법무법인 세종과 개인정보전문가협회(KAPP)가 데이터 3법 개정에 따른 본격적인 마이데이터 시대를 준비하기 위한 '마이데이터 컨퍼런스 2021'을 5월 13일 공동 개최했다. 금융 마이데이터 세션과 의료 마이데이터 세션으로 나눠 유튜브로 생중계되며 온라인 세미나 형태로 진행된 컨퍼런스에서 황현일, 박규홍 변호사가 발표한 내용을 순서대로 요약해 싣는다.
신용정보의 이용 및 보호에 관한 법률(이하 "신용정보법")은 정보의 수집 · 이용, 제3자 제공, 전송요구권의 행사 등에 있어 모두 정보주체의 동의를 기본 요건으로 하고 있다. 이러한 동의는 정보의 활용이 이루어지기 전에 '사전적'으로 이루어져야 하고, 묵시적이 아닌 '명시적' 동의를 요하며, 각각의 동의사항을 나누어 정보주체가 이를 명확하게 인지할 수 있도록 '구분'하여 동의를 받아야 한다. 그러나 사업자들이 정보주체에게 제시하는 동의서가 더 길고 복잡해질수록 정보주체의 동의가 형식적으로 이루어지는 '동의규제의 역설'이 발생하고 있다. 개인정보보호위원회와 행정안전부의 2019년 개인정보보호 실태조사 결과에 따르면, 전체 응답자 중 59.8%가 '동의서를 확인하지 않는다'고 답변하였고, 그 이유로는 '확인하는 것이 귀찮고 번거로우며, 내용이 많고 이해하기 어렵다'는 답변이 주를 이루었다.
59.8% '동의서 확인 안 해'
전송요구권의 도입을 통하여 정보주체의 보다 적극적이고 능동적인 권리행사가 가능해졌는바, 신용정보법상 동의규제가 개인정보 자기결정권의 핵심적 구현수단으로서 '알고하는 동의(informed consent)'가 이루어질 수 있도록 하기 위한 신용정보법의 규정을 검토하고 개선방안을 살피고자 한다.
은행, 보험회사, 여신전문금융회사 등 대통령령으로 정하는 신용정보제공 · 이용자는 1)보다 쉬운 용어나 단순하고 시청각적인 전달 수단 등을 사용하여 신용정보주체가 정보활용 동의 사항을 이해할 수 있도록 해야 하고, 2)정보활용 동의 사항과 금융거래 등 상거래관계의 설정 및 유지 등에 관한 사항이 명확하게 구분되도록 해야 하며, 3)선택적 동의 사항에 관해서는 정보를 활용하는 신용정보회사등이나 정보활용의 목적별로 정보활용 동의 사항을 구분하여 신용정보주체가 개별적으로 해당 동의를 할 수 있도록 해야 한다(신용정보법 제34조의2 제2항). 이는 1mm 크기의 작은 글씨로 개인정보제공 동의를 받아 정보를 수집한 사건(이 사건은 부정한 수단이나 방법으로 개인정보를 취득하고 그 처리에 관한 동의를 받은 것으로 인정되었다. 대법원 2017. 4. 7. 선고 2016도13263 판결)과 같이 정보주체에게 동의내용을 제대로 밝히지 아니하고 동의를 취득하는 행위를 금지하고자 한 것이다.
특히 정보에 관한 동의획득수단이 지류와 PC 모니터를 거쳐 스마트폰으로 변화하고 있는데, 스마트폰의 디스플레이는 상대적으로 1회에 전달할 수 있는 정보의 양이 제한된다는 점에서 동의서에 관한 시각적 접근성을 강조할 필요가 있다. 나아가 어려운 법률용어가 그대로 사용되거나, 사업자의 편의에 따라 특정 업계에서만 활용되는 용어가 사용되지 않도록, 쉬운 용어를 활용한 동의양식을 개발하고 보급할 필요가 있다고 생각된다.
요약 동의서의 활용
은행, 보험회사, 여신전문금융회사 등 대통령령으로 정하는 신용정보제공 · 이용자는 고지사항 중 일부를 생략하거나 중요한 사항만을 발췌하여 정보주체에게 알리고 정보활용 동의를 받을 수 있으나, 개인인 신용정보주체가 고지사항 전부를 알려줄 것을 요청한 경우에는 전부를 알려주어야 한다(신용정보법 제34조의2 제4항). 이는 자본시장법상 집합투자증권에 대한 청약권유 시 고객이 투자설명서를 별도로 요청하지 않는 경우 간이투자설명서로 투자설명서를 갈음할 수 있게 하되, 고객에게 투자설명서를 별도로 요청할 수 있다는 사실을 알리도록 한 제도와 유사한 맥락에서, 요약 동의서의 활용을 허용하는 것이다. 동의서에 지나치게 상세한 내용을 기재하는 경우, 정보주체는 오히려 이를 읽고 이해하는 것을 단념하고 서비스를 이용하기 위하여 정보활용에 동의하는 경향이 있다는 점에서 요약 동의서의 활용은 정보주체의 확인부담을 줄이고 알고하는 동의가 이루어질 수 있도록 하는데 크게 기여할 수 있을 것이다.
나아가 정보주체가 별도의 요청을 통하여 모든 고지사항을 받을 수 있도록 하는 것을 넘어서, 사업자에게 정보활용 동의서에 관하여 질의하고 상담할 수 있는 창구를 의무화하여 정보주체가 요약 동의서나 동의서를 통해서 정확히 이해하기 어려운 사항에 대해서는 사업자를 통해 안내받을 수 있도록 하는 방안을 검토해볼 필요가 있다. 현재는 정보주체가 동의서의 내용이 이해하기 어려워 동의여부를 판단하기 어려운 경우에도, 사업자에게 이를 문의할 수 있는 창구가 없는 경우가 대부분이기 때문이다.
은행, 보험회사, 여신전문금융회사 등 대통령령으로 정하는 신용정보제공 · 이용자는 금융위원회가 평가한 등급("정보활용 동의등급")을 신용정보주체에게 알리고 정보활용 동의를 받아야 한다(신용정보법 제34조의3 제1항). 금융위원회는 정보활용에 따른 사생활의 비밀과 자유를 침해할 위험에 관한 사항, 정보활용에 따라 신용정보주체가 받게 되는 이익이나 혜택, 보다 쉬운 용어나 단순하고 시청각적인 전달수단 등을 사용하여 신용정보주체가 정보활용 동의 사항을 이해할 수 있도록 하였는지 여부, 정보활용 동의 사항과 금융거래 등 상거래관계의 설정 및 유지 등에 관한 사항이 명확하게 구분되도록 하였는지 여부 등을 고려하여 정보활용 동의등급을 부여하여야 한다(신용정보법 제34조의3 제2항).
금융위원회는 '가전제품의 에너지효율표를 벤치마킹한 것'이라고 밝힌 바 있으며, 실질적으로는 정보활용 동의등급의 부여 · 취소 · 변경에 관한 권한을 종합신용정보집중기관인 한국신용정보원에 위탁하였다. 이는 정보활용 동의에 있어 정보주체가 부담하게 되는 위험 등을 직관적으로 전달할 수 있는 수단이 될 것이라고 보이며, 사업자들이 불필요한 정보수집을 최소화하는 것을 유도할 수 있는 장점도 있을 것으로 보인다.
다만, 금융위원회가 벤치마킹대상으로 밝힌 에너지효율표와 달리 정보활용 동의등급은 평가에 있어 주관이 개입이 될 여지가 있으므로 객관적인 심사기준을 수립하여 공개하고, 지나치게 엄격하거나 지나치게 관대한 심사가 되지 않도록 유의할 필요가 있을 것이다. 나아가 평가권한을 한국신용정보원에 위탁하여 자율적인 규제를 도모하는 취지를 살려, 사업자들의 피드백을 받고 이를 검토할 수 있는 절차를 운영할 필요가 있다.
알고하는 전송요구권의 행사
앞서 살펴본 정보활용의 동의에 관한 원칙에 관한 규정(개인신용정보법 제34조의2)은 마이데이터업의 핵심이라고 할 수 있는 개인신용정보 전송요구권에는 직접 적용되지 아니한다. 전송요구권은 정보주체의 수동적인 정보활용 동의라기보다는 보다 적극적인 자기결정권의 행사라는 점에서 구분되나, 현실적으로는 많은 사업자들이 정보주체에게 전송요구권의 행사를 유도하고 권장하는 프로모션을 펼칠 것으로 예상되는바 사업자가 미리 마련한 서식에 동의하는 방식으로 전송요구권이 행사될 가능성이 크다. 이러한 점을 감안하여 금융위원회가 발표한 「마이데이터 서비스 가이드라인」은 '알고하는 동의 및 전송요구'라는 표제 하에 앞서 정보활용의 동의에 관한 원칙들이 전송요구권의 행사에 있어서도 적용되어야 한다는 입장을 밝힌 것은 상당히 고무적이다. 전송요구권 행사에 따른 효과와 위험을 정보주체에게 충분히 알리고 동의를 받도록 하는 것은 아무리 강조해도 지나치지 않다고 할 것이다.
황현일 변호사(법무법인 세종, hihwang@shinkim.com)