한 통계에 의하면 지난 2009년 개인정보 침해관련 신고건수는 35,167건이었으며 그 가운데 23,948건(약 68.1%)이 법제 미비로 방치된 것으로 조사됐다. 이는 개인정보보호법 제정으로 인해 개인정보보호의 수준이 비약적으로 향상될 것이라 기대감을 갖게 되는 통계일 수도 있지만, 다른 한편으로는 그간 개인정보보호법의 적용을 받지 않았던 기업이나 동호회 등 단체의 입장에서는 큰 도전으로 다가오기도 한다. 여기에서는 개인정보보호법의 주요 내용, 법률 시행에 앞서 개인정보보호 체계가 상대적으로 취약한 중소기업이 주목해야 할 내용, 개인정보보호를 강화하기 위한 조치, 법률과 관련하여 기업 또는 고객 입장에서 주의해야 할 사항과 개인정보보호 인식제고를 위한 제언 순으로 내용을 소개하고자 한다.

\r\n

\r\n

개인정보보호법의 주요 내용(정보통신망법과의 차별성을 중심으로)

\r\n

적용대상 및 보호범위 확대

\r\n

개인정보보호법의 가장 큰 특징은 그 적용대상 및 보호범위가 확대되었다는 것이다. 적용대상에 있어서는 그 적용대상을 ‘업무상 목적으로 개인정보 파일을 운영하는 공공기관, 법인, 단체, 사업자 및 개인 등’으로 확대했고, 그 보호범위에 있어서는 전자적으로 처리되는 개인정보 외 수기문서까지도 보호범위에 포함됐다. 이는 공공과 민간, 온·오프라인을 통합하여 규율하기 위한 기본법 제정의 취지와 부합하는 한편, 기존에 법률의 사각지대에 자리 잡고 있어 국민의 개인정보 침해가 발생했음에도 불구하고 어떠한 조치도 취하지 못했던 맹점을 타개하기 위한 것으로 이해된다.

\r\n

\r\n

고유식별정보 처리 엄격히 제한

\r\n

또한, 주민등록번호 등 고유식별정보의 처리가 상당부분 제한된다. 법에서는 주민등록번호 등과 같이 법령에 따라 부여된 고유식별정보에 대해 원칙적으로 처리를 금지하는 한편, 정보주체가 별도로 동의한 경우, 법령에 따라 처리가 허용된 경우, 또는 공공기관이 법률에서 정하는 소관 업무를 수행하기 위하여 불가피한 경우로 대통령령이 정하는 경우에 한하여 처리가 가능하도록 제한하고 있다.

\r\n

\r\n

CCTV 등 영상정보처리기기 설치관련 근거 명시

\r\n

CCTV 등 영상정보처리기기의 설치와 관련한 근거도 개인정보보호법에 명시되어 있다. 즉, 영상정보처리기기는 범죄예방 및 수사, 화재예방 등 특정 목적을 위한 경우 공개된 장소에 설치가 허용되며, 목욕실/탈의실/화장실 등 프라이버시 침해 소지가 있는 장소에는 그 설치가 원칙적으로 금지된다. 또한, CCTV 설치 시에는 안내판 설치가 의무화되고 임의조작이 금지되는 한편, 녹음기능을 사용할 수 없다.

\r\n

\r\n

개인정보 유출 통지제도 도입

\r\n

개인정보 유출 통지제도의 도입 또한 낯선 부분이다. 법률에서는 개인정보처리자가 개인정보 유출사실을 알았을 때에는 지체 없이 해당 정보주체에게 일정 사항을 알리도록 규정하고 있다. 또한, 개인정보 유출 규모가 대통령령으로 정하는 일정 규모 이상일 때에는 그 조치결과를 행정안전부장관 또는 대통령령이 정하는 ‘전문기관’에 신고해야 한다.

\r\n

\r\n

개인정보 피해 구제절차 강화

\r\n

마지막으로 국민의 개인정보 피해 구제절차가 강화됐다. 분쟁조정 기능을 강화하여 개인정보 분쟁조정위원회의 조정 결정에 대하여 재판상 ‘화해 효력’이 부여된다. 또한, 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령령으로 정하는 사건에 대해서는 집단분쟁조정을 신청할 수도 있다.

\r\n

\r\n

개인정보보호법을 처음 적용하는 개인정보 처리자 유의사항

\r\n

기존에 정보통신망법 등 개인정보보호와 관련된 법령의 규제를 받던 기업 등 개인정보 처리자는 그 여파가 덜할 것이지만, 개인정보보호법의 제정에 의해 개인정보보호 의무사항을 처음으로 부과 받게 되는 사업자 등은 어떤 부분에 유의하여 법률을 업무 프로세스에 자연스럽게 녹여갈 것인지 부담스러운 것은 당연해 보인다.

\r\n

가장 처음에 관심을 가져야 하는 것은 정보주체로부터 ‘개인정보’를 수집하여, 이를 검색하기 편리하도록 일정 규칙에 따라 체계적으로 배열 또는 구성하는 ‘개인정보파일’을 집적하는지 여부를 확인해 보는 것이다. 이러한 개인정보파일은 전자기적 형태뿐만 아니라, 수기문서를 체계적으로 집적해 놓은 것 역시 포함된다.

\r\n

이와 같은 개인정보의 수집이 확인되는 경우, 개인정보가 어떤 흐름(Flow)으로 이동하며, 그 흐름마다 각 단계(개인정보의 생명주기 단계, 즉 수집, 이용, 제공/위탁, 파기 등)별로 어느 개인정보 처리자가, 어떤 목적으로, 얼마나 넓은 범위의 정보를 활용하는지를 조사해야 한다. 각 단계별로 그 개인정보 처리자/이용목적/처리정보의 범위 등을 확인한 후에는 법령에서 정한 단계별 보호조치가 제대로 적용되고 있는지를 확인할 수 있다. 위와 같이 개인정보의 흐름에 따른 보호조치를 구상한 후에는, 여타 개인정보 관리를 위한 조치 즉, 법령에서 규정하고 있는 개인정보 내부 관리계획의 수립, 개인정보 처리방침의 수립 및 공개, 개인정보 보호책임자의 지정, 개인정보 유출 통지 프로세스, 정보주체의 권리보장 방안 등을 마련해야 한다.

\r\n

개인정보보호와 관련한 법령을 처음으로 적용 받는 개인정보 처리자에게 있어 가장 중요한 점은 ‘개인정보는 수집, 이용, 제공/위탁, 파기 등의 생명주기를 가지며, 각 생명주기 단계별로 적절한 보호대책을 수립·이행해야 한다’는 것이다. 이러한 개인정보 처리자에게 있어 한 가지 다행스러운 점이라고 생각할 수 있는 것은 아직까지는 개인정보보호법이라는 큰 전제가 마련된 것 외에는 구체적인 개인정보보호방안이라 할 수 있는 시행령, 시행규칙, 고시, 가이드라인 등이 제정되지 않았기 때문에 개인정보보호법 준수에 필요한 큰 그림(Big Picture)을 그릴 수 있는 좋은 기회가 주어졌다는 것이다.

\r\n

\r\n

개인정보보호 체계를 강화하기 위한 조치

\r\n

개인정보보호 체계를 강화하기 위해서는 상식적인 수준에서 조직을 보강하고, 더 많은 Resource를 투입해야 한다. 그러나 많은 경우, 개인정보보호와 같이 수익이 직접적으로 창출되지 않는 사업부문에 많은 자원을 할당하는 결정은 쉬운 일이 아니다. 개인정보보호를 통한 간접적 이익, 즉 이용자 신뢰 확보, 브랜드 가치 강화, 지속 가능한 성장 배경 마련 등의 가치는 금전적 가치로 용이하게 환원되지 않는 까닭이다.

\r\n

그럼에도 개인정보보호 체계를 강화해야 하는 니즈가 존재하며, 이에 대한 대응을 적극 고려하고 있다면, 가장 먼저 고려해봐야 할 것은 개인정보 보호책임자를 지정하는 한편, 보호책임자에 대한 전사 차원의 지원(Sponsorship)을 선언하는 것이다. 이는 개인정보보호의 중요성을 선언하는 한편, 해당 보호책임자에게 권한을 부여하는 의식으로 작용한다. 또한, 개인정보 보호책임자로 하여금 그의 기존 조직(예 : 정보보호 조직의 수장이 개인정보 보호책임자로 임명된 경우, 정보보호 조직이 기존 조직에 해당함)외에 개인정보를 취급하는 모든 하위부서장을 가상조직(Virtual Organization)으로 엮어내어 일정 책임, 의무와 권한을 부여하는 작업 역시 중요하다.

\r\n

이상의 작업 이후에는 개인정보 취급자를 구분하여, 업무상 ‘필수적으로 개인정보를 처리’하는 경우를 제외하고는 개인정보 취급자를 최소한으로 유지하는 ‘권한관리 작업’을 수행해야 한다. 이러한 권한관리 작업의 목적은 개인정보 취급자를 최소한으로 유지하여 개인정보의 Access Point를 관리 가능한 수준으로 유지하는 동시에, 명확한 개인정보 처리 임무를 부여하여 권한과 책임을 명확히 하는 효과를 유발하기 위해서이다.

\r\n

위와 같이 개인정보를 취급·관리하는 인력에 대한 정비를 마친 후에는, 개인정보의 흐름에 따라 수집, 보관, 이용, 제공, 파기 단계별 보호조치를 구현하는 방식으로 개인정보 관리체계를 구현해나갈 수 있다.

\r\n

\r\n

법률 관련하여 기업 또는 고객 입장에서의 주의사항

\r\n

개인정보보호법의 발효를 어느 정도 가시권에 두고 있는 현 시점에서 기존에 개인정보관리체계를 보유하고 있는 기업은, 새로 변경된 법률이 기존의 업무 프로세스에 미치는 영향을 분석하는 것이 가장 중요하다.

\r\n

또한, 기존에 개인정보를 제공하는 대상으로만 존재했던 고객들은 개인정보보호법에 의거해 개인정보를 수집·활용하여 법률의 적용을 받는 개인정보처리자에 해당하는 것은 아닌지 주의를 기울일 필요가 있다. 기업 입장에서는 기존의 정보통신망법 등 특별법에 대해 법률적 요건을 모두 갖추었다고 판단해 개인정보보호법에 안이하게 대응했다가는 생각지도 못한 리스크를 떠안을 수도 있다. 즉, 개인정보의 생명주기에 따른 보호조치 수준에서 머물러 있는 것을 벗어나, 개인정보 침해발생을 상정하여 이에 대한 조직 내부에서의 커뮤니케이션 채널이 개방되어 있는지, 단체소송 등 집단분쟁이 발전한 형태의 고객 요구에 대응할 수 있는 체계가 갖추어져 있는지 등을 고민해야 한다.

\r\n

기존의 개인정보보호 수준이 잘 짜여진 규칙과 규율 내에서 체크리스트를 기반으로 문제점을 점검할 수 있는 수준이었다면, 앞으로의 개인정보보호는 예상치 못한 돌발 상황에 대응할 수 있는 기업의 준비태세(Readiness)를 시험하는 도전으로 다가올 것이기 때문이다.

\r\n

또한, 고객 입장에서는 기존의 보호대상의 지위에서 벗어나 개인으로써 또는 일정 단체의 일원으로써 개인정보를 수집하는 입장이 될 수도 있다. 즉, 사회적으로 일정 지위에 따라 지속 반복적으로 수행하는 업무로 인해 개인정보를 수집·이용하게 되는 경우 개인정보처리자의 지위를 획득하게 되며, 이는 개인정보보호법에서 정하고 있는 각종 의무사항을 이행해야 함을 의미한다. 따라서 고객 개인도 개인정보보호 의무를 준수해야 하는 부담을 떠안을 수 있음에 항시 주의해야 한다.

\r\n

\r\n

개인정보보호 인식제고를 위한 제언

\r\n

기존에 많은 개인정보가 유출되어 중국에서 활용되고 있기 때문에 개인정보보호 활동이 큰 의미가 없다거나, 주민등록번호 체계와 같이 국가 정책적인 개인정보 체계에 문제가 있다는 등의 냉소적인 비판은 이제 범국가적인 개인정보보호 체계가 확립되어가고 있는 현 시점에서는 그다지 설득력 있는 주장은 아니다. 특히, 개인정보의 개념이 항상성이 있는 것이 아니라, 시대와 기술의 변화, 발전에 따라 늘 새롭게 생겨나는 점을 눈여겨 봐야 한다.

\r\n

휴대전화기기의 일련번호를 개인정보로 인식하여 보호대상으로 관리해야 하는 시대를 우리는 맞이하고 있다. 개인정보의 가치를 인정하고, 이러한 가치를 보호·보존하기 위해 ‘내 주변에서 개인정보를 활용하고 있는 방식이 무엇인가?’를 다시금 되돌아볼 필요가 있다. 관용적으로 수집해왔던 회원의 신상정보에서 ‘없어도 무방한 정보’는 없는지, ‘개인을 특정하지 않는 정보로 대체’할 것은 없는지, 또는 개인식별정보를 데이터베이스의 Primary Key로 사용하고 있지는 않은지, 이를 대체할 방안은 없는지 등을 고민해 봐야 할 시점인 것이다.

\r\n

또한, 행정안전부에서는 이른 시기에 개인정보보호법과 관련한 많은 문의를 해결해줄 수 있는 ‘전문기관’ 지정을 서두르는 한편, 사업자들의 혼란을 최소화 할 수 있도록 개인정보보호 지원센터를 운영하는 등 실질적인 도움을 줄 수 있는 방안을 검토했으면 하는 바람이다. 개인정보보호 체계 구축지원 사업(Safe Office)과 같은 노력이 1회성으로 끝날 것이 아니라, 지속적으로 유지되고 그 성과가 공정하게 평가받아야 하는 것이다.

\r\n

<글 : 이 진 규 | NHN 개인정보보호팀장(davidlee@nhn.com)>

\r\n

\r\n

[월간 시큐리티월드 통권 제172호(sw@infothe.com)]

\r\n

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>