개인정보 활용 미동의땐 가입 차단·깨알 같은 글씨로 제공 대상 안내…“불법”

개인정보위, 가이드라인 발표
홍보 이용 20% 이상 큰 글자로
동의 않는다고 불이익 줘선 안돼
동의 받을 개인정보 최소한으로

개인정보보호위원회 제공

부동산 정보업체 ㄱ사는 온라인 회원을 받을 때 ‘마케팅 활용’을 명목으로 이메일 주소와 휴대전화 번호 같은 개인정보를 제공할 것을 요구한다. 개인정보 제공·활용 등에 동의하지 않으면 다음 가입 절차로 넘어가지 못한다. 개인정보 제공·활용에 동의하지 않으면 서비스를 이용할 수 없는 것이다. 온라인 쇼핑몰 ㄴ사는 콜센터 등 하청업체에 회원 연락처 등 개인정보를 제공한다. 하지만 누리집에 올라온 개인정보 관련 안내문에는 이런 내용이 깨알 같은 글씨로 적혀 있어, 회원들은 자신의 어떤 정보가 누구에게 넘어가는지 모른 채 가입하는 경우가 많다.

개인정보보호법은 두 회사의 이런 ‘개인정보 처리방침’을 모두 ‘위법’으로 본다. 개인정보 처리자는 개인정보 처리 관련 안내문에서 중요 항목의 글씨 크기를 키우는 등 가독성을 높여야 하고, 개인정보 처리방침에 동의하지 않는 고객에게도 서비스 이용에 불이익을 줘서는 안된다는 법 취지에 어긋나서다.

3일 개인정보보호위원회는 이런 내용을 정리한 ‘알기 쉬운 개인정보 처리 동의 안내서’와 ‘개인정보 처리방침 작성 지침’을 발표했다. 이들 가이드라인은 개인정보 처리자가 개인정보 처리 동의를 받을 때 준수해야 할 주요 사항으로 △개인정보의 최소 처리 △처리 주체의 명확한 표기 △부동의 시 불이익 부과 금지 등을 들었다.

우선 개인정보 처리자는 홍보·판촉 목적으로 개인정보를 활용하거나 생체정보 등 민감정보를 수집·처리할 경우 관련 내용을 다른 내용보다 20% 이상 큰 글자로 표기해 눈에 쉽게 띄게 해야 한다. 활용 동의는 개인정보 처리 필요성을 미리 예측해서 회원가입 시점 등에 포괄적으로 받아선 안되며, 필요할 때 최소한의 개인정보를 대상으로 동의를 받아야 한다. 동의하지 않는 고객에게도 재화·서비스 제공 거부 등 불이익을 줘서는 안 된다.

개인정보위는 개인정보 처리방침에 포함돼야 할 구체적인 내용도 제시했다. 개인정보 처리자는 고객 개인정보를 해외로 이전할 경우 어떤 개인정보가 어느 국가에, 어떤 목적으로 이전되는지 등을 명시해야 한다. 만 14살 미만 아동의 개인정보를 처리할 때는 법정대리인의 동의 방법을 구체적으로 안내해야 한다. 이밖에도 개인정보위는 긴급상황 발생 시 처리되는 개인정보와 근거 법령, 개인정보 보호인증 등 안전성 확보 조처 여부 등을 표기하게끔 했다.

이번 가이드라인은 상당수 시민들이 동의서·안내문을 제대로 읽지 않은 채 개인정보 활용에 동의하는 것으로 확인되면서 마련됐다. 지난해 개인정보위의 설문조사 결과 ‘개인정보 처리 동의서를 확인한다’고 밝힌 응답은 66.1%에 그쳤다. 개인정보 처리자가 동의서를 ‘날림’으로 만들어 정보 주체가 내용을 제대로 파악할 수 없는 경우도 많았다.

윤종인 개인정보보호위원장은 보도자료를 통해 “개인정보 안심 사회를 구현하기 위해 기업들의 자발적인 관심과 협조를 당부한다. 개인정보위도 (개인정보 처리) 동의를 실질화하고 정보 주체의 신뢰를 제고하기 위해 노력하겠다”고 밝혔다.

천호성 기자 rieux@hani.co.kr