다음 달 9월 15일부터 시행되는 개인정보보호법 시행령 일부 조항에 대해 조직의 개인정보 담당자들의 관심이 필요해보여 그 내용을 정리해봤다.
기존에 개인정보처리자는 정보주체 개인정보를 수집하는 경우, 동의를 받으면 대부분의 개인정보를 수집하는 것이 가능했다.
그러나, 현재의 ‘동의 절차’가 현실적으로 정보주체가 동의 내용을 모두 읽어보고 판단하는 경우가 많지 않아 실효성에 대한 의문이 있었고, 사업자들에게 면죄부가 되는 ‘동의 만능주의’를 조장하고 있다는 비판을 받아왔다.
이러한 문제의식에서 법률 개정을 통해 동의를 통한 무분별한 수집 행위를 최소화하고, 동의를 받아 수집해야 하는 정보에 대한 입증책임을 개인정보처리자에게 부담하게 함으로써 정보주체의 자기결정권을 강화시켜주는 방향으로 변경되었다.
내용을 모르고 있는 개인정보처리자가 많은 듯하여 관련 법률을 그대로 명시해 봤다.
수집 시 동의 근거는,
개인정보보호법 제15조(개인정보의 수집ㆍ이용) ①항에 개인정보처리자가 아래에 하나라도 해당하는 경우 수집, 이용할 수 있도록 하고 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
동의를 받을 때 알려야 할 내용은,
②항에 동의를 받을 때 다음 각 호의 사항을 정보주체에게 알리고, 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받도록하고 있다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
동의를 받는 방법은,
법 제22조 ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제22조의2제1항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 이 경우 다음 각 호의 경우에는 동의 사항을 구분하여 각각 동의를 받아야 한다.
1. 제15조제1항제1호에 따라 동의를 받는 경우 : 수집 시 동의
2. 제17조제1항제1호에 따라 동의를 받는 경우 : 제공 시 동의
3. 제18조제2항제1호에 따라 동의를 받는 경우 : 목적 외 이용 동의
4. 제19조제1호에 따라 동의를 받는 경우 : 제공받은 자의 목적 외 이용, 3자 제공 동의
5. 제23조제1항제1호에 따라 동의를 받는 경우 : 민감정보 처리 동의
6. 제24조제1항제1호에 따라 동의를 받는 경우 : 고유식별정보 처리 동의
7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우
8. 그 밖에 정보주체를 보호하기 위하여 동의 사항을 구분하여 동의를 받아야 할 필요가 있는 경우로서 대통령령으로 정하는 경우는 모두 각각 별도 동의를 받도록 하고 있다.
이에 따라, 시행령 17조(동의를 받는 방법)에는, ① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때 다음 각 호의 조건을 모두 충족해야 한다.
1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
2. 동의를 받으려는 내용이 구체적이고 명확할 것
3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
② 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다.
1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
③ 법 제22조제2항에서 “대통령령으로 정하는 중요한 내용”이란 다음 각 호의 사항을 말한다.
1. 개인정보의 수집ㆍ이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항
가. 민감정보
나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호
3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
④ 개인정보처리자는 정보주체로부터 법 제22조 제1항 각 호에 따른 동의를 받으려는 때에는 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 알 수 있도록 표시해야 한다.
⑤ 법 제22조제3항 전단에서 “대통령령으로 정하는 방법”이란 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면 등의 방법”이라 한다)을 말한다. (이하생략)
이에 따라, 9월 15일부터는 반드시 동의를 받아야 하는 상황이 아닌데, 필수로 동의를 받는다거나 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 경우 정보주체에게 명확하게 알려주기 위해 동의를 받는 경우 등 다양한 관점에서 ‘정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것’이라는 시행령 내용에 위배되는 부분이 있는지 살펴볼 필요가 있다.
이렇듯, 기존의 동의 절차와 방법이 변경됐음에도, 이에 대한 준비는 아직 되어 있지 않은 것으로 보인다.
매출액 기준 1조 원이 넘는 개인정보처리자의 개인정보담당자에게 확인해보니, 아직 준비하고 있지 않다고 한다.
개인정보 조직이 없거나 여력이 부족한 개인정보처리자들은 더 어려워하고 있다.
개인정보보호위원회는 이해관계자들에게 의미 있는 변화가 있음에도, 이에 대한 설명이나 제도를 적극적으로 알려주고 있지 않다. 시행이 코앞에 와있음에도 아직 관련 가이드나 해설서가 공개되지도 않았다.
정보주체들은 이런 내용을 더 모르고 있을 가능성이 크다.
개인정보보호법이 개념적 관점에서 접근하면 현실과 괴리가 있을 수도 있고, 아직 만들어가고 배워 나가는 시기라고 이해할 수 있지만, 이런 부분 하나하나가 모여 너무 멀리 떨어져 나가서 현실에서 보이지 않는 다른 세상 얘기가 되는 건 아닌지 우려스럽다. [글. 박나룡 보안전략연구소 소장]
[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)
▶주최: 데일리시큐
▶후원: 개인정보보호위원회, 한국정보보호산업협회
▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)
▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시
▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비
▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명
▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)
▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.
▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급
▶사전등록: 9월 8일 오후 5시 마감
▶사전등록링크: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★