국민의 사생활을 보호하고 개인정보 유출 등을 막기 위한 개인정보보호법이 지난 3월30일부터 본격적으로 시행되고 있다. 이에 따라 앞으로 공공기관과 민간사업자들이 개인정보를 수집하고 이용, 관리하는 등의 전 단계에 걸쳐 엄격한 보호기준과 원칙이 적용되고 개인정보 침해에 대한 국민의 권리구제도 강화될 전망이다. 그러나 7년여 만에 어렵게 법이 제정됐지만 민법, 상법 등 다른 법들과 상충되는 부분들이 있거나 현실에 적용하기 어려운 부분들이 많아 합리적인 법 해석을 위한 가이드라인이 필요하다는 지적이 나오고 있다.

1. 개인정보보호법을 제정한 이유는

그동안 은행, 포털사이트, 백화점 등 다양한 업종에서 대량의 개인정보가 유출되는 사고가 계속 발생했다. 또 유출된 개인정보들은 명의 도용, 보이스피싱, 스팸 등의 피해로 나타나고 있는 게 사실이다. 행정안전부에 따르면 2011년 한 해 동안 신세계몰 390만건, 현대캐피탈 175만건, 한국엡손 35만건, SK컴즈 3500만건, 넥슨 1320만건 등의 개인정보 침해 사고가 있었다. 이런 이유로 2004년부터 개인정보보호법 제정 필요성이 제기됐다. 그러나 관리감독기구의 독립성 문제 등으로 인해 추진이 미뤄졌다가 18대 국회에서 3년간 여섯 차례 심사 끝에 제정됐다. 개인정보보호의 필요성에 대한 국민적인 공감대가 어렵게 형성된 것이다. 법 시행에 따른 혼란을 막기 위해 지난해 9월30일 시행 후 6개월의 계도기간을 거치기도 했다.

2. 법 적용 범위는

예전에는 공공기관과 정보통신사업자 등 약 51만개 사업자에게 적용됐으나 앞으로는 소상공인 등 350만개 전체 사업자, 비영리단체, 헌법기관 등 모든 개인정보처리자에게 적용된다.

행안부는 ‘개인정보보호 기술지원센터’를 통해 개인정보를 안전하게 관리할 수 있는 컨설팅을 실시하는 한편, 백신소프트웨어를 무상으로 지원하고 중소사업자에 대해서도 보호조치 솔루션 도입 비용을 지원함으로써 사회 전반의 개인정보 관리 수준을 향상시킨다는 방침이다. 행안부는 또 모든 사업자에게 법 의무사항을 알릴 수 있도록 전문교육, 순회교육, 사이버교육 등을 운영하면서 사업자 단체의 총회나 자체 교육 시 자료와 강사를 지원해 소상공인까지 교육을 받을 수 있도록 확대하고 있다. 이 외에도 소상공인을 위한 백신 무상보급, 중소사업자 보호 조치 비용 지원 등 지원 정책을 추진하고 있다. 국번 없이 118번으로 전화를 하거나 홈페이지(www.privacy.go.kr)에 접속하면 교육과 기술지원을 받을 수 있다.

3. 정보수집·이용이 어떻게 제한되나

개인정보를 수집할 때는 서비스에 꼭 필요한 필수정보와 홍보 등 추가적인 목적에 사용되는 선택정보를 구분해 이용자의 동의를 받아야 한다. 주민등록번호, 건강정보 등 민감한 정보의 수집은 원칙적으로 금지되며 실명 확인 등 서비스 제공에 불가피하게 필요한 경우 다른 정보와 별도로 동의를 받아야 한다.

주민등록번호 수집 시에도 반드시 I-PIN 공인인증서 등 대체수단 제공을 의무화하고 있다. 개인정보를 당초 수집한 목적과 다르게 사용하거나 제3자에게 동의 없이 제공하는 것은 엄격하게 금지하고 있다.

4. 제3자에 개인정보 처리를 위탁하면

우선 ▲위탁업무 수행 목적 외 개인정보의 처리 금지에 대한 사항 ▲개인정보의 기술적·관리적 보호 조치에 관한 사항 ▲위탁업무의 목적 및 범위 ▲개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 ▲개인정보의 관리 현황 점검 등 감독에 관한 사항 ▲수탁사가 준수해야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 등을 반드시 문서로 명시화해야 한다.

5. 소규모 사업자가 지켜야 할 사항은

업종별로 다소 차이가 있지만, 기본적으로 개인정보는 업무나 서비스에 필수적인 정보만 최소한으로 수집하고, 주민등록번호는 원칙적으로 수집하지 않아야 한다. 당초 수집 목적과 다르게 사용하거나 외부 제휴업체에 제공하는 경우에는 원칙적으로 동의를 받아야 하며 목적이 달성되거나 보관기간이 경과한 경우에는 지체없이 파기해야 한다. 개인정보 파일을 업무용 컴퓨터에 보관할 때에는 비밀번호를 설정하고 방화벽과 보안백신을 반드시 설치하는 등 안전하게 관리해야 한다. 폐쇄회로(CC)TV를 운영할 경우 안내판을 꼭 설치하고 녹음 기능은 사용하지 않아야 한다.

6. 마일리지 등을 위한 정보수집은

마일리지 카드 발급을 위해 개인정보를 수집하는 경우 수집 이용 목적, 수집 항목, 제공처 등에 대해 명시적으로 동의를 받아야 한다. 병원은 진료 목적으로 수집하는 필수적인 개인정보는 동의 없이 수집이 가능하나 홍보 목적으로 사용할 경우에는 동의를 받아야 한다.

7. 정보수집 조건부로 서비스 제공땐

아이디(ID), 비밀번호, 성명 등 가입할 때 반드시 필요한 필수정보를 제외한 선택정보 제공에 동의하지 않는다는 이유로 서비스를 거부하면 앞으로는 개인정보보호법에 저촉된다.

이때 개인정보처리자가 서비스 제공을 위해 반드시 필요한 최소한의 정보라고 입증할 수 없는 정보는 모두 선택정보다.

8. 법을 어길 경우 처벌은

개인정보보호법을 어길 시에는 위반 내용이나 정도에 따라 벌금 및 과태료 등 엄격한 제재가 가해진다. 특히 개인정보를 동의 받은 목적을 넘어 스팸 발송, 명의 도용 등에 이용하거나 개인정보를 사고파는 등 제3자에게 함부로 제공하는 경우 징역형과 같은 형사벌까지도 부과될 수 있다.

9. CCTV를 설치할 때 주의사항은

공개된 장소에는 범죄 예방, 시설 안전, 화재 예방 등 정해진 목적으로만 CCTV 설치가 가능하며 녹음 기능과 당초 설치 목적과 다르게 다른 곳을 비추는 것과 같은 임의 조작을 하지 않아야 한다. 또한 CCTV 촬영 목적, 촬영 범위, 책임자 연락처 등을 알리는 안내판을 출입구 등 알아보기 쉬운 곳에 설치해야 한다. 촬영된 영상정보를 인터넷에 유출하거나 함부로 열람할 수 없도록 운영 방침을 정해 안전하게 관리해야 한다.

10. 법 시행 과정에서의 문제점은

개인정보보호가 엄격해지다 보니 민법, 상법 등 다른 법들과 상충되는 부분들이 있거나 현실에 적용하기 어려운 부분들이 많아 혼란이 있는 게 사실이다.

예를 들어 전세자금 대출을 받을 때는 세대주를 포함한 세대원 전체가 은행을 방문해야 하고, 일부 은행들이 대출자에게 집주인 동의서를 요구하면서 전세 대출을 거절당하는 사례도 있다.

보험은 계약자가 수익자를 지정할 수 있는데, 이 법 제정 이후 모든 수익자에게 동의절차를 거쳐야 해서 상속자 간 다툼이나 피보험자에 대한 위험 등 부작용도 우려된다.

이에 따라 법조계와 학계에서도 합리적인 법 해석과 가이드라인의 홍보가 필요하다는 지적이 나오고 있다.