어느 서비스를 가입할 때 동의 화면을 보면, 거의 예외 없이 '필수'와 '선택'이라는 두 칸이 나온다. 직관적으로는 구분이 명확해 보인다. 서비스를 쓰려면 꼭 줘야 하는 게 필수, 안 줘도 되는 게 선택. 그런데 막상 이 기준이 어디서 오는지 파고들면 생각보다 명확하지 않다. 그게 이번에 정리하고 싶었던 지점이다.
법이 말하는 것과 말하지 않는 것
개인정보보호법은 동의를 받을 때 사항을 구분해서 각각 받으라고 규정한다. 개인정보처리자는 동의를 받을 때 계약 체결 등을 위해 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분해야 하고, 동의 없이 처리할 수 있다는 입증책임은 개인정보처리자가 진다. 그리고 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화나 서비스 제공을 거부해서는 안 된다.
여기까지는 그래도 윤곽이 잡힌다. 문제는 '어떤 항목이 필수이고 어떤 항목이 선택인지'를 법이 직접 리스트로 정해주지 않는다는 데 있다. 정보주체의 자유로운 의사를 제약하는지 여부는 서비스의 특성, 동의를 요구하는 상황 등 구체적인 사실관계를 고려해 개별적 판단이 필요하다. 결국 처리자 스스로 판단해야 하는데, 그 판단의 근거가 되는 기준이 추상적이라는 게 핵심 문제다.
2023년 법 개정이 만들어낸 혼란
사실 이 혼란은 2023년 개인정보보호법 개정 이후 더 복잡해졌다. 2023년 9월 개정으로 계약 이행 등이 필요한 경우 정보주체의 동의 없이 개인정보를 수집·이용할 수 있게 됐다. 즉, 서비스 이용 계약을 이행하는 데 진짜로 필요한 정보라면, 그건 애초에 '필수 동의'를 받을 필요조차 없는 영역이 됐다는 말이다.
서비스 이용계약을 이행하기 위해 필요한 개인정보는 정보주체와의 신뢰에 기반해 동의 없이 수집해 이용할 수 있으나, 계약 이행 등과 관련 없는 개인정보를 수집·이용하려는 경우에는 정보주체가 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 조치해야 한다. 개인정보보호위원회는 2023년 법 개정이 당사자 간 계약에 수반되는 개인정보에 대한 형식적인 필수동의는 없애는 대신, 동의가 필요한 영역에서는 알고 동의하는 문화를 정착시키기 위한 취지였다고 언급했다.
그런데 이게 현장에서 쉽게 소화될 리 없다. 오랫동안 "필수 동의 = 서비스 제공에 필요한 항목"이라는 관행이 굳어져 있었고, 현장에서 계약 이행 등에 필요한 개인정보에 대한 필수 동의가 오랫동안 유지되어 왔고, 정보주체도 이러한 관행에 익숙하다. 법의 논리는 바뀌었지만, 이미 수년간 쌓인 관행은 하루아침에 바뀌지 않는다.
'계약 이행에 필요하냐'는 질문이 왜 어려운가
새 기준의 핵심 질문은 결국 "이 정보가 서비스 제공(계약 이행)에 정말 필요한가?"다. 배달 서비스라면 배송지 주소는 명백히 필요하다. 그런데 생년월일은? 연령 확인이 필요한 서비스라면 필요할 수 있다. 성별은? 맞춤 추천에 쓰겠다고 하면 선택이겠지만, 의료 서비스라면 필수일 수도 있다. 서비스의 성격에 따라 답이 달라지는 데다, 무엇을 '계약 이행에 필요하다'고 볼지에 대한 판단 기준이 아직 넉넉하게 쌓인 상태가 아니다.
개인정보 처리 체계가 전면적으로 개편됨에 따라 현장에서 이를 보다 쉽게 이해하고 적용할 수 있도록 개인정보보호위원회는 「개인정보 처리 통합 안내서(안)」를 2024년 12월에 마련해 공개했으며, 현재 이해관계자와 국민들의 다양한 의견을 수렴하는 절차를 진행 중이다. 안내서가 확정되기 전까지는, 처리자 입장에서 판단의 근거가 되는 공식 문서 자체가 '안(案)' 상태라는 뜻이다. 기준이 없는 게 아니라, 기준이 만들어지는 중인 셈이다.
마케팅 동의는 선택인데, 정말 선택인가
그나마 비교적 명확한 쪽은 마케팅 활용 동의다. 마케팅 활용 동의는 선택적으로 받을 수 있는 사항으로, 서비스 제공을 위한 필수 동의 사항과 구분해 별도로 동의를 받아야 한다. 그런데 실제 동의 화면을 보면, 선택 동의 항목에 체크하지 않으면 회원가입 자체가 막히거나 특정 기능에서 명시적으로 불이익이 발생하는 방식으로 설계된 경우가 아직 많다. 법은 선택이라고 하는데, 설계는 사실상 필수처럼 운영되는 것이다.
제3자 제공도 비슷한 맥락에서 헷갈린다. 개인정보를 수집 목적 범위에서 제3자에게 제공하는 경우에는 계약 이행이 곤란하다면 필수 동의를 요구할 수 있지만, 수집 목적의 범위를 초과해 제3자에게 제공하는 경우에는 별도의 선택 동의를 받아야 한다. '목적 범위 내'와 '목적 범위 초과'의 경계도, 막상 구체적인 상황에 적용하면 쉽게 떨어지지 않는다.
그래서 지금 어떤 상태인가
개인적으로는, 이 문제가 법 조문의 부재보다는 '판단 기준의 구체성 부재'에서 비롯된다고 본다. 필수와 선택을 나누라는 원칙 자체는 있다. 동의를 남용하지 말라는 방향성도 있다. 그런데 '이 서비스에서 이 항목이 계약 이행에 필요한가'를 판단하는 구체적 기준은, 아직 안내서가 확정되지 않은 상태에서 처리자 각자의 해석에 크게 달려 있다.
지난해 9월 개인정보 필수동의 관행이 개선됨에 따라 서비스 이용 등 계약과 관련해 필요한 개인정보를 수집·이용할 때는 동의를 요구할 필요가 없게 됐으며, 개정된 처리방침 작성지침에서는 동의 없이 처리 가능한 항목과 명시적 동의가 필요한 항목을 구분해 처리방침에 기재하는 방법을 예시와 함께 구체화했다. 방향은 맞다. 다만 이 구분이 현장에서 실제로 작동하려면, '판단 사례'가 충분히 쌓이는 데 시간이 걸릴 것이다. 당분간은 처리자도, 이용자도, 이 경계가 흐릿한 상태를 안고 가야 한다.
'privacy > 국내' 카테고리의 다른 글
| [privacy] 그냥 파기하면 되는 거 아닌가요? '분리 보관'이 따로 있는 이유 (0) | 2026.04.01 |
|---|---|
| [privacy] 민감정보와 일반 개인정보 (0) | 2026.03.27 |
| [privacy] "쿠키 동의"와 "맞춤형 광고 동의" (0) | 2026.03.11 |
| [privacy] 맞춤광고 끄면 뭐가 달라지나 (0) | 2025.12.27 |
| [privacy] AI 챗봇에 입력한 대화, 정말 학습에 안 쓰이게 할 수 있을까 (0) | 2025.06.03 |