개인정보와 개인정보보호법에 대한 이해

 

 

개인정보와 개인정보보호법에 대한 이해

 

최근 TV나 각종 언론 보도에서 개인정보란 용어를 자주 듣게 된다. 그리고 개인정보가 침해되는 사고가 발생했다는 소식도 간간히 들려온다.

 

 

 

 

실제로 주변에서도 이러한 변화를 느낄 수 있다. 인터넷에서 회원가입을 하려면 가입자(정보주체라고 표현함) 동의여부를 확인하는 곳이 늘어났고, 버스를 타면 CCTV 설치에 대한 안내판이 하차하는 곳에 부착되어 있는 걸 볼 수 있다.

 

그리고 대형 인터넷 사이트들이 해킹으로 인해 개인정보가 유출되었을 경우, 해당 인터넷 홈페이지에 공고를 하며, 개인들에게 유출사실을 이메일 등을 통해 받은 적이 있을 것이다.

 

얼마 전까지만 해도 경험하지 못한 일들이 개인정보를 취급하는 업체들 특히 일정 규모 이상의 업체들에서는 적극적으로 행동하는 모습이 보인다. 그 이유가 뭘까? 갑자기 이들 업체들이 개인정보에 대한 중요성을 자각하고 고객 차원의 서비스를 강화한 것일까?

 

물론 아니다. 이러한 모든 절차들이 개인정보를 처리하는 당사자(공공기관, 민간기업 공히)에게는 부담이 되는 일이고 비용이 발생하는 일인데 자발적으로 한다는 것은 결코 있을 수 없는 일이다. 단지 법이 새로이 제정되었기 때문이다. 그 법의 이름은 ‘개인정보보호법’ 이다.

 

 

개인정보와 개인정보보호법

 

개인정보보호법에 대하여 살펴보기 전에 먼저 개인정보란 무엇인지를 알아 보도록 하겠다. 용어 그대로 ‘개인에 대한 모든 정보’가 개인정보이다. 그래도 법에서 정의한 개인정보에 대한 정의를 알아보자. 개인정보보호법 제2조 1항을 보면 「“개인 정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보」라고 정의한다.

 

좀더 쉽게 말하면 살아 있는(이게 중요하다 죽은 자는 말이 없다) 개인을 식별할 수 있는 모든 정보는 개인 정보라 보면 된다. 예를 들어 ‘홍 길동’하면 개인을 식별될 수 없을 수 있으나(우리나라 이름은 동명이인 참 많다), '~주소 어디에 사는 홍길동'하면 특정 홍길동을 식별할 수가 있으므로, 성명과 주소를 함께 가지고 있다면 이는 개인정보에 해당된다. 주민등록번호는 당연히 개인을 식별할 수 있으니 가장 대표적인 개인 정보라 할 수 있으며, 특별히 이러한 정보를 고유식별정보라 부른다.

 

 

 

그러면 '개인정보보호법'에 대하여 알아보자.

 

개인정보보호법이 시행된 것은 2011년 9월 30일이다. 동법이 시행되기 이전에도 개인정보에 관한 법률이 있었으나 분야별로 적용되는 개별법이었고 법 적용 대상도 공공기관 민간기업 등 51만 기관이었으나, 개인정보보호법은 공공 민간기업 등 약350만 기관이 적용을 받는다. 그 동안 개별법에 적용을 받지 않던 대부분 개인정보 취급기관이 적용 대상이 된다는 의미이다.

 

또 한가지 특징은 개인정보보호법은 벌칙(형벌)이 부과되는 형사법에 해당된다. 그렇기 때문에 공공기관,  민간 기업 모두 앞다투어 난리를 치는 것이다. 개인정보보호법의 벌칙을 보면 ‘1천만원 이하의 과태료’ 부과부터 최고 ‘5년 이하의 징역 또는 5천만원 이하의 벌금’에 해당되는 조항도 있다. 대표적인 경우가 정보주체(개인정보의 오너 즉 개인인 우리들을 말함)의 동의 없이 개인정보를 제3자에게 제공하였다면 5년 이하의 징역에 처할 수 있다는 소리다. 대기업에서 특정 계열사에서 수집한 개인정보를 정보주체의 동의 없이 다른 계열사에 제공하였다면 이 조항에 의하여 처벌받게 되는 것이다.

 

 

사례로 본 개인정보보호법

 

2011년 9월 30일부터 시행된 개인정보보호법은 총75조의 법 조항과 7개의 벌칙 조항으로 구성되어 있다. 해당 법 조항에 모든 내용들이 개인에게 해당되는 건 아니지만 실생활에서 흔히 발생할 수 있는 사례를 통하여 개인정보보호법을 살펴보는 것도 도움이 될 것이다.

 

사례1. 개인정보의 계열사 제공

 

A 그룹은 같은 그룹 내의 호텔, 여행, 쇼핑몰 사이트 등 회원정보 DB를 통합하고 1개의 ID로 로그인이 가능하게 하는 이른바 ‘패밀리 사이트’ 제도를 도입하려 한다. 같은 그룹 내부의 계열사이기 때문에 고객들의 별도 동의는 필요 없는지?

 

 

 

(답변) 같은 그룹 내부의 계열사라 하더라도 개인정보의 수집.이용 목적이 다른 별도의 법인이라면 이는 개인정보의 제3자 제공에 해당한다. 따라서 그룹 계열사 간이라도 정보주체에게 제3자 제공에 대한 사항을 알리고 동의를 받아야 한다. 만약 이를 어길 시 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.

 

사례 2. 공개정보를 마케팅에 이용

 

학교 졸업앨범, 동창회 명부 등 공개 정보를 이용한 마케팅은 문제가 없는가?

 

(답변) 해당 사례는 한번쯤 경험하였을 수도 있다. 동창회 어쩌고 하며 마케팅을 위한 전화 메일 등을 받아본 적이 있을 것이다. 결론적으로 말하면 마케팅하는 업체에 내 개인정보를 이용해도 좋다고 동의를 해준경우가 아니면 이 또한 5년 이하의 징역 또는 5천만원 이하의 벌금에 해당하는 불법 행위이다.

 

이른바 ‘공개된 개인정보’는 당초 공개된 목적 내에서만 이용할 수 있다. 동창회가 동의 없이 마케팅 목적으로 동창회 명부를 이용.제공한다면 상기 벌칙에 해당하는 불법 행위를 저지른 것이다. 그런데 아마 동창회에서 일하는 많은 분들이 아직은 제대로 인지하지 못하였을 수도 있다. 잘못하면 개인정보보호법 위반으로 처벌받는 동창이 나오는 경험을 할 수도 있겠다.

 

사례3. 인터넷 홈페이지 회원가입 시 주민등록 대체수단 제공

 

공공기관 및 일 평균 홈페이지 이용자 1만명 이상의 기관에서는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호 이외의 회원가입 방법을 제공해야 하는가?

 

 

 

 

(답변) 주민등록번호 대체수단으로는 I-PIN, 공인인증서, 신용카드, 휴대폰인증 등이 있으며, 대체 수단을 제공하지 않을 경우는 3천만원 이하의 과태료에 처한다.

 

 

개인정보보호법은 정보주체(이 글을 읽는 모든 분들)의 소중한 개인정보에 대한 침해를 방지하기 위한 법이다. 개인의 프라이버시에 대한 의식이 높아지는데 반하여 개인 정보를 취급하는 처리자(공공기관 및 민간기업)들의 의식은 이를 따라가지 못하는 것 같다.

 

시간이 된다면 ‘개인정보보호법’을 한 번쯤 숙지하는 것도 요즘 같은 정보 범람 시대를 살아가는 지혜라 하겠다.