본문 바로가기
privacy/국내

[privacy] 동의서에 저렇게까지 써야 하나 싶었던 문구들

by ramo 2026. 5. 8.

어떤 서비스에 가입하거나 이벤트에 참여할 때 나오는 개인정보 수집 동의서, 다들 끝까지 읽어보는 편인가. 솔직히 나는 거의 안 읽는다. 텍스트가 너무 많고, 글씨는 작고, 뭔가 법조문을 그대로 옮겨놓은 것 같아서 눈이 금방 미끄러진다. 그런데 이 주제를 좀 정리해보니, 문제는 읽기 싫은 게 아니라 애초에 쓰지 않아도 됐을 내용들이 너무 많이 들어가 있다는 데 있었다.

동의서를 쓸 때 법적으로 꼭 들어가야 하는 항목은 생각보다 간결하다. 수집 항목, 수집 목적, 보유 및 이용 기간, 그리고 동의 거부에 대한 권리와 불이익. 이 네 가지가 핵심이다. 이게 다다. 그런데 현실에서 접하는 동의서들은 거기서 훨씬 더 나아간다. 보안 조치 설명, 위수탁 업체 목록, 처리방침 전문 수준의 분량… 도대체 어디서부터 불필요해지는 걸까, 한번 짚어보고 싶었다.

동의서와 처리방침을 헷갈리는 것부터가 문제

가장 흔한 혼동이 여기에 있다. 개인정보를 수집할 때는 개인정보처리방침이 아닌 개인정보 수집·이용 동의서에 명시적 동의를 받아야 한다. 즉, 처리방침과 동의서 둘 다 필요하다는 뜻이다. 그런데 반대로, 동의서 안에 처리방침 수준의 내용을 모조리 욱여넣는 경우도 많다. 개인정보처리방침은 고객의 개인정보에 대한 권리를 보장하기 위하여 다양한 목적으로 수집한 개인정보를 어떻게 이용하고 보호할 것인지 규정한 문서다. 쉽게 말해 처리방침은 회사가 개인정보를 전반적으로 어떻게 다루는지 설명하는 문서고, 동의서는 지금 이 순간 특정 목적으로 수집하는 것에 동의를 받는 도구다. 역할이 다르다.

동의서에 굳이 쓰지 않아도 되는 것들이 쌓이는 이유 중 하나가 이 혼동이다. 처리방침에 들어갈 내용까지 동의서에 넣으면서 분량이 불어난다. 읽는 사람 입장에서는 그냥 다 비슷한 개인정보 관련 문서처럼 보이고, 결국 아무것도 안 읽게 된다.

"등"이라고 모호하게 쓰는 것, 그것도 문제

내용이 많은 것도 문제지만, 반대로 내용이 있어야 할 곳에 모호하게 쓰는 것도 별개의 문제다. 수집 항목을 "이름, 연락처 "이라고 적는 경우가 대표적이다. 수집 항목의 경우에는 꼭 수집해야 하는 항목만을 정확하게 명시해야 한다. 이름과 휴대폰 전화번호만 수집한다면 '등'이 아니라 해당 항목만을 언급해야 한다. 그러니까 '등'을 쓰면 실제로는 줄어드는 게 아니라, 오히려 불명확하다는 이유로 잘못된 기재가 된다. 많이 쓴다고 안전한 게 아니고, 적게 쓴다고 위험한 게 아니다. 명확하게 쓰는 것이 핵심이다.

수집 목적도 마찬가지다. 개인정보를 왜 수집하는지 목적을 구체적으로 적어야 한다. 여러 가지 내용을 한 문장 안에 두루뭉술하게 적거나 '기타 등등'이라고 하면 안 된다. 수집 목적이 다를 때는 구분해서 따로 명시해야 한다. 모호하게 길게 쓰는 것보다 짧고 명확하게 쓰는 편이 법적으로도, 읽는 사람 입장에서도 낫다.

포괄 동의, '혹시 몰라서' 넣는 항목들

동의서에 불필요한 내용이 쌓이는 또 다른 이유는 미래를 대비해 한꺼번에 받으려는 관행이다. 나중에 쓸 수도 있으니 지금 넣어두자는 식이다. 그런데 이건 명백히 잘못된 접근이다. 개인정보처리자는 개인정보 처리 필요성을 예측하여 동의를 포괄적으로 미리 받지 말고, 필요한 시점에 필요한 최소한의 개인정보 처리에 대해서만 동의를 받아 처리하여야 한다. 개인정보보호위원회가 안내서에서 명시한 내용이다. '혹시 몰라서' 넣은 문구들은 적법한 동의로 인정받기 어렵다는 뜻이기도 하다.

그간 개인정보처리자의 과도한 동의요구 관행과 동의의 형식화로 그 실효성에 대한 의문이 지속적으로 제기되어 왔다. 이게 단순히 불편한 문제가 아니라, 동의 자체를 형식으로 만들어버리는 구조적 문제라는 인식이 생긴 것이다. 길고 복잡한 동의서는 읽히지 않고, 읽히지 않는 동의서는 진짜 동의가 아니다.

마케팅 수신 동의도 자주 헷갈리는 지점이다. 서비스 가입 시 '개인정보 수집·이용 동의'만 받고 마케팅 목적 활용에 대한 별도 동의를 받지 않은 채 광고 문자를 발송한 경우, 불만을 느낀 고객들이 개인정보보호위원회에 신고하고 조사를 받게 된 사례가 있다. 마케팅 목적으로 개인정보를 이용하려면 반드시 별도의 동의를 받아야 한다. 즉, 동의서에 마케팅 내용까지 뭉뚱그려 넣는다고 해결되는 게 아니라, 별도 항목으로 분리해야 한다는 뜻이다. 오히려 한데 묶으면 최대 1천만 원의 과태료가 부과될 수 있다.

짧을수록 좋다!

동의서는 처리방침이 아니고, 미래 대비 포괄 동의 창구도 아니다. 지금, 이 목적으로, 이 항목을 수집한다는 것을 정확하게 고지하고, 거부할 수 있다는 것을 알려주는 문서다. 그 이상은 처리방침에 담고, 링크로 연결하면 충분하다.

개인적으로는 동의서가 짧아질수록 오히려 더 신뢰가 간다고 생각한다. 긴 동의서는 읽지 않게 만들고, 읽지 않는 동의서는 사실상 아무 의미가 없다. 꼭 필요한 말만 담는 것, 그게 동의서의 본래 역할에 가장 충실한 형태다.