법제도/정책

개인정보보호법 시대…기업들이 숙지해야할 핵심 체크리스트는?

이유지 기자
- 공포될 시행령·지침 고시 시안 숙지 필요, 행안부 ‘법령·지침 해설서’ 조만간 발간

[디지털데일리 이유지기자] 지난 3월 말 공포된 개인정보보호법이 이달 30일 전면 시행된다.

이에 따라 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 등 38개의 개별법 운영체계에서 51만개 사업자에 적용해온 개인정보보호 관련법 대상 사업자가 350만개로 확대된다.

사실상 개인정보를 수집·이용하는 모든 단체와 조직이 개인정보보호 관련법의 규율을 받게 돼, 그동안의 법적 사각지대가 크게 해소될 것으로 전망된다.   

개인정보보호법 제정으로 금융기관·병원·서비스업 등 민간 사업자뿐만 아니라 국회·법원·헌법재판소 등 헌법기관과 2만8000개 공공기관, 사업자협회·동창회 등 비영리단체도 준수 대상이 됐다.

일반법인 개인정보보호법은 정보통신망법, 신용정보의 이용 및 보호에 관한 법률 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 모든 사업자에 적용될 예정이다.

일단 사업자들은 규율을 받아온 개별법을 그대로 우선 준수하게 된다. 하지만 이번에 시행되는 개인정보보호법과는 규정해 놓은 조치사항이나 수준, 범위에 차이가 있는 경우도 있어 시행될 법의 내용을 반드시 숙지해 대응방안을 수립해야 한다.

개인정보보호법을 준수해야 하는 사업자들이 당장 점검해야 할 사항은 무엇일까.

개인정보보호법 시행일을 열흘 앞두고 법에서 위임한 사항 등을 구체적으로 규정한 개인정보보호법 시행령이 이미 21일 국무회의를 통과했고, 그 내용이 공개돼 있다. 시행령은 오는 27일 대통령 재가를 거쳐 공포될 것으로 예상되고 있다.

시행령에 따라 구체적인 사항을 정해놓은 개인정보 표준지침·안전성 확보 지침 등 고시도 법 시행일에 맞춰 이뤄질 예정이다.

◆개인정보 수집 자체 최소화=먼저 무분별한 개인정보 수집을 자제해야 한다. 개인정보보호법은 주민등록번호, 여권번호 등 고유식별정보의 처리를 원칙적으로 금지하는 등 사업자들이 개인정보 수집`이용을 최소화하고 암호화와 접근통제와 같은 적절한 기술적 보호조치를 수행토록 했다.

불필요하게 주민번호 등 개인정보를 수집하는 경우에는 자칫 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로 서비스 제공에 필요한 최소한의 개인정보 수집이 현명하다.

개인정보 수집시에는 서비스 제공에 꼭 필요한 필수정보와 선택정보를 구분해 놔야 한다.

개인정보보호법에 개인정보처리자는 수집목적에 필요한 최소한의 개인정보를 수집하도록 했다.

◆개인정보 수집시 필수정보 외 선택정보 수집금지=인터넷 회원가입 등으로 고객정보를 수집할 때에는 서비스 제공과 관련이 없는 개인정보는 수집하지 말아야 한다.

개인정보보호법에는 취미, 직업과 같은 선택정보를 고객이 입력하지 않았다고 해서 해당 서비스 제공을 거부하는 것을 금지했다. 이를 어길 시엔 3000만원의 과태료가 부과된다.

또한 법적 분쟁시엔 필수정보와 선택정보 수집이 적정한지 여부를 사업자가 입증할 책임을 부여했다.

만일 선택정보를 수집하려면 필수정보에 대한 수집·이용 동의와는 별도로 사용자 동의를 받아야 한다.

◆고유식별정보·민감정보 처리 원칙적 금지, 수집시 별도동의=주민등록번호 등 고유식별정보와 종교·건강정보 등 민감정보는 원칙적으로 처리를 금지해야 한다. 법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고는 처리할 수 없도록 규제가 강화됐기 때문에 수집 시에는 먼저 법령에 근거가 있는지 살펴야 한다.

고유식별정보와 민감정보는 개인정보 주체의 동의를 별도로 구해야 하므로 홈페이지 등에 별도동의 서식을 갖추는 것이 중요하다.

성명, 생년월일, 아이디, 비밀번호 등 서비스 제공에 필요한 필수정보 수집·이용에 개인정보 주체가 동의했다고 하더라도 고유식별정보 처리나 민감정보, 목적 외 제공 동의시엔 별도 동의를 받아야 하기 때문이다.

◆개인정보 위탁자의 수탁자 관리책임 강화=개인정보 위탁시엔 고객에게 고지하고 관리책임을 철저히 해야 한다.

홍보, 판매목적으로 개인정보 처리업무를 위탁할 때에는 고객들에게 서면이나 전자우편, 팩스, 전화, 문자 등으로 고지해야 한다. 수탁자의 안전한 개인정보 처리 여부 관리감독 책임도 위탁자에게 있다.

만일 수탁자가 잘못해 개인정보가 유출돼 피해가 발생한 경우엔 위탁자가 손해배상을 해야 하기 때문에, 수탁자 교육 등을 철저히 이행해야 한다.

이를 위반할 경우엔 3000만원의 과태료가 부과된다.

◆암호화·접근통제 등 개인정보 기술적 보호 조치 적용=개인정보파일은 안전한 방법을 사용해 보관해야 한다.

개인정보파일이 유출되면 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있으므로 안전한 방법으로 보관해야 한다. 개인정보 암호화, DB 접근권한 제한, 백신프로그램 설치, 방화벽 등 침입차단시스템을 설치해 필요한 보호조치를 취해야 한다.

개인정보보호법에는 개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치 이행토록 했고, 이를 이행하지 않으면 3000만원 이하의 과태료를 물도록 했다. 만약 이를 지키지 않아 개인정보가 유출됐을 시엔 2년 이하의 징역이나 1000만원 이하의 벌금도 부과된다.

개인정보보호법 시행령에 따라 고시될 ‘개인정보의 안전성 확보조치’ 지침에는 내부관리계획 수립을 비롯해 접근권한관리, 비밀번호 관리, 방화벽 등 접근통제시스템 설치, 고유식별정보와 비밀번호, 바이오정보의 암호화 적용 등이 규정돼 있다. 개인정보처리자는 개인정보 접속기록을 6개월 이상 보관해야 하며, 백신 등 보안프로그램 설치와 물리적 접근방지도 운영토록 했다.

◆파기할 개인정보, 예외 보관할 개인정보 사항 숙지=개인정보처리자는 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기해야 한다. 다만 파기계약청약 철회서, 분쟁처리문서 등 필수 보관해야 하는 법 허용 예외사항도 숙지해야 한다.

개인정보보호법은 보유기관이 완료됐거나 개인정보 이용·처리목적이 달성돼 개인정보가 불필요하게 됐을 때에는 5일 이내에 개인정보를 복원이 불가능한 방법으로 분쇄·소각해 파기토록 했다.

컴퓨터로 저장된 문서를 가지고 있는 경우엔 로우레벨포맷이나 삭제 소프트웨어를 사용해 파기 처리해야 한다. 이를 위반하면 3000만원 이하의 과태료가 부과된다.

하지만 전자상거래법, 의료법 등 다른 법에 따라 고객 개인정보가 담긴 문서를 반드시 보관해야 하는 경우가 있기 때문에 법률에서 지정한 예외사항을 숙지하고 이를 준수하는 것이 좋다.

전자상거래보호법에는 계약청약철회 기록과 요금정산 기록을 5년간, 소비자분쟁처리기록은 3년간 각각 보관토록 돼 있다. 의료법 시행규칙에는 의료기록부는 10년, 진단서 등의 부본은 3년간 보관토록 했다.

◆CCTV 등 영상정보처리기기 안내판 설치 등 의무사항 점검=한편, 기존 CCTV 안내판 설치, 녹음기능 사용여부는 확인해 미비점을 보완해야 한다.

개인정보보호법 제정으로 CCTV 등 영상정보처리기기 설치운영이 제한되고 이를 관리감독할 근거법률이 마련됐다. 따라서 법 시행일과 동시에 당장 단속 대상이 될 수 있다.  

영상정보처리기기는 공개된 장소에 범죄예방 및 수사, 시설안전, 교통단속 등과 같이 특정목적으로만 설치할 수 있으며, 이를 위반하면 3000만원 이하의 과태료가 부과된다.

목욕탕, 화장실, 탈의실 등 개인 사생활 침해 우려가 있는 장소에는 영상정보처리기기 설치·운영이 금지된다. 위반시엔 5000만원 이하의 과태료가 부과된다.

또 설치목적과 다른 목적으로 영상정보처리기기를 임의 조작, 다른 곳을 비추는 행위, 녹음기능 사용이 금지되며, 이를 위반하면 3000만원 이하의 징역 또는 2000만원 이하의 벌금을 물어야 한다.

현재 민간에는 약 280만대의 CCTV가 설치돼 있지만 안내판이 설치되지 않은 경우가 많다. 법 시행에 앞서 설치된 CCTV 관련 안내판 설치나 녹음기능·각도조정이 이뤄져 있는지, 접근권한 제한 등 안전성 조치가 취해졌는지 점검이 반드시 필요하다.

◆정보주체 개인정보 열람청구, 유출시 통지·집단분쟁조정 대비=개인정보보호에 관한 지침, 문서를 명확하게 구비해 열람청구에 대비하는 것이 중요하며, 혹시 모를 유출사고에 대비한 개인정보 유출통지와 집단분쟁조정, 단체소송이 발생할 수 있다는 점도 염두해 둬야 한다.

개인정보보호법상 정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에게 요구할 수 있도록 정보주체의 권리를 강화했다. 관련 요구가 접수되면 10일 이내에 조치해야 한다. 이를 위반하면 3000만원 이하의 과태료가 부과된다.

또 개인정보 관련 분쟁조정을 원하는 자는 개인정보분쟁조정위원회에 분쟁조정을 신청할 수 있고, 침해를 당한 정보주체의 수가 50명 이상이면 집단분쟁조정도 신청할 수 있다.

집단분쟁조정의 경우, 이 조정이 제대로 이뤄지지 않으면 소비자단체, 비영리민간단체는 법원에 권리침해행위의 금지·중지 소송을 제기할 수 있도록 돼 있다.  

따라서 개인정보처리자들은 개인정보보호 관련 문서를 명확하게 구비하지 않았다면, 개인정보가 유출되는 경우에 막대한 손해배상 책임을 질 수 있다.

개인정보 열람청구서 등을 비치하고, 인터넷 웹사이트의 경우 회원정보 열람정정 메뉴, 회원탈퇴 메뉴를 쉽게 찾을 수 있도록 조치해야 한다.

개인정보처리자는 개인정보 유출이 발생하면 정보주체에게 개인정보 유출사실을 정보주체에게 5일 이내에 통지해야 하며, 1만명 이상의 개인정보 유출시엔 행정안전부나 한국정보화진흥원, 한국인터넷진흥원에 신고하는 것이 의무화된다.

이같은 유출 통지나 신고 의무를 이행하지 않으면 3000만원 이하의 과태료가 부과된다.

행정안전부 개인정보보호과 김상광 서기관은 21일 개최한 정보보호 컨퍼런스인 ‘ISEC 2011’에서 이같은 점검사항을 소개하면서 “개인정보보호 종합포털에 국무회의를 통과한 개인정보보호법 시행령과 법 시행일에 맞춰 고시될 개인정보 표준지침, 안전성 확보지침 시안이 게재돼 있다. 이를 참고해 개인정보보호법 시행에 적극 대비해주길 바란다”고 강조했다.

행안부는 조만간 개인정보보호법 조문별 적용관계를 정리한 ‘법령·지침 해설서’도 발간할 예정이다. 행안부가 운영하는 개인정보보호 종합포털은 www.privacy.go.kr이다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널