우리나라 개인정보보호법의 동의제도가 현장에서 어떤 문제점을 야기하고 있는지를 살펴보고, 대안을 제시합니다.

1. “개인정보 처리 현장에서의
동의 제도 관련 이슈”
네이버주식회사 이진규 (CPO / DPO / CISO)
<개인정보 동의제도의 한계와 개선방안> 토론회

2. 시작하기 전, 잠시 읽어보는 동의에 관한 관조
Familiarity Breeds Contempt
(Western Proverb)
Familiarity Breeds Consent
(Rita Mae Brown, American Writer)

3. GDPR이 제시하는 개인정보의 적법 처리 근거와 위계
개인정보의 적법·공정·투명 처리 원칙(Art. 5)과 적법 처리 근거 규정(Art. 6)엔 적법 처리 근거 사이의 위계(hierarchy)가 없습니다.
Source: Ireland DPC, “Guidance Note: Legal Bases for Processing Personal Data”, Dec. 2019, https://www.dataprotection.ie/sites/default/files/uploads/2020-04/Guidance%20on%20Legal%20Bases.pdf
All controllers need to determine which legal basis they are relying on in order to
ensure that any processing they undertake is lawful. There is no hierarchy
or preferred option within this list, instead each instance of processing should be
based on the legal basis which is most appropriatein the specific
circumstances.
* Bold in the original text and size enlarged by the presenter.

4. 우리나라 개인정보보호법에서 정보주체의 동의권
정보주체의 동의에 관한 다양한 규정을 종합하면, 우리나라는 원칙적으로 동의 기반의 개인정보 처리를 인정(권장)하고 있습니다.
<정보주체의 동의권 관련 규정>
① 정보주체는 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리를 가진다(제4조 제2호)
② 정보주체의 동의가 있으면 개인정보처리자는 특정한 사유가 충족되는 때에 한하여 개인정보를 수집할 수 있으며 이를 그 수집 목적의 범위에서 이용할 수 있고,
제3자 에게 제공할 수 있다(제15조 제1항 제1호, 제17조 제1항 제1호)
③ 정보주체의 별도 동의가 있으면 개인정보처리자나 개인정보처리자로부터 개인정보를 제공받은 자가 개인정보의 목적 외 이용 또는 제3자 제공을 할 수 있다(제
18조 제2항 제1호, 제19조)
④ 정보주체의 별도 동의가 있으면 개인정보처리자는 민감정보와 고유식별정보를 처리할 수 있다(제23조 제1호, 제24조 제1항 제1호)
Source: 권영준(네이버 개인정보보호 백서), “개인정보 자기결정권과 동의 제도에 대한 고찰”, p. 113 – 127, 2015, https://privacy.naver.com/download/2_informedconsent.pdf
동 의

5. 우리나라 개인정보보호법에서 동의의 특별한 위치 (1/2)
우리 개인정보보호법은 정보주체의 동의 여부 및 동의 선택의 결정을 (“다른 권리와 구분되는 독자적인”)정보주체의 권리로 인정합니다.
제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
<Data Subject’s Rights in the GDPR>
1. Right to be informed (Articles 12 to 14)
2. Right to access (Article 15)
3. Right to rectification (Article 16)
4. Right to be forgotten/Right to erasure (Article 17)
5. Right to data portability (Article 20)
6. Right to restrict processing (Article 18)
7. Right to withdraw consent (Article 7)
8. 8. Right to object (Article 21)
9. Right to object to automated processing (Article 22)

6. 우리나라 개인정보보호법에서 동의의 특별한 위치 (2/2)
GDPR과는 달리, 우리나라 법은 정보주체의 동의를 전체 적법 근거 위계(hierarchy)에 있어 최상위 위치를 점하도록 합니다.
제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할
수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급
박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과
상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우
에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는
지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. <신설 2020. 2. 4.>

7. 동의 제도에 관한 근본적 문제 제기
형식적, 비현실적 동의 제도는 권리 보호의 책임과 부담을 개인에게 전가하고, 사업자에겐 형식 요건 준수 부담을 증가합니다.
Source: 권영준(네이버 개인정보보호 백서), “개인정보 자기결정권과 동의 제도에 대한 고찰(p. 113 – 127)”, 2015, https://privacy.naver.com/download/2_informedconsent.pdf
문제점 – “권리 보호의 책임과 부담을 개인의 어깨 위에 짊어지우는 제도”
동의제도의 형식화 동의제도의 비현실화 (ex. 사물인터넷, 자율주행자동차)
동의 내용의 인지부족
개인정보 보호 중요성에 대한
추상적 인식
동의 내용을 숙려할
인센티브의 결여
형식적 요건에 치중한 동의 방식
&
동의 외의 적법처리 근거 미약

8. 동의에 의한 처리 외에는 현실적으로 적법하게 개인정보를 수집·이용 등 처리할 수 있는 근거가 미약하여 동의 의존이 더욱 강화됩니다.
Consent
Contract
Legitimate
Interest
Legal
Obligations
Public
Task
Vital
Interests
동의
법률 규정
법령 의무
소관 업무
(공공)
계약 이행
(불가피)
급박한 이익
(명백히)
정당한
이익
(명백히)
적법 처리 근거의 위계로 인해 발생하는 문제점

9. 과도한 동의 의존으로 발생하는 문제 (개인정보 전송요구권 사례)
습관화된 동의 외, 형식적으로 동의를 받는 관행이 초래하는 현실에서의 문제는 예상하지 못한 곳에서 발생할 수 있습니다.
Source: 개인정보보호위원회, “개인정보 전송요구권의 법제도적 구현”, Jan. 2023
실질적으로는 법률의 특별한 규정 or 법령상 의무 준수를
위해(법 제15조 제1항 제2호), 또는 공공기관 등이 법령
등에서 정하는 소관 업무 수행을 위해 불가피하여(제3호)
수집 및 이용하였으나, 형식상 동의를 받은 경우엔 전송요
구권의 전송 or 다운로드 대상인가 아닌가?

10. 동의 원칙의 부재와 이용자 차별
동의에 있어 ‘원칙’이 부재하다 보니, 개인정보처리자는 동의 방식을 구성함에 있어 보편적 접근성과 같은 가치를 고려하지 않습니다.

11. 해외 서비스와의 비교 (e-commerce site)
동의의 난이도, Privacy Policy(개인정보처리방침)과의 이격, 선택 곤란한 선택 동의, 의미 없는 ‘14세 아님’ 선언 등의 차이가 발생합니다.

12. 동의 내역 확인의 어려움으로 인한 권리행사의 제약
항시 이용자에게 공개되는 개인정보처리방침과는 달리, 개인정보 수집/제공/위탁에 관한 동의를 다시 확인하기는 매우 어렵습니다.
동의 후,
동의서 내용
재확인 곤란
처리방침과의
Sync도
어긋남
정보 기반한
권리행사
제약
최신성을 담보하기
어려운 특성 보유
동의 이력을 제공하는
사업자는 거의 전무
※ GDPR은 정보주체의 권리에 관한 규정에서, Right to be informed (GDPR Articles 12 to 14), Right to access (GDPR Article 15)를 여타 권리에 우선하여 기술했는데, 이는 모든 권리의 행
사에 있어 자신의 개인정보가 ‘어떻게 처리되었는지 알 권리’가 전제되어야 하기 때문으로 이해됨. 우리의 경우 그러한 고려가 없이 형식에 치우친 채, 제도가 급히 형성된 것으로 보임

13. 국내 기업의 해외 진출과 서비스 One-Build
동일한 서비스임에도 불구하고 회원가입 절차 및 화면 구성(UI·UX)을 늘 달리 구성해야 하며, 여기에 추가적인 리소스가 투입됩니다.
Source: 삼성닷컴 회원가입 화면 (KOREA vs US)

14. “선택이 곤란한 선택 동의”
도입 취지와는 달리 선택(구분) 동의 강제는 동의 형식화와 다크 패턴의 주된 원인이 되고 있으며, 글로벌 상호운영성에 장애가 됩니다.
Source: PASS 앱(KT) 가입 화면 (as of July, 2020) & 고환경, “이용자 관점에서 바라본 동의제도의 현재와 발전방안(토론문)”, 2020. 11. 23, http://www.kinternet.org/_n_2020/1123/1123.pdf

15. “개인정보 처리에 대한 모든 동의는 정보주체의 선택(choice)”
동의 없이도 처리가 ‘필수’인 경우엔 필수 동의를, 동의 외의 적법 처리 근거를 적용할 상황엔 ‘선택’ 동의를 강제하고 있습니다.
Source: 개인정보보호위원회, “알기 쉬운 개인정보 처리 동의 안내서“, 2022. 3., https://www.privacy.go.kr/inf/gdl/selectBoardArticle.do?nttId=13156&bbsId=BBSMSTR_000000000049
필수
동의
선택
동의
정보주체의 선택 정보주체의 선택 밖의 선택

16. 개인정보 수집 및 이용에 대한 동의에 있어 포괄적 목적 금지
포괄동의를 금지한다면서, 사전적인 목적 나열식 동의를 강제하는 입장을 내세워서 형식화를 견고히 하는 문제도 있습니다.
Source: 이진규, “’이루다’ 처분의 의미 살펴보기”, 2021. 6. 10., https://bit.ly/3W2ntAA
개인정보위 배상호 조사2과장은 “(전략), 이 신규 서비스 부분은 스캐터랩 같은 경우 어떤 이용자가 사전에 어떤 목적으로 내 정보를 쓸 수 있
는지를 어느 정도 이상이라도 알 수 있는 부분으로 명시가 되어 있지 않습니다. 그래서 사무처에서 검토할 때는 적어도 이용자가 최대한 알아
볼 수 있는 정도의, 예를 들어 AI 서비스라든지 또는 기타 IoT 서비스 개발이라든지 또는 빅데이터 기반으로 해서 어떠한 서비스를 개발하는
등의 신규 서비스 개발이라는 어느 정도의 구체성을 띄는 부분으로서 표기가 되어서 정보주체인 이용자가 최대한 알릴 수 있도록, 명시적으
로 알 수 있도록 해주는 부분으로서 신규 서비스 개발부분을 표기하고 별도 동의를 받는 것이 바람직하다는 부분으로서 갖고 있습니다.”라는
설명을 제시
“AI 서비스 개발”, “IoT 서비스 개발”, “빅데이터 기반으로 OOO 서비스 개발” 등 개인정보 처리 목적에 있어 일정한 수준의 구체성을 확인할
수 있는 시점은 대부분 최초에 개인정보 수집 및 이용에 대한 동의를 받을 때가 아니라 기존에 수집한 개인정보를 가지고서 추가적으로 활용
을 하려할 때라는 점을 고려할 때, 이와 같은 개인정보위의 입장이 개인정보처리자로 하여금 “사전적이며, 목적 나열식 동의”를 채택하도록
유인할 위험이 없는지?

17. 동의 절차 차별로 인한 동의 습관화 강화(reinforcement)
복잡한 상황에서 모든 선택지를 숙고하는 것 보다, 간단한 선택지(전체동의)를 택하도록 하는 습관화를 강화하는 문제가 있습니다.

18. 필수동의
선택동의
복잡한 동의 확인 절차로 인한 복잡한 설계와 오류 가능성
필수, 선택 동의가 증가함에 따라, “동의 결과값”을 참조하여 서비스를 설계하는 과정의 복잡성, 오류가능성이 증가합니다.

19. 정리: 수 많은 문제점과 대책으로 제시된 또 하나의 미봉책
해결해야 할 지점은 한 두 곳이 아닙니다. 심지어, (법 2차 개정안의)처리방침 심사제도는 따로 겉돌고 있습니다.
⚫ 개인정보 처리 적법 근거에서의 위계에서 타 근거 대비 월등한 위치 점유
⚫ 보호법상 동의 원칙(Principle) 부재
⚫ 개인정보 처리방침과 이격된 동의
⚫ 선택권 없는 선택 동의
⚫ 글로벌 방식과 상이한 동의
⚫ 사전적, 목적 나열식 동의 (유도)
⚫ 동의 습관화 강화하는 동의
⚫ 설계 및 구현 복잡도 높이는 동의

20. 제언: 분절화를 지양한 동의, 신규 제도와의 조화, 글로벌 상호운영성 확보
정보주체와 개인정보처리자 모두에게 도움이 되는 방향으로 제도를 수정할 필요가 있습니다. 너무 오랫동안 ‘논의만’ 했습니다.
⚫ 분절화 지양
→ 수집 및 이용, 제공, 위탁 등 각 처리 태양 별 동의에서 ‘처리(processing)’에 대한 동의로
⚫ 신규 제도와의 조화
→ 개인정보 처리방침 심사제에 발맞춰, 개별 동의문이 아닌 처리방침에 대한 동의로
⚫ 글로벌 상호운영성 확보
→ 선택 동의가 아닌 적법 처리 근거 사이에 존재하는 위계의 제거로
⚫ 기타
→ 형식보다, 실질에 중점을 둔 정책 집행으로

21. 좋은 토론을 위해 준비한 작은 발제였습니다. 감사합니다.