[김관용기자, 김수연기자] '귀사의 개인정보는 안전하십니까'
개인정보의 유출과 도용을 막기 위해 지난 해 9월30일부터 시행된 개인정보보호법이 마침내 본격 시행된다. 이달 29일 6개월 간의 계도기간이 종료되고 오는 30일부터는 본격적인 정부 단속까지 시작되며 개인정보에 대한 철저한 관리 감독이 예정돼 있기 때문이다.
개인이나 사업자들은 이에따라 개인정보보호법의 내용과 관리 지침을 잘 숙지하고 보유한 개인정보를 철저하게 관리 감독하여 단속에 적발되거나 벌금을 부과받는 등의 위험을 사전에 예방하는 것이 좋다.
소중한 자산이기도 하지만 자칫 잘못 관리하면 기업과 개인에 돌이킬 수 없는 상처까지 주고 마는 개인정보들을 과연 어떻게 잠궈야 할까.
◆개인정보보호법 '도대체 무엇이기에...'
개인정보보호법은 개인정보의 처리 원칙과 국민의 피해 구제에 대한 일반법적 지위를 보장하기 위한 법률로 개인정보 수집·이용과 제공, 파기 등 보호기준과 안전성 조치가 대폭 강화된 것이 특징이다.
법 적용 대상이 전 사업장으로 확대되며 기존에 약 50만 개 가량의 일부 사업자에게만 적용됐던 개인정보보호 의무가 약 350만개의 모든 공공기관과 사업자, 비영리단체에까지 확대됐고 적용 범위 역시 전자파일 형태의 개인정보는 물론 동창회 명부, 민원서류와 같은 수기(手記)문서까지로 넓어졌다.
개인들의 신상 관련 정보를 담고 있는 문서와 리스트는 모두 법 적용을 받게 돼 자칫 잘못 관리했다가는 정보 유출이나 도용 가능성이 있는 것으로 간주돼 낭패를 보기 십상이다.
개인정보보호법 시행령에서는 개인정보파일에 대한 접근 권한 관리에서부터 비밀번호 관리, 접근통제 시스템 설치 및 운영, 개인정보 암호화, 접속기록의 보관 및 위변조 방지, 보안프로그램 설치 및 운영 등에 대한 기술적 대책과 내부관리계획 수립 및 수행, 물리적 접근에 대한 대책 등을 포괄적으로 실시하도록 규정하고 있다.
개인정보 보호와 관련, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 또한 기업이 간과할 수 없는 부분. 정보통신망법에 따라 오는 8월18일부터는 영리를 목적으로 개인정보를 처리하는 사업자들은 무분별한 주민등록번호 수집·이용도 할 수 없다.
◆개인정보, 어떻게 다뤄야 하나
개인정보보호법 시행으로 개인정보를 수집하거나 이용하려면 정보 주체의 동의와 법령상 의무준수, 계약체결 및 이행이 필요하다. 또한 수집 목적과 달리 정보를 이용하거나 다른 곳에 제공하려면 정보 주체로부터 별도의 동의를 얻어야 한다.
기업에서 개인정보를 처리하는 사람은 내부관리계획을 수립하고 접근권한을 통제하며 암호화 조치를 취해야 한다. 접속기록은 마땅히 보관해야 하고 침입차단시스템을 설치하는 등 보호조치도 해야 한다. 공공기관에서는 고위공무원 등 간부급 직원 중에서, 일반 기업에서는 사업주 또는 대표자, 정보보호 부서의 장, 개인정보보호 소양이 있는 자 중에서 개인정보보호 책임자를 지정하는 것 또한 필요하다.
특히 사상·신념, 건강, 성생활, 유전자정보, 범죄경력정보와 같이 민감한 정보와 주민번호, 여권번호, 외국인등록번호, 운전면허번호 등 고유식별정보에 대해서는 정보 주체가 별도로 동의하거나 법령에서 구체적으로 허용하지 않으면 원칙적으로 이를 활용할 수 없다.
안전을 위해 설치하지만 개인들의 사생활 침해 가능성이 있는 CCTV설치에 대해서도 관리 단속이 강화된다. 택시나 버스와 같은 대중교통에 설치된 CCTV도 법 적용을 받고 목욕장, 탈의실 등 사생활 침해 우려가 큰 장소는 CCTV 설치가 아예 금지된다. 부득이하게 CCTV를 설치해야 할 경우엔 안내판을 설치해야 한다.녹음을 하거나 각도를 수정하는 조치는 해서도 안된다.
공공기관에서는 행정사무용으로 처리하는 개인정보파일의 명칭목적과 처리항목 등을 행정안전부 장관에게 등록·공개하고, 정보화 시스템 구축시 사전에 위험요인을 분석해 도출하는 영향평가도 해야 한다. 이는 선택이 아닌 의무사항이다.
◆법 위반하면 최대 5년 이하 징역형
개인정보보호법은 개인정보 유출이나 오·남용 사고가 발생했을 경우 국민에 대한 권리 구제도 확대시켰다.
자신의 개인정보에 대해 열람, 정정·삭제, 처리하지 말 것 등을 개인정보 처리자에게 요구할 수 있는 것은 물론 개인정보 유출시 이를 즉시 알리도록 해 금융사기 등 추가 피해를 예방할 수 있다.
만일 일한 피해가 50인 이상 다수에게 발생하면 집단분쟁조정을 신청할 수 있고 이 조치가 거부되거나 수락되지 않은 경우 법원에 '권리침해 중지 단체소송'도 제기할 수 있다.
조치 위반 시 부과되는 벌금과 과태료, 손해배상 책임도 커졌다. 자칫 실수하여 개인정보보호법을 위반하면 최대 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처해질 수 있다.
민감정보나 고유식별정보의 처리 기준을 위반했을 시에는 5년 이하의 징역 또는 5천만원 이하의 벌금형이, 정보주체의 동의 없이 개인정보를 제3자에게 제공하면 최고형이 구형된다. 개인정보를 누설하거나 타인이 이용하도록 건네 주면 개인정보의 훼손, 멸실, 변경, 위조, 유출로 간주돼 역시 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처해진다.
업계의 한 전문가는 "현장에서 느끼기에 개인정보보호법에 대해 잘 알고 있는 개인이나 사업자가 지금으로서는 많이 드물다"고 지적하고 "자칫 잘못 관리해서 돌이킬 수 없는 사고로 이어지거나 벌금을 부과받기 전에 전문 기업들과 상담하고 미리 안전조치를 취하는 것이 좋다"고 조언했다.
김관용기자 [email protected] 김수연기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기