CASE: 이용자 정보를 주고 받는 ‘콜라보레이션’
스타트업 A는 취미, 여가 정보를 제공하는 앱을 운영하고 있습니다. 취미, 여가와 관련된 이용자의 관심사를 파악하고 맞춤 서비스를 제공하기 때문에 회원 가입 시 이용자의 기본 개인정보를 받고 서비스 이용 중에 성별, 나이, 직업이나 사는 지역 같은 추가 개인정보를 받아 데이터베이스에 저장해 두었다가 서비스 제공에 활용하고 있습니다.
A는 앞서 출시된 다른 비슷한 앱들의 사례를 참고해서 이용자들로부터 ‘개인정보 수집에 관한 동의’를 받는 절차를 마련했습니다. 이용자 편의를 위해 앱을 최초 실행하면 “개인정보 수집 및 이용에 동의합니다”라는 문구가 뜨고 그 옆 체크 박스에 자동으로 ‘V’ 표시가 체크되도록 기본값을 설정했고 다음 단계에서 아이디를 정하고 이름, 전화번호 같은 개인정보를 입력하도록 했습니다.
A사가 조사해본 바로는 국내 앱 중에 이용자 동의를 받으면서 ‘어떤 정보를 수집하고, 어떤 목적으로 사용하는지’ 깨알 같은 글씨로 자세히 설명한 앱도 있었지만, 그런 앱은 좀 촌스럽게 보였습니다. 반면, 외국 앱들의 동의 절차는 문구도 비교적 간단하고 깔끔해 보였습니다. 그래서 외국 앱의 인터페이스를 참고해서 간단하게 ‘개인정보 수집 및 이용에 관한 동의 절차’ 페이지를 구성했습니다.
또, ‘개인정보 처리방침’은 유사한 서비스를 하는 국내 앱에 올라와 있는 내용을 다운로드받아 회사명과 서비스명만 바꾸고 사용했습니다. 서비스는 끊임없이 개선하고 업데이트했지만, 이 부분은 처음 게시하고 나서 크게 신경 쓰지 않았습니다.
한편, 스타트업 B는 이용자들이 스스로 취미, 여가 프로그램을 만들어서 참여자를 모집할 수 있는 플랫폼을 만들었습니다. 주 52시간 근무 시대에 맞는 앱이라는 평가와 함께 운 좋게 투자도 빨리 받았습니다. 그러나 생각만큼 이용자 수가 빠르게 늘지 않아 고민하고 있었습니다. 그러던 중 B의 대표는 비슷한 서비스를 제공하는 스타트업 A의 이용자 수가 빠르게 증가하고 있다는 소식을 들었습니다.
B 대표는 이미 A 서비스에 대해 알고 있었고 A 대표와 만난 적은 없지만, SNS 친구를 맺고 있었습니다. 이에 B의 대표는 A 대표에게 ‘콜라보레이션’을 제안하는 DM을 보내 식사 자리를 마련했습니다.
스타트업 B가 제안한 콜라보레이션은 ‘스타트업 A의 이용자 정보와 관심사 정보를 B에게 제공하면 B가 A의 이용자의 선호에 맞게 프로그램을 제안하는 것’이었습니다. 대신 A가 이용자 개인정보를 제공하는 만큼 B가 A에게 일정액의 정보 이용료를 지불하고 또, A로 인해 유입된 이용자로부터 발생하는 매출 일부를 넘겨주기로 했습니다.
A는 많은 개인정보를 수집하고 있으나 수익 모델이 마땅치 않았고, B는 수익 모델은 있지만 회원들이 부족했으니 두 회사 모두에게 도움이 되는 사업 모델이었습니다. A와 B는 두 달 정도의 준비기간을 거쳐서 ‘콜라보레이션’ 사업을 시작했습니다.
1. ‘개인정보 제3자 제공’도 반드시 이용자 동의 받아야
‘개인정보 제3자 제공’은 개인정보를 수집한 회사가 다른 회사의 이익을 위해 수집한 개인정보를 전달하는 것을 말합니다. 앞선 사례는 스타트업 A가 스타트업 B의 사업을 위해 개인정보를 제공하는 것이니 개인정보 제3자 제공에 해당합니다.
개인정보를 수집한 회사가 자기 회사의 이익을 위하여 개인정보를 전달하면 ‘개인정보 처리위탁’입니다. 스타트업 A가 자신의 서비스 일부를 다른 회사에 ‘위탁’하기 위해 이용자의 개인정보를 전달했다면 개인정보 처리위탁에 해당합니다.
정보통신망법은 “정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 다음을 이용자에게 알리고 동의를 받아야 한다”라고 정합니다.
① 개인정보를 제공받는 자
② 개인정보를 제공받는 자의 개인정보 이용 목적
③ 제공하는 개인정보의 항목
④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
대법원 판례 중 “정보통신서비스 제공자가 개인정보 수집 항목 및 목적, 보유기간에 대한 안내없이 ‘확인’을 선택하면 동의한 것으로 간주하는 방법으로 개인정보를 보험사에 제공한 것은 정보통신망법 위반”이라고 판단한 사례가 있습니다.
따라서, 스타트업 A가 B에게 이용자 개인정보를 제공하려면 이용자에게 정보를 알리고 동의를 얻어야 합니다. 보통 이용자들은 개인정보를 제3자에게 제공한다는 것을 반기지 않기 때문에 스타트업 A처럼 동의를 받지 않고 진행하는 경우가 많습니다. 이는 정보통신망법 위반입니다.
2. ‘개인정보 제3자 제공’ 거부해도 서비스 이용할 수 있어야
정보통신망법에서는 “개인정보 제3자 제공에 관한 동의’를 받을 때는 ‘개인정보의 수집ㆍ이용에 대한 동의’와 구분하여 받아야 한다”고 정합니다. 이용자들로부터 쉽게 동의를 받기 위해서 개인정보 수집 및 이용에 관한 동의 절차에 은근슬쩍 개인정보 제3자 제공에 관한 동의를 끼워 넣는 경우가 있는데 이 역시 정보통신망법 위반입니다.
정보통신망법은 “개인정보 제3자 제공에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 아니 된다”고 정하고 있습니다. 개인정보 제3자 제공에 관한 동의를 받아 내기 위해서 개인정보 제3자 제공에 동의하지 않으면 회원가입조차 할 수 없도록 하는 경우가 있는데 이 또한 정보통신망법 위반입니다. 다만, 서비스의 성격상 개인정보 제3자 제공이 필수적인 경우에 대해서는 논란의 여지가 있습니다.
또, 개인정보를 제3자에게 제공하는 경우, 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말합니다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목을 개인정보 처리방침에 포함하여야 합니다.
더 나은 서비스 제공을 위해 개인정보의 제3자 제공이 반드시 필요한 경우가 있습니다. 이용자가 거부감을 느끼지 않는 방법으로 동의를 얻으면서도 까다로운 정보통신망법이나 개인정보보호법을 준수해야 하는 결코 쉽지 않은 문제이기 때문에 전문가 자문을 받아 개인정보 제3자 제공 동의 절차를 준비하는 것이 좋겠습니다.
* 위 사례는 이해를 돕기 위한 가상의 사례이며, 등장 인물, 회사, 단체, 서비스, 제품은 실존하는 것과 무관한 허구임을 밝힙니다.
* 이번 케이스 스터디는 현행 정보통신망법 및 개인정보보호법 내용을 해설한 것입니다. 데이터 3법 개정에 따라 2020년 8월 5일부터 시행되는 개정 법률에 관한 케이스 스터디는 추후에 업데이트할 예정입니다.
-글: 법무법인 세움 변승규 변호사
-원문: [변승규 변호사의 스타트업 법률 케이스 스터디] #12. 스타트업의 개인정보보호 (3)
관련 기사
