# 개인정보를 수집하여 ‘수집된 목적 범위 내’에서만 이용하고자 하는 경우

개인정보를 수집, 이용하려는 자는 ‘개인정보보호법 제15조 제1항이 정한 6가지 경우’에 한하여만 개인정보를 수집할 수 있고, 이와 같은 방법으로 수집된 개인정보는 ‘수집된 목적 범위 내’에서만 이용할 수 있다. 개인정보보호법 제15조 제1항이 정한 6가지 경우 중 대표적인 것은 정보주체의 동의를 받는 경우(제1호)다. 개인정보보호법 상의 ‘동의’란 ‘쌍방’의 합의를 요하는 것으로 ‘일방’적으로 이루어지는 ‘고지’나 ‘통지’ 혹은 ‘공개’와는 다른 개념이다. 또한 ‘동의’ 절차는 정보주체가 이를 명확하게 인지할 수 있도록 알린 후 이루어질 것을 전제로 하고, ‘동의’를 받는 방법에 대해서는 개인정보보호법 제22조 및 시행령 제17조를 통해 구체적으로 규정되어 있으므로, 각 해당 조항이 제시하는 요건에 맞춰 ‘동의’절차를 진행해야 한다. 한편 개인정보를 수집할 수 있는 다른 경우로 자주 언급되는 것 중에는 법령상 의무를 준수하기 위하여 불가피한 경우(제2호)도 있다. 청소년 보호법 상 청소년에게는 술이나 담배를 판매할 수 없기에 사업자가 고객이 청소년인지 여부를 확인하기 위해 신분증을 확인하는 것이 이에 해당한다. 그 밖에도 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(제6호)도 있는데, 명함을 서로 주고받는 경우나 근로자의 근태를 감시하기 위해 CCTV나 출입 기록을 활용하는 것이 이에 해당할 것이다.

개인정보의 수집과 관련해 실무적으로 자주 논란이 되는 것 중에는 ‘이미 인터넷 등에 일반적으로 공개되어 있는 개인정보’를 수집하는 것도 앞서 살펴본 바와 같은 개인정보보호법의 적용을 받느냐의 문제가 있다. 이에 대하여 우리 대법원은 “개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있으므로, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 ‘이미 공개된 개인정보’까지도 포함된다(대법원 2014. 7. 24. 선고 2012다49933 판결 참조).”고 판시한 바 있다. 개인정보를 수집하는 입장에서는 번거로운 일이 될 수도 있으나, 어떤 경위로 개인정보를 수집하든 당사자인 정보주체의 동의를 밟는 절차를 놓치면 개인정보보호법 위반이 될 소지가 있으므로 의심스러우면 일단 정보주체의 동의를 구하는 편이 안전할 수 있는 것이다. 실제로 개인정보보호법은 이러한 상황을 가정해 개인정보를 수집하는 측에서 정보주체 이외로부터 수집한 개인정보를 처리할 때에는 정보주체의 요구를 받는 즉시 개인정보의 수집 출처(제1호), 처리 목적(제2호), 개인정보 처리의 정지를 요구할 권리가 있다는 사실(제3호)을 정보주체에게 알려줄 것을 의무화하고 있다(제20조 참조).

 

# 개인정보 파기는 어떻게 해야 하나?

개인정보 파기는 개인정보 처리의 가장 마지막 단계에 해당한다. 개인정보는 파기가 제대로 이루어지지 않을 경우 개인정보 유출로 직결될 수 있기에 개인정보 수집이나 이용만큼이나 엄격하게 관리되어야 하는데, 개인정보보호법은 개인정보의 보유기간이 종결되었거나 처리의 목적이 달성된 경우 등 개인정보가 불필요하게 된 경우에 ‘지체 없이’ 그 개인정보를 파기하도록 하고 있다(제21조 제1항 참조). 이 때의 ‘지체 없이’란 일의적으로 기간을 정하기는 어렵고

개인정보를 처리하는 측의 형편에 따라 자율적으로 정하면 충분하다는 것이 일반적인 견해로 보인다. 다만, 다른 법령에서 일정기간 보유할 것을 정하고 있는 경우라면 개인정보 파기 시기를 조율해야 하는데, 가령 전자상거래와 관련해 계약 또는 청약철회에 관한 기록 및 대금 결제 및 재화 등의 공급에 관한 기록은 5년, 소비자의 불만 또는 분쟁 처리에 관한 기록은 3년 동안 보존을 해야 할 것이다.

한편 개인정보 파기의 방법 및 절차는 시행령 제16조에서 구체적으로 정하고 있는데, 파기의 방법이나 절차를 정함에 있어서의 대원칙은 ‘더 이상 회복이 불가능할 정도로 영구히 파기’하는 것이다. 가령 전자적 파일 형태인 경우에는 복원이 불가능한 방법으로 영구 삭제, 기록물, 인쇄물, 서면, 그 밖의 기록 매체인 경우에는 파쇄 또는 소각하는 방법을 취할 수 있다. 다만 이 경우에도 논란이 되는 것은 빅데이터인데, 빅데이터의 경우에는 개인정보를 ‘비식별화’하여 이용한 이후에도 이를 ‘재식별화’하여 개인정보를 복원하는 기술이 마련되어 있어 ‘재식별화’자체를 금지하는 방법으로 파기의 방법 및 절차를 정해야 할 것이지만, 아직 그에 대한 규정은 마련되어 있지 않다. 입법의 보완이 필요한 부분으로 보인다.

키워드

#이코노믹리뷰 #조태진 법조전문기자/변호사