Business스타트업

[변승규의 스타트업 법률 CASE STUDY] #10. 스타트업의 개인정보보호 (1)

CASE: 이용자 개인정보로 서비스를 제공하는 스타트업

스타트업 A는 취미, 여가 정보를 제공하는 앱을 운영하고 있습니다. 취미, 여가와 관련된 이용자의 관심사를 파악하고 맞춤 서비스를 제공하기 때문에 회원 가입 시 이용자의 기본 개인정보를 받고 서비스 이용 중에 성별, 나이, 직업이나 사는 지역 같은 추가 개인정보를 받아 데이터베이스에 저장해 두었다가 서비스 제공에 활용하고 있습니다.

A는 앞서 출시된 다른 비슷한 앱들의 사례를 참고해서 이용자들로부터 ‘개인정보 수집에 관한 동의’를 받는 절차를 마련했습니다. 이용자 편의를 위해 앱을 최초 실행하면 “개인정보 수집 및 이용에 동의합니다”라는 문구가 뜨고 그 옆 체크 박스에 자동으로 ‘V’ 표시가 체크되도록 기본값을 설정했고 다음 단계에서 아이디를 정하고 이름, 전화번호 같은 개인정보를 입력하도록 했습니다.

A사가 조사해본 바로는 국내 앱 중에 이용자 동의를 받으면서 ‘어떤 정보를 수집하고, 어떤 목적으로 사용하는지’ 깨알 같은 글씨로 자세히 설명한 앱도 있었지만, 그런 앱은 좀 촌스럽게 보였습니다. 반면, 외국 앱들의 동의 절차는 문구도 비교적 간단하고 깔끔해 보였습니다. 그래서 외국 앱의 인터페이스를 참고해서 간단하게 ‘개인정보 수집 및 이용에 관한 동의 절차’ 페이지를 구성했습니다.

또, ‘개인정보 처리방침’은 유사한 서비스를 하는 국내 앱에 올라와 있는 내용을 다운로드받아 회사명과 서비스명만 바꾸고 사용했습니다. 서비스는 끊임없이 개선하고 업데이트했지만, 이 부분은 처음 게시하고 나서 크게 신경 쓰지 않았습니다.

이후 앱 이용자들이 빠른 속도로 늘었고 같은 속도로 운영비도 늘었습니다. 그러나 이용자 수는 빠르게 늘었지만, 수익 모델은 마땅치 않았습니다. 앱 내 광고로 어느 정도 수익을 얻고 있었지만, 회사의 운영비에는 크게 못 미쳤습니다. 당연히 적자 폭도 점점 커졌습니다. A는 고객과 투자자에게 회사를 소개할 때 영업손실에 대해서는 언급하지 않고 앱 이용자가 몇 명인지, 증가 속도가 얼마나 빠른지, 회원들의 개인정보를 얼마나 상세히 수집하고 이용하는지 자랑했습니다. A는 당장 수익은 내지 못하지만, 계속 이용자 수를 늘리고 정보를 많이 축적하여 차차 이익을 낼 계획입니다.

1. 정보통신망법상 ‘개인정보’의 의미

정보통신망법에서는 ‘개인정보’의 의미를 다음과 같이 정하고 있습니다.

“개인정보’란 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.”

‘특정한 개인을 알아볼 수 있다’는 것은 특정 정보가 누구의 정보인지 알아볼 수 있다는 것입니다. 그런데 사실 주민등록번호, 여권번호, 운전면허번호 정도를 제외하면 하나의 정보만으로 누구인지 알아볼 수 있는 정보의 종류는 많지 않습니다. 혈액형을 알아도 같은 혈액형을 가진 사람이 많아서 그 사람이 누구인지 알 수 없고 생일도 같은 날 태어난 사람이 많아서 누구인지 특정할 수 없습니다. 직업, 출신학교, 종교도 모두 마찬가지로 그 정보만으로는 그 정보가 누구 정보인지 알 수 없습니다.

이렇게 한가지만으로 누구인지 알아볼 수 있는 정보만 개인정보라고 하면 범위가 너무 좁아서 개인정보 보호를 통한 ‘개인 사생활 보호’ 목적을 달성하기는 어렵습니다. 그래서 정보통신망법에서는 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보도 개인정보에 포함합니다. 하나하나로는 알 수 없지만, 혈액형, 생일, 직업, 출신학교 등 정보를 조합해서 누구인지 알 수 있다면, 이런 정보 하나하나가 개인정보가 되는 것입니다.

한편, 이렇게 개인정보의 의미를 넓히다 보니 개인정보의 범위가 너무 넓고 어디까지 개인정보인지 불명확하다는 비판도 있습니다. 보호되는 개인정보의 범위가 너무 넓어서 빅데이터 산업의 발전을 막는다는 것입니다. 이 때문에 개인정보 관련 법령의 개정이 논의되고 있습니다.

2. 수집하는 정보와 사용처 밝히고 동의 얻어야

사례에서 스타트업 A가 수집하는 개인정보는 무엇일까요?

A는 이용자가 회원 가입 시 수집하는 이용자 이름과 전화번호만 개인정보로 이해한 것 같습니다. 그러나 서비스 이용 과정에서 수집되는 성별, 나이, 직업이나 사는 지역도 모두 개인정보로 취급될 수 있습니다. 앞서 말한 대로 다른 정보와 쉽게 결합하여 특정한 개인을 알아볼 수 있다면 개인정보에 해당할 수 있기 때문입니다.

그렇기 때문에 스타트업 A가 이용자들로부터 ‘개인정보 수집 및 이용에 관한 동의’를 받을 때 이들 각각의 정보를 수집하고 이용하는 것에 관한 동의도 함께 얻어야 합니다.

개인정보를 많이 취급하는 스타트업 일수록 법에서 규정하는 개인정보의 의미를 정확히 이해해야 합니다. 또, 개인정보의 범위가 생각보다 넓다는 것도 잊어서는 안 됩니다.

* 위 사례는 이해를 돕기 위한 가상의 사례이며, 등장 인물, 회사, 단체, 서비스, 제품은 실존하는 것과 무관한 허구임을 밝힙니다. 
* 이번 케이스 스터디는 현행 정보통신망법 및 개인정보보호법 내용을 해설한 것입니다. 데이터 3법 개정에 따라 2020년 8월 5일부터 시행되는 개정 법률에 관한 케이스 스터디는 추후에 업데이트할 예정입니다.

-글: 법무법인 세움 변승규 변호사
-원문: [변승규 변호사의 스타트업 법률 케이스 스터디] #10. 스타트업의 개인정보보호 (1)

대한민국 부티크 로펌의 선두주자 “법무법인 세움”.
대형 로펌에서 근무하던 변호사들이 스타트업을 위한 제대로 된 법률 서비스를 하기 위해 뜻을 모아 최초의 스타트업 전문 로펌으로 출발했습니다.

올바른 가치관, 견고하게 쌓아온 압도적인 실력을 바탕으로 대한민국 스타트업 생태계의 폭발적 성장에 디딤돌을 놓았으며, 독보적인 경험을 바탕으로 빠르게 성장하는 스타트업의 성장 단계와 규모에 따라 신속하고 효율적인 법률 서비스를 제공하고 있습니다.

댓글

Leave a Comment


관련 기사

트렌드

[정호석의 스타트업 법률가이드] #110. 회사 설립 시 꼭 알아야 할 정관: 기재사항과 변경 절차

스타트업 이벤트

남의 일로 세상을 움직이다 – 스타트업 전문 로펌 ‘세움’의 12년

트렌드

[윤정옥의 스타트업 법률가이드] 2024년 9월부터 대부분의 모바일상품권도 선불전자지급수단에 해당

트렌드

[특허법인세움] 길세영의 스타트업 IP가이드 #21. 특허 마이닝(Patent Mining) – (2) 방법론