| 내용 |
2017년 12월 12일 유럽연합의 개인정보보호전문연구그룹인 제29조 작업반(WP 29)은 동의(consent) 및 투명성(transparency)에 대한 신규 가이드라인을 발표했다. 이들 가이드라인은 2018년 1월 23일까지 공개적인 의견수렴을 거칠 예정이다. 29조 작업반은 동의 가이드라인의 최종 버전에 FAQ를 추가할 것이라고 밝혔다. 투명성 가이드라인은 기업들이 자신들의 개인정보보호 메커니즘과 컴플라이언스 관련 문서들을 비교하는데 사용하는 도구의 역할을 주로 하므로, 본 글은 유럽연합의 일반개인정보보호규정(GDPR)의 주요 동의요건에 대한 29조 작업반의 해석을 반영한 동의 가이드라인에 초점을 맞춘다. 왜 투명성이 중요한가? GDPR에 따르면, 투명성은 어떻게 기업들이 개인들에게 데이터 처리 활동을 고지하는지, 어떻게 이용자 권리에 대하 커뮤니케이션 하는지, 그리고 어떻게 그들의 권리를 행사할 수 있도록 돕는지 등에 대한 것이다. 투명성은 실제 개인데이터에 대한 기업의 접근에 대해 설명하는 것이다. 기업들은 반드시 모든 상황에서 자신들이 투명한 방식으로 행동한다는 것을 증명할 수 있어야 한다. 투명한 방법으로 개인데이터를 처리하는 기업들은 그렇지 못한 기업들보다 GDPR에 따른 자신들의 의무에 대해 컴플라이언스를 보다 명확히 보여줄 수 있다. 왜 동의가 중요한가? 동의는 GDPR에서 개인정보를 처리하기 위한 법률적 근거 중 하나이다. 따라서 기업들은 개인들로부터 받은 동의가 개인정보 처리에 있어 법률적 근거를 담보하고 있는지 확인하는 것이 중요하다. 더불어 동의에 근거한 데이터 처리 활동은 개인의 권리에 다음과 같은 영향을 미친다. o 삭제권(the right to erasure)은 개인이 동의를 철회한 경우, 그리고 데이터 처리의 아무런 법률적 근거가 없는 경우 등 특정한 상황에만 적용된다.(GDPR 제17조 1항 b) o 정보 이동권(the right to portability)은 동의에 근거한 데이터 처리에만 적용된다.(GDPR 제20조) o 그러나 반대권(the right to object)은 동의에 근거한 처리에 적용되지 않는데(GDPR 제21조1항), 직접 마케팅 목적의 처리의 경우는 예외이다. 이 경우 정보 주체는 어느 때나 데이터 처리에 반대할 수 있다. 어떤 상황이든 동의는 철회될 수 있다. 새로운 가이드라인이 기업에게 어떤 도움을 줄 수 있는가? 투명성 가이드라인은 기업들이 자신들의 프라이버시 고지 및 비교 문서를 작성하는데 있어 도움을 주는데 그 목적이 있다. 이러한 목표를 위해서, 정보는 반드시 간결해야 하며, 보통 사람들이 쉽게 이해할 수 있어야 하며, 용이하게 접근 가능해야 한다. 정보는 반드시 무료로 제공되어야 한다. 동의 가이드라인은 동의의 개념을 명확히 하고 GDPR에 따른 동의 획득과 제시에 필요한 요건을 명확히 제시한다. 이 가이드라인은 기업들로 하여금 규제기관의 정책과 제재방향을 이해하도록 도움을 준다. 동의 가이드라인은 적어도 29조 작업반이 동의에 대해 매우 엄격한 접근을 취하고 있다는 점을 보여준다. 개인정보보호지침(DPD, Data Protection Directive)에 따라 제정된 초기 동의 가이드라인 및 동의에 영향을 미치는가? 유럽개인정보보호지침에 따라 마련된 이전 동의 가이드라인은 여전히 유효하다. 새로운 동의 가이드라인은 GDPR 제정에 따른 변화에 중점을 둔 것이다. 그러나 동의 주요 요소들은 GDPR 상에서도 마찬가지 이다. 제29조 작업반 또한 초기 동의 가이드는 GDPR의 동의 원칙과 일관성을 유지한다고 밝혔다. 새로운 가이드라인은 초기 가이드를 확대하고 완성시키는 의미를 가지고 있으며, 대체하는 것은 아니다. 그러나 개인정보보호지침에 따라 획득한 동의는 GDPR의 요건을 충족하는 경우 유효하다. 기업들은 이전 개인정보보호지침 하에서 획득한 모든 동의를 새롭게 갱신할 필요는 없다. 그러나 기업들은 2018년 5월 25일까지 이를 GDPR에서 요구한 조건에 상응하는지 검토할 필요가 있다. 그러나 이는 어려운 작업이 될 수 있는데, 왜냐하면 GDPR이 동의 요건의 이행 기준을 높인 것이 사실이고, 대부분의 기업들은 기존의 동의 메커니즘을 변경해야 할 것이기 때문이다. GDPR의 동의 개념 이해 GDPR에 따르면, 동의는 자유롭고 세부적이며 충분한 정보가 제공되며 모호하지 않아야 한다.(GDPR 제4조 11항) 29조 작업반은 각각의 경우를 아래와 같이 설명하고 있다. 자유로운 동의: 개인은 실질적인 선택권이 있어야 한다. 예를 들어 29조 작업반은 만일 동의하지 않아 부정적인 영향을 감수해야 할 것으로 예견되거나 서비스 이용을 위해 어쩔 수 없이 동의를 해야 한다는 느낌이 든다면 그것은 자유로운 동의가 아니라고 판단한다. 작업반은 자유로운 동의에 있어 4가지 이슈를 제시한다. 즉, 불균형(imbalance), 조건성(conditionality), 입상도(granularity), 손해(detriment) 등이 그것이다. 작업반은 이러한 원칙에 근거한 동의 요청이 이용자의 ldquo;클릭 피로도(click fatigue) rdquo;를 만들어 낼 수 있다는 점을 인식하고 있다. 그러나 작업반은 이러한 문제에 대한 해결책을 콘트롤러가 찾아야 한다고 주지하고만 있다. 개인정보를 처리하는 기업(조직)과 개인의 불균형. 작업반은 주로 이 문제가 내재된 공공조직과 관련된 사례를 제시했다. 아직까지 작업반은 종업원들이 자유롭게 고용주에게 동의의사를 제시하는 것이 어렵다고 보고 있다. 작업반에 따르면, 이는 종업원들의 동의가 예외적인 상황에서만 자유롭게 이행되는데, 그 경우는 동의를 하던 하지 않던 그에 따른 부정적인 결과가 없어야 한다는 것이다. 동의의 조건(conditionality of consent). 기업이 동의의 요청을 계약이나 서비스와 연계하는 경우 동의는 자유롭지 않다. 동의는 추가적인 목적을 위한 개인정보의 이용에 대한 동의를 포함한 서비스와 그러한 동의가 필요치 않은 유사한 서비스 사이에 개인이 선택할 수 있는 경우에만 자유롭다. 입상도(granularity). 서비스가 하나 이상의 목적을 위해 여러 개의 처리 절차를 포함한다면, 동의는 여러 개의 처리 목적에 대한 동의보다 개인이 수락한 목적을 선택할 수 있는 경우에만 자유롭다. 손해(detriment). 기업들은 개인이 손해를 보지 않고 동의를 철회하거나 거부할 수 있다는 점을 보여주어야 한다. 예를 들어 동의를 철회하는 것으로 인해 피해를 보지 않는다는 점을 제시해야 한다.(GDPR 전문 42) 세부적인 동의(specific consent). 동의 요건은 기업이 처리의 목적을 설명하고, 동의 요청의 입상도 원칙을 이행하며, 데이터 처리 활동에 대한 동의 획득 관련 정보를 다른 사항의 정보로부터 명확히 분리하는 등 세부적으로 제시되어야 한다. 정보가 제공된 동의(informed consent). 작업반은 기업이 동의를 얻게 위해서는 적어도 아래의 내용이 포함된 정보를 제공해야 한다고 밝히고 있다. 즉, 콘트롤러의 신원, 개별 정보처리 운영의 목적, 어떠한 유형의 정보가 수집되고 이용되는지, 동의 철회의 권리가 존재하는지, 프로파일링을 포함한 자동화된 처리에 의해서만 결정이 내려지는 데이터의 이용에 대한 정보, 적정성 판단(adequacy decision)과 적절한 보호수단이 없는 경우에 제3국으로 이전되는 정보의 위험성 등이 그것이다. 정보는 서류나 동영상 메시지 등 다양한 방법으로 제공될 수 있지만, 평균적인 사람들이 쉽게 이해할 수 있어야 한다. 이는 기업들이 동의 요구를 위한 설명 제시에 있어 이용자들을 반드시 파악하고 있어야 한다는 것을 의미한다. 모호하지 않은 동의(unambiguous consent). 동의는 모호하지 않은 방식으로 이루어져야 한다. 작업반의 의견에 따르면, ldquo;모호하지 않은 rdquo;의 의미는 개인이 정보처리에 동의한다는 것이 ldquo;명확(obvious) rdquo;해야 한다는 것을 뜻한다. 따라서 미리 선택이 된 동의박스는 모호하지 않은 동의의 범주에 들지 않는다. 그러나 스크린을 쓸어 넘기거나 스마트 카메라 앞에서 손을 흔드는 행위, 또는 스마트 폰을 시계방향으로 돌림으로써 세부적인 동의 요청에 응하는 것은 분명한 동의 의사로 구분될 수 있다. 예를 들어, ldquo;만일 당신이 바를 옆으로 쓸어 넘긴다면 Y라는 목적으로 X라는 정보를 사용하는 것에 동의합니다. 확인을 위해 이 동작을 반복하세요 rdquo;라는 메시지에 응한다면 그것은 명확한 동의의 의사라고 할 수 있다는 것이다. 언제 ldquo;명확한(Explicit) rdquo; 동의가 필요하며, 그것은 무엇인가? 위에서 설명한 동의요건과 더불어, 민감한 정보 처리의 법률적 동의의 근거(GDPR 제9조), 자동화된 개별적 의사결정 프로세스(GDPR 제22조), 또는 유럽연합 이외의 지역으로 개인정보를 이전하는 경우(GDPR 제49조) 등은 반드시 ldquo;명확(explicit) rdquo;해야 한다. 작업반은 이를 위해 동의를 나타내는 문서 등이 전자적 형태로 작성되거나, 개인의 서명이 포함된 이메일, 또는 전자서명을 이용한 스캔 문서 등이 필요하다고 밝히고 있다. 기업들은 동의를 획득했다는 점을 보여줄 수 있어야 한다. 기업은 위에서 설명한 형태로 동의가 이루어졌다는 점을 보여줄 수 있어야 한다. 또한 기업은 해당 동의 기록을 저장하고 있어야 한다. 그러한 기록은 언제 동의가 이루어졌는지, 동의 주체가 어떠한 정보를 제공했는지 등을 포함해야 한다. 동의가 온라인으로 이루어졌다면, 기업은 동의가 이루어진 세션 정보를 해당 세션 시기의 동의 절차 관련 문서, 해당 시기에 정보주체에게 제시된 정보 사본 등과 함께 제시할 수 있어야 한다. 수정된 웹사이트 구성을 제시하는 것만으로는 충분치 않다. 동의 철회 개인은 언제나 동의를 철회할 수 있으며, 동의 시와 마찬가지로 철회도 용이해야 한다. 예를 들어 동의가 하나의 마우스 클릭이나 쓸어 넘기는 것으로 이루어졌다면, 개인은 그만큼 용이하게 동의를 철회할 수 있어야 한다. 마찬가지로 이용자에 대한 특정 서비스 인터페이스(예를 들어 웹페이지, 앱, IoT 디바이스의 인터페이스, 혹은 이메일 등) 이용으로 이루어졌다면, 개인은 해당 인터페이스를 통해 동의를 철회할 수 있어야 한다. 두 가지 우려 사항 : 아동 및 과학적 연구 아동. 회원국이 법률에 따라 따로 정한 경우가 아니라면, 기업은 16세 이상의 아동을 포함한 개인으로부터 직접 온라인 서비스에 대한 유효한 동의를 획득할 수 있다. 기업들은 아동의 나이를 획인하게 위해 합리적인 노력을 기울여야 하며, 해당 방법은 처리활동의 성격과 위험성에 비례하여 강구되어야 한다. 기업들은 기업들이 어떻게 해당 아동의 개인정보를 처리하는지 아동들이 이해할 수 있도록 적절한 언어를 사용해야 한다. 아동이 16세 이하일 경우(관련하여 회원국이 따로 정하지 않는 경우), 동의는 부모의 책임을 지는 사람의 승인과 동의에 의해서만 이루어질 수 있다. 작업번은 저 위험(low-risk)의 경우 부모 책임의 확인은 이메일로도 충분하다고 밝히고 있다. 그러나 고위험의 경우, 부모책임의 확인을 위해 기업이 더 많은 증거를 요구할 수 있지만, 어떠한 조치가 충분한지는 기업들이 결정할 수 있다고 명시하고 있다. 과학적 연구(scientific research). 작업반은 과학적 연구를 관련 분야 연관된 방법론 및 윤리적 기준에 따라 수행되는 연구 프로젝트를 과학적 연구로 정의한다. 과학적 연구 프로젝트는 그 목적을 잘 설명하고, 이에 근거하여 동의를 받은 경우만 개인정보를 사용할 수 있다. 정보처리의 목적이 프로젝트 착수 초기에 세부적으로 결정되지 못하는 경우 GDPR 전문 33조에서는 해당 목적이 보다 일반적인 수준에서 제시될 수 있다고 설명하고 있다. 그러나 작업반은 이러한 예외가 엄격한 해석으로 결정되어야 하며, 민감한 정보를 처리하는 경우 보다 높은 수준의 관리 감독이 필요하다고 지적하고 있다. 이러한 해석은 예외의 범위를 엄격하게 제한한다고 볼 수 있다. |
