[전승재 변호사의 IT 인사이트] 고객의 상품조회 정보를 홍보에 활용하려면

인터넷 쇼핑몰의 이용자가 여러 번 조회한 상품, 또는 장바구니에 담아두고 결제를 하지 않은 상품은 오프라인 매장으로 치면 '들었다 놨다' 한 상품이라고 할 수 있다. 그러다가 마침 그 상품에 대해 할인 행사가 열렸다면 그 정보를 해당 이용자에게 알려줘도 법적 문제가 없을까. 이에 대하여는 스팸(spam) 및 개인정보 추가 처리에 관한 규제를 검토해야 한다.

일단 해당 이용자로부터 '광고 전송 동의'를 받아 두지 않았다면, 이메일, 문자메시지, 앱 푸시 알림 등을 보내는 것은 금지된다. 정보통신망법 제50조에 따르면, 누구든지 전자적 전송 매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 쇼핑몰 이용자가 장바구니에 담아 놓은 상품에 대한 안내 메일을 보내는 것은 그 구매를 유도하는 것으로 광고성 정보에 해당하므로 사전 동의 대상이라고 관련 해설서에 안내되어 있다. 참고로 '광고 전송 동의'는 '개인정보 수집 동의'와 구분하여 받아야만 유효하다.

'광고 전송 동의'를 받아 두지 않은 경우라면, 해당 이용자의 로그인 후 첫 페이지, 관련 키워드 검색결과 화면 등을 통해 '관심 상품의 판촉 정보'를 알려줄 수 있을 것이다. 이 때에는 '개인정보 수집 목적 내 활용'인지 여부를 따져 보아야 한다. 예컨대 i) 회원가입(개인정보 수집) 시 "상품 추천, 관심 상품의 판촉 정보 안내 등을 위해 개인정보를 처리합니다."라는 취지의 동의를 받아 두었다면 별 문제가 없을 것이다. ii) 한편, "상품의 결제 및 배송을 위해 개인정보를 처리합니다."라고만 동의를 받아 두었다면 수집목적을 벗어난 활용 여부가 쟁점이 될 수 있다.

위 ii)와 관련해, 2020. 8. 5. 시행을 앞둔 개인정보 보호법은 "개인정보처리자는 당초 수집 목적과 '합리적으로 관련된 범위 내'에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다"는 조항을 신설했다. 2020. 3. 31. 입법예고된 대통령령은, '1. 개인정보를 추가적으로 이용하려는 목적이 당초 수집 목적과 상당한 관련성이 있을 것', '2. 개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능할 것', '3. 개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해하지 아니할 것', '4. 가명처리를 하여도 추가적 이용 목적을 달성할 수 있는 경우에는 가명처리하여 이용할 것'이라는 네 가지 요건을 모두 구비한 경우 수집 목적 외 활용을 허용하고 있다. 산업계에서는 이들 요건이 지나치게 엄격할 뿐만 아니라 추상적이어서 구체적인 행동규범이 되기 어렵다는 지적이 제기되고 있다.

외국의 입법례는 어떨까. 미국의 FTC 가이드라인에 따르면 사업자가 고객에게서 직접 수집한 데이터를 자신의 마케팅(first-party marketing) 목적으로 이용하는 것은 허용되며, 고객정보를 제3자에게 제공하는(third-party marking) 경우가 고객의 별도 동의 대상이다. EU에서는 개인정보 수집 목적과 양립하지 않는(incompatible) 방식의 추가 처리가 금지되는데, 이에 관하여 GDPR 작업반은 위치기반 레스토랑 추천 앱(오프라인 매장 방문을 전제한 서비스)에서 고객의 명시적 동의 없이 배달 피자 광고쿠폰 발송하는 것(오프라인 매장 방문과 다른 유형의 소비 유도)은 위법 소지가 있다고 해설하고 있다. 이러한 외국의 기준에 따르면 위 ii)와 같은 처리도 허용될 것으로 보인다. 우리나라도 개인정보 수집 목적 외 추가 처리가 어떤 사례에서 허용되고 금지되는지에 관한 해설서가 보완되어야 할 것이다.