AI(인공지능) 대전환 시대에 발맞춰 인터넷 종합 미디어 <더팩트>와 <개인정보보호법학회>가 손잡고 '인공지능 대전환시대 데이터법제의 발전'을 주제로 한 기획 칼럼 시리즈를 연재합니다. 이번 기획은 AI 혁신을 위한 필수 과제인 데이터의 활용과 보호 간 균형을 맞추는 정교한 법제도 정비의 중요성에 주목했습니다. 특히 AI 시대에 맞는 개인정보보호법 재설계의 필요성에 대한 심도 있는 논의를 이끌어낼 예정입니다. 데이터가 어떻게 수집되고, 활용되며, 보호돼야 하는지에 대해 전문가들의 학문적 분석과 사회적 담론을 제공합니다.<편집자 주>
[더팩트 | 방성현 변호사(김앤장 법률사무소, 개인정보보호법학회 부회장)] 개인정보호법은 정보주체의 동의 이외에 ‘계약의 이행(Contractual necessity)’을 개인정보 처리의 근거로 두고 있다. 이용자가 인터넷 쇼핑몰을 방문하여 자신이 구매하고자 하는 상품을 주문하는 경우, 사업자는 이용자로부터 결제 및 배송 정보를 수집할 필요가 있다.
사업자가 해당 정보를 수집하지 않으면 이용자가 선택한 상품을 판매하여 이용자가 입력한 배송지에 상품을 배송할 수 없으며, 결국 이용자와 체결한 계약을 이행하지 못한다. ‘계약의 이행(Contractual necessity)’은 이와 같이 개인정보처리자가 정보주체와 체결한 계약을 이행하기 위해 필요한 경우에 정보주체의 동의를 받지 않고도 개인정보를 수집하여 처리할 수 있도록 하는 조항이다.
2023년 개인정보보호법이 개정되기 전 ‘계약의 이행’ 조항은 "정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우"에 개인정보를 처리할 수 있도록 하였으나, ‘불가피하게’라는 엄격한 요건으로 인해 위 조항을 근거로 개인정보를 처리하는 것이 사실상 불가능했다.
정보주체의 동의에만 의존하는 관행을 개선하기 위해 2023년 개인정보보호법을 개정하면서 ‘불가피하게’라는 요건은 삭제되었고, "정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우’에는 개인정보를 처리할 수 있도록 하였다.
유럽 일반 개인정보보호법(GDPR)도 ‘계약의 이행’을 개인정보 처리의 근거로 두고 있다. EU는 ‘계약 이행의 필요성’은 개인정보처리자(컨트롤러)의 관점 뿐만 아니라 정보주체의 관점에서 검토되어야 하고, 계약 목적에 관한 상호 진정한 이해가 있는지 여부는 평균적인 정보주체의 관점에서 신중하게 검토되어야 한다고 엄격하게 해석하고 있다.
EDPB 가이드라인은 이용자의 웹사이트 방문 내역을 기초로 이용자의 선호 등에 대한 프로필을 만드는 것은 비록 계약에 그 내용이 언급되어 있다고 하더라도 이러한 사정만으로는 계약의 이행을 근거로 처리할 수 없다고 보고 있다. 또한 통상 서비스 개선 또는 변형의 가능성이 이용자와 체결하는 계약에 포함되는 경우가 일반적이나, 서비스 개선 또는 새로운 기능의 개발은 이용자와 체결된 계약의 이행을 위해 객관적으로 필요한 경우라고 볼 수 없어 계약의 이행에 근거하여 처리할 수 없다고 엄격하게 해석하고 있다.
그런데 한국은 EU와 산업 및 시장 상황에 차이가 있고 국내 인공지능 산업 발전을 위한 데이터의 활용과 이용자의 실질적 권리 보호의 적절한 균형점을 찾을 필요가 있는 상황에서, ‘계약의 이행’ 조항을 개인정보 처리 근거로서 실질적인 의미를 갖도록 위해서는 개별 요건에 대한 합리적인 해석과 명확한 기준 제시가 필요하다.
먼저 ‘계약’의 의미를 해석하면서 사업자가 이용자에게 제공하는 서비스의 내용을 규제기관이나 법원의 입장에서 너무 단순화 하여 제한적으로 해석해서는 안 될 것이다. 예를 들어, 전자상거래 서비스를 제공하는 사업자는 이용자에게 주문한 상품을 배송하는 서비스를 제공할 뿐만 아니라, 전자상거래 서비스 개선을 위해 인공지능 기술을 활용할 수도 있으며, 부정결제 등의 위험으로부터 이용자를 보호하기 위해 이용자 안전을 위한 개인정보 활용이 필요할 수 있다.
또한 전통적인 의미의 전자상거래 서비스가 아닌 인공지능 기술을 활용한 종전에 없던 전혀 새로운 형태의 전자상거래 서비스를 제공할 수도 있다. 그런데 사업자들이 제공하는 다양한 유형의 서비스를 전통적인 하나의 유형의 전자상거래 서비스로만 보고 이를 기준으로 ‘계약의 이행’ 조항을 해석하게 된다면, 주문 및 배송 정보를 제품 판매 및 배송을 위해 활용하는 경우에만 ‘계약의 이행’에 근거하여 개인정보를 처리할 수 있을 뿐이다.
사업자가 그 외에 이용자에게 보다 안전하고 혜택이 제공되는 다양한 형태의 전자상거래 서비스 또는 종전에 없던 새로운 유형의 서비스를 제공하기 위해 개인정보를 이용하고자 하는 경우 ‘계약의 이행’을 위한 것이 아니므로 처리할 수 없다고 해석하게 된다. 결국 이러한 경우에 사업자가 기존 이용자로부터 동의를 받을 수 없다면 수집한 개인정보를 서비스 개선 등의 목적으로 이용할 수 없으며, 궁극적으로 이용자에게 보다 나은 서비스를 제공할 수 없으므로 이용자 후생이 감소할 수 있다.
정보주체의 예측 가능성 및 권리 보호 관점에서 보면, 사업자가 이용자와 체결하는 이용약관에 사업자의 의무로 기재했다는 사정만으로 사업자가 ‘계약의 이행’ 조항에 근거하여 개인정보를 처리할 수 있다고 볼 수는 없을 것이다. 그러나 인공지능 시대에 사업자가 이용자에게 제공하는 서비스의 내용 및 유형은 끊임 없이 변화 및 개선되고 있다는 점에서 전통적인 서비스의 개념에만 집착하여 계약의 의미를 해석하기 보다는 변화하는 서비스 등을 고려하여 보다 유연하게 계약의 의미를 해석해야만 2023년 개정된 ‘계약의 이행’ 조항은 개인정보처리 근거로서 실질적인 의미를 갖게 될 것이다.
한편, 개인정보처리자가 정보주체의 동의에만 의존하는 관행을 개선하고 ‘계약의 이행’을 근거로 활용하기 위해서는 어떠한 경우에 ‘계약의 이행’의 근거로 개인정보를 처리할 수 있는지 보다 명확한 기준을 사전에 제시할 필요가 있다. 사후적으로 규제기관의 처분이나 법원의 판결을 통해 ‘계약의 이행’이 개인정보처리 근거로서 인정 또는 부정되는 사례가 축적됨으로써 어느 정도 기준이 제시될 수 있을 것이나, 규제기관이 다양한 사례 등에 관한 사전 유권해석 등을 통해 ‘계약의 이행’이 그 근거로 사용될 수 있는 경우를 제시해야만 사업자들이 이를 근거로 활용하는 것이 가능할 것이다.
전세계적으로 인공지능 기술 및 서비스 개발을 위한 치열한 경쟁이 이루어지고 있다. 정보주체의 권리를 실질적으로 보장하면서도 인공지능 시대를 선도하는 국가로서 새로운 서비스 및 개발이 이루어질 수 있는 토대를 마련하기 위해, ‘계약의 이행’ 조항을 포함한 개인정보보호법 전반에 관한 재검토 및 관점의 전환이 필요한 때이다.
▶AI 대전환시대 공동 기획 칼럼 관련 시리즈
[기획 칼럼⑫] 인공지능 대전환에 따른 '개인정보 보호법'의 변화 필요성
[기획 칼럼⑪] AI 시대를 사는 정보주체의 개인정보 자기결정권
[기획 칼럼⑩] 아동·청소년의 권리 보호, 잊힐 권리의 보장으로부터
[기획 칼럼⑨] 고인의 사생활 vs 유족의 추억...법의 공백에 방치된 ‘디지털 유산’
[기획 칼럼⑧] AI 대전환과 개인정보 국외 이전, ‘신뢰 기반 체계 구축으로’
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- · 카카오톡: '더팩트제보' 검색
- · 이메일: jebo@tf.co.kr
- · 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
- · 네이버 메인 더팩트 구독하고 [특종보자→]
- · 그곳이 알고싶냐? [영상보기→]