주말에 집에서 전화로 짜장면이나 치킨, 피자를 시켜 먹다 보면 불가피하게 중국집이나 치킨집, 피자집에 전화번호, 주소 등의 개인정보를 제공하게 된다.
개인정보를 제공하는 것까지는 문제가 없지만, 그 다음에 전화를 하게 되면 중국집이나 치킨집, 피자집이 전화 건 사람을 먼저 알아보고 친절하게 주소까지 알고 있다고 말해 준다. 며칠 후에는 이벤트 행사가 있으니 응모하라는 광고성 문자도 날아온다.
일부 주문자들은 매우 불쾌해하기도 하고 짜증을 내기도 한다. 그렇다면 중국집이나 치킨집, 피자집의 이러한 행위가 적법한지 궁금해질 수밖에 없는데, 동네에서 가장 쉽게 볼 수 있는 치킨집을 예로 들어 설명해 보기로 한다.
치킨집을 운영하는 A는 치킨 주문을 위해 전화를 건 B로부터 B의 전화번호, 주소 등 개인정보를 수집한 다음 주문정보도 같이 기록해 두었다. 이 상황에서 발생할 수 있는 개인정보보호의 이슈에 관하여 정리해 본다.
▲ 적용법령
직접 치킨을 배달하면서 치킨집을 운영하는 A를 정보통신망서비스 제공자라 하기는 곤란하고, A가 수집한 B의 전화번호나 주소가 B의 신용정보에 해당한다고 보기는 어려우므로 개인정보보호법에 의하여 각 사항을 결정하면 된다.
▲ 정보주체의 동의
A가 B의 전화번호나 주소를 수집하는 경우, A는 B의 동의를 얻어야 하는가? B가 제공한 전화번호나 주소는 A가 치킨을 배달하는 데 필수적인 정보로 볼 수 있다. 개인정보보호법은 ‘정보주체와의 계약의 체결 및 이행을 위해 불가피하게 필요한 경우’에 대하여 동의를 받지 않아도 된다고 규정하고 있는 바, A는 B의 전화번호나 주소의 수집을 위해 동의를 받을 필요는 없다.
A가 B의 이름을 물어보는 경우에 B는 이름까지 제공해야 하는가? 치킨의 배달에는 원칙적으로 주문자의 성명이 불필요할 것인 바 필수정보가 아니므로 B는 이름을 제공할 필요가 없고, A 역시 B가 이름을 제공하지 않았다고 하여 치킨 배달을 거부해서는 아니된다.
그렇다면 A는 언제까지 B의 전화번호나 주소를 저장하고 있다가 파기해야 하는가? 법을 엄격하게 해석해 보면, 치킨 배달이 종료한 때에 A의 개인정보 처리 목적이 달성되어 그 개인정보가 불필요하게 되었으므로, A는 ‘지체 없이’ 그 개인정보를 파기해야 한다.
그렇기에 그 다음에 치킨 배달 주문 전화를 할 때에 치킨집 주인 A는 주문자의 전화번호나 주소를 알고 있어서는 안 된다. 하지만 배달완료와 동시에 전화번호나 주소 정보를 지체 없이 파기하는 치킨집 주인은 거의 없는 것이 현실이다.
나아가 A의 매장 안에서 치킨을 먹는 C에게 판촉을 위해 멤버십 운영에 필요하다는 명목으로 이름, 전화번호를 묻거나 수집하는 경우에는 C의 동의를 얻어야 하며, 동의를 받을 때에는 개인정보의 수집·이용 목적, 개인정보의 항목, 개인정보의 보유 및 이용기간 등에 대해 알려야 한다.
불가피하게 A가 C의 고유식별정보인 주민등록번호를 수집해야 하는 경우, A는 반드시 다른 항목과 구별하여 C에게 ‘별도의 동의’를 얻어야 한다.
한편, A가 B나 C의 ‘주문정보(예컨대 양념치킨 1마리 등)’를 수집하여 저장하는 경우에도 B나 C의 동의를 얻어야 하는가? 주문정보는 B나 C가 제공한 정보가 아니라 생성된 정보이고, 식별성도 약하기 때문에 원칙적으로 B나 C의 동의를 받을 필요는 없어 보인다.
▲ 수집한 개인정보의 마케팅 활용
A가 마케팅 활용이나 이벤트 홍보 등을 위하여 B나 C에게 문자 등을 보낼 수 있는가? B와 C의 경우를 나누어 파악해야 한다.
B의 경우, A가 개인정보를 수집하는 목적은 배달 목적이지 마케팅이나 홍보 목적은 아니므로, A는 B에게 ‘별도의 동의’를 얻지 않고서는 B의 개인정보를 마케팅 활용이나 이벤트 홍보 등에 사용할 수 없다.
C의 경우, A가 개인정보를 수집하는 목적으로 마케팅이나 홍보 목적까지 명기하여 동시에 동의를 얻었다면, A는 C의 별도의 동의를 얻지 않고도 C의 개인정보를 마케팅 활용이나 이벤트 홍보 등에 사용할 수 있다. 다만 A는 C로부터 동의를 받을 때에 개인정보의 마케팅 활용이나 홍보 등의 사용을 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
▲ 제3자에 의한 마케팅 활용
A가 B나 C의 개인정보를 제3자에게 제공하여 마케팅이나 홍보 등의 목적으로 활용하게 할 수 있는가? B의 경우, 그 수집목적을 벗어나므로 A는 ‘별도의 동의’를 얻어야만 제3자에게 개인정보를 제공할 수 있다.
C의 경우, A가 개인정보를 제3자에게 제공하여 마케팅이나 홍보 목적까지 활용한다고 명기하고 동시에 동의를 받았다면, A는 C의 별도의 동의를 얻지 않고도 제3자에게 제공하여 C의 개인정보를 마케팅 활용이나 이벤트 홍보 등에 사용할 수 있다. 처음 동의를 받은 범위를 초과하여 개인정보를 제3자에게 제공하거나 이용하는 경우는 C에게 또 다시 ‘별도의 동의’를 얻어야 한다.
정보주체의 동의를 얻을 때에는, 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용기간, 동의를 거부할 권리가 있다는 사실을 정보주체에게 알려야 한다.
지금까지 치킨집에서 발생할 수 있는 개인정보보호 이슈를 살펴보았다. 치킨집 사장이 설령 법대를 졸업했다 할지라도 위와 같은 상황별 결론을 법령 문언만으로 알아내기에는 지나치게 어렵게 되어 있다.
이에 국민의 눈높이에 맞는 더 많은 홍보와 교육자료가 있어야 할 것으로 보인다.
* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 4. 17.) 기고.
Comentários