개인정보 최소수집·법정손해배상제·과징금 제도 등 신설

기업의 최우선 과제, 개인정보 최소수집·파기·동의 개선 ‘시급’

  
[보안뉴스 김경애] 오는 29일부터 본격 시행되는 개정 정통망법에 따라 개인정보보호 의무와 처벌이 한층 강화됐다. 이에 기업도 그동안 과다 수집하던 개인정보에 제동이 걸리면서 개정안에 관심을 쏟고 있다.

이와 관련 방송통신위원회가 주최하고, 한국인터넷진흥원이 주관한 ‘제3차 온라인 개인정보보호 세미나’가 20일 잠실 광고문화회관에서 개최됐다.

우선 개정된 주요 내용을 살펴보면 △기업이 해당서비스의 본질적 기능을 수행하기 위해 반드시 필요한 최소한의 개인정보라는 개념 도입 △개인정보 유출 시 이용자는 300만원 이하의 손해배상을 청구할 수 있는 법정 손해배상제 도입 △개인정보 보호의무 위반 시 매출액의 100분의 3이하의 과징금 부과 등의 조항이 신설됐다.

이와 함께 △개인정보 취급 위탁시 동의 예외 요건으로 ‘이용자 편의 증진 등을 위해 필요한 경우’ 추가 △개인정보 이전 시 영업양수자 등이 이용자에게 알리는 통지의무 △개인정보 유출 시 24시간 이내 이용자에게 알리고 신고(방통위 또는 KISA) △개인정보 파기시 복구·재생할 수 없도록 파기하고, 위반 시 2년 이하 징역 또는 2천만원 이하 벌금 등 처벌 강화 △개인정보 유출 시 기술적·관리적·보호조치 위반시 매출액의 100분의 3이하 과징금 부과 △개인정보 유효기간 3년에서 1년으로 단축 △암호화는 비밀번호의 경우 일방향으로 해야 하고, 바이오정보와 주민번호, 계좌번호 등은 암호화해야 한다는 내용 등으로 한층 더 강화됐다. 반면, 개인정보 취급방침의 전자적 표시의무는 폐지됐다.

그렇다면 기업에서는 개정사항을 적용하기 위해 어떻게 해야 할까? 이에 본지는 이 가운데 가장 문제가 되고 있는 개인정보 수집, 파기, 동의 부분에 대해 살펴보고자 한다.

최소수집 원칙, 불필요한 본인확인 절차 폐지해야

기업은 우선 개인정보 수집목적을 명확히 하고, 그 목적에 필요한 범위에서 최소한의 개인정보만을 수집해야 한다.

필수동의 항목은 ‘해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보’로 엄격히 제한하고, 선택동의 항목은 목적별로 나누어 개별적으로 동의를 받는 것이 바람직하다.

또한 불필요한 본인확인 절차는 폐지해야 한다. 이는 명의도용 등의 방지를 위한 본인확인 기능은 본질적 기능으로 분류할 수 있지만, 본인확인 과정에서 수집한 개인정보는 본인확인 목적으로만 이용이 가능하기 때문이다.

이를테면 인터넷 회원가입 시에는 불필요한 본인확인 요구는 지양하고, 연령 확인 등 법령상 의무 이행을 위해 필요한 경우라도 최소한의 정보만을 수집해야 한다.

이와 관련 방송통신위원회 임종철 조사관은 “홈페이지를 회원제로 운영할 경우 회원계정 생성을 위한 최소한의 개인정보로 아이디, 비밀번호, 이름 등만을 수집해야 한다”며 “만약 수집한 개인정보를 다른 목적으로 이용하기 위해서는 반드시 별도 동의를 받아야 한다”고 강조했다.

개인정보 수집목적과 보유기간의 경우 수집단계에서 구체적으로 명시해야 해야 한다. 본인여부 확인을 위해 신분증을 요구할 때에는 단순한 확인만 해야 한다. 특히 영업현장에서 신분증 사본 제출을 요구하거나 별도 저장·보관하지 않도록 기업들은 주의해야 한다. 또한 영업점에 대한 관리·감독을 주기적으로 실시해 개인정보의 수집·보관을 최소화해야 한다.

특히 내부적 증빙 처리를 위해 이용자에게 과도한 증빙자료를 요구하지 않도록 주의하고, 신분증 뒷면의 지문과 같은 바이오정보와 주민번호는 반드시 마스킹 처리를 해야 한다.

서비스 이용 단계에서 수집된 개인정보와 관련해 임 조사관은 “접속기록, IP 등은 통신비밀보호법에 따라 최소 3개월간은 보유해야 하고, 민원상담 녹취록 등은 보유기간 종료, 목적달성, 이용자 동의 철회에 따라 파기해야 한다”며 “법률상 의무이행을 위해 보관이 필요한 경우에는 외부와 차단된 별도 DB 또는 테이블에 분리 보관하고, 의무 종료시에는 재생할 수 없도록 파기해야 한다”고 당부했다.

또한 사업자가 개인정보를 제3자에게 무분별하게 제공하는 것은 원칙적으로 제한하기 때문에 제휴 서비스 관련으로 개인정보를 제공할 때는 계약서에 파기 및 확인 사항을 명시해야 하고, 사업자가 개인정보 취급을 수탁자에게 위탁한 경우 수탁자는 실제 개인정보를 파기했는지 여부를 확인해야 한다고 덧붙였다.

개인정보 파기시기의 경우 해당 목적 달성, 보유기간 종료, 폐업, 동의 철회에 따라 지체 없이 파기해야 하며, 이는 정당한 사유가 없는 한 5일 이내 파기해야 한다.

동의는 법적 고지사항 중심으로 간결하게

법적 고지사항인 수집·이용 동의는 △개인정보의 수집·이용 목적 △수집하는 개인정보의 항목 △개인정보의 보유·이용기간이며, 제3자 제공 동의는 △개인정보를 제공 받는자 △개인정보를 제공받는 자의 개인정보 이용목적 △제공하는 개인정보의 항목 △개인정보를 제공받는 자의 개인정보 보유 및 이용기간이다.

또한 취급위탁 동의의 경우 △개인정보 취급 위탁을 받는 자(수탁자) △개인정보 취급위탁을 하는 업무 등을 고지해야 한다. 특히 법적고지사항은 간결하게 표시해 동의를 받아야 하며, 그 외의 사항에 대해 장황하게 포함하지 않도록 간소화하는 것이 중요하다. 또한 동의 받는 내용은 굵은 글씨, 빨간색 등으로 알아보기 쉽도록 표시하는 것이 바람직하다.

그동안 개인정보의 과다 수집논란은 여러차례 제기된 바 있으며, 개인정보 수집내용 또한 서식이 복잡하고 기재사항이 많아 이용자의 불편이 가중돼 왔다. 게다가 개인정보 수집에 동의하지 않으면 기업에서 제공하는 서비스를 이용할 수 없는 등 많은 문제점들이 제기돼 왔다. 이번 정통망법 개정으로 기업들의 개인정보보호 움직임이 얼마나 개선될지 귀추가 주목된다.  
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>