[기고/백대용]구체적 동의 없는 개인정보 이용은 불법

백대용 법무법인 세종 변호사

“안녕하세요 고객님, 저는 ○○카드 상담원입니다.” “○○카드가 제 연락처를 어떻게 알고 있죠?” “일전에 ○○제품을 구입하신 적 있으시죠.”

누구나 한 번쯤 경험했을 상황이다. 소비자는 A회사와 거래했는데 난데없이 B회사, C회사 등에서 전화를 걸어오면 짜증스럽다. 따져 물으면 상담원은 소비자가 개인정보 제공에 동의했다고 한다. 정작 소비자는 그런 적이 있는지 기억이 나지 않는다. 누구의 잘못일까?

헌법은 인격권의 일종으로 자신에 대한 정보를 스스로 통제할 수 있는 적극적인 권리, 즉 ‘자기정보통제권’을 개인에게 보장해 주고 있다. 자기정보통제권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보 주체가 스스로 결정할 수 있는 권리다. 방송통신위원회는 자기정보통제권을 실효적으로 보장하기 위해 ‘정보통신망 이용 촉진 및 정보보호에 관한 법률’에 개인정보 보호 규정을 마련해 놓았다. 그리고 관련 내용을 강화하고 있다.

정보통신서비스 제공자는 자신이 제공하는 서비스를 이용하는 사람의 개인정보를 수집하려는 경우 반드시 이용자의 동의를 받아야 한다. 이렇게 수집한 개인정보를 다른 목적으로 이용해서도 안 되고 이용자의 별도 동의 없이 제3자에게 제공해서도 안 된다. 사업자들이 ‘기타 자사 또는 타사 관련제품의 홍보’, ‘상품 판매를 위한 텔레마케팅(TM)’ 등의 용어로 이용자의 동의를 받는 것은 적법한 것일까. 대답은 ‘적법하지 않다’이다. 그런데도 대부분의 사업자는 위와 같은 포괄적 추상적 용어를 통해 이용자의 동의를 받고 있다. 수집한 개인정보를 제휴 사업자들의 TM 영업을 위해 무분별하게 제공하는 과정에서 이용자들에게 정확한 정보를 제공하지 않고 구렁이 담 넘어가듯 동의를 받는 행태가 시정되지 않고 있다.

방송통신위원회와 한국인터넷진흥원 등 관련 기관은 각종 가이드라인이나 질의회신을 통해 이용자의 동의는 포괄적인 동의가 아니라 구체적인 동의여야 함을 오랫동안 일관되게 밝혀왔다. 법령에 규정된 바와 같이 개인정보를 제공받는 자, 개인정보 이용 목적, 개인정보 항목, 개인정보 보유 및 이용기간 등에 관한 사항이 구체적으로 특정됨을 전제로 하는 이용자의 동의만 유효하다. 아울러 이용자의 동의가 유효하려면 이용자가 도대체 무슨 내용에 관해 동의하는지를 쉽고 명확하게 인식할 수 있도록 해야 하고 그 범위를 예측할 수 있어야 한다. 그런 이유에서 포괄적 추상적 용어를 통해 얻은 동의는 적법한 동의로 볼 수 없다.

이와 관련해 최근 법원은 하급심이기는 하지만 의미 있는 판결을 내놓고 있다. 서울중앙지방법원은 관련 민사소송에서 ‘개인정보를 주요 신용카드회사나 생명보험사, 신용정보회사에 제공하는 것으로 포괄적인 동의를 받은 것은 적법한 동의로 볼 수 없다’는 취지의 판결을 했다. 같은 법원은 초고속무선인터넷서비스 제공회사의 개인정보 무단 이용과 관련된 형사소송에서 ‘텔레마케팅을 위한 회사의 개인정보 제공이 당초 개인정보 제공에 대한 동의 획득 당시 고객들이 예상한 목적 범위를 넘어선 부당한 행위에 해당된다’는 취지로 무죄를 선고한 1심 판단을 뒤집고 회사와 담당 부사장의 유죄를 인정했다.

개인정보 보호는 기업의 대외적 이미지 제고뿐만 아니라 피해자들의 민사소송이나 관련 임직원의 형사처벌 가능성을 최소화하기 위해 반드시 준수해야 하는 중요한 문제다. 사업자들은 이용자로부터 받은 포괄적인 동의는 적법한 동의가 아님을 유념하고 관련 계약서류를 정비하는 노력을 해야 한다.

백대용 법무법인 세종 변호사