.jpg)
\r\n
\r\n
중소사업자가 꼭 알아야할 개인정보보호법 개정안
\r\n
최근 대규모 개인정보 유출사고로 인해 올 8월부터 개인정보보호법이 더욱 강화되어 개정·시행된다. 또한 앞으로 온라인상 개인정보를 유출한 기업에 대한 처벌이 최대 1억 원에서 관련 매출의 3% 이하 과징금으로 대폭 강화된다. 이처럼 개인정보보호에 대한 법이 강화되면서 기업들, 특히 중소기업들은 이에 대한 대책마련이 시급해졌다.
\r\n
\r\n
글 보안뉴스 편집국 (boan@boannews.com)
\r\n
\r\n
\r\n
중소사업자와 소상공인들에게 지난 8월 7일부터 시행되는 개인정보보호법에서 가장 중요한 내용은 주민등록번호와 관련한 사항이다. 법 개정 이전에는 법적 근거가 없어도 고객이 동의만 하면 주민등록번호를 수집할 수 있었다. 하지만 올 8월부터는 명시적으로 관련 법령에서 구체적으로 허용한 경우 외에는 고객으로부터 동의를 받아서 주민등록번호를 수집하는 것도 금지되기 때문에 사업자들은 유의해야 한다.
\r\n
\r\n
또 고객의 동의를 받아 수집해서 가지고 있는 주민등록번호가 있다면 2년 이내(2016년 8월 6일까지)에 모두 파기해야 한다. 특히 주민번호를 유출하거나 안정성이 확보되지 않은 경우, 5억 원 이하의 과징금을 부과할 수 있도록 하는 제도가 신설됐다. 안정성 확보는 DB접근제어, DB암호화, PC개인정보 검색·폐기 등의 보안조치를 말한다.
\r\n
\r\n
법 개정으로 고객 주민등록번호 수집방식 및 기간 신경 써야
\r\n
소상공인들과 중소사업자들의 주민번호 수집·이용과 관련해서는 그동안 고객의 주민등록번호를 수집하고 있지 않았거나 법령에 근거해 주민등록번호를 수집하고 있었다고 해도 특별히 준비해야 할 것은 거의 없다. 하지만 업무 편리성을 위해 관행적으로 또는 향후 신규 서비스의 제공을 위해서 고객 동의하에 주민등록번호를 수집해 왔다면, 이제는 이를 수집하지 않는 업무 프로세스와 시스템으로의 변경 조치가 필요하다.
\r\n
\r\n
한 예로, 매장에서 고객의 주민등록번호 기록을 통해 실명 확인을 했다면 앞으로는 이를 기록하지 않고 주민등록증 확인만 하는 방식으로 전환해야 한다. 또한 인터넷 홈페이지를 통해 주민등록번호를 수집하는 경우, 법적 근거가 아니면 주민등록번호를 사용하지 않는 형태로 수정하거나 삭제하는 방식으로 변경해야 한다.
\r\n
\r\n
한국인터넷진흥원 개인정보보호 기술지원센터에서는 개인정보보호법에 따라 지켜야 하는 의무조치사항과 개인정보의 안전한 기술적·관리적 보호조치 방법에 대한 상담·컨설팅을 제공하고 있다. 이와 함께 전국 어디서나 현장까지 찾아가서 필요한 조치 및 점검 서비스를 제공하고 법적 의무사항인 개인정보보호 교육까지 제공하고 있다.
\r\n
\r\n
또한 홈페이지 웹 취약점 점검 서비스를 제공해 홈페이지를 통한 개인정보 유출 예방 조치를 지원하고 있다. 이 외에도 인터넷 홈페이지나 고객관리 프로그램에서 불필요한 주민번호를 수집하지 않도록 돕기 위해 주민번호 삭제 및 대체수단 도입 기술 지원을 하고 있다. 이에 대한 자세한 내용은 개인정보보호종합지원포털 사이트(www.privacy.go.kr) 또는 한국인터넷진흥원 개인정보보호 기술지원센터(국번없이 118)로 문의하면 된다.
\r\n
\r\n
\r\n
\r\n
\r\n\r\n\r\n| \r\n .jpg)
|
\r\n\r\n| \r\n 개인정보보호법 주요 개정 사항 |
\r\n
\r\n
\r\n
\r\n
개인정보 유출시 최대 1억 원에서 관련 매출의 3%이하 과징금
\r\n
앞으로 온라인상 개인정보를 유출한 기업에 대한 처벌이 최대 1억 원에서 관련 매출의 3%이하 과징금으로 대폭 강화된다. 이용자는 개인정보 유출로 인한 손해액을 입증하지 않더라도 최대 300만원의 손해배상 청구가 가능하다. 사전에 수신동의한 경우만 영리목적의 광고성 정보 전송을 허용해 스팸을 원칙적으로 제한한다.
\r\n
\r\n
지난 5월 2일 이 같은 내용을 골자로 한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 국회 본회의를 통과했다. 현행법은 개인정보를 유출한 기업에 대해 기술적·관리적 보호조치 위반과 유출사고와의 인과관계를 입증해야만 1억 원 이하의 과징금을 부과하도록 규정하고 있다. 그러나 인과관계 입증이 쉽지 않아 따끔한 처벌에 한계가 있고 제재 수준도 약하다는 지적이 끊이지 않았다.
\r\n
\r\n
이번 법 개정을 통해 개인정보 유출시 기술적·관리적 보호조치와 유출 사고와의 인과관계를 입증하지 않더라도 관련 매출액의 3% 이내의 과징금을 부과할 수 있게 된다. 이용자 동의를 받지 않고 개인정보를 수집한 경우 등 각종 개인정보 관련 위반 행위에 대해서도 동일한 제재 기준이 적용된다. 한편, 개인정보 유출사고가 발생한 경우, 이용자는 손해배상을 청구하기 위해 직접 손해 규모를 증명해야 하고 구체적인 배상 기준이 없어 이용자 권리를 보호하는데 턱없이 부족한 것이 사실이었다.
\r\n
\r\n
\r\n
그러나 이용자의 구체적인 손해액 입증 없이도 최대 300만원의 손해배상액을 지급하는 법정 손해배상제도가 도입된다. 우리 국민 대다수가 이통사, 포털 등 정보통신서비스를 폭넓게 이용하고 있어 기업들이 적지 않은 부담을 느끼는 만큼, 기업 스스로 개인정보보호 조치를 한층 강화하는 요인으로 작용할 수 있을 것으로 예상된다.
\r\n
\r\n
사전 동의 받아야 광고성 정보 전송할 수 있다
\r\n
종전의 경우 휴대전화 문자와는 달리 이메일·홈페이지 게시판 등은 사전에 동의를 받지 않아도 광고 전송이 가능했으나, 이제는 모두 이용자의 사전 동의를 받은 후에만 영리목적의 광고성 정보를 전송할 수 있도록 제한한 것도 의미 있는 변화이다. 전송매체와 관계없이 이른바 옵트인(Opt-in) 방식으로 전환함으로써 스팸을 줄이는데 큰 도움을 줄 수 있을 것으로 전망된다.
\r\n
\r\n
이 밖에도 개인정보가 유출된 경우 24시간 이내에 신속하게 이용자에게 알리고 보유기간이 지난 개인정보를 파기할 경우 복구·재생할 수 없는 조치를 취해 2차 피해를 예방하도록 했다. 정보통신서비스 제공자가 해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 ‘필요 최소한’의 정보 이외의 개인정보를 제공하지 않는 것을 이유로 서비스 제공을 거부하는 것도 금지했다.
\r\n
\r\n
이에 대해 방송통신위원회는 이번 법 개정을 통해 카드사, KT 등 잇따른 대규모 개인정보 유출로 인한 국민들의 불안을 근본적으로 해소하고 ‘스팸 공화국’이라는 오명에서 벗어나는데 도움이 될 것으로 기대하고 있다. 향후 방통위는 하위 규정을 마련하는 한편, 개인정보 유출 기업, 스팸 발신자에 대한 전방위 실태조사를 병행하여 내실 있는 정책 추진이 이루어지는데 모든 역량을 집중할 계획이다.
\r\n
\r\n
\r\n
[월간 시큐리티월드 통권 213호 (sw@infothe.com)]
\r\n
\r\n
<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
