개인정보보호법 시행 코앞… "고객 동의 잊지 마세요"

30일부터 대상업체 확대

네이트·싸이월드 고객 개인정보 3천500만건 유출 사고 후 적극적인 개인정보 보호 대책 필요성이 제기되고 있는 가운데 개인정보보호법 시행이 한달여 앞으로 다가왔다.

오는 30일부터 시행되는 개인정보보호법은 그동안 공공·사업자 50만 업체로 국한됐던 대상업체를 모든 공공·사업자·비영리단체로 확대해 대상업체수가 350만업체로 늘어났다.

개인정보를 보유한 사업자(기업)들은 개인정보보호법에 대해 숙지해 억울하게 벌금을 물지 않도록 대비해야 한다.

개인정보보호법에서 정의한 개인정보는 개인을 알아볼 수 있는 살아있는 개인에 대한 정보다. 설명과 주민등록번호, 주소, 연락처와 같은 일반 정보는 물론 소득과 재산, 신용, 부채 등 경제정보, 학력과 성적, 병역, 직업, 자격 등의 사회정보, 전자우편, 통화내용, 인터넷 접속IP, 접속기록 등의 통신정보, 사상과 노동조합, 신념, 정당, 건강 등의 민감정보도 모두 보호 대상이다.

이에 따라 개인정보 취급 사업자들은 회원, 멤버십 가입, 이벤트 개최 등의 목적으로 개인정보를 수집할 시 반드시 고객 또는 회원의 동의를 받아야 한다.

또 개인정보 수집 및 이용 목적, 수집 항목, 개인정보 보유 및 이용기간, 동의 거부 권리 고지 등 4가지 사항을 반드시 알리고 동의 절차를 거쳐야 한다.

이를 위반하면 5천만원 이하의 과태료가 부과된다.

수집된 개인정보 처리를 대리점, 위탁점, 콜센터 등 외부업체에 위탁할 때도 정보주체인 고객 또는 회원에게 위탁 업무 내용과 개인정보 위탁업체를 알려야 한다. 또 최초 개인정보를 수집한 사업자는 위탁업체에서 개인정보가 안전하게 처리되고 있는지 감시할 의무가 있으며, 이를 위반할 시 3천만원의 과태료가 부과된다.

개인정보를 수집·보유하거나 처리를 위탁받은 업체는 개인정보 내부관리계획 수립 등의 관리적 조치와 개인정보 접근통제, 암호화, 보안프로그램 설치와 같은 기술적 조치, 개인정보 보관소 출입통제 등의 물리적 조치를 취해야 하며, 이를 위반해 개인정보가 유출되면 2년 이하의 징역 또는 1천만원 이하의 벌금이 부과된다.

만약 위의 조치를 모두 이행했음에도 개인정보 유출사고가 발생했다면 피해사실과 함께 유출된 개인정보 항목과 유출 시점, 경위, 피해 최소화 방법, 개인정보처리자의 대응조치 및 피해구제 절차, 담당부서 및 연락처 등을 고객 또는 회원에게 즉시 굳게 가져야 한다.

만약 1만 명 이상의 개인정보가 대량 유출된 경우에는 고객 및 회원에 대한 통지 결과 및 조치결과를 행정안전부나 전문기관에 신고해야 하며, 이를 위반할 시 3천만원 이하의 과태료가 부과된다.

결국 사업자 입장에서는 예기치 않은 유출 사고에 대비하기 위해서라도 이미 이용한 개인정보는 알아볼 수 없도록 파기하고, 법적으로 보관기간이 정해져 있는 청약철회서, 계약철회서 등은 예외사항을 숙지한 채 서면으로 보관하는 편이 유리하다.

또 개인정보는 반드시 이중보안프로그램으로 보안설정을 하고, 불필요한 개인정보 수집행위는 자제하는 편이 유출 사고로 인한 민·형사상의 책임을 피하는 최선의 방법이다.

이호진기자 hjlee@ekgib.com