바뀌는 개인정보보호법, 이것만은 반드시 체크해두자!

지난 2010년 9월 30일, 개인정보보호법이 발의된 지 2년 만에 국회 법안심사소위원회(이하 법사위)를 통과했다. 현재 법 제정을 위한 작업이 진행되고 있으며, 2011년 내에는 개인정보보호법이 발효될 것으로 보인다. 이 글에서는 개인정보보호법이 담고 있는 주요 내용을 살펴보고, 향후 기업과 개인에 어떤 영향을 미칠지 조망해 보고자 한다.

Ⅰ개인정보보호법 주요사항

■법 적용 범위와 보호 범위의 확장
개인정보보호법이 기존의 개인정보관련 법령과 다른 가장 큰 차이는 적용 범위와 보호 범위가 거의 전 영역을 망라한다는 점이다. 이번에 개정된 개인정보보호법은 공공기관과 민간기업, 비영리단체 등 정보처리자의 범위에 제한을 두지 않으며, 개인정보의 유형도 전자적 처리뿐 아니라 손으로 작성한 문서까지 포함시켜 보호 대상의 범위를 확장하였다.

■정보주체의 권리 강화
개인정보는 기업의 자산이기보다는 국민의 권리보호라는 측면에서 여러 법령과 정책이 강구되고 있다. 새로운 법에서 두드러지는 점은 보호조치의 강화내용보다는 개인정보의 소유자 (이하‘정보주체’)의 권리를 강화하기 위한 조항이 늘어났다는 것이다.

■정부의 조직적 대응 강화
기업 입장에서 더욱 힘들어지는 건 행정안전부(이하 행안부)를 중심으로 정부기관이 공공기관과 민간기업을 아울러 개인정보보호 실태를 모니터링하고 시정조치를 하도록 명할 권한을 법으로 부여 받으며 구체적이고 지속적인 통제활동을 하게 될 것이라는 점이다. 

■개인정보보호 조치규정 강화
개인정보 보호조치 사항들도 보완되거나 강화된 조항들이 눈에 띈다.
개인정보보호에 대한 총괄 책임이 있는 개인정보책임자의 업무를 구체적으로 명시한 점이나 위탁업체 계약시 어떤 조항이 계약문서에 포함되어야 하는지 규정한 점 등은 개인정보보호 실무 과정에서 이슈가 되곤 하는 부분이 정리되었다.

II. 기업이 준비해두어야 할 개인정보보호 체크리스트

1. 책임자를 정하고 지속적인 보호활동을 추진하자
기업에서 개인정보보호를 위한 기업의 첫 시작은 법에서 규정하고 있는 개인정보관리 책임자를 정하는 일이다. 개인정보보호의 영역은 시스템 도입구축이나 서비스 기획개발부터 내부업무 절차개선, 고객대응에 이르기까지 광범위하므로 실무는 전담조직(권장사항) 또는 위원회 형식으로 운영하되 임원 또는 부서장급의 개인정보책임자가 경영진과 관련 부서들의 협력을 끌어낼 수 있도록 총괄 추진해야 한다.

2. 기업 내에 존재하는 개인정보와 취급자를 구체적으로 파악하자
개인정보보호를 위한 실무의 첫 단계는 기업이 보유한 개인정보의 종류(항목)와 양이 얼마나 있으며 누가 어떤 업무에서 어떤 방법으로 쓰고 있는지 구체적으로 파악하는 일이다.
정통망법이나 개인정보보호법이나, 통제하는 대상은 크게 개인정보 취급자와 개인정보처리 시스템으로 나뉜다. 때문에 이 두 가지 사항을 명확히 파악하지 않는다면 법에 기준한 보호 과정을 온전히 전개할 수가 없다.

3. 보유하고 있는 개인정보의 항목과 자료량을 최대한 줄이자
보유한 개인정보의 항목과 양을 최대한 줄이도록 하며 일회적인 목적이나 단순히 축적된 정보라면 과감히 없애자. 암호화가 의무화되어 있는 특별한 항목들은 가능하면 수집하지 말고 수집했더라도 장기간 저장하지 않는 것이 비용절감과 위험방지를 위한 우선과제이다.

4. 기본적인 보안조치를 강화하자
개인정보도 업무처리나 시스템 관점에서 보면 데이터의 하나일 뿐이다. 기본적인 보안조치가 잘 되어 있다면 개인정보에 대한 위험도 낮아지는 것이 당연하다. 방통위가 고시한 ‘개인정보의 기술적 관리적 보호지침’에는 개인정보취급자PC의 백신설치와 주기적인 업데이트, 개인정보처리시스템에 대한 침입방지/탐지 시스템 운용, SSL과 같은 보안통신 적용 등 기술적 보안 조치를 요구하고 있다. 관리적 지침도 조직운영, 계획수립, 교육, 점검, 패스워드 설정 등 보안의 기본에 가까운 사항들을 기술하고 있다. 보안체계가 잘 수립되고 이행되고 있는 기업이라면 개인정보보호를 위해서 상대적으로 적은 노력만으로 대응이 가능할 것이다.

5. 비용대비 효과가 가장 큰 보호 활동은 교육과 반복 점검!
보안사고는 사람이 원인인 경우가 많다. 이 때문에 사람의 인식을 개선시키는 교육과, 사람이 개입된 보안의 유지상황을 점검하는 일은 기본적이고도 끝까지 유지가 되어야 할 필수 사항이다. 법령에서는 개인정보책임자와 취급자에 대해 연2회 의무적으로 교육을 하도록 규정하고 있지만 개인정보에 대한 보안인식은 전 직원이 갖고 있어야 한다.

 
III. 개인이 알아두어야 할 정보보호 체크리스트

개인정보보호를 위해 개인에게 권고할만한 수칙은 다음과 같이 요약해 볼 수 있다.

1.  동일한 사용자 계정과 패스워드를 여러 사이트에서 이용하지 말 것
동일한 계정을 여러 인터넷 사이트에서 사용하는 것은 피하는 것이 좋다. 동일한 계정을 사용하는 개인을 추적해 사생활을 까발리는 ‘신상털기’는 이미 ‘개*녀’ 사건 등으로 널리 알려진 바다. 아이디만 해도 그런 위험이 있을진대 패스워드까지 동일하다면 그 위험은 말할 나위가 없다. 또한 어떤 패스워드든지 최소 6개월에 한 번 바꿔주는 것은 기본이 되겠다.

2. 패스워드는 영문소문자, 대문자, 숫자, 특수문자 등을 조합하여 8자리 이상으로 설정할 것
해킹을 막기 위한 성공요소는 ‘해커를 얼마나 짜증나게 하느냐에 달려있다’라는 말도 있다.
패스워드를 설정할 때는 8자리 이상으로 설정하는 습관을 들이자. 

3. 법적인 절차를 따르는 경우를 제외하고는 개인정보를 제공하지 말 것
정통망법 22조는 정보통신서비스 제공자가 이용자로부터 개인정보를 수집할 때 다음 3가지
사항에 대해 별도 동의를 받도록 규정하고 있다. ‘개인정보보호법’은 기존 사항에 더하여
‘이용자의 거부권에 대한 명시’가 추가되어 있다.

[1] 개인정보의 수집ㆍ이용 목적
[2] 수집하는 개인정보의 항목
[3] 개인정보의 보유ㆍ이용 기간

온라인 사이트에서 경품이벤트 등을 할 때 회원이 아닌데도 경품 배송 시 연락처가 필요하다는
이유로 동의절차 없이 개인정보 입력을 요구하는 경우를 보곤 한다. 이런 경우엔 불법수집이므로
응하지 않는 것이 바람직하다. 표현 그대로 ‘법적 절차가 있는 경우’를 제외하고는 개인정보를 제공하지 않는 것이 최선인 것이다.

4. 개인정보를 제공할 때는 내가 필요한 목적 하에서 최소한의 정보만 제공할 것
정통망법 제23조는 서비스제공을 위하여 필요한 최소한의 정보를 수집하여야 하며 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다.’라고 밝히고 있다. 필수항목만 입력하고 웬만하면 선택항목은 넣지 말자. 만약 선택항목과 필수항목의 구분을 해놓지 않았거나 선택항목을 입력하지 않았다고 서비스 제공을 거부한다면 그 업체는 법을 위반한 것이니 당당하게 권리를 요구하자.

5. 개인용 정보기기에 대해 적극적으로 보호할 것
집에 있는 컴퓨터나 노트북, 스마트폰 등 개인기기에 저장한 정보의 보안은 본인이 책임져야 할 부분이다. PC에 백신을 설치하고 중요한 자료는 패스워드를 걸어서 보관하는 정도는 꼭 지켜주자. 분실의 우려가 높은 스마트폰이라면 더욱 신경 쓸 필요가 있겠다. 귀찮더라도 패스워드를 설정하여 사용하고 스마트폰에 다운받아 사용한 정보(문서, 메일 등)는 최대한 빨리 삭제하는 편이 안전하다.

 출처: 안철수연구소