[기고] 스타트업이 유의해야 할 개인정보 처리

[법무법인 디라이트 시리즈 연재] 서비스 출시 단계부터 노력해야

전문가 칼럼입력 :2022/01/16 15:35

원경섭 법무법인 디라이트 변호사

개인정보 보호는 스타트업 사업에도 중요하다. '개인정보처리자는 개인정보 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리해야 하며, 그 목적 외의 용도로 활용해서는 안 된다.' 개인정보 보호법이 규정한 '개인정보 보호 원칙’ 일부다. 2011년 개인정보 보호법이 시행됐다. 이후 개인정보 중요성에 대한 사회적 인식이 개선됐고, 무분별한 개인정보 이용에서 정보주체의 개인정보를 보호해야 한다는 것이 이제는 당연한 상식이 됐다.

새로운 콘텐츠를 기반으로 한 신규 애플리케이션 런칭을 앞둔 스타트업 A사도 개인정보 보호의 중요성은 잘 알고 있다. 경쟁 애플리케이션의 약관을 참고하고 포털 사이트 검색을 통해 신규 애플리케이션에 적용할 개인정보 수집 이용 동의서와 개인정보처리방침을 작성했지만, 미처 챙기지 못한 사항이 있는 건 아닌지, 심혈을 기울인 애플리케이션이 개인정보 법령 위반을 이유로 악영향이 미치는 것은 아닌 지 불안하다. 적법한 개인정보 처리에 관한 막막함은 비단 A사 뿐만 아니다. 수많은 스타트업들이 동일하게 겪고 있는 문제다. 이에, 스타트업의 개인정보 처리에 있어 유의해야 할 사항 몇 가지를 살펴보고자 한다.

원경섭 디라이트 변호사

첫째, 개인정보 수집 이용 동의서 작성이다. 개인정보 '수집'이란 정보주체로부터 직접 개인정보를 제공받거나 또는 제3자로부터 개인정보를 취득하는 일체의 행위를 말한다. 개인정보처리자는 정보주체의 동의를 받은 경우를 비롯해 개인정보 보호법이 정하는 경우에 한해 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다(개인정보 보호법 제15조). 이 때 정보주체의 ‘동의’란 개인정보처리자가 개인정보를 수집 및 이용하는 것에 대한 정보주체의 자발적인 승낙의 의사표시이며, 서면 형태의 개인정보 수집 이용 동의서에 기명날인하거나, 포털 사이트의 회원가입시 개인정보 수집 이용 동의에 체크하는 경우 등 동의 여부를 명확히 확인할 수 있어야 한다.

또 개인정보 수집에 대한 동의를 받을 때에는 반드시 개인정보의 수집과 이용 목적, 수집하려는 개인정보 항목, 개인정보 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실을 알려야 하고 만일 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 정보주체에게 고지할 의무가 있다.

둘째, 개인정보의 제3자 제공 개념이다. 정보주체의 동의를 받은 경우 그 동의의 범위 내에서 개인정보를 제3자에게 제공하는 것이 가능하다. 여기서 개인정보의 '제공'이란 개인정보의 저장 매체나 개인정보가 담긴 출력물과 책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보 전송, 개인정보에 대한 제3자의 접근 권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말한다(표준 개인정보 보호지침 제7조 제1항). 여기서 개인정보 제3자 제공과 구분해야 할 개념들이 있는데, 먼저 개인정보 이용이다. 

개인정보처리자가 기관이나 법인인 경우 개인정보를 수집한 부서 외 다른 부서가 개인정보를 이용하는 경우가 있는데, 동일한 기관이나 법인 내 다른 부서는 제3자가 아니므로 이는 개인정보의 제3자 제공에 해당하지 않는다. 또 개인정보 처리 업무 위탁이 있다. 업무위탁의 경우 개인정보를 ‘제공하는 자’의 업무 처리를 위해 개인정보를 제3자(수탁자)에게 이전하지만, 제공의 경우 개인정보를 ‘제공받는 자’의 업무 처리 및 이익을 위해 개인정보를 이전한다는 것이 차이점이다. 업무위탁의 경우 개인정보의 제3자 제공에 해당하지 않으므로 제공과 관련한 규정은 적용되지 않는다.

셋째, 개인정보처리 방침 작성 및 공개다. 개인정보처리자는 개인정보의 처리 목적, 처리하는 개인정보 항목, 개인정보 처리 및 보유 기간, 개인정보 제3자 제공에 관한 사항, 개인정보 파기 사항, 개인정보처리 위탁 사항, 개인정보 안전성 확보조치 사항, 개인정보 열람, 정정과 삭제, 처리정지 요구권 등 정보주체의 권리와 의무 및 그 행사방법에 관한 사항, 개인정보 처리방침 변경 사항, 개인정보 보호책임자 사항, 개인정보의 열람청구를 접수 및 처리하는 부서, 정보주체 권익침해에 대한 구제방법이 모두 포함된 ‘개인정보처리방침’을 정해야 한다(개인정보 보호법 제30조, 표준 개인정보 보호지침 제19조).

관련기사

직접 개인정보처리방침을 작성하기 어렵다면 개인정보 보호 포털이 지원하는 ‘개인정보 처리방침 만들기’ 기능을 이용해 간단한 개인정보 처리방침을 만들 수 있다. 이렇게 수립한 개인정보처리방침은 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재해야 한다. 만약 인터넷 홈페이지에 게재할 수 없는 경우에는 개인정보처리자의 사업장 등 보기 쉬운 장소에 게시하거나, 연 2회이상 정보주체에게 발행하는 간행물, 소식지, 청구서 등에 지속적으로 싣거나, 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법 등으로 개인정보처리방침을 공개해야 한다.

정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공하는 경우 5년 이하 징역 또는 5천만원 이하 벌금에 처해질 수 있고, 정보주체 동의를 받지 않고 개인정보를 수집하는 경우 5천만원 이하 과태료가 부과될 수 있으며, 개인정보처리방침을 정하지 않거나 이를 공개하지 않은 경우 1천만원 이하 과태료가 부과될 수 있다. 처벌이나 과태료를 떠나 개인정보 보호법령을 위반하는 경우 이용자들로부터 항의를 받거나 신뢰를 잃어버린다. 서비스 출시 단계부터 적법한 개인정보 처리를 위해 노력해야 한다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.