고 밝히고 있다. - 당초목적과 추가목적 사이의 실질적인 관련성 - 최초 수집시의 정황 (특히 정보주체와의 관계 및 정보주체의 합리적인 기대) - 민감정보 등 개인정보의 성질 - 추가처리로 인하여 정보주체에게 발생할 수 있는 결과 - 암호화 또는 가명처리 등 적절한 보호조치
다만, 공익달성 목적, 과학적 또는 역사적 연구 목적, 통계 목적의 경우는 적절한 보호조치가 있다는 전제 하에 당초 목적과 호환가능하다고 본다
예를 들어서, 추가 목적이 당초 목적과 매우 상이하거나 기대하기 어려운 경우, 정보주체에게 부정적인 영향을 주는 경우 등은 호완가능하지 않고, 추가처리로 인하여 정보주체가 차별 등의 불이익을 보는 경우 역시 호환가능하지 않다.
6) 개정 개인정보보호법과 EU GDPR의 차이점
개정 개인정보보호법의 중간영역은 EU GDPR의 추가처리의 영향을 받은 것으로 보이나, 실제 내용을 보면 큰 차이점을 보이고 있다.
첫째, 개정 개인정보보호법에 따르면 당초 수집 목적과 합리적으로 관련된 범위라면 정보주체의 동의 없이 처리할 수 있다(제15조 제3항, 제17조 제4항). 즉 EU GDPR의 추가처리는 정보주체의 동의를 얻어 수집한 경우에는 새로운 동의를 얻어야 추가처리가 가능하지만, 개정 개인정보보호법의 합리적 관련 범위의 경우는 정보주체의 동의를 얻어 수집한 경우에도 적용된다. 이 범위에서 EU GDPR의 적용범위가 개정 개인정보보호법의 적용범위가 좁다고 볼 수 있다.
둘째, 처리의 범위에 있어, 개정 개인정보보호법의 당초 수집 목적과 합리적으로 관련된 범위의 경우는 이용과 제공의 경우만 가능하지만, EU GDPR의 경우는 모든 처리에 있어 추가처리가 허용된다. 이 범위에서 EU GDPR의 적용범위가 개정 개인정보보호법의 적용범위가 넓다고 볼 수 있다.
셋째, 판단요소에 있어, 개정 개인정보보호법은 정보주체에 대한 불이익, 암호화 등 안전성 확보조치 등을 고려한 반면, EU GDPR은 위 5가지 요소를 고려한다. 다만 최근 개인정보보호법 시행령으로 아래 4가지 요건을 '모두' 충족한 경우에만 합리적 관련 범위로 인정한다고 발표한 바 있다. - 개인정보의 추가적인 이용, 제공 목적이 당초 수집 목적과 상당한 관련성이 있을 것 - 개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적인 이용, 제공이 예측 가능할 것 - 개인정보의 추가적인 이용, 제공이 정보주체 또는 제3자의 이익을 부당하게 침해하지 않을 것 - 가명처리를 하여도 추가적인 이용, 제공 목적을 달성할 수 있는 경우에는 가명처리를 할 것
7) 개정 개인정보보호법의 '합리적 관련 범위'의 해석
이상 살펴본 내용을 기초로 개정 개인정보보호법의 '당초 수집 목적과 합리적으로 관련된 범위'에 대해 합리적인 해석을 해 보고자 한다.
첫째, 정보주체와의 계약 또는 약관이 있었던 경우(제15조 제1항 제1호, 제4호), 계약 내용이나 수집시 상황을 기초로 하여 변경 또는 추가가 예상되는 목적 범위로서 정보주체에게 강요나 불이익이 되지 않는 경우를 의미한다고 보인다.
둘째, 법령이 있었던 경우(제15조 제1항 제1호, 제2호, 제3호), 법령 내용을 기초로 하여 변경 또는 추가가 예상되는 목적 범위로서 정보주체에게 강요나 불이익이 되지 않는 경우를 의미한다고 보인다.
셋째, 계약, 약관이나 법령이 없는 경우(제15조 제1항 제4호, 제5호), 수집시 상황을 기초로 하여 변경 또는 추가가 예상되는 목적 범위로서 정보주체에게 강요나 불이익이 되지 않는 경우를 의미하다고 보인다.
넷째, 가명처리 또는 암호화 등의 안전조치를 취한 상태에서 통계작성, 과학적 연구, 공익적 기록보전 등의 목적의 처리는 합리적 관련성이 있는 것으로 본다. 이는 빅데이터나 오픈데이터 활용과 관련이 있다.
8) '합리적 관련 범위'인지의 판단 순서
1단계로서, 당초 목적을 획정해야 한다. 당초 목적에 대하여 동의서나 개인정보처리방침이 있는 경우는 그에 기초하여 정하되, 당초 목적이 자의적으로 넓게 기재되어 있는 경우는 실제 처리 상황도 같이 고려하여 정해야 한다.
2단계로서, 추가 목적을 획정해야 한다. 추가 목적을 획정할 때 역시 자의적이거나 지나치게 좁게 획정해서는 아니될 것이다.
3단계로서, 계약이나 약관, 법령 등 중에서 어떤 환경에서 수집되었는지 확인하여야 한다.
4단계로서, 계약이나 약관, 법령, 상황 등을 분석해서 추가 목적이 당초 목적과 관련성이 있는지, 추가 목적으로의 변경이나 추가가 예상되지는 확인해야 한다.
5단계로서, 추가 목적으로 인하여 정보주체에게 강요가 되거나 불이익이 되는지 확인해야 한다.
9) 시행령의 개선 방향
공개된 개인정보보호법 시행령은 아래 4가지 모두를 판단요소로 제시하였는바, 몇 가지 아쉬운 점을 적어보고자 한다. - 개인정보의 추가적인 이용, 제공 목적이 당초 수집 목적과 상당한 관련성이 있을 것 - 개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적인 이용, 제공이 예측 가능할 것 - 개인정보의 추가적인 이용, 제공이 정보주체 또는 제3자의 이익을 부당하게 침해하지 않을 것 - 가명처리를 하여도 추가적인 이용, 제공 목적을 달성할 수 있는 경우에는 가명처리를 할 것
첫째, 1번째 요소인 '상당한' 부분은 모호하기 그지 없고 필요한지도 의문이다. 모호한 단어는 기업들의 활용을 꺼리게 하고 결국 개정 개인정보보호법 제15조 제3항 등을 사문화시킬 수 있다. ‘합리적’이라는 추상적인 법률용어를 시행령으로 구체화하였다고 보기 어렵고 시행령으로 인하여 오히려 더 모호해졌다가 평가된다. 삭제함이 타당하다.
둘째, 2번째 요소에서, 누구의 입장에서 예측 가능한지 구체적으로 적는게 바람직하다. 개인정보처리자인지 아니면 정보주체인지, 아니면 둘 다인지 명확하게 밝혀야만 그 의미를 파악할 수 있을 것이기 때문이다. 실무에서 매우 중요한 요소로 작용할 것으로 예상되는데, 예측의 주체에 대하여 명확하게 기재되어 있지 않으면 필경 큰 논란이 예상된다.
셋째, 2번째 요소에서, 수집한 정황이 아니라 수집시 정황이 적절해 보인다. 개인정보를 수집한 정황만 따질 게 아니라 수집할 때의 계약관계, 법령, 사실적인 상황 등을 종합적으로 따지는 게 그 취지에 부합한다.
넷째, 3번째 요소에서, 법률에서는 '정보주체에게 불이익이 발생하는지 여부'라고 규정되어 있는데, 시행령에서 제3자의 이익까지 추가하여 고려하라고 하는 것이 타당한지도 의문이다. 합리적 관련 범위는 초기 수집시 적용되는 게 아니라 수집 이후 사정변경이 발생시 판단되는 것이라는 점을 감안해야 할 것이다.
다섯째, 4번째 요소는 불필요해 보인다. 개정 개인정보보호법 제15조 제3항 등은 규제를 풀어주는 취지인데, 여기에 4번째 요소가 들어가는 것은 맥락에 맞지 않아 보이고 불필요한 논란만 생산할 뿐이다. 합리적 관련 범위는 초기 수집시 적용되는 게 아니라 수집 이후 사정변경이 발생시 판단되는 것이라는 점을 매우 충분히 고려해야 할 것이다.
여섯째, 4가지 요소를 ‘모두’ 갖추는 것으로 규정한 것이 적절한지 의문이다. 일단 4번째 요소를 제외하고, 나머지 3가지 요소는 종합적으로 고려하여 판단하더라도 충분할 것으로 보인다.
일곱째, 절차적으로 '당초 수집 목적과 합리적으로 관련된 범위'에 대하여는 개인정보 처리 이전에 개인정보처리방침에 이를 기재하여 공개하게 하는 것이 타당하다.
목적 특정성을 엄격하게 유지하면서 합리적 관련 범위를 통하여 이를 완화해가는 것이 개인정보처리자나 정보주체에게 바람직한 법 적용으로 판단되는데, 시행령은 목적 특정성이 완화된 현실에서 오히려 합리적 관련 범위를 엄격하게 적용하는 시도로 보인다. 법률 조문의 사문화가 우려되는바, 입법 취지부터 고민하는 것이 타당하다고 본다.