[정호석의 스타트업 법률가이드 #31] 고객 개인정보 수집·이용 시 유의 사항
대다수 기업들은 자사 비즈니스 활동에 유의미한 데이터를 찾고, 이를 마케팅 및 신규 비즈니스 창출에 활용하고자 고객의 개인정보를 수집하고 있는데요. 최근 기업들이 필요 이상으로 개인정보를 수집한다는 지적이 잇따르면서, 어떠한 정보를 어떠한 방법으로 수집해야 적법한지에 대한 관심이 커지는 듯 합니다.
기본적으로 개인정보보호법 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 “정보통신망법”)은 개인정보의 유출, 오용, 남용으로부터 사생활의 비밀 등을 보호하기 위하여 개인정보의 수집, 이용, 제공 등 개인정보처리에 관하여 일정한 사항을 규정하고 있는데, 이 중 중요한 내용에 대하여 살펴보도록 하겠습니다.
(개인정보의 의미)
개인정보란 살아 있는 개인에 관한 정보를 의미합니다. 즉, 특정한 개인에 대한 사실, 판단, 평가 등 그 개인과 관련성을 지닌 정보라면 개인정보로 인정됩니다. 반면 특정 개인을 알아볼 수 없도록 가공되었거나 통계적으로 변환된 경우에는 특정 개인과의 관련성이 없고 식별이 어려우므로 개인정보에 해당하지 않습니다. 예를 들어 특정 단체 임원들의 평균연봉, 특정 대학의 해당연도 졸업생의 취업률 등의 정보는 단지 전체적인 통계적 정보만을 보여줄 뿐 특정 개인과의 관련성이 없는 정보이므로 개인정보에 해당하지 않습니다.
(최소 수집 원칙)
정보통신망법 제23조 제2항은 ‘정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스의 제공을 위하여 필요한 범위에서 최소한의 개인정보만 수집하여야 한다’고 정합니다. 따라서 개인정보의 최소 수집 원칙에 있어서 최소한의 개인정보라 함은 해당 서비스를 제공하는데 필수적인 정보를 의미하는 것이고, 특정한 항목의 개인정보를 의미하는 것은 아닙니다.
(민감정보 수집 금지)
정보통신망법 제23조 제1항에 따르면, 민감정보에 해당하는 사상, 신념, 가족 및 친인척관계, 학력, 병력, 기타 사회활동 경력 등 개인의 권리, 이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집하면 안됩니다. 단, 단서 규정에는 ‘이용자의 동의를 받는 경우에는 민감정보도 수집할 수 있다’고 명시된 점을 유의하시길 바랍니다.
(주민등록번호의 수집)
본인확인기관으로 지정되었거나 기타 예외적인 사항에 해당되지 않는 경우라면 기본적으로 주민등록번호를 수집하는 것은 이용자의 동의 여부와 관계 없이 금지됩니다.
(개인정보취급방침의 작성)
이용자의 개인정보를 수집, 이용하거나 제3자에게 개인정보를 제공하기 위하여는 이용자의 명시적인 동의가 필요하며, 일반적으로 개인정보취급방침을 통해 동의를 받습니다.
이 때, 이용자로부터 개인정보의 수집 및 이용에 관한 동의를 얻는 경우에는 그 대상이 되는 개인정보의 항목을 구체적으로 고지하여야 하며, 이용자가 그 내용을 알 수 없을 정도로 포괄적으로 고지하면 안됩니다. 아울러 이용자의 개인정보를 제3자에게 제공하는 경우 제공 받는 제3자의 이름 또는 상호를 특정하여 고지해야 하며, ‘금융기관’, ‘정부기관’ 등과 같이 포괄적인 형태로 고지하면 안됩니다.
고객 개인정보를 수집하려는 기업들은 위 사항을 기본적으로 숙지하고, 개인정보보호법 및 정보통신망법에서 정한 내용과 절차를 준수해야 합니다. 특히 수집된 고객의 정보가 신용정보에 해당하는 경우에는 신용정보법의 적용도 받게 됩니다. 큰 문제 의식 없이 다른 서비스의 개인정보취급방침을 모방하여 작성한 후, 이를 통해 개인정보를 수집했다가 동의 없이 개인정보를 수집한 것으로 인정되어 추후 문제가 되는 경우도 다수 있습니다.
따라서, 기업들은 자사 고객의 정보가 개인정보에 해당하지는 않는지 그 소속 범위부터 명확히 파악하고, 나아가 해당 정보가 수집 가능한지, 정보 수집·이용·제3자에 대한 제공에 대해 동의를 받고 있는지 검토해 향후 문제가 발생하지 않도록 대비해야 합니다.
원문 : [스타트업 법률가이드] 고객 개인정보 수집·이용 시 유의 사항