• 페이스북
  • 인스타그램
지금 이 자리에 광고하세요. 지금 이 자리에 광고하세요.

조아영

개인정보보안 전문가 / 캐치시큐 대표. 캐치시큐는 개인정보보호 규제 준수 자동화 서비스 오내피플을 운영합니다. 개인정보 관리 업무를 SaaS 기반 B2B 솔루션으로 간편하게 해결할 수 있도록 돕는 개인정보보호 규제 준수 전문기업입니다. 개인정보보호 인력이 없는 기업에 개인정보 수집 동의서와 개인정보 처리방침 제작 업무를 자동화해 제공하며, 개인정보 수집부터 보관·파기까지 안전하고 체계적으로 관리할 수 있는 AI캐치폼 등을 서비스하고 있습니다.

조아영님의 아티클 더 보기

마케팅

고객 개인정보, 정말 동의 없이 수집해도 될까?

서비스 목적에 따라 달라진다

2025년 3월 24일

최근 기업의 개인정보 수집 방식이 변화하고 있습니다. 그동안 기업은 서비스 운영시 ‘불가피한 경우’를 제외하면 반드시 고객에게 개인정보 수집 동의를 받아야 했습니다. 이에 기업은 서비스 제공에 필수적인 정보조차 동의를 받아야 하는 부담이 있었고, 정보주체(고객)는 매번 필수 항목에 동의를 해야 했습니다.

이 같은 번거로움을 해결하기 위해 지난 2023년 개인정보보호법이 개정(지난해 9월 시행)됐습니다. 개정의 핵심은 서비스 제공 등 계약 이행을 위해 필요한 개인정보는 정보주체의 동의 없이 수집·이용할 수 있도록 변경되었다는 점입니다.

일부 기업은 이번 개정안을 두고 “고객 개인정보를 자유롭게 수집하고 이용해도 된다”고 받아들이지만, 이를 단순한 규제 완화로 해석하면 위험합니다. 오히려 기업이 개인정보 처리의 투명성을 높이고 법적 책임을 더욱 철저히 져야 하는 구조로 바뀌었기 때문입니다.

서비스 따라 개인정보 수집 달라진다

개인정보 수집·이용 동의서를 통해 명시된 내용(자료=오내피플)

개정안에 따르면, 동의 없이 수집해도 되는 개인정보는 계약 체결 및 이행 등 서비스 제공과 직접적으로 관련된 것뿐입니다. 그 외에는 여전히 정보주체의 동의를 얻어야만 하죠.

예를 들어, 온라인 쇼핑몰에서 상품을 배송하기 위한 이름, 연락처, 주소 등은 동의 없이 수집할 수 있습니다. ‘상품 배송’이라는 계약 이행을 위한 필수 정보이기 때문입니다. 반면 키, 몸무게 같은 신체 정보는 상품 배송과 무관하기 때문에 여전히 명시적인 동의가 필요합니다.

다른 서비스를 살펴 보면요. 렌터카 업체가 차량 대여 서비스를 제공할 땐 이름, 연락처, 생년월일을, 숙박앱(숙소 예약)에선 이름, 연락처, 예약 정보를, OTT(회원 가입 및 구독)는 이름, 연락처, 결제 정보를 동의 없이 수집할 수 있습니다.

다만 주의할 점은 동종 서비스라도 계약 종류에 따라 동의 없이 처리할 수 있는 개인정보는 달라질 수 있으며, 해당 정보가 동의 없이 처리할 수 있는지에 대한 입증 책임도 기업에 있습니다.

이처럼 서비스에 따라 개인정보 동의 여부가 달라지므로 이를 명확하게 인지하는 것이 중요합니다. 개정안에 따르면, 기업은 동의 없이 처리하는 정보의 범위를 명확히 설정하고, 이를 개인정보 처리방침에 공개해야 하며, 정당한 수집 근거를 입증할 책임도 기업이 져야 합니다. 위반하면 매출액의 최대 3%까지 과징금이 부과될 수 있죠.

개인정보 동의, 더 엄격하게 관리해야

결국 이번 개정은 기업이 개인정보를 자유롭게 활용할 수 있도록 한 것이 아니라, 개인정보 보호 원칙을 더욱 엄격하게 적용하는 방향으로 강화한 것에 가깝습니다.

유럽정보보호위원회(EDPB)에 따르면, 유럽연합의 개인정보보호법(GDPR) 위반으로 부과된 벌금의 57%가 동의 절차와 관련된 문제에서 발생했습니다. 즉, 많은 기업이 개인정보를 수집할 때 고객의 동의를 적법하게 수집하지 않았으며, 동의 절차를 소홀히 하면 법적 책임을 질 수 있다는 의미입니다.

이번 한국 개인정보보호법에서 시행하는 동의 없는 개인정보 수집 내용은 GDPR에서 가져온 것으로 아래와 같습니다.

시행령 제17조(동의를 받는 방법) ① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 다음 각 호의 조건을 모두 충족해야 한다. <신설 2023. 9. 12.>
1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
2. 동의를 받으려는 내용이 구체적이고 명확할 것
3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

대기업에는 정보보안팀이 존재해 이런 규제 리스크를 관리하지만, 대부분의 기업에는 개인정보를 전담하는 인력이 없습니다. 특히 이벤트 응모, 만족도 조사, 회원가입 등을 담당하는 마케팅 부서나 서비스 기획 부서는 수집하는 개인정보가 계약 이행을 위한 필수 요소인지, 별도 동의가 필요한 정보인지 명확히 파악해야 합니다.

이제 기업은 동의 없이 수집할 수 있는 정보와 반드시 동의를 받아야 하는 정보를 구분하고, 동의를 받을 때는 명확한 절차를 준수해야 합니다. 변화된 규제 환경에서 기업의 법적·재정적 리스크를 피하려면, 개인정보 수집·이용 방식을 점검하고 대응책을 마련해야 할 때입니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

2412 타고플러스

당신이 좋아할 만한 아티클

인기있는 아티클