강은성의 보안 아키텍트| 동의 없이 개인정보 수집, 할 수 있다 vs 해야 한다 (1)

제15조 제1항에서는 개인정보처리자가 정보주체의 개인정보를 수집·이용할 수 있는 요건을 규정하는데, 제1호에서 정보주체의 동의를 받아 개인정보를 수집·이용, 제2호~제7호에서는 정보주체의 동의 없이도 개인정보를 수집·이용할 수 있는 요건을 나열한다. 즉, 제4호는 동의 없이 개인정보를 수집·이용할 수 있는 요건에 해당한다.

이를 종합하면, 개정의 취지는 ‘불가피하게’라는 요건 때문에 불가피성을 입증하기 어렵거나 부담스러운 많은 개인정보처리자가 정보주체의 동의를 받아 개인정보를 수집했는데, 이를 삭제함으로써 ‘불가피하지 않더라도’ 정보주체와의 관계에서 ‘필요한 경우’에 정보주체의 동의 없이 개인정보를 수집·이용할 수 있도록 법적 요건을 완화하겠다는 것으로 읽힌다. (당시 정부와 언론도 그렇게 설명했고, 대다수 개인정보처리자도 그렇게 이해했다.)

이 개정은 정보주체의 동의권 강화라는 취지와 함께 개인정보처리자 측면에서는 서비스 약관 등을 통해 정보주체와 계약을 체결했을 때 해당 서비스를 제공하는 데 필요한 개인정보는 정보주체의 동의 없이 수집할 수 있게 됨으로써, 회원 가입이나 서비스 제공 시 프로세스를 줄일 수 있도록 한다는 데 의의가 있다. ‘해야 한다’가 아니라 ‘할 수 있다’라는 점에 주목할 필요가 있다.