스타트업의 경우, 사업 홍보에 집중하여 개인정보 보호의 중요성을 놓치는 경우가 있다. 그러나 고객의 개인정보를 개인정보 보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법'이라 함)이 정한 바대로 관리하지 않는다면, 기업 이미지 실추뿐만 아니라, 과징금, 형사처벌 등을 받게 될 위험도 있으므로, 고객의 개인정보 보호를 간과해서는 안 된다.
이에 이하에서는 고객의 개인정보 보호에 관하여 스타트업이 주의해야 할 대표적인 사항 몇 가지를 소개하고자 한다.
먼저, 고객의 개인정보를 수집·이용하고자 하는 스타트업은 고객으로부터 동의를 받아야 하는데(개인정보 보호법 제15조 제1항 제1호, 정보통신망법 제22조 제1항), 이때 ① 개인정보의 수집·이용 목적, ② 수집하는 개인정보의 항목, ③ 개인정보의 보유·이용 기간을 고객에게 알려야 한다(개인정보 보호법 제15조 제2항, 정보통신망법 제22조 제1항).
개인정보 보호법 및 정보통신망법은 개인정보의 처리 목적에 필요한 최소한 개인정보만을 수집하여야 하고, 필요한 최소한의 개인정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스의 제공을 거부해서는 안 된다고 규정하는바(개인정보 보호법 제16조, 정보통신망법 제23조), 스타트업은 고객으로부터 개인정보 수집·이용 동의를 받을 때, 고객에게 제공하는 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 필수사항으로, 그렇지 않은 정보를 선택사항으로 나눈 후 고객의 동의를 받아야 한다.
또한 스타트업이 수집한 개인정보를 직접 이용하는 것이 아니라, 다른 자에게 이전하거나 공동으로 수집·이용하는 경우도 빈번히 일어나는데, 개인정보 보호법 및 정보통신망법상 다른 자에게 개인정보를 이전하는 것에는 '개인정보의 제3자 제공'과 '개인정보의 처리위탁'이 있다. 만약 스타트업이 개인정보를 제3자 제공하거나 처리위탁하고자 한다면, 개인정보 수집·이용에 관한 동의와는 별도로 제3자 제공 및 처리위탁에 관한 동의를 받아야 한다.
개인정보 보호법과 정보통신망법은 '개인정보의 제3자 제공'(개인정보 보호법 제17조, 정보통신망법 제24조의2)과 '개인정보의 처리위탁'(개인정보 보호법 제26조, 정보통신망법 제25조)을 구분하여, 관련 내용을 고객에게 알리고 별도로 동의를 받아야 한다고 규정하는바, 양자를 구분할 필요성이 있다.
'개인정보의 제3자 제공'은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우를 의미하고, '개인정보의 처리위탁'은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 즉 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지를 종합하여, 개인정보를 제공받는 제3자의 업무를 처리할 목적 및 이익을 위해서 개인정보가 제3자에게 이전되는 것이라면 '개인정보의 제3자 제공'에 해당하는 것이고, 개인정보처리자 또는 정보통신서비스 제공자의 업무를 처리할 목적으로 개인정보가 제3자(수탁자)에게 이전되는 것이라면 '개인정보의 처리위탁'에 해당하는 것이다.
한편 스타트업이 고객에게 개인정보 수집·이용, 제3자 제공, 처리위탁에 관한 동의를 받았다 하더라도, 고지를 제대로 하지 않은 경우에는 개인정보 보호법 및 정보통신망법 위반에 해당할 수 있다는 점을 주의하여야 한다.
최근 대법원은, 경품행사를 통하여 고객들의 개인정보를 수집하고, 이를 보험회사에 대가를 받고 판매한 A사에 대하여, 경품행사에 응모한 고객들에게 개인정보 수집·이용 동의를 받으면서 수집·이용 목적을 고지하였고, 제3자 제공 동의를 받으면서 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적을 고지하였다 하더라도, 응모권 뒷면에 1mm 크기로 고지한 것은 개인정보 보호법 및 정보통신망법을 위반한 것이라고 판시한 바 있다(대법원 2017. 4. 7. 선고 2016도13263 판결 참조). 위 대법원 판례의 취지를 고려하면, 고객으로부터 동의를 받는 것뿐만 아니라, 개인정보 보호법 및 정보통신망법에서 규정한 내용을 제대로 고지하는 것도 중요한바, 스타트업은 고객의 개인정보를 수집·이용하는 과정에서 충분한 주의를 기울여야 할 것이다.
* 법무법인 민후 김도윤 변호사 작성, 디지털데일리(2020. 4. 27.) 기고.