국제적 시각에서 개인정보 처리에 관한 동의의 자율성 및 유효성에 관한 검토 - EU의 최근 판결례를 중심으로 -

이정아

doi:10.29305/tj.2021.02.182.406

추천

검색

질문

자료유형: 학술저널

저자정보: 이정아 (대전지방법원)

저널정보: 한국법학원 저스티스 저스티스 통권 제182-1호(정기호)

발행연도: 2021.2

수록면: 406 - 438 (33page)

DOI: 10.29305/tj.2021.02.182.406

이용수

📌

연구주제

📖

연구배경

🔬

연구방법

🏆

연구결과

초록· 키워드

오류제보하기

국제화로 인하여 국가간 개인정보의 이전이 활발해지고 있는 동시에 세계 각국에서는 자국민의 개인정보를 보호하기 위한 제도를 발전시키고 있다. 이에 데이터 보호를 위해서는 다른 나라의 법제를 함께 살펴보아야 할 필요가 있다. 이 글에서는 EU와 대한민국을 중심으로 개인정보 처리를 적법하게 하는 요건인 ‘동의(consent) 제도’를 살펴보겠다.
동의제도는 개인정보 처리의 기본적인 원칙으로 여겨지고 있으나, 실제 운영상으로는 정보주체와 정보처리자의 협상력, 정보 불균형으로 인하여 동의가 형식적인 절차에 그치게 되는 등 한계가 존재한다. 이에 각국은 동의의 실질화를 위하여 동의의 요건을 강화하고 있다. 유럽 사법재판소는 Planet49 사건에서 이미 사전에 동의란에 체크된 상태로 동의를 요구하는 방식은 유효한 동의로 볼 수 없다고 보았고, 동의를 받을 때 쿠키의 이용기간, 제3자에의 제공가능성에 대한 정보를 제공하여야 한다고 판단하였다. 우리나라 대법원은 홈플러스 경품 사건에서 동의에 관한 설명이 대중들이 식별하지 못할 정도로 작은 글씨로 기재된 경우에는 정보제공의무를 다하지 못하였다고 보았고, 경품 행사 참여를 위하여 요구되는 개인정보의 범위도 필요최소한에 그쳐야 한다고 판시한 바 있다.
동의의 자율성(freely-given) 문제도 향후 중요하게 다뤄질 것이다. 독일의 페이스북 사건은 경쟁법적 시각에서 소비자 보호와 관련하여 약관에의 ‘동의’ 문제를 다룬 바 있는데, 이는 개인정보보호법제의 측면에서도 주목할 만한 판결이다. 이는 서비스를 무료로 제공하는 대신 개인정보를 이용하여 수익을 창출하는 디지털 시장에서의 수익구조와 밀접한 연관이 있는데, 이러한 구조 하에서 개인은 서비스를 이용하기 위하여는 개인정보를 제공하는 데 동의할 수밖에 없어 동의의 자율성 문제가 대두되며, 시장에서의 지배적인 위치를 가진 기업의 경우 이러한 현상은 더 심화된다. 이 글에서는 동의의 자율성을 판단하는 기준과 관련하여, 개인이 제공하는 개인정보와 재화나 서비스 사이의 ‘대가성’이 인정되는지 여부를 하나의 기준으로 삼는 방법을 제안한다. 제공하는 개인정보와 해당 서비스 사이에 합리적인 대가성의 범위를 초과하였다고 판단되는 경우에는 동의의 자율성이 부정되고 ‘강요된 동의’로 헤석될 수 있는 것이다. 대가성을 판단하는 구체적인 기준은, 기업의 시장 영향성과 등가성, 두 가지 요소를 고려하여 정립할 수 있을 것이다. 즉, 거대기업들의 시장에서의 영향력은 협상력의 불균형을 야기하여 정보주체의 선택권을 제한하므로, 시장에서의 지배력이 있는 기업의 경우 등가성을 엄격히 요구하고, 정보 주체의 선택권이 상대적으로 강하게 보장되는, 시장 영향성이 없는 기업의 경우에는 등가성을 상대적으로 유연하게 적용하는 등, 시장 영향성과 등가성을 비교형량하는 방법으로 구현될 수 있을 것으로 보인다.

It is admitted that the consent principle is one of the essential principles of data processing. However, it has limitations as there are information asymmetry and power asymmetry between the data subject and data processor, rendering the consent as a titular procedural requirement. To reinforce the consent principle, each state’s court has attempted to establish rules to guarantee the validity of the consent itself. The recent Planet49 case of the European Court of Justice is a good example, in which the Court explicitly decided that pre-ticking consent box is not a valid way of providing consent, and that, in order to be ‘informed consent’, the information over the duration of cookies and the third parties accessibility should be provided. Meanwhile, the Korean Supreme Court rendered an important decision regarding the procedural requirements for a valid consent in the so-called Homeplus case; which stated that the given information should be written in a recognizable way, and terms written in 1mm font as in the case cannot be considered as ‘properly informing’. Moreover, in the case, the Supreme Court declared that the principle of data minimization should be applied even when data subjects agree to provide their personal data to participate in lottery or promotional events. As seen in the cases, to assure the validity of the consent, the four elements should be fulfilled; ① the clarity of the consent, which means that the consent should be expressed in an affirmative way, not in a passive way, ② ‘separateness’ of the consent as to each purpose, ③ ‘informed’ consent, and ④ the easiness to withdraw the consent.
Also, there is another crucial issue about consent in the digital market; how to determine whether the consent is ‘freely given’. It has become problematic, mainly due to the prevalent business models of digital platform markets. Specifically, businesses offer free services at a glance, but they make profits through personal data which individuals provide to use service. Especially for big tech companies in possession of market influence such as GAFAM, it is extremely difficult for individuals to refuse to provide data to those big-tech companies. Thus, the question lies on whether it is reasonable to regard the consent as voluntary if there is only a take-it or leave-it option, especially with regards to companies which have dominance in the market. The Facebook decision by the German Supreme Court suggests a good implication for this, albeit it analysed the case from the perspective of the competition law. Inferred from the decision of the German Supreme Court, the limited option to provide for data subjects could undermine the ground for ‘voluntariness’. Also, Advocate General Szpunur’s opinion in Planet49, and the Korean Supreme Court’s decision in Homeplus could be good references for setting criteria to determine whether the consent is ‘freely given’. It could be assessed through the comprehensive evaluation of ‘quid pro quo’, which means the data provided and service received are in a reciprocal exchange relationship, and data processor’s ‘market influence’. The financial/economic equivalency, which could be utilized to assess the ‘quid pro quo’, could be differently applied to entities regarding their ‘market influence’. For companies with strong market influence against which data subjects have little power to negotiate, authorities and courts should use more strict measurement when estimating the adequate amount of type of data required, while entities without economic power could be regulated with much flexibility.
It may impose another burden on authorities and courts to evaluate what amount of data is paramount to the service provided, but it is believed that the criteria could be developed through further discussions.

#Planet49 사건 #홈플러스 경품 응모권 1mm 글씨 고지 사건 #독일의 Facebook 사건 #개인정보와 동의제도 #동의의 자율성 #동의의 요건 #Validity of Consent #Planet49 case #Consent in GDPR #Freely-give consent #Consent in Korean Data Protection Law

참고문헌 (0)

참고문헌 신청

참고문헌이 DBpia에서 서비스 중이라면, [참고문헌 신청]을 통해 등록해보세요

이 논문과 연관된 판례 (4)

서울중앙지방법원 2016. 8. 12. 선고 2016노223 판결

자세히 보기
대법원 2017. 4. 7. 선고 2016도13263 판결

[1] 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 `거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위
자세히 보기
대법원 2016. 6. 28. 선고 2014두2638 판결

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 `정보통신망법’이라 한다) 제22조 제1항, 제24조의2 제1항, 제26조의2, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것) 제12조 제1
자세히 보기
서울중앙지방법원 2016. 1. 8. 선고 2015고단510 판결

자세히 보기

함께 읽어보면 좋을 논문

논문 유사도에 따라 DBpia 가 추천하는 논문입니다. 함께 보면 좋을 연관 논문을 확인해보세요!

이 논문의 저자 정보

이정아

소속기관 대전지방법원

주요연구분야 사회과학 > 법학

논문수 2 이용수 702

이 논문과 함께 이용한 논문

빅데이터와 개인정보: 규제변화의 필요성

이호선 한국정보통신학회논문지 2019 .12

IoT 디바이스에서 GDPR에 부합하는 개인정보 관리 절차 설계

이용 , 김화종 , 이구연 전자공학회논문지 2020 .10

IoT 디바이스에서 GDPR에 부합하는 개인정보 관리

이구연 Proceedings of KIIT Conference 2019 .11

미국 ‘데이터 브로커’ 제도의 국내법적 함의

김현경 경제규제와 법 2018 .11

IoT 환경에서 일반개인정보보호규정에 부합하는 개인정보 관리 기술에 관한 연구

전수지 , 양진홍 , 정성관 외 1명 한국통신학회 학술대회논문집 2018 .06

최근 본 자료

전체보기

UCI(KEPA) : I410-ECN-0101-2021-360-001484056

구분	그룹	데이터 항목
AI 학습용 데이터	원문	원문 PDF 파일
AI 학습용 데이터	원문 + 메타 (기본/상세)	원문 PDF 파일 및 서지정보 CSV
대량 구매용 데이터	B2B 구독 방식	특정 자료 한정으로 원문 접근 권한 부여
대량 구매용 데이터	URL 전달 방식	바로 PDF 뷰어를 열람할 수 있는 URL 제공

구분	그룹	데이터 항목
AI 학습용 데이터	기본 메타	발행기관명, 간행물명, 권호명, 권(vol), 호(issue), 통권, 발행연도, 발행월, 논문명, 저자명, 시작페이지, 종료페이지, 전체페이지, 상세페이지URL
상세 메타 데이터	발행기관 메타	발행기관 이명, 영문명, 창립연도, 홈페이지URL, 발행기관 소개
	간행물 메타	부제목, 간행물 유형, ISSN, ISBN, 최초발행연도, 폐간연도, 간행빈도, 발행주기, 등재사항, 이용수, 피인용수, 권호수, 논문수, 표지이미지
	논문 메타	작성 언어, 부제목, 대등제목, 목차, 키워드, 초록, 이미지, 참고문헌, 이용수, 피인용수, 논문활용도, DBpia통합주제분류, KDC분류, DDC분류, 한국연구재단분류, UCI, DOI
	저자 메타	소속기관, 소속부서, 직급, 연구분야, 연구키워드, 이용수, 피인용수, 저자 논문활용도

구분	그룹	데이터 항목
※ 결합형/맞춤형 메타 데이터는 신청 내용에 따라 다양하게 제공 가능
이용순위 정보	주제분야별 많이 이용된 논문	“인문학”에서 많이 이용된 논문 TOP100
	이용기관별 많이 이용된 논문	“중고등학교”에서 많이 이용된 논문 TOP100
	세부기관별 많이 이용된 논문	“서울대학교”에서 많이 이용된 논문 TOP100
	키워드별 많이 이용된 논문	“Chat GPT”에서 많이 이용된 논문 TOP100
키워드 정보	많이 이용된 키워드	특정기간/분야/저널 내 많이 이용된 키워드
	많이 발행된 키워드	특정기간/분야/저널 내 많이 발행된 키워드
	많이 검색된 키워드	특정기간/분야/저널 내 많이 검색된 키워드
	연구 트렌드 키워드	특정 키워드 연관 연구동향 분석 데이터 키워드

논문 기본 정보

초록· 키워드

AI 요약

연구주제

연구배경

연구방법

연구결과

주요내용

목차