- Temu vs. Amazon: Which shopping site is best for your buying needs?
- ANZ CIO Challenges: AI, Cybersecurity & Data Analytics for 2025
- Want generative AI LLMs integrated with your business data? You need RAG
- AI could alter data science as we know it - here's why
- The best external hard drives of 2024: Expert tested
강은성의 보안 아키텍트| 동의 없이 개인정보 수집, 할 수 있다 vs 해야 한다 (1)
법 제15조(개인정보의 수집·이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. (중략) |
|
[종전] 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 |
[개정] 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 |
제15조 제1항에서는 개인정보처리자가 정보주체의 개인정보를 수집·이용할 수 있는 요건을 규정하는데, 제1호에서 정보주체의 동의를 받아 개인정보를 수집·이용, 제2호~제7호에서는 정보주체의 동의 없이도 개인정보를 수집·이용할 수 있는 요건을 나열한다. 즉, 제4호는 동의 없이 개인정보를 수집·이용할 수 있는 요건에 해당한다.
이를 종합하면, 개정의 취지는 ‘불가피하게’라는 요건 때문에 불가피성을 입증하기 어렵거나 부담스러운 많은 개인정보처리자가 정보주체의 동의를 받아 개인정보를 수집했는데, 이를 삭제함으로써 ‘불가피하지 않더라도’ 정보주체와의 관계에서 ‘필요한 경우’에 정보주체의 동의 없이 개인정보를 수집·이용할 수 있도록 법적 요건을 완화하겠다는 것으로 읽힌다. (당시 정부와 언론도 그렇게 설명했고, 대다수 개인정보처리자도 그렇게 이해했다.)
이 개정은 정보주체의 동의권 강화라는 취지와 함께 개인정보처리자 측면에서는 서비스 약관 등을 통해 정보주체와 계약을 체결했을 때 해당 서비스를 제공하는 데 필요한 개인정보는 정보주체의 동의 없이 수집할 수 있게 됨으로써, 회원 가입이나 서비스 제공 시 프로세스를 줄일 수 있도록 한다는 데 의의가 있다. ‘해야 한다’가 아니라 ‘할 수 있다’라는 점에 주목할 필요가 있다.