제15조 개인정보의 수집·이용
2. 개인정보의 추가적인 이용
「개인정보 보호법」은 개인정보 보호의 주요 원칙으로서 개인정보 처리 목적을 명확하 게 하고, 그 목적에 필요한 범위 내에서 개인정보를 수집하며, 그 목적 외로 활용하지 않 아야 한다는 점을 선언하고 있다. 그런데 지나치게 경직적으로 수집 목적 내에서만 이용 하도록 하는 경우, 오히려 정보주체의 개인정보자기결정권 보호에는 기여하지 못하면서 사회적 비용이나 비효율만을 초래하는 결과가 발생할 수 있다.
이에 따라 제15조제3항은 개인정보처리자가 당초 수집 목적과 합리적으로 관련된 범위 내에서 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있도 록 하였다. 합리적 관련성의 기준이 되는 ‘당초 개인정보가 수집된 목적’은 개인정보를 적법하게 수집한 경우 해당 수집 목적을 의미하는 바, 제15조제1항에 따라 적법하게 개인 정보를 수집한 경우에는 같은 조 제3항에 따라 추가적으로 이용할 수 있는 대상이 된다.
한편, 개인정보처리자는 제15조제3항에 따라 정보주체의 동의 없이 개인정보를 이용하 는 경우에는 다음 사항을 종합적으로 고려하여야 한다.
가 당초 수집 목적과 관련성이 있는지 여부
개인정보처리자가 적법하게 수집하여 보관 중인 개인정보를 추가적인 목적으로 이용하 려면, 당초 수집 목적과 추가적 이용·제공의 목적 사이에 관련성을 고려하여야 한다. 여 기서 관련성이 있다는 것은 당초 수집 목적과 추가적 이용·제공의 목적이 서로 그 성질 이나 경향 등에 있어서 연관이 있다는 것을 의미한다.
< 법률요건으로서 ‘관련성’ 관련 판례 >
판례 내용
대법원 2020. 2. 13. 선고 2019도14341, 2019전도130(병합) 판결
객관적 관련성은 압수·수색영장에 기재된 혐의사실의 내용과 수사의 대 상, 수사 경위 등을 종합하여 구체적·개별적 연관관계가 있는 경우에만 인정된다고 보아야 하고, 혐의사실과 단순히 동종 또는 유사 범행이라 는 사유만으로 객관적 관련성이 있다고 할 것은 아니다.
대법원 2012. 7. 26. 선고 2010두12552 판결
사업 관련성의 유무는 지출의 목적과 경위, 사업의 내용 등에 비추어 그 지출이 사업의 수행에 필요한 것이었는지를 살펴 개별적으로 판단하 여야 한다.
대법원 2013. 11. 28. 선고 2011도17163 판결
위 규정들에서 “후보자로 추천하는 일과 관련하여”라 함은 정치자금의 제공이 후보자 추천의 대가 또는 사례에 해당하거나, 그렇지 아니하더 라도 후보자 추천에 있어서 어떠한 형태로든 영향을 미칠 수 있는 경우 에 해당하여야 한다.
나 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
개인정보의 추가적인 이용이 수집 정황이나 처리 관행에 비추어 합리적으로 예측 가능 한지 고려하여야 한다. 여기서 정황은 개인정보의 수집 목적·내용, 추가적 처리를 하는 개인정보처리자와 정보주체 간의 관계, 현재의 기술 수준과 그 기술의 발전 속도 등 비교 적 구체적 사정을 의미하고, 관행은 개인정보 처리가 비교적 오랜 기간 정립된 일반적 사 정을 의미한다. 이와 같은 구체적 사정이나 일반적 사정을 고려할 때 개인정보를 추가적 으로 이용할 수 있다고 예측 가능한지를 고려하여야 한다.
다 정보주체의 이익을 부당하게 침해하는지 여부
정보주체의 이익을 부당하게 침해하는 경우에는 추가적 이용의 정당성이 인정되기 어 렵다. 정보주체의 이익을 부당하게 침해하는지 여부는 정보주체의 이익을 실질적으로 침 해하는지와 해당 이익 침해가 부당한지를 고려하여야 한다. 또한, 이는 추가적인 이용의 목적이나 의도와의 관계에서 판단되어야 한다.
예를 들어, 정보주체가 구매한 재화나 용역과 관련하여, 구매 시 알려주지 못한 사항을 알릴 목적으로 연락을 한 것이 다소 정보주체가 불편함을 느낄 수 있다고 하여 언제나 부 당한 침해라고 단정할 수 없다. 반면에 해당 침해 내용이 사회통념상 허용되기 어려운 정 도라면 이는 당연히 부당한 침해로 보아야 한다.
96
-한편, 침해여부가 불확실한 경우에는 개인정보의 침해 가능성을 보다 적극적으로 검토 하여야 하며, 정보주체가 예측할 가능성이 높고 동시에 안전조치를 충분히 할 수 있는 경 우가 아니라면 추가적인 이용이 가능하지 못한 것으로 고려되어야 할 필요성이 크다.
라 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
동의 없는 개인정보 이용에 따른 개인정보 침해 우려를 최소화하기 위하여, 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. 또한, 안전조치의 내용은 가명 처리나 암호화 등의 조치에 그치지 않는 바, 다양한 행위자에 의한 침해 가능성을 적극적 으로 고려하여 그에 맞는 안전조치를 하여야 한다. 가명처리, 개인정보 암호화 조치와 관 련한 자세한 사항은 각각 「가명처리 가이드라인」, 「개인정보의 암호화 조치 안내서」
를 참고할 수 있다.
마 개인정보의 추가적인 이용 시 고려하여야 할 사항
개인정보처리자는 영 제14조의2제1항 각 호의 고려사항에 대한 구체적 기준을 스스로 정하여 개인정보 처리방침에 미리 공개하여야 한다. 이 경우 구체적 기준은 각 개인정보 처리자가 처한 상황이나 개인정보의 처리 목적 등에 따라 달라질 수 있다. 아울러, 개인정 보 보호책임자는 해당 기준에 따라 개인정보의 추가적인 이용을 하고 있는지 여부를 스스 로 점검하여야 한다.
참고 EU의 당초 수집 목적과 합리적으로 관련된 범위의 개인정보 이용·제공 사례
∙ LP음반을 판매하는 회사가 고객의 동의를 받아 정기적으로 LP음반의 카탈로그를 보내오다가, 오디오테이프, CD, DVD 형태의 음악 카탈로그도 보내는 경우
∙ 약국에서 다른 고객의 의약품을 잘못 가져간 경우, 약국이 고객에게 위 사실을 알리기 위하여 처방 병원으로부터 휴대전화번호를 제공받아 전화하는 경우
3. 다른 법률과의 관계
「신용정보법」상 개인신용정보 수집과 관련해서는 신용정보에 대한 수집·조사의 원 칙(제15조), 공공기관에 대한 신용정보의 열람 및 제공 요청 등(제23조) 등이 적용된다. 한 편, 개인신용정보의 추가적인 이용에 관해서는 제32조제6항제9호의4, 제33조제1항제4호에 따라 당초 수집한 목적과 상충되지 아니하는 목적으로 개인신용정보를 동의 없이 이용하 도록 하고 있다.
신용정보법
제15조(수집·조사 및 처리의 원칙) ① 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 신용정보제공·이용자(이하 “신용정 보회사등”이라 한다)는 신용정보를 수집하고 처리할 수 있다. 이 경우 이 법 또는 정관으로 정한 업무 범위에서 수집·조사 및 처리의 목적을 명확 히 하여야 하며, 이 법 및 「개인정보 보호법」제3조제1항 및 제2항에 따 라 그 목적 달성에 필요한 최소한의 범위에서 합리적이고 공정한 수단을 사용하여 신용정보를 수집·조사 및 처리하여야 한다.
② 신용정보회사등이 개인신용정보를 수집하는 때에는 해당 신용정보주체 의 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에 는 그러하지 아니하다.
1. 「개인정보 보호법」 제15조 제1항 제2호로부터 제6호까지의 어느 하나 에 해당하는 경우
2. 다음 각 목의 어느 하나에 해당하는 정보를 수집하는 경우 가. 법령에 따라 공시되거나 공개된 정보
나. 출판물이나 방송매체 또는 「공공기관의 정보공개에 관한 법률」 제 2조 제3호에 따른 공공기관의 인터넷 홈페이지 등의 매체를 통하여 공시 또는 공개된 정보
다. 신용정보주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보. 이 경우 대통령령으로 정하는 바에 따라 신용정보 주체의 동의가 있었다고 객관적으로 인정하는 범위 내로 한정한다.
3. 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우 제22조의2(신용정보 등의 보고) 개인신용평가회사, 개인사업자신용평가회사, 기
업신용조회회사 및 본인신용정보관리회사는 신용정보의 이용범위, 이용기간, 제 공 대상자를 대통령령으로 정하는 바에 따라 금융위원회에 보고하여야 한다.
제23조(공공기관에 대한 신용정보의 제공 요청 등) ① 삭제
② 신용정보집중기관이 국가·지방자치단체 또는 대통령령으로 정하는 공 공단체(이하 “공공기관”이라 한다)의 장에게 신용정보주체의 신용도·신 용거래능력 등의 판단에 필요한 신용정보로서 대통령령으로 정하는 신용 정보의 제공을 요청하면 그 요청을 받은 공공기관의 장은 다음 각 호의 법 률에도 불구하고 해당 신용정보집중기관에 정보를 제공할 수 있다. 이 경 우 정보를 제공하는 기준과 절차 등은 대통령령으로 정한다.
1. 「공공기관의 정보공개에 관한 법률」
2. 「개인정보 보호법」
3. 「국민건강보험법」
4. 「국민연금법」
5. 「한국전력공사법」
6. 「주민등록법」
③ 신용정보집중기관은 제2항에 따라 공공기관으로부터 제공받은 신용정 보를 대통령령으로 정하는 신용정보의 이용자에게 제공할 수 있다.
④ 신용정보집중기관 또는 제3항에 따른 신용정보의 이용자가 제2항 및 제 3항에 따라 공공기관으로부터 제공받은 개인신용정보를 제공하는 경우에 는 제32조제3항에서 정하는 바에 따라 제공받으려는 자가 해당 개인으로 부터 신용정보 제공·이용에 대한 동의를 받았는지를 확인하여야 한다.
⑤ 제4항에 따라 개인신용정보를 제공받은 자는 그 정보를 타인에게 제공 하여서는 아니 된다.