기존 개인정보보호법의 경우, 동의와 목적의 관계는 간결했다. 즉 목적 내 처리(여기서는 이용 또는 제공)의 경우는 동의가 불요하고, 목적 외 처리의 경우는 동의가 필요하다.
하지만 개정 개인정보보호법의 경우, 동의와 목적의 관계는 다소 복잡해졌다. 즉 목적 내 처리의 경우는 동의가 불요하고 목적 외 처리의 경우는 동의가 필요하지만, 당초 목적과 합리적으로 관련된 범위의 경우는 동의가 불요하다. 다시 말하면 2단계 구조에서 3단계 구조가 변경되었다.
개정 개인정보보호법의 경우 가명정보까지 들어오면서 동의와 목적의 관계는 더 복잡해졌다. 가명정보의 경우 개인정보로 분류되므로 목적 내 처리의 경우는 동의가 불요하고 목적 외 처리의 경우는 동의가 필요하며 당초 목적과 합리적으로 관련된 범위의 경우는 동의가 불요하다. 여기에 또 하나가 추가된다. 목적 외 처리라도 통계작성, 과학적 연구, 공익적 기록보존 등의 경우는 역시 동의가 불요하다.
이상의 관계를 표로 정리하면 아래와 같다. (여기서 처리란 이용, 제공을 의미함)
참고로 목적 내 처리와 목적 외 처리를 구별함에 있어, 우리 대법원은 정보주체가 당연히 예상할 수 있는 범위인지 여부 및 특정 처리로 인하여 정보주체가 불측의 손해를 입게될 염려가 있는지 등을 기준으로 판단하였다.
여기서 핵심은 '당초 목적과 합리적으로 관련된 범위'의 처리를 어떻게 정의하느냐이다.
일단 EU GDPR에는 추가 처리(further processing)의 개념이 있고 이를 근거로 하여 위 '당초 목적과 합리적으로 관련된 범위'가 규정된 것으로 보인다.
EU GDPR의 추가처리를 정리하면 아래와 같다.
1) 동의를 받아 수집한 경우는 추가처리가 허용되지 않는다. 이 점은 우리 개정 개인정보보호법과 다른 점이다.
2) 추가처리의 적법성은 아래 5가지를 고려하여 판단하다. 우리 개정 개인정보보호법은 정보주체에 대한 불이익 여부, 암호화 등 안전성 확보조치 등을 고려하여 판단한다고 되어 있다.
- 당초 수집 목적과 추가처리 목적의 관련성
- 개인정보의 수집 정황
- 개인정보의 성질 (민감정보 여부 등)
- 추가처리에 의하여 발생할 수 있는 결과
- 암호화 또는 가명처리 등의 안전장치의 존재
3) 공익, 과학적 또는 역사적 연구 목적, 통계 목적의 경우는 적법한 추가처리로 보아야 한다.
추가처리와 관련된 자료로는 Working paper 203(ARTICLE 29 DATA PROTECTION WORKING PARTY / Opinion 03/2013 on purpose limitation)가 있다.
중점적으로 파악해야 할 점은, EU GDPR의 추가처리와 우리 개정 개인정보보호법의 '당초 목적과 합리적으로 관련된 범위'가 동일한 의미인지를 판단하는 것이다. 개인적으로는 동일한 의미로 보기에는 무리가 있어 보인다.
* 법무법인 민후 김경환 변호사 작성, 블로그(2020. 4. 25.) 기고.
Comments