• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

회원가입시 수집되는 개인정보, 처리방침과 다르다고? 2017.11.28

국내, 개인정보 수집시 ‘수집항목·이용목적·보유기간’ 등 고지 후 동의 얻어야
해외, 개인정보처리방침시 사전 동의 얻어 관리체계 단일화...국내도 법적 개선 필요

[보안뉴스 김경애 기자] 기업 등에서 회원 가입 시 수집되는 필수 개인정보와 개인정보처리방침이 일치하지 않는 경우가 많아 이를 둘러싼 논란이 뜨겁다.

이를 두고 일각에서는 기업 등에서 개인정보를 제대로 관리하지 못한 측면도 있지만, 다른 국가에 비해 효율성이 떨어지는 개인정보 관리체계 문제 때문이라는 의견도 제시되고 있다. 이에 우리나라도 개인정보처리방침에 대해 이용자들에게 사전 동의를 받는 형태로 개인정보관리체계를 단일화하는 등 법적 제도 개선이 필요하다는 목소리가 힘을 얻고 있다.

[이미지=iclickart]


본지는 지난 22일 개인정보가 유출된 프리스비의 개인정보관리 실태를 보도한 바 있다. 프리스비의 경우 수집되는 필수 개인정보와 개인정보처리방침에서 고지하는 개인정보가 일치하지 않는다는 지적이 나왔다. 그런데 이러한 문제는 비단 프리스비에만 해당되는 게 아니다. 기업에서 많이 하는 실수로 이런 사례가 부지기수라는 얘기다.

그렇다면 왜 이러한 문제가 계속 발생하는 것일까? 이와 관련 한 개인정보보호 전문가는 “최초 사업 시작 당시 정한 개인정보처리방침이 시간이 지나면서 회원가입이나 기타 이벤트 등의 목적에 따라 수집되는 개인정보 항목이 달라지기 때문”며이라며 “이런 경우 개인정보처리방침을 수정해 개인정보 수집항목을 최신으로 유지해야 하는데, 이를 누락한 경우가 많다. 사업자들이 자주 하는 실수 중 하나”라고 말했다.

이는 기존 개인정보보호 관리체계의 비효율성을 단적으로 보여준 사례라는 지적이다. 현재 우리나라의 경우 개인정보처리방침과 개인정보 수집 및 이용 동의 문구를 별도로 유지하고 있다. 정보통신망법과 개인정보보호법에서 개인정보를 수집할 때 ‘수집 항목, 이용목적, 보유 및 이용기간’ 등 구체적인 항목을 나열하고, 이에 대한 동의를 받도록 규정하고 있기 때문이다.

이와 관련 한 개인정보보호 전문가는 ‘개인정보처리방침’을 제시하고 동의 받는 외국 사례를 들며 “해외의 경우 개인정보 처리시 개인정보처리방침(Privacy Policy)에 따라 동의를 받기 때문에 별도로 ‘개인정보 수집 및 이용’ 문구를 만들지 않는다. 단일화된 개인정보보호 관리체계로 운영돼 우리나라처럼 별도로 관리하지 않아도 된다”고 설명했다.

이처럼 해외에서는 개인정보처리방침에 대해 먼저 동의를 받는 것이 관례다. 개인정보처리방침 하나만 관리하면 되는 체계인 외국과 비교해 우리나라는 별도로 관리해야 하기 때문에 관리가 쉽지 않을 뿐더러 효율성도 떨어진다는 것이다.

이로 인해 일각에서는 우리나라도 개인정보처리방침에 대한 동의로 단일화하는 방안을 고려해야 한다는 의견이 제기되고 있다. 이와 관련 한 CISO는 “개인정보보호 업무 중 관리적 측면에서 업무 효율성을 높이기 위해서는 우리도 외국처럼 개인정보처리방침 하나로 관리될 수 있도록 법제 개선이 필요하다”고 말했다.

물론 이에 반대하는 의견도 상당수다. 이용자 입장에서 너무 많은 내용을 읽어야 해서 효과가 떨어진다는게 이들의 생각이다. 때문에 법적 개선도 녹록치 않은 상황이다.

그럼 효율적인 방안은 무엇일까? 한 개인정보보호 전문가는 “이용자 행태 관점에서는 내용을 제대로 안 읽어보는 경우가 상당수라 개인정보보호 측면에서는 사업자와 이용자간의 권리의무관계를 세부적으로 규정한 개인정보처리방침에 대해 동의를 받는게 더 적절하다”고 말했다.

익명을 요청한 개인정보보호최고책임자(CPO)는 “이용자는 ‘어차피 읽어보지 않는다’는 실증 연구가 많이 있다. 이를 전제로 이용자의 권리를 어떻게 보장할 것인가에 대해 생각한다면 개인정보처리방침은 약관규제법에서 정하는 약관에도 해당된다. 이러한 약관에 불공정한 내용이 담기지 않도록 꾸준히 관리하는 것이 중요하다”고 설명했다.

이어 “다만 현재 개인정보처리방침은 정보통신망법에 규율을 받아 방송통신위원회가 관리하고, 약관규제법은 공정위가 관리해 효율성이 떨어질 수 있다”며 “이에 따라 이용자가 효율적으로 통제권을 행사할 수 있도록 개인정보 처리에 대한 ‘고지와 통제권(Notice-Control)’이 제대로 구현돼야 한다”고 덧붙였다.

다만, 고지(Notice)는 이용자가 읽지 않는 문제를, 통제권(Control)은 일반 이용자가 행사하기엔 복잡한 문제를 해결하려는 노력이 병행돼야 할 필요가 있다는 의견이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>