개인정보보호법상 ‘동의’와 ‘동의 방식’에 대한 再考, - AI와 빅데이터 시대의 개인정보 동의의 한계와 제도의 방향성을 중심으로-
Reconsideration of ‘Consent’ and ‘Methods of Consent’ under the Personal Information Protection Act- Focusing on the Limitations of Consent in the Era of AI and Big Data and the Direction of Institutional Development-
김현수(김현수ㅣ부산대학교 법학전문대학원)
55권 3호, 59~90쪽
초록
종래 정보주체의 개인정보에 대한 동의는 오랫동안 개인정보 자기결정권을 실현하는 핵심 수단이자개인정보 처리의 가장 중요한 합법화 근거로 인식되어 왔다. 따라서 동의 제도의 한계를 극복하고정보주체의 실질적 동의를 확보하기 위한 논의가 지속적으로 이루어졌다. 2024년 9월부터 시행된개인정보보호법 시행령 제17조 제1항에서는 동의 방식에 관한 구체적인 기준이 명시적으로 규정되었다. 현행법상 동의 방식은 입법취지 및 목적과는 달리 동의의 실질성을 충족시키기에는 많은 한계를 가지고있으며, 데이터 중심의 인공지능 시대에서는 현행법상 동의 제도에 대한 규범적 인식의 전환이 필요하다. 현행 동의 제도의 개선 또는 규범적 인식의 전환을 모색하기 위해서는 다음과 같은 점들을 고려할필요가 있다. 첫째, 개인정보 보호의 맥락을 반영하여 동의의 정의를 내용적 측면과 형식적 측면을포괄하는 방식으로 명확히 규정할 필요가 있다. 동시에, 개인정보보호법에 산재한 동의 방식에 관한규정을 체계화하고 계층적으로 재편하여, 규제 대상자의 이해도를 높이는 방안을 마련해야 한다. 둘째, 정보주체의 권리를 보호하면서도 개인정보처리자의 부담을 완화하고, 합법적인 개인정보 처리를 유도하기위해 동의 방식의 위반 중 다크 패턴을 이용한 동의는 동의 불비로 간주하는 것이 적절하다. 셋째, 개인정보 처리 과정에서 정보주체의 동의가 가지는 제한된 중요성을 고려할 때, 개인정보 처리의 합법화근거를 개인정보 자기결정권에서만 찾는 관점은 재고할 필요가 있다. 이러한 관점의 전환을 통해 보다현실적이고 효과적인 접근법을 마련해야 한다. 넷째, 정보주체의 실질적 동의가 형식화될 가능성을전제로, 개인정보 처리의 근거로서 동의 외에 다른 합법화 근거를 적극적으로 활용할 수 있도록 사전동의필수화 관행을 개선해야 한다. 아울러, 개인정보 처리로 인해 정보주체에게 발생할 수 있는 위험의 정도에따라 동의 획득 방식에 차등을 두는 방안을 검토할 필요가 있다.
Abstract
Traditionally, consent from data subjects has been recognized as the key means of realizing personal data self-determination and the most important legal basis for the processing of personal data. As a result, discussions have continuously been held to overcome the limitations of the consent system and secure meaningful consent from data subjects. Article 17(1) of the Enforcement Decree, effective from September 2024, explicitly sets forth specific standards for the method of consent. However, the current legal framework for consent, contrary to its legislative intent and goals, has significant limitations in fulfilling the substantive requirements of consent. Moreover, in the era of data-driven artificial intelligence, a shift in the normative understanding of the existing consent system is necessary. To improve the current consent system or reconsider its normative framework, the following points should be taken into account: First, the definition of consent should be clearly articulated, incorporating both its substantive and formal aspects while reflecting the context of personal data protection. Simultaneously, provisions on consent scattered throughout the Personal Information Protection Act should be systematically organized and restructured hierarchically to improve understanding among regulated parties. Second, to protect the rights of data subjects while alleviating the economic burden on data processors and encouraging lawful data processing, it is appropriate to treat consent obtained through dark patterns as non-consensual. Third, considering the limited significance of consent in the personal data processing process, the view that the legality of data processing is solely based on the data subject’self-determination right should be reconsidered. This shift in perspective is necessary to develop a more realistic and effective approach. Fourth, in light of the possibility that meaningful consent could become formalized, the practice of mandatory pre-consent should be improved, allowing for the active use of other lawful bases for processing personal data apart from consent. Additionally, differentiated methods of obtaining consent should be explored based on the level of risk to the data subject arising from the processing of personal data.
- 발행기관:
- 한국소비자원
- 분류:
- 사회과학일반