사진출처 : http://bit.ly/1zdd5ZT>



개인정보 관련 법률에는 '정보통신망 이용촉진 및 정보보호등에 관한 법률'(이하 망법)이 있고, 개인정보보호법, 신용정보보호법등이 대표적으로 있습니다. 망법에는 정보통신서비스 제공자가 있고 이를 이용하는 이용자가 있습니다. 개인정보보호법에는 개인정보 처리자가 있고 이를 이용하는 정보주체가 있습니다...

지금까지 정부에서는 개인정보처리자, 정보통신서비스제공자 입장에서 개인정보를 보호해야 하는 측면이 강하게 강조하였습니다. 

그런데 말입니다. 제가 현장을 다녀보면서 수많은 담당자와 취급자, 그리고 심지어는 의사결정을 하는 책임자 분들과 잠시 대화를 나누어보면 말이죠..아직도 무엇을 더 준비하고 더 챙겨야 하는지에 대하여 아직도 그 체감을 못하시는 분들이 많으십니다.

즉, 교육이나 업무지시, 상위기관의 전달 사항은 받지만 그저 업무지시, 전달일뿐인 경우가 많습니다. 개인정보 관련 업무를 해야 겠다는 생각은 들지만 막상 어디서부터 어떻게 해야 하는지, 무엇부터 해야 하는지 막막하기만 한 것입니다. 그러니 그때 그때 상황에 따라 업무를 하다보면 어느새 시간이 흘러 담당자가 바뀌고 자신이 업무할 동안 사건사고 안 생기면 가슴을 쓸어 내리며 후임자에게 넘기게 되고 새로 업무를 담당한 사람은 또 처음부터 힘들게 업무를 하게 됩니다..

같이 한번 생각해 보시죠?

혹시 해당 조직이나 기관에 정보주체나 이용자가 자신의 개인정보를 열람,정정,삭제 요구를 한 건수가 얼마나 되는지요? 물론 대부분 회원 정보나 개인정보는 홈페이지 로그인하여 자신의 개인정보를 열람,수정하고, 삭제(탈퇴)할 수 있도록 시스템화 해 놓은 경우가 대부분입니다. 

그러나 정작 법에 따르면 열람,정정 요구권이나 정지 요구권을 정보주체나 이용자가 실제로 자신의 권리를 주장하지 않으면 정보통신서비스 제공자나 개인정보처리자 입장에서는 업무 프로세스를 규정이나 정착해 놓지 않는 경우가 많습니다.
즉, 어떠한 상황이 있어야 만들어 놓는 경우가 대부분이라는 것입니다. 법에 아무리 규정해 놓고 그런 조항이 있다 하더라도 형식적이 대부분입니다.

정보통신서비스 제공자가 움직이게 하고, 개인정보처리자가 조금 더 능동적인 대처를 하기 위해서는 가장 좋은 방법은 이용자나 정보주체가 기관이나 기업을 대상으로 자신의 권리를 요구 할 수 있어야 합니다. 이렇게 요구하는 자신의 권리를 마땅히 보호해 주고 미흡한 부분은 개선을 통하여 수정 보완 할 수 있는 분위기와 문화를 정착해 나가는 것이 중요합니다.

개인정보가 중요하다고 하면서 정작 정보주체나 이용자의 문의, 요구가 있을때 그를 진상으로 취급하고 등한시 하거나 무시해서는 안됩니다. 물론 이용자나 정보주체도 법의 기준을 넘어선 협박이나 금품요구등 오.남용을 해도 안됩니다..

개인정보 취급자로 개인정보를 '처리' 하지만 정작 자신도 다른 기관이나 기업에 자신의 개인정보를 제공해야 하는 경우가 발생할때 자신의 개인정보를 함부로 다루거나 처리 한다면 똑 같은 심정이 될 것입니다. 이러한 생각이 근간을 이룰때 소중한 정보주체나 이용자에 대한 정보를 소중하게 다룰수 있게 되는 것입니다.

앞으로 개인정보 유출에 대한 이슈는 끊임없이 제기가 될 것입니다. 이유는 제가 현장을 다녀 보면 아직도 법적 준수사항을 지켜야할  부분이 너무 많기 떄문입니다. 그러니 정부에서는 더 많은 규제와 업무 강화가 될 것입니다. 혹자는 규제강화에 대한 볼멘 소리를 하지만 그분들에게 묻고 싶습니다. 

자신의 개인정보로 인하여 본인이 피해를 입었다면 무엇이라고 말 하겠는지요? 개인정보 유출로 정신적 고통이나 자신의 통장 잔고에서 돈이 빠져 나갔다면 가만히 수용하고 모든 것이 내 잘못이다라고 이야기 하는 사람이 과연 몇명이나 있을까요? 

개인정보는 소중한 개인에 대한 인격관리차원에서 엄격하게 다루어져야 합니다. 그래서 법으로 보호를 하고 있는 것입니다. 솜방이 처벌이 되었기에 주민번호 유출시 5억원 과징금으로 법이 개정이 되었습니다. 최근 이슈가 된 유통마켓의 경우 경품행사을 통하여 개인정보를 수집해서 그 정보를 한건당 금액을 받고 기업이 개인정보를 팔아 영리를 추구하는 사업을 하고 있는 것이 드러났습니다. 이러한 기업은 비난 받아 마땅합니다. 

개인정보의 보호는 사회적책임(CSR)을 다해야 하는 부분이고 이는 정보주체나 이용자가 자신의 권리를 관련 법에 따라 보호를 받고 있다는 권리 보장을 적극 요구 할때 비로소 정보통신서비스 제공자나 개인정보처리자는 움직이는 것입니다. 자신의 권리를 포기하는 것은 또 다른 기업이 자신의 정보로 이윤 추구를 할때 묵시적인 동의를 하는 것이나 마찬가지라 생각이 듭니다. 

아직까지 한 개인이 자신의 개인정보로 권리를 주장하는데 인색하기만 합니다. 그러나 최근 '법정손해배상제도'(망법 14,11,29 시행)시행을 앞두고 있고, 개인정보보호법까지 확대 시행한다고 발표한 바가 있습니다. 피해 입증책임을 개인에서 정보통신서비스제공자나 개인정보처리자로 전환하게 된 것입니다. 300만원 이하의 정신적 피해 보상을 손해 배상 청구가 가능하게 된 것입니다.

정보주체나 이용자는 지금까지 개인정보 유출에 따른 학습효과로 공개정보라고 비아냥 거리며 그냥 넘기고 있지는 않는지 생각해 볼 문제입니다. 또한 정보통신 서비스제공자나 개인정보처리자 입장에서는 어떻게 되겠지...다른 기관이 하면 우리도 하고, 다른 기업이 하면 우리도 조금 지켜보고 하자라는 안일한 생각에서 벗어나야 합니다.

앞으로 사이버상에서 이슈는 '프라이버시'에 대한 권리와 방어로 인한 다툼과 분쟁이 더 많아 질 것으로 사료됩니다. 이는 컴플라이언스 문제의 중요성이 대두되는 계기가 될 것입니다. 특히 의사결정자나 경영자분들은 많은 관심을 가지고 격려와 칭찬을 아끼지 않으면서 책임지는 자세를 보여야 합니다. 막상 개인정보 유출사고가 나면 담당자 문책만하고 꼬리를 짤라 버리는 식이 된다면 정작 스스로 책임져야 하는 경영자의 비난을 면치 못할 것입니다...또한 관련자분들은 자신의 업무나 전문성 제고 측면에서도 보다 적극적인 연구와 대응자세가 중요하다 하겠습니다. 감사합니다.   
* 개인정보 관련한 내용은 정기적으로 전주현 개인정보따라잡기 http://cafe.naver.com/privacyguide  에서 생각나누기 하고 있습니다. 

 


신고
Posted by 엔시스

지금 H 캐피털 해킹으로 금융권으로 일파 만파 퍼지고 있는 가운데 필자가 직접 피해를 입게 되었습니다. 이에 따른 여러가지 문제점을 짚어 보고 그에 따른 개인정보 정보 주체로서 권리를 피력해 보겠습니다. 늘 이야기 했던 실무관점과 개인의 관점에서 개인의 관점입니다. -편집자 주


1. 개요

지금 10년이 넘게 타고 다니는 H 차를 아이들은 똥차라 부르지만 그래도 폐차 할때까지 타야 한다고 하면서 타고 있습니다. 무엇보다 사회생활 중에 제 돈으로 직접 신차를 샀기 때문이죠.

거슬러 올라가면 99년도에 신차를 구입하였는데. 일부는 현금으로 일부는 H캐피털을 이용하여 조금은 부담을 덜려고 캐피털사를 이용했더랬습니다. 그 이후 1년정도 매월 불입했고, 추후 한꺼번에 모두 납입하여 처리했던 기억이 납니다. 36개월 할부지만 그전에 모두 납입했다는 이야기입니다.


2.  H캐피털사 개인정보 유출

지난 주말에 H 캐필터사에서 개인정보가 유출되었다는 보도가 일부 언론을 통하여 나오고 있었고, 흠짓 나도 10여년 전에 사용한 적이 있는데 라고 생각하면서 ..그냥 보고만 있었습니다. 왜냐하면 그 시기가 벌써 10년전에 일이었기 때문입니다.
하지만 언론에서 3.4 DDoS 보다 더 집중 조명이 되면서, 무엇인가 잘못이 많긴 많은 모양이다라는 생각에 오늘 아침에 모디터링 하던 가운데 아이디가 주민번호로 생성이 되었다는 제보를 받게 되었습니다. 필자도 거래했던 기억이 있기에 바로 확인 작업에 들어갔습니다.


3. H캐피털사 , 10년전 db보관과 아이디를 주민번호로 생성

필자가 가장 의문시 되었던것이 아이디를 주민번호로 생성을 하였던 점입니다. 그것은 회원 가입을 위하여 주민번호를 입력을 하게 되면 이미 몇년 몇월이 가입되어 있다라고 나오는 것이죠. 하지만 로그인은 되지 않은 상황입니다. 왜냐하면 이번 조치로 로그인자체는 수정한 모양입니다.

                             <그림설명: H캐피털에 주민번호로 이미 회원가입이 되어있다고 보여지는 화면>

고객님은 이미 현대캐피털에 회원으로 가입이 되어 있다고 합니다. 참..황당하기 그지 없습니다. 한곳을 타켓으로 하여 몰매를 주려는것이 아닙니다.

어떻게 이런일이 생겼을까? 그동안 이러한 부분은 왜 재정비 되지 않았을까? 그져 받으면 그만이고 보내면 그만인 통지만 했다라고 하면 모두일까?


4. 법의 준거성

당신은 '정보통신이용촉진및 정보보호등에 관한 다음 법률을 위반 하셨습니다..

4.1 개인정보의 수집이용동의


제22조(개인정보의 수집·이용 동의 등) ① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.

1. 개인정보의 수집·이용 목적

2. 수집하는 개인정보의 항목

3. 개인정보의 보유·이용 기간

② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집·이용할 수 있다.

1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

[전문개정 2008.6.13]   출처: 여기



개인정보 수집에는 위와 같은 항목을 이용자에게 동의를 구하여야 하는데 임의적으로 주민번호로 아이디를 생성하였습니다.

4.2   개인정보동의 받는 방법

제26조의2(동의를 받는 방법) 제22조제1항, 제23조제1항 단서, 제24조의2제1항·제2항, 제25조제1항, 제26조제3항 단서 또는 제63조제2항에 따른 동의(이하 “개인정보 수집·이용·제공 등의 동의”라 한다)를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정한다.[전문개정 2008.6.13]


아이디를 임의로 생성을 했기 때문에 받는 방법이 명시가 되지 않고 콜센터에 확인 한 바로는 2005년 시스템 변경 작업하면서 본인이 등록되어 있는 정보에는 이메일이나 휴대폰 번호가 기록이 되어 있지 않았다라고 이야기 하고 있습니다. 제 집전화번호을 사용한지 10년이 넘었습니다. 전화 통지를 하지 않았다라는 것이고, 임의로 만들다 보니 개인정보를 정확하게 수집하지 못한 모양입니다.



4.3  개인정보의 보호조치

제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.

[전문개정 2008.6.13]



개인정보의 보호조치 의무를 다 하지 못하였습니다. 필자가 경찰이거나 담당자분들에게 직접 문의한 것이 아니기에 세부 경찰 결과가 나와 봐야 알겠지만  매체에 기사화 된 일부를 보더라도 3. 접속기록의 위조.변조 방지를 위한 조치를 못한 부분에 대한 것은 명시적으로 언론에 공개되었더군요.


4.4  개인정보의 파기

제29조(개인정보의 파기) 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다.

1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 수집·이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우

2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집·이용한 경우에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우

4. 사업을 폐업하는 경우

[전문개정 2008.6.13]



정보통신망법에 개인정보의 보유 및 이용기간이 끝난 경우  즉시 파기 할 것을 법제화 하고 있습니다. 신차 구입시 2009년2월이니까 36개월 할부하여도 그전에 이미 일부 할부와 일시불을 납입했기에 최소한 2002년에는 목적을 다했습니다. 그럼 즉시 파기가 되어야 하는 부분이고, 다른 관계법률에 명시가 되어 있다고 하더라도 최대5년을 넘기지 않습니다. 신용거래에 대한 법률과 통신비밀보호법등에 5년으로 되어 있습니다. 그런데 아직도 해당 개인정보를 파기하지 않고 가지고 있다는 것입니다.


5. 이용자의 권리 주장


개인정보 침해로 인한 이용자의 권리를 주장하였습니다. 다음은 이용자 권리주장에 대한 내역입니다.

-4/13일 10시 29분 : H캐피털사 개인정보피해센터 1588-2114 상담원과 통화
                              최초 접수 상담원에서 다른 상담원으로 이전
-           11시18분 : 고객센터 매니져 분과 통화 29분간 위 사항을 지적하여 이야기함, 주요이야기 포인트는 다음과
                             같습니다.

1) 개인정보 침해 현황을 말해달라 - 잘 모른다.
2) 현재 필자의 개인정보가 누출되었는지 확인해 달라 - 잘 모른다.
3) 향후에 대응방안에 대하여 이야기 해달라 - 딱히 말씀 드릴 내용이 없다. 그럴위치에도 있지 않다.
4) 그럼 매니져분이 하실수 있는 액션은 ?  실제 책임있는 위분에게 말씀 드리겠다.
5) 그냥 이야기 하는 것만으로는 안된다 VOC를 하는 사람은 그 민원이 적용유무를 알고 싶다. 추후 진행 과정을 알려 줄수 있는가? 알려 주겠다. 어떤 수단을 이용할 것인가? 휴대폰으로 알려 주겠다. 하지만 어떤 판단기준을 명확히나 구체화는 단정 하지 못하겠다.

필자도 잘 알기에 매니져가 할일이 있고, 그 위에 책임있는 분이 할 일이 있습니다. 어쨌든 알려 달라고 하고 통화를 마쳤습니다. 필자의 이용자 권리주장은 다음과 같은 근거법령에 의하여 주장 하였습니다.

제30조(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.

② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.

1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보

2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황

3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황

③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다.

④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.

⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.

⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.

⑦ 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 “정보통신서비스 제공자등”은 “영업양수자등”으로 본다.

[전문개정 2008.6.13]





6. H캐피털 대응 방안

오늘 통화를 하면서 종합적으로 판단해 볼때 2005년 이전에 시스템 구축시 회원 아이디는 주민번호로 생성을 하였다고 합니다. 그때 당시에는 아이디라는 부분이 없다라고는 하지만 상식적으로 이해가 가지 않습니다. 또한 2005년 이후에 각 통지를 통하여 주민번호가 아이디화 되어 있으니 바꾸라는 통지를 했다고는 하지만 증빙이 불 명확합니다. 자꾸 변명하기에만 급급합니다.

현행법상 근거규정-정보통신망법

제32조(손해배상) 이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.[전문개정 2008.6.13]


고의 또는 과실이 없음을 입중하지 못하면 책임을 면할 수 없도록 규정하고 있습니다. 지금이라도 빨리 개인정보 유출 현황과 실제 필자처럼 주민번호가 아이디로 사용된 부분에 대하여 어떻게 대응할 것인지에 대한 대응책을 마련하여 제시를 해야 할 것입니다.

그렇지 못할 경우는 그에 따른 합당한 책임을 지셔야 할 것입니다. 개인정보의 주체는 개인이지 기업이 아니라는 점과 그것은 단지 개인정보를 개인정보의 주체인 '개인' 이 동의 했을때만이 가능한 것이지 위 상황처럼 임의로 가입을 시켜 개인정보의 오.남용과 유출을 가져 왔다는 것에 대하여 유감의 뜻을 표하는 바입니다. 이에 따른 공개적인 H 캐피털측의 입장 표명이 있으셔야 겠습니다. @엔시스.

* 혹시 신차구입시 H캐피털을 이용하신 2005년 이전에 분들은 반드시 사이트에서 확인해 보시고 댓글 주시면 감사하겠습니다.


 

신고
Posted by 엔시스