강은성의 보안 아키텍트 | 동의 없이 개인정보 수집, 할 수 있다 vs 해야 한다 (2)

그동안 서비스 이용에 필수적인 항목 수집에 동의를 받음으로써 정보주체가 주의를 기울이지 않고 ‘동의’를 하게 되는 ‘동의 만능주의’의 폐해가 있고, 동의를 함으로써 수집·이용의 책임이 정보주체로 넘어가는 문제가 있다는 점에 대해서는 상당한 공감대가 있을 듯하다.

하지만, 그에 대한 대책이 필수항목을 동의 없이 수집해야만 하는 의무 규정으로 만들고, 위반 시 전체 매출액의 3% 이하 과징금이라는 강력한 제재를 하는 것이 유일한(또는 최고의) 대책인지, 과도하지는 않은지 검토할 필요가 있어 보인다.

개인정보보호위원회에서 참조했다고 밝힌 유럽연합 개인정보보호법인 GDPR(General Data Protection Regulation) 제6조(처리의 적법성)에서도 정보주체와의 계약의 체결이나 이행(제1항(b)), 컨트롤러나 제3자의 정당한 이익을 위해(제1항(f)) 정보주체의 동의 없이 개인정보를 수집할 수 있다고 규정하고, 실제로 많이 사용된다. GDPR 상에서 정보주체의 ‘자유로운 동의’를 얻는 요건이 까다로운 탓도 있다. 그렇다고 해서 정보주체와의 계약 이행을 위한 개인정보를 정보주체의 동의를 받아 수집하는 것을 금지하지 않는다. 정보주체에게서 자유롭고 명시적인 동의를 받으라고 동의의 요건을 규정할 뿐이다.