카드3사 개인정보 유출, 통신사 개인정보 유출, 의료기관 개인정보 유출등 잇다른 개인정보유출로 인하여 온 나라가 시끄럽다. 과거에는 방송과 언론을 통제하면 되었지만 최근에는 다양한 채널이 많다보니 더 빠른 소식과 더 많은 정보를 접하게 되었다. 다만, 정치적인 목적으로 개인정보 유출에 대한 이슈가 부각되지 않았으면 하는 바램이다. 그러나 보안인식제고와 개인정보 인식제고 차원에서는 누군가의 희생이 필요하다는 것에 안타까움을 느낀다 . 이에 개인정보 취급(처리) 방침 심사제도를 제안에 대한 필자의 생각을 기록해 본다.  -주인백.



개인정보취급(처리)방침 근거법


'정보통신망 이용촉진 및 정보보호등에 관한 법률'(이하 정보통신망법)과 개인정보보호법에 따르면 개인정보취급(처리) 방침을 공개 하도록 명시하고 있다.  


 ① 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우에는 개인정보 취급방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

② 제1항에 따른 개인정보 취급방침에는 다음 각 호의 사항이 모두 포함되어야 한다.  <개정 2012.2.17>

1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법

2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)

4. 개인정보 취급위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 취급방침에 포함한다)

5. 이용자 및 법정대리인의 권리와 그 행사방법

6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항

7. 개인정보 관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처

③ 정보통신서비스 제공자등은 제1항에 따른 개인정보 취급방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.

[전문개정 2008.6.13]


정보통신망법 제27조 2에 근거하고 있다. 이에 따르면 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우는 개인정보취급방침을 정하여 언제든지 쉽게 확인할 수 있도록 대통령령이 정하는 바에 따라 공개하고 그 포함하는 내용을 명시하고 있다.


 ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항

6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 안전행정부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.  <개정 2013.3.23>



개인정보보호법에서도 마찬가지이다. 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다고 명시하고 있다. 



홈페이지에 공개된 개인정보취급(처리) 방침 공개는 형식적인 문구가 많아


법준수를 위해서는 법에 명시한 부분을 제대로 이행하고 있는지가 관건이다. 필자가 지금까지 여러 공공기관과 민간기업 그리고 문의 상담을 통하여 경험한 바에 따르면 개인정보취급(처리)방침에 대한 문구는 대부분 천편일률적으로 웹사이트에 있는 것을 그대로 차용하여 공개한 경우가 대부분이다. 특히 홈페이지 관련해서는 홈페이지 전문 제작업체에 아웃소싱(외주) 주는 경우도 많아 외주 업체에서는 그대로 베껴 쓰는 경우가 많다. 


개인정보취급(처리) 방침을 공개하는 근본적인 이유는 이용자나 정보주체의 개인정보가 어떻게 취급(처리)되는지를 알수 있는 정보주체의 권리 보장에 그 근거를 하고 있다. 보통 교육이나 심사를 나가보면 가장 많이 접할 수 있는 사례가 실제 개인취급자가 개인정보를 위탁하는 것인지 3자제공하는 것이지가 모호하여 개인정보 취급(처리) 방침에 공개하지 않는 경우가 많다.


즉, 제3자 제공임에도 불구하고 3자제공인지 인지하지 못해 개인정보취급(처리)방침에는 제3자 제공을 하고 있지 않다고 공개한 경우도 있다. 상황이 이렇다 보니 법에 공개하라는 근거만 따를뿐 실질적인 현실은 그렇지 않는 경우가 많다.



과연 개인정보취급(처리) 방침 심사제도와 PIMS, PIPL 제도와 차이점은 무엇일까?


여러가지 제도와 규제가 남발한다는 여론의 화살을 피할수 없으나 사회규범속에서 질서를 찾기 위해서는 그 시대에 변화만큼 판단 할 수 있는 근거는 새롭게 만들어져야 한다. 다양한 혼돈 속에서 질서와 규제, 그리고 기준이 없다면 세상은 아수라장이가 된다. PIMS와 PIPL이 있지만 과연 어느정도 적용을 따를지가 사실 의문이다. 그것이 관련 기관이 풀어야 할 숙제이기도 하다.  아이가 걸음마도 배우지 못했는데 아이에게 뛰어 가라고 하는 격은 아닌지 하는 생각도 해 본다. 이상적인 것이야 늘 추구하겠지만 현실은 또 현실이기 때문이다. 


그런 가운데 개인정보보호 관련 걸음마를 할 수 있는 방법은 없을까? 라고 고민하면서 검색을 하다보니 2012년도 11월에 "개인정보취급방침 심사제도 도입연구" 라는 보고서를 찾게 되었다.






개인정보_취급방침_심사제도_도입연구_최종보고서(인쇄본_PDF).pdf




그 보고서 서문에 필요성을 보면 다음과 같이 기술되어 있다.


정보통신서비스제공자 등이 개인정보 취급에 따른 조치사항을 수립하고 있지만 실질적으로 이 방침을 이행하고 있는지에 대한 확인이 제대로 이루어지지 않는다는 점, 정보통신망법상 규정내용은 정보통신서비스제공자로 하여금 개인정보취급방침을 마련할 때 방침에 포함되어야 할 내용이 어떤 것인지에 대한 기준을 정하고 있을 뿐 정보통신서비스제공자가 만든 취급방침이 법의 취지와 일치하는지, 법 규정의 내용을 준수한다 하더라도 실질적인 효과가 있는지 여부 등에 대한 판단 기준이 없어 사실상 그 효용성을 인정하기 어렵다는 점, 나아가, 정보통신서비스제공자가 개인정보 취급방침을 수립했다 하더라도 그 내용이 법에서 명시하고 있는 내용을 그대로 수용해서 필요한 사항을 적절히 포함하고 있는지, 어느 부분에서 법규정의 내용과 상이하거나 위반되는 것이 있는지 심지어 이용자가 당해 취급방침에 대해 확인하고자 한다 하더라도 복잡하고 많은 내용으로 당해 취급방침의 정확한 내용을 파악하기가 쉽지 않다는 점 등의 문제점이 지속적으로 제기되었다.


 또한 개인정보 취급방침에 관한 문제는 정보통신서비스제공자와 이용자간 분쟁이 발생한 경우의 적정성 여부에 대한 해석의 문제뿐만 아니라 정보통신서비스 제공자의 개인정보 급에 따른 정책의 적절성 여부에 대해서도 계속적인 문제가 제기되고 있다. 특히 개인정보 취급방침정책이 단순히 작성하여 공개하는 것으로만 규정하고 있었기 때문에 사업자로서는 어떤 형태로 수집을 하고 이용을 하든지 일단 공개하기만 하면 된다는 식으로 하고 있기 때문에 수집하는 항목이나 이용하는 내용이 지나치게 확장되어 있다


충분히 공감하는 내용이다. 이제는 연구보고서로만 끝나는 것이 아니라 이를 위한 실행이 필요한 시점이다. 수많은 연구 보고서를 제출하지만 단순히 용역 최종 보고서 제출로만 끝나기엔 너무나 아까운 예산들이 소비가 된다. 용역발주를 받아 잘 연구해야 하는 측면도 있지만 좋은 연구자료는 현장에서 적용해야 하는 것도 바람직하겠다.


이에 개인정보보호에 대한 유출과 우려가 화두가 되고 있는 요즘 시기에 소상공인과 중소기업에서는 너무나 멀게만 느껴지는 PIMS,PIPL처럼 거창한 것 보다는 작은 걸음마 단계라 할수 있는 '개인정보취급(처리)방침 심사제도를  제도화 하여 잰걸음을 걸어 갈 수 있도록 해 보면 어떨까 하는 생각도 해 보았다. 제도라는 것은 하루 아침에 만들었다 없던 일로 하자고 하듯이 하는 것이 아니기에 사실 심사숙고해야 하는 측면이 있다. 그렇게 하기 위해서는 다양한 현실적인 대안과 현장에 목소리, 그리고 가볍고 쉽게 접근하면서 점점 역량을 키워나가는 개인정보보호 대책마련이 시급해 보인다. 


아무리 거창한 외침으로 하고 겁을주고 규제를 해도 당장 자신의 역량에 힘이 부치게 되면 결국 자포자기 형태가 되기 때문에 앞으로도 이러한 보안사건사고 이슈나 개인정보 유출에 대한 이슈는 지속적으로 발생 할 것이다. 재발 방지차원을 위해서라도 무조건 걸음마도 못하는 아이에게 일어서서 걸어가라고 하기보다는 일어설 수 있도록 더 많은 보살핌이 필요한 것이 아닌가 생각해 본다.  여러분 의견은 어떤가요? 








신고
Posted by 엔시스