실질적 동의 없으면 고지했어도 개인정보보호법 위반

A씨는 결혼식을 앞두고 예식장에서 대관 계약을 하였습니다. 연락처와 주소 등 개인정보가 포함된 계약서를 작성했던 A씨는 “제3자에게 개인정보를 제공할 수 있다는 사항은 찾아볼 수 없었다”고 말했습니다. 그러나 계약 일주일이 지나자 신혼여행 회사, 가구 회사 등에서 상품권유 전화가 오기 시작했습니다. 이들 회사는 “예식장으로부터 A씨의 개인정보를 받았다”고 말했습니다.

B씨는 마케팅 회사에서 근무하는 직원입니다. B씨의 회사는 채용과정에서 지원서 작성 시 개인정보수집 동의를 받는 절차가 있다고 합니다. 이를 근거로 회사는 구직자들의 개인정보를 마케팅에 활용하고 있습니다. B씨는 “지원서에 해당 사항을 명시할 경우 위법이 아닌 것으로 알고 있다”고 말했습니다. 별도 항으로 표시하진 않았지만 정보 활용 목적에 마케팅 항목이 포함되어 있다는 게 B씨의 주장입니다.

최근에 오픈마켓을 창업한 C씨는 “악용이 아니라 주문 배송의 목적으로 개인정보를 활용하고자 한다”고 했습니다. C씨에게 주문이 들어오면, 제3자 웹사이트에서 고객의 주소를 제공하는 방식입니다. C씨는 “이 경우에는 고객의 동의가 없어도, 개인정보보호법에 위배되는 게 없지 않나”고 했습니다.

하루에도 숱하게 날아오는 스팸 메일과 광고 문자는 모두의 일상이 된 지 오래입니다. 개인정보를 제공한 기억이 없음에도 너무나 익숙한 나머지 문제의식을 느끼지 못할 때도 있습니다.

개인정보보호법은 2011년 제정되어 같은 해 9월부터 시행되었지만 우리의 인식은 여전히 뒤처져 있는 듯합니다. 법에 따르면 상대방의 동의 없이 개인정보를 제3자에게 제공하면 5년 이하의 징역이나 5000만원 이하의 벌금에 처할 수 있습니다.

이에 근거해 위의 사례들은 모두 개인정보보호법에 위배됩니다. 법은 개인정보의 수집ㆍ유출ㆍ오용ㆍ남용으로부터 사생활의 비밀 등을 보호하고 있기 때문입니다. 이때 ‘동의’는 형식적인 게 아니라 실질적으로 보장되어야 한다는 판결이 나왔습니다.

지난 6일, 대법원은 홈플러스의 개인정보보호법 위반을 확정 지었습니다. 지난 2011년 경품이벤트 진행을 통해 모은 고객 개인정보를 보험사에 판매한 혐의였습니다. 1mm 크기의 깨알 고지사항으로 동의를 받았지만 대법원은 “사회 통념상 받아들이기 어려운 부정한 수단”이라고 판단했습니다.

홈플러스의 '1mm 깨알고지'는 위법이라는 대법원의 판결이 나왔다 / 사진 연합뉴스 윤동진 기자

법무법인 명륜의 양희철 변호사는 “고객으로부터 받는 개인정보는 수집 목적과 범위를 정해 보관하고, 제3자에게 제공한다는 사실에 대한 동의도 별도로 받아야 한다”고 말했습니다. 정보 주체인 고객 입장에서는 통상 제3자에 개인정보의 전달은 동의하지 않을 수도 있기 때문입니다.

따라서 개인정보를 수집할 경우 ▲개인정보를 제공받는 자 ▲개인정보의 수집 및 이용목적 ▲수집하려는 개인정보의 항목 ▲개인정보의 보유 및 이용 기간 ▲동의를 거부할 수 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 내용 등을 실질적이고 명확하게 정보주체에 밝혀야 합니다.

한편, 유럽연합(EU)은 디지털전환 시대에 발맞춰 작년 5월부터 ‘유럽연합 일반 개인정보보호법(GDPR, General Data Protection Regulation)’을 시행하고 있습니다. GDPR은 EU 가입국에서 발생하는 기업들에 EU 국민들의 개인정보보호를 요구하는 조항입니다. 기준이 꽤 높고, 이를 준수하기 위해선 기업이 많은 투자를 해야 한다고 평가받고 있습니다.

이번 대법원의 판결과 아울러 한국의 개인정보보호 제도도 새로운 국면을 맞고 있다고 할 수 있습니다.