“우리가 다 동의해줬지 않느냐”라고요?

개인정보와 관련해서 ‘동의’가 실제로 어떻게 오용되는지를 가장 분명하게 보여준 사건이 바로 현오석 부총리 겸 기획재정부 장관의 “우리가 다 동의해줬지 않느냐”라는 발언(“방언”처럼 들릴 수도 있겠지만) 이다.

물론, 현오석 부총리의 말은 다음 ‘사실’을 전혀 이해하지 못한 완벽한 ‘X소리’에 불과하다.

• 회원 가입 단계에서 동의를 표시하지 않으면 아예 가입절차가 진행되지 않으므로, 동의가 강제되는 경우가 대부분이라는 사실
• 어떤 경우에도 개인정보를 이런 식으로 뒷구멍으로 빼돌려서 유출/유용하는데 유저가 동의한 적은 없다는 사실

하지만 현 부총리의 말은 사용자의 ‘동의’라는 개념이 현실세계에서 사업자에 의해 어떤 식으로 동원되는지를 적나라하게 보여준다.

법률가 탁상공론이 ‘호갱님’을 양산한다 

세상 물정도 모르고, 컴퓨터나 인터넷 기반의 서비스가 실제로 어떻게 돌아가는지는 더더욱 모르는 법률가들이 만들어낸 개념이 바로 ‘정보 주체의 동의’라고 생각한다. 법률가의 사고방식은 이렇다:

• 우선 ‘내 개인정보는 내가 통제할 수 있어야 한다’는 흠잡을 데 없는 명제에서 출발한다. 
• 그래서 ‘개인정보 수집, 이용에는 정보주체(즉, 고객 본인)의 동의가 필요하다’고 결론 내린다. 
• 끝으로, ‘동의 없이 개인정보를 사용하는 사업자를 처벌하면 개인정보가 잘 보호될 것’이라고 기대한다. 

이것이 법률가의 탁상공론으로 생겨난 현행 개인정보 ‘보호’ 체제다. 바로 이 체제가 ‘호갱님’을 양산하는 것이다. 그 이유는 이렇다.

사업자는 억지 동의 받고 정부는 이를 강제하고

사업자는 고객의 동의를 억지로 받아낼 뿐 아니라, 사업자들이 그 짓을 하도록 정부가 강제하고 있다. 아래 그림 중 붉게 표시한 내용을 보시기 바란다.

“동의를 거부할 권리가 있습니다. 다만 거부시 해당 서비스 이용이 불가능합니다”는 말장난 같기도 하고, 약 올리는 것도 같은 이런 내용을 이 사업자는 일일이 웹페이지에 적어두었다. 하지만 그런 내용을 차마 적지 못하고 있는 다른 사업자들도 실은 똑같은 짓을 한다.

“동의( )”라고 된 곳에 체크하지 않고 진행하면, “서비스를 이용하시려면 동의해야 합니다”라는 안내창을 띄우면서 동의를 강요한다. 해당 서비스를 제공하기 위해서는 어쩔 수 없는 필수사항일지라도 반드시 ‘동의’를 받아내라고 정부가 강제하기 때문이다.

“동의( )” 체크박스에 클릭하는 것을 잊어버리고 “계속”을 눌렀다가, 그때까지 열심히 입력한 내용까지 모조리 날리고 ‘빠꾸’당하는 끔찍한 경험… 모두 한두 번씩은 당했을 것이다. 그래서 어쩔 수 없이 “동의( )”에 체크하고 진행하게 된다.

이게 과연 개인정보 수집/이용에 관한 ‘동의’인가? 동의하지 않을 가능성이 아예 박탈된 동의는 동의가 아니다. 이때의 ‘동의’는 해당 서비스를 이용하겠다는 뜻일 뿐이지, 깨알같이 적혀있는 개인정보 수집, 이용 약관에 대한 동의가 결코 아니다.

파렴치한 윽박질에 이용되는 ‘약관 동의’…  효력 없는 개념 

법률적으로 좀 어렵게 이야기하자면, ‘약관에 대한 동의’라는 개념은 계약법적으로는 아무 효력도 없는 개념이다. ‘약관’은 원래부터 당사자의 ‘동의’와는 무관한 제도이다. 동의했다고 해서 약관에 적힌대로 효력이 인정되는 것도 아니고, 약관에 동의 안 했다는 이유로 약관의 효력이 부인 당하는 것도 아니다.

하지만 ‘약관 동의’라는 것을 받아두면, 비록 그것이 계약법적으로는 아무 효력도 의미도 없더라도, 그런 법률 지식이 없는 다수의 일반소비자를 상대로 현오석 부총리 같은 자가 나서서 “당신들이 다 동의했지 않느냐”면서 윽박지르는 파렴치한 짓을 하기에는 딱 좋은 상황이 된다. (*편집자 주: 필자의 전공분야는 ‘민법-계약법’입니다.)

개인정보 이용 및 보호와 관련된 현행 제도는 ‘약관 동의’라는 기만적이고, 계약법적으로 아무 효력도 없는 개념에 의존하고 있다. 무엇보다도 현 제도는 정보주체에게 실효성 있는 보호를 전혀 제공하지 못할 뿐 아니라, 오히려 사업자가 고객에게 “당신이 다 동의했지 않느냐”는 억지 주장을 내세울 빌미를 제공할 뿐이다.

개인정보 보호법의 두 가지 개정 방향 

개인정보 보호제도는 다음과 같은 방향으로 개선될 필요가 있다.

[dropcap font=”arial” fontsize=”32″]첫째,[/dropcap] 해당 서비스 제공에 필수 불가결한 범위의 개인정보 이용에 대해서는 ‘동의’를 요구해서는 안 된다. 그 대신 다음과 같은 ‘설명’ 의무를 사업자에게 선별적으로 부과할 필요가 있다.

해당 서비스 제공을 위해 불가피하고, 평균적 이용자가 명백히 예상할 수 있는 범위 내의 개인정보 이용이라면 별도로 설명할 필요가 없다. 예를 들어, ‘사용자의 개인정보가 유출되었는지 확인해주는 서비스’를 제공하기 위해서 성명, 생년월일 등을 사용자로부터 입력받을 경우를 생각해보자. 그 정보가 오로지 해당 이용자의 개인정보 유출 여부를 확인하고 알려주는 데에만 사용된다면, 이점을 별도로 설명할 필요가 없다.

해당 서비스 제공을 위해 불가피하지만, 평균적 이용자가 명백히 예상할 수 없는 범위의 개인정보 이용이 필요할 경우라면, 이점은 반드시 별도로 설명해야 한다. 요컨대, 해당 서비스 제공을 위해 불가피한 개인정보 이용에 대해서는 사용자의 ‘동의’가 필요한 것이 아니라, 사용자가 이해할 수 있을 정도로 사업자가 별도로 ‘설명’하는 것이 필요하다(사용자가 예상할 수 있는 내용이 아닐 경우).

[dropcap font=”arial” fontsize=”32″]둘째,[/dropcap] 해당 서비스 제공에 필수적이지 않은 개인정보 이용에 대해서만 사용자가 동의 여부를 표시할 수 있도록 하되, 이 경우 사업자는 ‘동의는 필수가 아니다’라는 점을 반드시 안내해야 한다. 요컨대, “동의( )” 체크 박스는 사용자가 동의를 거부할 수 있을 때에만 제시되어야 한다. 이렇게 해야, “동의( )”라는 체크 박스는 체크 안 해도 되는 박스라는 인식이 사용자에게 자리할 수 있다.

해당 서비스 제공을 위해 불가피한 부분이라서 동의하지 않을 수 없는 내용에 대해서까지 “동의( )” 체크 박스를 남발해 온 지난 몇 년간의 국내 관행은 사용자에게 “동의( )”라는 체크 박스는 반드시 체크 해야만 하는 박스라는 인식을 심어주었다. 이 상황은 개인정보 보호와는 거리가 멀어도 한참 먼 것이다. 이런 상황을 앞장서서 만들어 낸 규제 당국은 사업자가 사용자로부터 무차별적인 ‘동의’를 쉽게(기계적이고 습관적으로) 받아낼 수 있도록 거들어준 셈이다.

‘약관 동의’라는 기만적이고 사업자 편의주의적 개념에 근거해서 운용되는 현행 법 제도는 고객을 ‘호갱’으로 만드는데 일조할 뿐, 개인정보 보호와는 거리가 멀다는 사실을 현오석 부총리는 자신의 발언을 통해 충분히 입증했다. 이 사건을 계기로 개인정보 보호법이 조속히 개정되기를 바란다.

길게 적었지만, 한마디로 요약하자면 이런 것이다: 사업자가 ‘동의 안 해도 됩니다’라고 분명히 안내했고, 실제로 동의 안 해도 되는데 내가 동의했다면 현오석의 뻔뻔한 발언이 덜 억울할 것 아니겠는가?