[보안뉴스 김경애] 요즘처럼 하루가 멀게 터지는 개인정보 유출사고의 이면에는 개인정보 최소수집 원칙에 반하는 기업에서의 개인정보 과다 수집 관행도 한몫을 차지하고 있다. 이 때문에 기업은 개인정보 수집과 관련해서 위반사항은 없는지 수시 점검해야 하며, 이용자는 피해예방을 위해 회원가입시 웹사이트에서 과도하게 개인정보를 수집하거나 이용자에게 불리하게 작용하는 조항은 없는지 꼼꼼히 살펴봐야 한다.

이와 관련 공정거래위원회(위원장 정재찬, 이하 공정위)는 21개 온라인 사업자가 사용하는 이용약관 및 개인정보 취급방침을 검토해 회원가입시 본인확인 정보를 필수 항목으로 수집하는 조항 등 4개 유형의 불공정 약관 조항에 대한 시정조치를 내린 바 있다.

시정조치를 내린 4개 유형은 △회원가입시 본인확인 정보를 필수항목으로 수집한 경우 △제휴 사이트 통합 가입 또는 통합 아이디(ID) 설정 시 개인정보의 제3자 제공 사실을 고지하지 않은 경우 △법률상 정해진 개인정보의 보유기간을 임의로 연장한 경우 △개인정보를 제공받는 자의 개인정보 보유 및 이용기간 등이다.

1. 회원가입시 본인확인 정보를 필수 항목으로 수집 

첫째, 이용자는 웹사이트에서 회원가입시 이용약관에 본인확인 정보를 필수 항목으로 수집하고 있는지 살펴봐야 한다.

개인정보보호법 제16조(개인정보의 수집 제한)에 따르면 ①개인정보처리자는 제15조 제1항 각 호의 어느 하나에 해당해 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집해야 한다고 명시돼 있다.

이어 정보통신망법 제23조(개인정보의 수집 제한 등)에 따르면 ②정보통신 서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스 제공을 위해 필요한 최소한의 정보를 수집해야 하며, 필요한 최소한의 정보 외의 개인정보를 제공하지 않는다는 이유로 그 서비스의 제공을 거부해서는 안 된다.  

하지만 모든 회원에게 회원가입 시부터 본인확인 정보를 필수항목으로 요구하는 기업이 적지 않으며, 이는 개인정보 최소 수집 원칙에 반하며, 고객 입장에서 부당한 처사라는 게  정부 측의 입장이다. 본인 확인 절차의 경우 인터넷 서비스의 본질적 기능 수행에 필수적이지 않은 반면, 정보의 유통 단계를 늘리고, 소비자 편의를 저해하는 측면이 있기 때문이다.

따라서 기업은 본인확인 정보를 수집하지 않거나, 필수수집 항목에서 삭제하거나 선택 항목으로 변경해야 한다. 또는 본인확인 정보의 경우 구매 또는 결제 단계의 필수수집 항목으로 바꾸는 것이 바람직하다.

2. 제휴 사이트 통합 가입시 제3자 제공 고지 안해

둘째, 제휴 사이트 통합 가입 또는 통합 아이디(ID) 설정 시 개인정보의 제3자 제공 사실을 고지하지 않는 사례도 주요 문제로 지적되고 있다.

바로 기업에서 회원가입시 자동으로 제휴 사이트에도 가입되도록 하거나, 제휴사 공통으로 쓸 수 있는 통합 아이디(ID)를 설정하는 등 통합 회원관리를 위한 개인정보 제3자 제공 사실 등을 고지하지 않는 경우가 종종 발견되고 있기 때문이다. 이는 개인정보 제3자 제공에 관한 정보통신망법 조항에 위반에 해당되며, 고객에게 부당하게 불리한 조항으로 약관법 위반에 해당된다.

정보통신망법 제24조의2(개인정보의 제공동의 등)에 따르면 ①정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제22조제2항제2호 및 제3호에 해당하는 경우외에는 △개인정보를 제공받는 자 △개인정보를 제공받는 자의 개인정보 이용 목적 △제공하는 개인정보의 항목 △개인정보를 제공받는 자의 개인정보보유 및 이용 기간을 이용자에게 알리고 동의를 받아야 한다. 

정보통신망법 제24조(개인정보의 이용 제한)에서도 정보통신서비스 제공자는 제22조 및 제23조 제1항 단서에 따라 수집한 개인정보를 이용자로부터 동의 받은 목적이나 제22조 제2항 각 호에서 정한 목적과 다른 목적으로 이용해서는 안 된다고 명시하고 있다.  

따라서 기업은 이용자가 원하는 경우에만 제휴 사이트에 가입할 수 있게 하고, 통합 회원 서비스 과정에서 제3자에 대한 개인정보 제공 사실을 명확히 고지해 동의를 받아야 한다.

3. 임의로 개인정보의 보유기간 연장

셋째, 법률상 정해진 개인정보의 보유기간을 연장하는 예외 조항의 경우 사업자가 보유하던 개인정보는 수집목적을 달성하면 원칙적으로 파기해야 한다. 그러나 기업에서 ‘회사 내부 방침’, ‘부정 이용’ 등의 모호한 사유를 들며 사실상 모든 고객의 개인정보를 연장해 보유하는 기업이 적지 않다.

때문에 기업에서는 구체적인 사유가 발생한 회원에 한정해 보존 항목 및 기간을 명시하고, 보관·관리해야 한다. 이용자 역시 관련 사항을 꼼꼼히 살펴봐야 한다.

4. 기술적·관리적 조치, 사업자 입증해야 면책 

마지막으로 개인정보 유출사고에 대한 사업자의 책임 범위를 축소하는 조항의 경우 기업에서 ‘기본적인 인터넷의 위험성’, ‘네트워크상의 위험’ 등의 모호한 사유를 들어 개인정보 유출에 대한 사업자 책임을 배제하는 사례도 심심치 않게 적발되고 있다.

정보통신망법 제28조(개인정보 보호의 조치)에 따르면 ①정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위해 대통령령으로 정하는 기준에 기술적·관리적 조치를 해야 한다.

이어 제32조(손해배상)에서는 이용자는 정보통신서비스 제공자 등이 이 장의 규정을 위반한 행위로 손해를 입으면 해당 정보통신서비스 제공자 등에게 손해배상을 청구할 수 있고, 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다고 명시돼 있다.

이에 따라 공정위는 개인정보보호를 위해 법률상 요구되는 기술적·관리적 조치를 다했음을 사업자가 입증해야만 면책될 수 있도록 시정했다. 이는 사업자의 책임 배제 사유가 매우 불명확하고 포괄적이어서 사업자의 손해배상 범위를 부당하게 축소시킬 수 있기 때문이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>