개인정보, 문제없이 수집하는 법(法)

행정안전부는 2013년부터 매월 정기 현장점검을 통하여 국민들의 실생활과 밀접한 관련이 있는 업종, 민감 정보 및 고유식별정보를 다량 보유하고 있는 업종, 회원 유치 과다 경쟁 등 위험 업종, 개인정보 반복 및 다량 노출 업종, 반복적 민원 신고 업종 등에 대하여 본격적인 점검을 실시하고 있다. 이는 지속적 관리를 통하여 개인정보 관리의 안전성 확보 및 유출 사고를 최소화하기 위한 것이다.

개인정보 관리실태 점검은 침해 우려가 큰 취약 분야를 대상으로 실시하는 예방적 차원의 기획점검, 침해 신고나 민원 접수 등 침해사고가 발생할 때 실시하는 특별점검, 개인정보 관리실태를 자체적으로 점검하여 행정안전부로 제출하는 서면점검으로 나뉜다.

실태점검 결과에 따라 시정명령, 과징금, 과태료, 공표 등의 행정처분을 받을 수 있기 때문에 개인정보를 처리하는 기업들은 개인정보 수집‧이용‧제공에 각별히 신경써야 한다. 개인정보를 포함한 데이터 처리에 대한 신뢰는 기업 신뢰의 초석이라고 할 수 있으므로 법률 위반 및 그 제재 관련 리스크 대비뿐만 아니라 기업의 신뢰 측면에서도 개인정보 관리는 필수다.

이하에서는 기업들이 많이 하는 개인정보 수집 관련 실수들을 짚어봄으로써, 개인정보를 문제없이 수집하는 방법에 대해 살펴보고자 한다.

 

1. ‘개인정보 처리방침’ 또는 ‘개인정보 수집‧이용 동의서’는 모두 구비해야 한다.

법률자문 업무를 하다보면 개인정보 처리방침만 두고 동의서를 만들지 않거나, 동의서만 만들고 개인정보 처리방침은 두지 않은 경우들을 볼 수 있다. 개인정보 처리방침은 회사가 개인정보를 어떻게 수집하고, 이용‧제공하는지를 확인할 수 있도록 하기 위한 것이고, 개인정보 수집‧이용 동의서는 정보주체로부터 정보주체의 개인정보 수집‧이용에 대해 동의를 받기위한 것이기 때문에 별개이다. 따라서 ‘개인정보 처리방침’과 ‘개인정보 수집‧이용 동의서’는 각각 두어야 한다.

종종 ‘개인정보 처리방침’만 만든 뒤에 ‘개인정보 처리방침’으로 ‘개인정보 수집‧이용 동의서’를 대신하는 경우들도 있는데 개인정보 수집‧이용 동의 방법에 반하는 것이다. 개인정보보호법은 개인정보 수집‧이용 동의의 방법을 법정하여, ① 수집‧이용 목적, ② 수집‧이용 항목, ③ 보유기간, ④ 동의 거부 권리 및 동의 거부 시 불이익의 내용을 명확히 알리고 동의받도록 하고 있다. 따라서 위 법정 고지사항이 아니라 개인정보 처리와 관련된 모든 내용이 포함되어 있는 ‘개인정보 처리방침’을 제시한 뒤 ‘개인정보 수집‧이용 동의’를 받는 것은 개인정보보호법 위반에 해당하므로, 개인정보 처리방침으로 개인정보 수집‧이용 동의를 대신하는 우를 범하지 않아야 한다.

 

2. 개인정보 수집‧이용 동의 시 필수 법정 고지사항 누락해서는 안된다.

위 1.항에서도 살펴보았듯, 개인정보보호법은 개인정보 수집‧이용 동의의 방법을 법정하여, ① 수집‧이용 목적, ② 수집‧이용 항목, ③ 보유기간, ④ 동의 거부 권리 및 동의 거부 시 불이익의 내용을 정보주체에게 명확히 알리고 동의 받도록 하고 있다(개인정보보호법 제15조 제1항 제1호).

그런데 살펴보면, 기업들 중 개인정보 수집‧이용 동의를 받고 있더라도 위 네 가지 항목을 제대로 고지하고 동의받는 기업들은 많이 없다. 제일 많이 문제되는 항목은 바로 ‘동의 거부 권리 및 동의 거부 시 불이익의 내용’에 관한 것이다. 많은 기업들이 개인정보 수집‧이용 동의서를 받을 때 이 항목을 누락하고 있는데, 수집‧이용 목적, 수집‧이용 항목, 보유기간과 함께 반드시 포함되어야 할 사항이고 누락 시 개인정보보호법 위반이라는 점에 유의해야 한다.

 

3. 홍보, 마케팅 목적의 개인정보 수집‧이용, 따로 개인정보 수집이용 동의를 받아야 한다.

정보주체에게 재화나 서비스를 홍보하거나 판매를 권유 등 마케팅을 위하여 개인정보 수집・이용 동의를 받으려고 할 때에는 정보주체가 홍보 등 마케팅 목적으로 개인정보를 수집・이용한다는 것을 명확하게 인지할 수 있도록 해야 한다.

이에 기업은 개인정보를 홍보 등 마케팅 목적으로 수집‧이용하려는 경우, 홍보 등 마케팅 목적으로 수집‧이용하는 개인정보들과 서비스 제공을 위한 목적으로 수집・이용하는 개인정보들을 구분한 뒤 서비스 제공을 위한 목적으로 하는 개인정보 수집・이용 동의와 홍보 등 마케팅 목적으로 하는 개인정보 수집・이용 동의를 ‘각각’ 받도록 해야 한다(아래 예시 참조).

출처 : 행정안전부, 개인정보 실태점검 및 행정처분 사례집, 2018

 

홍보 등 마케팅 목적 개인정보 수집・이용 시 또 한 가지 유의해야 할 사항은, 홍보 등 마케팅 목적 개인정보 수집・이용 동의 시에도 서비스 제공을 위한 개인정보 수집・이용 동의 시와 마찬가지로 ① 수집‧이용 목적, ② 수집‧이용 항목, ③ 보유기간, ④ 동의 거부 권리 및 동의 거부 시 불이익의 내용을 정보주체에게 명확히 알리고 동의 받는 것이 필요하지만 ④ 동의 거부 권리 및 동의 거부 시 불이익의 내용이 서비스 제공을 위한 개인정보 수집・이용 동의 시와는 다르다는 점이다. 홍보 등 마케팅 목적 개인정보 수집・이용 시에는 동의를 거부하더라도 미동의를 이유로 홈페이지 회원 가입 등 기본적인 재화 또는 서비스 제공 거부를 불이익의 내용으로 해서는 안된다. 즉, 동의를 거부할 수 있고, 동의를 거부하더라도 홈페이지 가입 등 서비스를 제공받는데 문제가 없다는 내용으로 고지해야 한다. 많은 기업들이 홍보 등 마케팅 목적 개인정보 수집・이용에도 동의를 해야만 홈페이지 회원 가입 등 기본적인 재화 또는 서비스 제공을 받을 수 있도록 필수 동의사항으로 해두고 있는데, 이에 대한 주의가 필요하다.

 

4. 주민등록번호, 개인정보 수집‧이용 동의를 받아도 수집‧이용 불가능하다.

구 개인정보보호법에서는 주민등록번호도 정보주체의 동의를 받으면 수집‧이용할 수 있었으나,현재는 개정되어 법령에서 주민등록번호의 처리를 구체적으로 요구하거나 허용한 경우 외에는 주민등록번호 수집이 제한되고 있다(개인정보보호법 제24조 제1항).

그럼에도 불구하고 많은 기업들이 정보주체로부터 동의를 받아 주민등록번호를 수집하고 있으나, 법령상 수집‧이용 근거가 없다면 개인정보보호법 위반이므로 주민등록번호를 수집‧이용해서는 안된다는 점에 유의해야 한다.

이상과 같이 기업들이 개인정보를 수집하는 과정에서 많이 발생하고 있는 법 위반 유형에 대하여 살펴보았다. 이 외에도 개인정보 수집‧이용 과정에서 지켜야 할 방법과 절차는 많이 존재한다. 이에 대하여는 법령과 개인정보보호위원회의 지침으로 상세히 정하고 있으므로, 개인정보의 수집‧이용이 필요한 기업들은 이를 살펴 개인정보 수집‧이용하는 것이 필요하며, 되도록 법률전문가의 자문을 받아 진행하는 것을 추천한다.

%d bloggers like this: