개인정보보호법의 동의 모델이 가지고 있는 한계와 그 극복방안에 대한 고찰

Abstract

The current Personal Information Protection Act(the PIPA) requires entities that process personal information to obtain the data subjects prior consent before doing so. Infringement of the above requirement is subject to criminal and administrative sanctions under the PIPA. The consent requirement appears to be based on the constitutional right of self determination to personal information and the property rule. PIPA further requires that the entities that process personal information obtain consent for specific purposes and type of processing and provide formalistic notices to data subjects. To comply with this requirement the entities provide over-complicated consent forms to data subjects. Consequently, as the data subjects do not have incentive to review the consent forms, it is very rare where they actually review and understand the actual consequences of the consent they are providing to the above entities. The consent requirement is over burdensome not only for the data subjects but also the entities that process personal information and societies to which data subjects and the entities are associated. Given this, it is reasonable to adopt a liability rule approach. EUs Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (Data Protection Directive)(the GDPR) states six lawful basis for processing personal information including data subjects consent. Therefore, the controller of the personal information may choose another lawful basis to process personal information, such as legitimate interest. When the controller wishes to cite another lawful basis besides consent, such processing must be necessary. Furthermore, legitimate interest may be cited only in cases where the purpose, necessity and balancing test is passed and the controller is required to disclose the result of the above tests in a transparent manner. Under this regime, the controller is required to consistently review the lawfulness of processing activity and may face sanctions for infringement. Such an approach will be beneficial in that it allows flexible processing of personal information, provides practical protection to the data subjects and enables the growth of big data and AI industry. In order to adopt the GDPR approach to PIPA, amendment of PIPA and support of the Personal Information Protection Commission will be critical. Furthermore, it would be reasonable to utilize administrative and civil penalties instead of depending on criminal penalties for enforcement of PIPA.

현행 개인정보보호법은 개인정보처리자가 정보주체의 개인정보를 처리하고자 할 경우 정보주체의 동의를 받도록 요구하고 있으며(이하, 동의 모델이라고 함) 이를 위반할 경우 형사처벌 및 행정제재를 부과하여 이를 강제하고 있다. 개인정보보호법은 헌법상 권리인 개인정보자기결정권을 근거로 하고 있으며 이는 법정책적 관점에서 재산규칙에 의한 법적 보호수단으로 구현된 것으로 보인다. 개인정보보호법은 동의 모델에 따라 개인정보처리자가 개인정보를 처리하는 행위의 목적 및 유형별로 개별적인 동의를 받도록 정하고 있으며, 사전에 법정 고지사항을 엄격한 형식에 따라 정보주체에게 고지하고 동의를 받도록 하고 있다. 이를 준수하기 위해 실무적으로 사업자들은 개인정보 처리 활동 유형에 따라 수 개의 개인정보처리 동의서를 작성하여 이용자의 동의를 받기 전에 제시하고 있으며, 이용자는 위 동의서들의 내용을 확인한 후 본인의 선택에 따라 개인정보처리자에게 동의를 제공한다. 그러나 실제 이용자들이 위 동의서의 내용을 이해하고 동의를 제공하는 경우는 극히 드물며 이는 현행 동의 모델이 형식적으로 동의를 요구하는 상황에서 정보주체가 고지내용을 일일이 확인할 유인이 없기 때문인 것으로 보인다. 개인정보의 처리가 필요할 때마다 일일이 정보주체의 동의를 받도록 하는 것은 정보주체 개인뿐만 아니라 개인정보처리자, 나아가 사회 전반에 과도한 비용을 발생하게 하는 만큼, 재산규칙이 아닌 책임규칙에 의해 정보주체의 개인정보자기결정권을 보호하도록 하는 것이 바람직하다. 나아가 동의 모델은 지나치게 형식적이고 경직된 방식으로 정보주체의 동의를 받도록 정함으로써 개인정보처리자에게 과도한 규제로서 부담을 주는 한편, 정보주체가 개인정보처리자에게 동의를 제공하는 순간 개인정보처리자의 처리 행위를 정당한 것으로서 평가하여 역설적으로 개인정보처리자에게 자의적인 개인정보의 처리에 대한 면죄부를 부여하여 정보주체의 실질적인 보호를 몰각하는 결과를 낳고 있다. EU의 Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (Data Protection Directive)(이하 GDPR이라 함)은 개인정보의 처리를 위한 합법적 근거 6개를 정하고 있으며, 정보주체의 동의는 그 중 하나에 해당하여 GDPR은 정보주체의 동의 외에도 개인정보처리자가 개인정보를 처리할 수 있는 근거를 마련하고 있다(이하 합법적 근거 모델이라 함). 특히, 위 합법적 근거 중 하나로서 개인정보처리자 또는 제3자의 적법한 이익을 둠으로써 다양한 맥락에서 필요한 개인정보의 처리활동을 포섭할 수 있도록 정하고 있다. 한편, 합법적 근거 모델이 개인정보처리자의 제한 없는 개인정보의 활용을 정당화하는 것은 아니며, 정보주체의 동의를 제외하고는 개인정보의 처리를 그 행위가 필요한 경우로 제한하고 있다. 특히, 적법한 이익의 경우에는 목적, 필요성, 이익형량의 요건을 엄격하게 충족하여야 하며 개인정보 처리 내역을 투명하게 공개하도록 함으로써 정보주체 역시 실질적으로 보호하고 있다. 위와 같은 합법적 근거 모델 하에서 개인정보처리자는 정보주체의 동의를 받음으로써 개인정보 보호를 위한 의무가 완전히 이행하는 것이 아니라 자신의 개인정보 처리 활동이 합법적 근거 모델의 요건을 충족한 상황에서 이루어지도록 유의하여야 하며 이를 위반할 경우 GDPR의 제재 대상이 될 수 있다. 결과적으로 합법적 근거 모델은 정보주체를 실질적으로 보호할 뿐만 아니라, 개인정보처리자의 유연한 개인정보 활용 역시 가능하도록 함으로써 개인정보를 이용하는 신산업, 즉 빅데이터 및 AI 산업의 성장을 촉진할 수 있을 것으로 기대된다. 합법적 근거 모델을 도입하기 위해서는 첫 번째로 개인정보보호법의 개정이 필요할 것이며, 두 번째로 개정법의 효율적인 집행을 위하여 개인정보보호위원회와 같은 관련 규제기관의 적극적인 노력이 필요하다. 특히, 현행 개인정보보호법이 정하고 있는 제재와 같이 과도하게 형벌에 의존하기보다는 행정적 및 민사적 제재를 통해 위법행위를 억제하고 적법한 개인정보 처리 관행이 자리잡도록 개인정보처리자들을 유도하는 것이 바람직할 것으로 사료된다.