온라인 서비스에서 ‘동의’의 의미, 유럽과 한국의 법적 해석

 

 

“서비스 이용을 위해 아래 약관에 동의해 주세요.”
우리는 매일 같이 이런 문구를 접한다. 대부분의 사용자는 한 번도 약관을 읽지 않은 채 '동의함' 버튼을 누른다. 그러나 이 ‘동의’라는 행위는 단순한 클릭을 넘어, 법적으로 개인정보 처리의 합법성을 판단하는 핵심 기준이 된다. 특히 유럽과 한국은 이 ‘동의’라는 개념에 대해 전혀 다른 법적 해석과 철학을 적용하고 있다. 유럽은 GDPR을 통해 ‘명확하고 구체적이며 자유로운 동의’를 요구하며, 사용자의 자발성과 이해도를 법적으로 중시한다. 반면 한국은 개인정보보호법에서 동의를 요구하고는 있지만, 형식적 절차에 더 가까운 해석과 실무 관행이 일반화되어 있다. 이 글에서는 ‘동의’의 정의, 요건, 해석, 실무 적용 방식에 대한 유럽과 한국의 차이를 심층적으로 비교하여, 디지털 권리의 실질적 차이를 이해하고자 한다.

 

 

유럽 GDPR이 말하는 ‘동의’란 무엇인가?

유럽의 GDPR은 ‘동의(consent)’를 매우 엄격하게 정의하고 있다. GDPR 제4조 11항에 따르면, 동의란 “정보 주체가 자발적으로, 구체적이며, 충분히 정보가 제공된 상태에서 명확하게 표현한 의사 표시”이다. 이 정의는 한 문장처럼 보이지만, 실제로는 매우 강력한 보호 원칙을 담고 있다. 사용자는 어떤 정보가 수집되고 어떻게 활용될지 완전히 이해한 상태에서, 강요나 조건 없이, 선택적으로, 그리고 적극적인 방식으로 동의를 해야 한다는 것이다. 단순히 체크박스를 미리 선택해 두고, 사용자가 ‘다음’ 버튼을 누르는 행위는 유럽 기준에서는 ‘유효한 동의’로 간주지 않는다.

 

또한 GDPR은 ‘침묵’, ‘사전 표시 상자’, ‘행동 기반 추론’ 등은 모두 유효한 동의로 인정하지 않는다. 즉, 동의는 명확하고 능동적이어야 하며, 정보 제공자 측이 그 과정을 문서화하고 입증할 책임까지 갖고 있다. 사용자가 동의하지 않아도 서비스 이용에 제한이 없어야 하며, 언제든지 쉽게 동의를 철회할 수 있는 장치도 함께 제공돼야 한다. 이처럼 GDPR은 동의 자체를 사용자 권리 보장의 수단으로 정의하며, 기업은 단순한 고지나 절차를 넘어 ‘설명책임’을 갖는 구조로 운영된다.

 

한국 개인정보보호법에서의 동의 개념과 해석

한국의 개인정보보호법 제15조는 개인정보 수집 시 정보 주체의 동의를 원칙으로 규정하고 있다. 법적으로도 사전에 고지해야 할 사항들을 명시하고 있으며, ‘명시적 동의’가 필요한 경우도 존재한다. 하지만 한국의 실무에서는 동의가 형식적인 절차로 취급되는 경향이 여전히 강하다. 특히 ‘포괄적 동의’와 ‘선택 동의’를 구분하지 않거나, 선택 항목을 사실상 필수처럼 유도하는 UX를 설계하는 사례가 매우 흔하다.

 

예를 들어 “광고성 정보 수신에 동의하지 않으면 일부 서비스 이용이 제한될 수 있습니다”라는 문구는, 사실상 자유로운 동의를 침해하는 구조이지만 한국에서는 관행적으로 받아들여진다. 또한 다수의 온라인 서비스가 ‘동의함’ 버튼 하나로 이용약관, 개인정보 수집 및 활용, 제3자 제공, 마케팅 활용까지 통합 동의를 받는 경우도 흔하다. 이는 유럽 GDPR 기준에서는 ‘동의의 세분화’ 요건을 위반하는 구조이며, 실제로 유럽에서는 이를 사유로 다수의 기업에 과징금을 부과한 사례가 존재한다.

 

선택권 보장 여부: 자유의 개념이 갈린다.

GDPR에서 가장 중요한 요소 중 하나는 바로 “자유로운 동의”이다. 사용자는 서비스 이용과 관계없이 개인정보 수집에 대한 동의를 선택할 수 있어야 하며, 동의하지 않는다고 해서 불이익을 받아서는 안 된다. 이 원칙은 GDPR의 핵심 가치인 ‘정보 주체 중심주의’를 반영하며, 정보가 개인의 것이므로 수집 여부를 사용자가 결정할 수 있어야 한다는 철학에서 출발한다.

 

반면 한국에서는 여전히 많은 서비스가 ‘동의하지 않으면 가입이 불가능한 구조’를 유지하고 있다. 예를 들어, 위치정보 동의가 없으면 앱 자체가 실행되지 않거나, 마케팅 활용 동의를 하지 않으면 쿠폰 발급이 불가능한 구조 등은 사용자의 선택권을 사실상 제약하는 방식이다. 이는 ‘동의의 자유’가 아니라 ‘울며 겨자 먹기’ 식의 동의이며, 법적 형식은 갖추었지만 본질적으로는 사용자 권리를 침해하는 구조라 볼 수 있다. 법적으로는 문제 되지 않더라도, 이런 구조는 결국 신뢰를 떨어뜨리고, 디지털 권리 후진국으로 남게 만든다.

 

온라인 동의 철회와 관리의 시스템화 차이

유럽에서는 동의 철회 역시 GDPR 상에서 중요한 권리로 규정되어 있다. 사용자는 언제든지 과거에 했던 동의를 철회할 수 있으며, 철회는 처음 동의할 때보다 쉬운 방식으로 제공되어야 한다. 예를 들어 마케팅 메일의 하단에 ‘수신 거부 링크’가 있는 것은 의무 사항이며, 회원 탈퇴 시 모든 데이터 수집 동의를 손쉽게 취소할 수 있도록 하는 기능도 제공되어야 한다. 기업은 사용자의 동의 철회 요청이 있을 경우 즉시 이를 반영하고, 데이터 삭제까지 실행할 의무를 진다.

 

한국은 동의 철회 기능이 여전히 제한적이다. 일부 대형 플랫폼은 ‘마케팅 수신 동의 철회’를 계정 설정에서 지원하고 있지만, 대부분의 서비스는 동의 철회를 위해 고객센터를 거치거나, 이메일로 요청해야 하는 번거로운 절차를 요구한다. 또한 데이터 수집 동의는 자동화되어 있지만, 철회는 수동적이고 복잡한 방식으로 운영되는 것이 일반적이다. 이는 결국 사용자의 권리를 실질적으로 행사하지 못하게 만들며, ‘형식적 권리’만 존재하는 구조로 굳어지게 만든다.

 

규제기관의 입장과 법 집행 강도

GDPR은 동의 관련 위반에 대해 매우 강력한 제재를 가한다. 프랑스 데이터보호감독기관(CNIL)은 구글에 대해 2019년 “투명성 부족 및 유효한 동의 미비”를 이유로 5천만 유로(약 650억 원)의 과징금을 부과했고, 이 외에도 수많은 유럽 기업이 미비한 동의 관리로 인해 법에 따 제재를 받아왔다. 동의의 절차 하나하나가 법적으로 명확히 규정돼 있기 때문에, 기업은 UX 디자인, 고지 문구, 수집 항목 구조까지 매우 정교하게 관리해야 한다.

 

한국의 개인정보보호위원회는 최근 들어 점차 규제를 강화하고 있으나, 지금까지 GDPR 수준의 제재나 감시 체계를 운영하고 있지는 않다. 대부분은 “사전 고지 부족”, “과도한 개인정보 수집”에 초점이 맞춰져 있으며, ‘동의 방식의 적법성’에 대한 세부 기준이나 감시 체계는 여전히 부족하다. 또한 개인정보 수집에 있어 UX 상의 유도, 복합 동의 구조 등에 대해 구체적인 제재 사례가 거의 없다는 점에서, 실질적인 사용자 권리 보장까지는 아직 갈 길이 멀다.

 

 

동의는 단순한 클릭이 아니다. 그것은 개인정보 보호 체계에서 가장 핵심적인 행위이며, 개인의 자율성과 통제권을 법적으로 실현하는 수단이다. 유럽은 GDPR을 통해 동의를 사용자 중심의 권리로 해석하며, 자유, 구체성, 명확성, 철회 가능성 등 모든 요소를 법적으로 정교하게 구성했다. 반면 한국은 여전히 ‘동의’라는 행위를 정보 제공자의 의무로서 해석하고 있으며, 사용자 권리보다 절차적 형식에 집중된 구조를 유지하고 있다. 이러한 차이는 단지 법률 조항 몇 줄의 문제가 아니라, 개인정보를 어떤 시각으로 바라보는지에 대한 사회적 철학의 차이를 드러낸다. 디지털 시대가 심화할수록, 우리는 ‘동의’라는 작은 클릭이 만들어내는 거대한 권리 구조를 다시 살펴봐야 한다. 지금 이 순간에도 수많은 사람이 자신도 모르게 동의 버튼을 누르고 있지만, 그 행위가 정말 자유롭고 자발적이었는지는 묻는 이가 없다. 이제는 사용자도, 기업도, 정부도 ‘동의’의 진짜 의미를 되돌아봐야 할 때다.