본문 바로가기
privacy/국내

[privacy] '정당한 이익'으로 동의 없이 개인정보를 사용하기?

by ramo 2026. 4. 5.

개인정보보호법을 조금 들여다보면 꽤 빨리 이 조항과 마주치게 된다. 동의를 받지 않아도 되는 예외 사유 중에 "개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우"라는 게 있다. 처리자의 이익이 근거가 된다고? 뭔가 대놓고 처리자 편을 드는 조항처럼 읽혔다.

어디에 있는 조항인가

개인정보보호법 제15조 제1항은 개인정보를 수집·이용할 수 있는 법적 근거로 여러 사유를 열거하고 있는데, 그중 하나가 "개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우"이고, 이때 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. 조문을 짧게 줄이면 세 가지 요건이 붙는다. ① 정당한 이익이 존재할 것, ② 그 이익이 정보주체의 권리보다 명백하게 우선할 것, ③ 처리가 그 이익과 상당히 관련되고 합리적 범위를 벗어나지 않을 것.

'정당한 이익'이란 뭘까

이 조항에서 가장 먼저 걸리는 말은 역시 "정당한"이다. 이 근거를 주장하려면 개인정보처리자의 정당한 이익이 존재해야 하는데, 부당하거나 불법적인 이익은 제외된다. 예컨대 성차별을 하기 위한 것이나 이용자를 기망해서 재산상 이익을 얻기 위한 목적 등은 부당한 이익에 해당한다. 당연한 말 같지만, 이 경계가 생각보다 흐릿하다. "우리 마케팅에 도움이 되니까 정당한 이익"이라고 우길 수 있는 여지가 생기기 때문이다. 법령이 예시를 많이 주지 않는 이유가 아마 이 개념이 사안마다 달라지기 때문일 텐데, 그게 또 쓰는 쪽 입장에서는 해석의 폭이 된다.

'명백하게 우선'한다는 말의 함정

두 번째 요건인 "명백하게 정보주체의 권리보다 우선"한다는 표현도 헷갈린다. 처음에는 이걸 '압도적으로 우선'이라는 뜻으로 읽었다. 그런데 찾아보니 그렇지 않다. '정당한 이익이 정보주체의 권리보다 우선'한다는 상태가 명백해야 하는데, 명백하다는 것은 의심의 여지가 적거나 없다는 의미다. 여기서 주의할 것은, 이 상태가 명백하다는 것이 '정당한 이익이 정보주체의 권리보다 훨씬 더 크다'는 상태를 의미하는 것은 아니며, 명백성은 우월성을 의미하는 게 아니다. 즉 "압도적으로 크다"가 아니라 "우선한다는 게 분명하다"는 뜻이다. 묘하게 다르다. 비교형량의 결론이 명확해야 한다는 거지, 그 격차가 클 필요는 없다는 얘기다.

이 점은 EU GDPR의 'legitimate interests' 조항과 비교해볼 때 더 또렷해진다. 우리 개인정보보호법 제6호 사유는 조문 내용이 GDPR 조문과 다른 점이 있는데, 그것이 '명백성'과 '합리적 관련성'이다. GDPR은 이익 형량(balancing test)을 하되 '명백성'이라는 단어를 조문에 직접 박지 않는다. 한국 법은 그 기준을 조문에 명시적으로 강화해두고 있는 셈이다.

2023년 개정

한 가지 맥락을 짚어두면 좋을 것 같다. 현행법은 정보통신서비스 제공자의 개인정보 수집·이용의 법적 근거를 동의 외에 제한적으로만 인정하고 있었는데, 2023년 개정법에서 정보통신서비스 제공자에 대한 특례규정이 삭제되면서 "개인정보처리자의 정당한 이익" 조항을 활용할 가능성이 열렸다. 쉽게 말하면, 이전에는 포털이나 앱 서비스처럼 온라인에서 개인정보를 다루는 사업자가 이 조항을 쓸 수 없었는데, 2024년 3월 시행된 개정법 이후로는 이들도 이 근거를 검토할 수 있게 됐다는 뜻이다. 그만큼 이 조항의 실제 적용 범위가 넓어졌다.

입증책임은 처리자가 진다

이 조항을 방패처럼 쓰려는 쪽이 놓치지 말아야 할 게 있다. 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. '정당한 이익'이 있었다고 나중에 소명해야 하는 쪽이 처리자라는 얘기다. 분쟁이 생겼을 때 "정당한 이익이 있었고, 그게 정보주체의 권리보다 명백하게 우선했으며, 합리적인 범위를 넘지 않았다"는 걸 처리자가 직접 증명해야 한다. 막연하게 "우리 서비스 운영에 필요했다"는 식으로는 부족하다.

이 조항이 쓰일 수 있는 상황

개인적인 결론을 내리자면, 이 근거가 실제로 적용되는 상황은 꽤 좁다. 처리자 입장에서 이익이 실재하고, 그 이익이 부당하지 않으며, 해당 처리와 직접적인 관련이 있고, 정보주체의 권리를 명백하게 넘어선다는 판단이 모두 성립해야 한다. 보안 사고 조사나 사기 탐지처럼 정보주체의 이익과도 일정 부분 겹치는 영역, 혹은 처리자 측 이익이 구체적이고 긴박한 경우에는 설득력이 있다. 반면 단순히 광고 효율을 높이거나 데이터를 쌓아두고 싶은 경우는 이 근거를 세우기 어렵다.

이 조항이 "동의 우회 창구"가 될 수 있다는 우려는 이해하지만, 조문 구조상 그렇게 쉽게 쓸 수 있는 근거는 아니다. 오히려 요건을 제대로 따지지 않고 이 조항을 갖다 붙이면, 나중에 입증 부담이 고스란히 돌아온다. 그냥 동의를 받는 쪽이 훨씬 단순한 경우가 많다. 그래서 이 근거가 실용적으로 의미 있으려면, 동의를 받기 구조적으로 어렵거나 오히려 불필요한 상황임이 전제되어야 한다고 본다.