개인정보 제3자 제공동의를 [필수]동의로 구현해도 될까?

 

개인정보에 대한 동의를 구현하는 경우는 주로 세 가지 입니다.

 

- 회원가입 시, 서비스 제공에 필요한 '개인정보 수집 및 이용에 대한 동의' (개인정보보호법 제15조1항)

- 광고성 정보/마케팅 활용을 위한 '광고성 정보 전송 동의' (개인정보보호법 제22조 4항)

- 서비스 제공과는 무관하지만 '제3자 제공 동의' (개인정보보호법 제17조 2항)

 

동의를 받는 건 다 같은건 아니야? 라고 생각할 수 있지만,

이 세 가지 유형은 서로 다른 법률 조항에 따라 동의를 구현해야 합니다.

 

 

---

 

 

2010년도만 해도 제3자 제공은 '제휴업체'에게 제공하기 위한 동의가 일반적이었지만, 

최근에는 기술의 발전, 사업의 다양성으로  제3자 제공의 유형이 다양해졌습니다.

 

1) 계정을 보유한 플랫폼사업자가 제공하는 oAuth 인증

- A사 : Google, Facebook, 네이버

- B사 : 'Google/Facebook/네이버 ID로 로그인'기능을 구현한 업체

 

2) 하나의 계정으로 그룹사 서비스 제공

- A사의 서비스가 B,C,D사로 분사하며 A사의 계정으로 분리된 B,C,D의 서비스를 이용하기 위한 목적

 

3) 플랫폼사업자와의 공동사업

- A사의 이용자가 A사의 플랫폼을 이용하여 B사의 서비스를 이용하는 경우

 

이용자는 B사의 이용자이지만, 기존 A사의 계정과 플랫폼을 기반으로 B사가 서비스를 제공합니다.

이 때 A사에서 '제3자(B사) 제공' 동의를 구현하는데

A사 입장에서는 B사의 서비스를 이용하기 위해서는 이용자가 '제3자 제공 동의'를 꼭 해야한다는 사실을 알리고 싶습니다.

물론 제3자 제공 동의를 하지 않아도 A사의 서비스 이용에는 무관하다는 것을 전제로 말이죠.

 

---

그런데 여기에서 조심스러운 부분이 있습니다.

 

이용자가 A사의 서비스 가입할 때 한 '개인정보 수집 및 이용에 대한 동의'는 서비스 제공에 꼭 필요한 동의로,

이용자 입장에서는 '필수 동의'입니다.

 

'제3자 제공'은 개인정보 처리목적이 제3자의 이익을 목적으로 하기 때문에 

제휴 관점에서만 보면 A사의 서비스 제공과 무관하므로 이용자의 입장에서 '선택 동의'로 구현됩니다.

 

그런데 위에서 언급한 세 가지 케이스 처럼 '제3자 제공동의'을 해야만 '서비스를 제공할 수 있는 경우'라면 어떻게 해야할까요?

 

혹자는 '서비스 제공 목적'이라면 '위탁'이라고 판단할 수도 있겠으나,

개인정보 제공 목적이 기존에 동의를 획득한 A사의 이익이 아닌, B사의 이익인 경우 '제3자 제공'임을 부정할 수 없을 것입니다.

 

개인정보 수집 동의 목적에 따른 제3자 제공이라면 [필수]로 표기해야 이용자들도 쉽게 인식할 수 있지 않을까요?

---

그래서 개인정보 제3자 제공 동의를 [필수]로 구현해도 될 지 근거를 찾아보았습니다.

 

 

[필수][선택]표기 의무는 서비스 제공을 위해 반드시 필요한 항목을 기준으로 함

우리는 '제3자 제공 동의'가 서비스 제공을 위해 반드시 필요한 것을 전제로 하고 있습니다.

'제3자 제공 시' 선택적으로 개인정보 항목을 추가하여 제공하는 것이 아니라,

꼭 필요한 개인정보만 제공한다면 [필수] 표기를 해도 무리는 없어 보입니다.

 

알기쉬운 개인정보 처리 동의 안내서 p36

 

서비스 제공에 필수적인 제3자 제공동의에 표기하는 [필수] 문구가 

어떤 이용자는 B사의 서비스를 이용하는 데에 필수적이겠구나 받아들일 수도 있고,

또 어떤 이용자는 정말 우려하는 것처럼 선택권을 저해하는 것처럼 받아들일 수도 있을테니까요.

 

저는 개인적으로 사회적관행에 따라 전자가 더 퍼센티지가 높을 것이라고 생각합니다.

 

 

서비스 제공 계약이행과 무관한 목적으로 개인정보 수집하는 경우, 선택항목으로 분류하여 별도의 동의획득 

- 이 근거에는 정보 '제3자 제공'이 '서비스 제공 계약과 유관하다'로 대응할 수 있습니다.

제3자 제공이 필수적인 경우, 동의여부를 함께 표시할 수 있음

이 경우는 '개인정보 수집 및 이용 동의'를 획득 할 때 '제3자 제공 동의'도 같이 동의하는 것에만 해당하는 것처럼 보이는데요.

 

제3자 제공에 [필수]를 표현할 수 없다면,

조금 더 유연성있게 이미 수집동의를 받은 이후에 제3자 제공동의 창에도 적용해봄 직 하다고 생각합니다.

 

그래도 제 3자 제공동의에 [필수]를 표기하는 것이 부담스럽다면...

 

정말 보수적으로 해석한다면,

알림창을 통해 '동의하지 않으면 서비스를 이용할 수 없음'을 알리고 재차 동의요청을 하는 방법이 있습니다. 

 

본 해석은 실무자가 분석한 내용으로 그 어떤 법적인 책임도 지지 않으며, 법적 근거가 되지 않습니다.
만일 관련기관 담당자, 유권해석, 유관 경험으로 관련기관에 대응해보신 분께서 본 해석이 적절하지 않다고 판단되는 경우에는 하단 댓글 '비밀글'로 남겨주시면 저에게도 귀중한 경험 공유가 될 것입니다.