“우리가 다 동의해줬지 않느냐” 라구요?

개인정보와 관련해서 “동의”가 실제로 어떻게 사용되는를 가장 분명하게 보여준 사건이 바로 현오석 부총리 겸 기획재정부 장관의 “우리가 다 동의해줬지 않느냐”라는 발언(“방언”처럼 들릴 수도 있겠지만) 이다. 물론, 현오석 부총리의 말은,

  • 회원 가입 단계에서 동의를 표시하지 않으면 아예 가입절차가 진행되지 않으므로, 동의가 강제되는 경우가 대부분이라는 사실
  • 어떤 경우에도 개인정보를 이런식으로 뒷구멍으로 빼돌려서 유출/유용하는데 유저가 동의한 적은 없다는 사실

등을 전혀 이해하지 못한 완벽한 X소리에 불과하지만, 유저의 “동의”라는 개념이 현실세계에서 사업자에 의하여 어떤식으로 동원되는지를 적나라하게 보여주고 있다.

세상물정도 모르고, 컴퓨터나 인터넷 기반의 서비스가 실제로 어떻게 돌아가는지는 더더욱 모르는 법률가들이 만들어낸 개념이 바로 “정보주체의 동의”라고 생각한다. 법률가들의 사고방식은 이렇다:

  1. “나의 개인정보는 내가 통제할 수 있어야 한다”는 일견 흠잡을데 없는 명제에서 출발해서,
  2. “개인정보 수집, 이용에는 정보주체(즉, 고객본인)의 동의가 필요하다”는 결론을 내리고,
  3. 동의 없이 개인정보를 사용하는 사업자를 처벌하면 개인정보가 잘 보호될 것이라고 기대하는 것이다.

이것이 법률가들의 탁상공론으로 생겨난 현행 개인정보 “보호” 체제이다. 바로 이 체제가 “호갱님”을 양산하는 것이다. 그 이유는 이렇다.

사업자는 고객의 동의를 억지로 받아낼 뿐 아니라, 사업자들이 그짓을 하도록 정부가 강제하고 있다. 아래 그림 중 붉게 표시한 내용을 보시기 바란다.
Samsunglife

“동의를 거부할 권리가 있습니다. 다만 거부시 해당 서비스 이용이 불가능합니다”라는 말장난 같기도 하고, 약올리는 것도 같은 이런 내용을 이 사업자는 일일이 웹페이지에 적어두었다. 하지만, 그런 내용을 차마 적지 못하고 있는 다른 사업자들도 실은 똑 같은 짓을 한다. “동의( )”라고 된 곳에 체크하지 않고 진행하면, “서비스 이용하시려면 동의해야 합니다”라는 안내창을 띄우면서 동의를 강요한다. 해당 서비스를 제공하기 위해서는 어쩔 수 없는 필수사항일지라도 반드시 “동의”를 받아내라고 정부가 강제하기 때문이다.

“동의( )” 체크박스에 클릭하는 것을 잊어버리고 “계속”을 눌렀다가, 그때까지 열심히 입력한 내용까지 모조리 날리고 “빠꾸”당하는 끔찍한 경험… 모두들 한두번씩은 당했을 것이다. 그래서, 어쩔 수 없이 “동의( )”에 체크하고 진행하게 된다. 이게 과연 개인정보 수집/이용에 관한 ‘동의’인가? 동의하지 않을 가능성이 아예 박탈된 동의는, 동의가 아니다. 이때의 “동의”는 해당 서비스를 이용하겠다는 뜻일 뿐이지, 깨알같이 적혀있는 개인정보 수집, 이용 약관에 대한 동의가 결코 아니다.

(법률적으로 좀 어렵게 이야기 하자면, “약관에 대한 동의”라는 개념은 계약법적으로는 아무 효력도 없는 개념이다. ‘약관’은 원래부터 당사자의 ‘동의’와는 무관한 제도이다. 동의했다고 해서 약관에 적힌대로 효력이 인정되는 것도 아니고, 약관에 동의 안했다는 이유로 약관의 효력이 부인당하는 것도 아니다. 하지만, “약관 동의”라는 것을 받아두면, 비록 그것이 계약법적으로는 아무 효력도 의미도 없지만 그런 법률 지식이 없는 다수의 일반소비자들을 상대로 현오석 부총리 같은 자가 나서서 “당신들이 다 동의했지 않느냐”면서 윽박지르는 파렴치한 짓을 하기에는 딱 좋은 상황이 되는 것이다.)

개인정보 이용 및 보호와 관련된 현행 제도는 “약관 동의”라는 기만적이고, 계약법적으로 아무 효력도 없는 개념에 의존하고 있다. 무엇보다도 현 제도는 정보주체에게 실효성 있는 “보호”를 전혀 제공하지 못할 뿐 아니라, 오히려 사업자가 고객에게 “당신이 다 동의했지 않느냐”는 억지 주장을 내세울 빌미를 제공할 뿐이다.

개인정보 보호제도는 다음과 같은 방향으로 개선될 필요가 있다.

첫째, 해당 서비스 제공에 필수 불가결한 범위의 개인정보 이용에 대해서는 ‘동의’를 요구해서는 안된다. 그 대신 다음과 같은 ‘설명’ 의무를 사업자에게 선별적으로 부과할 필요가 있다.

  • 해당 서비스 제공을 위해 불가피하고, 평균적 이용자가 명백히 예상할 수 있는 범위 내의 개인정보 이용이라면 별도로 설명할 필요가 없다. 예를 들어, “유저의 개인정보가 유출되었는지 확인해주는 서비스”를 제공하기 위해서 성명, 생년월일 등을 유저로부터 입력받을 경우 그 정보가 오로지 그자의 개인정보 유출여부를 확인하고 알려주는데에만 사용된다면, 이점을 별도로 설명할 필요가 없다.
  • 해당 서비스 제공을 위해 불가피하지만, 평균적 이용자가 명백히 예상할 수 없는 범위의 개인정보 이용이 필요할 경우라면, 이점은 반드시 별도로 설명해야 한다.

요컨대, 해당 서비스 제공을 위해 불가피한 개인정보 이용에 대해서는 유저의 ‘동의’가 필요한 것이 아니라, 유저가 이해할 수 있을 정도로 사업자가 별도로 ‘설명’하는 것이 필요하다(유저가 예상할 수 있는 내용이 아닐 경우).

둘째, 해당 서비스 제공에 필수적이지 않은 개인정보 이용에 대해서만 유저가 동의 여부를 표시할 수 있도록 하되, 이 경우 사업자는 “동의는 필수가 아니다”라는 점을 반드시 안내해야 한다. 요컨대, “동의( )” 체크 박스는 유저가 동의를 거부할 수 있을 때에만 제시되어야 한다. 이렇게 해야, “동의( )”라는 체크 박스는 체크 안해도 되는 박스라는 인식이 유저들에게 자리할 수 있게 된다.

해당 서비스 제공을 위해 불가피한 부분이라서 동의하지 않을 수 없는 내용에 대해서까지 “동의( )” 체크 박스를 남발해 온 지난 몇년간의 국내 관행은 유저들에게 “동의( )”라는 체크 박스는 반드시 체크 해야만 하는 박스라는 인식을 심어주었다. 이 상황은 개인정보 보호와는 거리가 멀어도 한참 먼 것이다. 이런 상황을 앞장서서 만들어 낸 규제당국은 사업자들이 유저들로부터 무차별적인 ‘동의’를 쉽게(기계적이고 습관적으로) 받아낼 수 있도록 거들어준 셈이다.

‘약관 동의’라는 기만적이고 사업자 편의주의적 개념에 근거해서 운용되는 현행 법제도는 고객을 호갱으로 만드는데 일조할 뿐, 개인정보 보호와는 거리가 멀다는 사실은 현오석 부총리의 발언으로 충분히 입증되었다. 이 사건을 계기로 개인정보 보호법이 조속히 개정되기를 바란다.

길게 적었지만, 한마디로 요약하자면 이런 것이다: 사업자가 “동의 안해도 됩니다”라고 분명히 안내했고 실제로 동의 안해도 되는데 내가 동의했다면 현오석의 뻔뻔한 발언이 덜 억울할 것 아니겠는가?

오픈넷

Print Friendly, PDF & Email