이 글은 ChatGPT를 이용해 작성했습니다.
내용에 대해서는 충분한 검수와 교정을 거쳤으니 내용에 대해 환각효과에 따른 위험을 우려하실 필요는 없습니다.
업계에 계시는 많은 분들의 의견을 언제나 환영합니다.
개인정보 업무를 하다 보면 자주 접하는 단어들이 있습니다.
바로 '옵트인(Opt-in)'과 '옵트아웃(Opt-out)'입니다.
처음에는 그냥 영어 표현처럼 들리지만, 이 두 가지 개념은 개인정보 보호 실무에서 매우 중요한 기준이 됩니다.
오늘은 이 개념들이 어떤 의미를 가지는지, 그리고 우리나라 개인정보보호법에서는 어떻게 적용하고 있는지 함께 정리해보겠습니다.
옵트인(Opt-in)과 옵트아웃(Opt-out)이란?
- 옵트인(Opt-in): 사용자가 명시적으로 동의해야 개인정보 수집이나 활용이 가능한 방식입니다.
쉽게 말해, '나는 이걸 원해요'라고 직접 표시해야 수집·이용이 가능합니다. - 옵트아웃(Opt-out): 사용자가 별도로 거부 의사를 표시하지 않으면 개인정보 수집·이용이 가능한 방식입니다.
기본은 동의로 보고, 싫으면 "거부하겠습니다"라고 의사표시를 해야 합니다.
간단히 정리하면 다음과 같습니다.
구분 설명 예시
| 옵트인 | 사용자가 명시적으로 동의해야 수집·이용 가능 | 서비스 가입 시 '마케팅 수신 동의' 체크박스를 직접 선택 |
| 옵트아웃 | 사용자가 별도로 거부하지 않으면 수집·이용 가능 | 가명정보를 통계·연구 목적으로 추가 처리하는 경우, 별도 거부권 부여 |
※ 주의: '옵트아웃' 방식은 무제한 허용되지 않으며, 엄격한 요건 하에서만 가능합니다.
개인정보보호법에서의 적용
우리나라 개인정보보호법은 '개인정보 자기결정권'을 핵심 가치로 삼고 있습니다.
따라서 개인정보를 처리할 때는 옵트인 방식을 원칙으로 요구합니다.
대표 적용 규정은 다음과 같습니다.
법 조항 주요 내용 적용 방식
| 개인정보보호법 제15조 | 개인정보 수집·이용 시 명시적 동의 필요 | 옵트인 |
| 개인정보보호법 제17조 | 개인정보 제공 시 명시적 동의 필요 | 옵트인 |
| 개인정보보호법 제23조 | 민감정보 및 고유식별정보 처리 시 별도 동의 필요 | 옵트인 (더 강화된 요건) |
| 개인정보보호법 제28조의2 | 가명정보 처리 시 동의 불필요, 다만 거부권 부여 | 제한적 옵트아웃 |
| 정보통신망법 제50조 | 영리목적 광고성 정보 발송 시 사전 동의 필요 | 옵트인 |
이처럼 기본은 '옵트인', 예외적으로만 '옵트아웃'이 인정되는 구조입니다.
실무 예외: 가명정보 처리
가명정보를 통계작성, 과학적 연구, 공익적 기록 보존 목적으로 처리할 경우에는 별도 동의 없이 사용할 수 있습니다.
하지만 이 경우에도 정보주체에게 적절히 고지하고, 필요할 경우 거부할 수 있는 절차(옵트아웃)를 제공해야 합니다.
실무에서 주의할 점
특히 개인정보 수집 화면을 구성할 때 체크박스 설정은 매우 민감한 부분입니다.
- 옵트인: 체크박스는 초기 상태가 비활성화되어 있어야 하며, 사용자가 직접 체크해야만 동의가 성립합니다.
- 옵트아웃: 필요한 경우, 별도로 고지한 뒤, 사용자가 명확히 거부할 수 있도록 해야 합니다.
잘못된 예시
[v] 광고 수신 동의 (체크된 상태) → 위반 가능성 높음
올바른 예시
[ ] 광고 수신 동의 (비활성화된 상태)
실제 사례로 보는 중요성
- 한 이커머스 기업은 회원 가입 시 광고성 정보 수신을 미리 체크된 상태로 제공하여 과징금과 시정명령을 받았습니다.
- 또 다른 기업은 '동의하지 않으면 서비스 이용 제한' 같은 불합리한 조건을 붙였다가, 개인정보보호위원회의 제재를 받았습니다.
이처럼 '체크박스 하나' 때문에 발생하는 리스크가 결코 가볍지 않습니다.
요즘 AI 서비스에서의 옵트아웃 트렌드
최근 생성형 AI 서비스에서도 이용자의 데이터 활용에 대해 옵트아웃 선택권을 제공하는 사례가 늘고 있습니다.
- 예를 들어 딥시크, 오픈AI 등은 설정을 통해 "내 대화를 학습에 사용하지 않겠다"는 옵션을 제공합니다.
- 이는 정보주체의 자기결정권을 강화하려는 글로벌 흐름과 맞닿아 있습니다.
하지만, 초기 설정이 '수집 동의'로 되어 있거나, 옵트아웃 절차가 복잡할 경우 여전히 규제 이슈가 발생할 수 있어 주의가 필요합니다.
정리
- 개인정보보호법은 옵트인을 기본 원칙으로 합니다.
- 옵트아웃은 제한적으로만 인정되며, 대표적인 예외가 가명정보 처리입니다.
- 개인정보 수집 화면 설계, 동의 방식 고지, 거부권 보장 모두 꼼꼼히 신경 써야 합니다.
- 작은 실수 하나가 곧바로 '법 위반'으로 이어질 수 있으니, 항상 정보주체의 관점에서 설계하고 검토하는 것이 핵심입니다.
'보안 이야기' 카테고리의 다른 글
| [북리뷰] 보이지 않는 위협 (0) | 2023.10.03 |
|---|---|
| 4월 13일 뉴스 (0) | 2022.04.20 |
| 대량의 IP 조회하기 (0) | 2022.03.21 |
| [북리뷰] 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드 (0) | 2022.03.01 |
| 1월 5일 뉴스 (0) | 2022.01.07 |
ligilo
행복한 하루 되세요~