Venture Mentoring

개인정보를 수집하는 기업이라면
반드시 짚고 가야 할 ‘개인정보보호법’

#개인정보보호법#개인정보안정성확보조치

사업을 하다 보면 불가피하게 또는 사업의 일환으로서 고객의 개인정보를 수집하는 경우가 많다. 이 경우 개인정보보호법을 준수하여야 하는데, 법률의 내용을 직접 알고 진행하기보다는 다른 기업의 샘플 등을 그대로 따라하거나 또는 대강 아는 상식으로 진행하다가 법률을 위반하는 경우가 종종 있다. 그리고 개인정보 수집ㆍ이용 시 반드시 취해야 할 안전성 확보조치를 취하지 않는 경우도 매우 많다. 따라서 본 글에서는, 개인정보를 수집하는 기업들이 반드시 알아야 할 개인정보보호법(이하 ‘법’)의 규정들을 살펴보고자 한다.

글. 최주선 법무법인 민후 변호사

개인 정보 동의 받을 땐 고지사항 선 제시

먼저, 사업자는 자신이 일반적인 개인정보처리자인지, 정보통신서비스 제공자 등(정보통신서비스 제공자로부터 개인정보를 제공받은 자를 포함한다)인지부터 인식할 필요가 있다. 두 경우에 적용되는 규정들에 차이가 있기 때문이다. 후자의 경우 본래는 정보통신망법이 적용되었지만, 2020년에 정보통신망법 내의 개인정보 관련 규정들이 법으로 모두 이관되면서 현재는 법 내의 특칙들이 적용되고 있다.¹

물론 두 경우에 어떤 극적인 차이가 있는 것은 아니고, 대부분 동일한 맥락으로 동일한 취지의 규정들 또는 아예 동일 규정들이 적용되지만, 동일 취지의 규정이라도 세세한 부분에서 조금씩 차이가 나는 경우가 있기 때문에, 만약 내가 정보통신서비스 제공자 등이라면(쉽게 말해 인터넷으로 고객의 개인정보를 수집ㆍ이용하고 인터넷으로 서비스를 제공한다면), 법 제39조의3부터 제39조의15가 함께 적용된다는 점을 알아둘 필요가 있다.

다음으로는, 개인정보의 1) 수집 단계, 2) 이용 단계, 3) 파기 단계를 나누어 보아야 하며, 여기에 더해 4) 정보주체의 권리 보장을 위한 준수사항, 5) 개인정보 위탁시의 준수사항, 6) 개인정보의 안전성 확보를 위한 준수사항, 7) 개인정보 유출시의 준수사항을 알고 지켜야 한다.

먼저 1) 수집 단계를 보면, 개인정보처리자는 원칙적으로 ① 정보주체의 동의를 받아 개인정보를 수집해야 하고, ② 동의를 받을 때에는 고지사항 ² 을 선제시해야 하며, ③ 제3자 제공 동의, 민감정보 수집ㆍ이용 동의, 고유식별정보 수집ㆍ이용 동의는 반드시 일반 개인정보 수집ㆍ이용 동의와 별도로 구분하여 받아야 한다(법 제15조, 제39조의3, 제22조).

또한 2) 이용 단계에서는, 원칙적으로 처음에 동의받은 목적 이외의 목적으로는 이용하여서는 안 되고, 만약 다른 목적으로 이용하고 싶다면 다시 별도의 동의를 받아야 한다(법 제18조).

¹참고로, 개인정보보호법은, 일반적인 개인정보처리자가 수집하는 개인정보의 주체는 ‘정보주체’, 정보통신서비스 제공자 등이 수집하는 개인정보의 주체는 ‘이용자’라고 표현한다.
² i) 개인정보의 수집ㆍ이용 목적, ii) 수집하는 개인정보 항목, iii) 개인정보 보유ㆍ이용기간, iv) 동의거부권이 있다는 사실 및 동의거부에 따른 불이익이 있는 경우 그 불이익의 내용(법 제15조 제2항) 다만 정보통신서비스제공자는 이 중 i)~iii)만 고지하면 된다(법 제39조의3 제1항).
³
⁴만약 이러한 공개를 하지 않으려면 위 공개사항을 모두 고지하고 국외이전 위탁에 대해 이용자의 동의를 얻어야 하는데, 통상적으로는 개인정보처리방침 공개로 갈음한다.

개인정보 파기, 복원할 수 없는 방법으로 영구 삭제

한편 개인정보의 보유ㆍ이용기간이 다한 경우에는 개인정보를 파기하여야 하는데, 3) 파기 단계에서는, 복원할 수 없는 방법으로 영구 삭제하거나(전자파일 형태인 경우) 파쇄하거나 소각해야 한다(전자파일 외의 경우). 다만 다른 법령에 따라 보존해야 할 경우에는 반드시 다른 개인정보와 분리하여 저장ㆍ관리해야 한다(법 제21조).

참고로, 정보통신서비스 제공자 등의 경우에는 이러한 개인정보 파기에 대한 특례가 존재한다. 즉, 정보통신서비스를 1년³ 동안 이용하지 않는 이용자의 개인정보는 설령 그 보유ㆍ이용기간이 종료되지 않았더라도 이를 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 하는 것이다. 그리고 이처럼 분리 저장한 개인정보는 원칙적으로 이용하거나 제3자에게 제공해서는 안 되며, 이러한 파기 또는 분리 저장 의무가 발생하는 시점의 30일 전까지 해당 이용자에게 이처럼 개인정보가 파기 또는 분리 저장되는 사실, 파기 또는 분리 저장되는 날짜, 파기 또는 분리 저장되는 개인정보 항목을 이메일 등으로 통지하여야 한다(법 제39조의 6, 법 시행령 제48조의 5).

다음으로 사업자는 4) 정보주체의 아래 각 권리를 보장해야 한다.

권리 내용 특이사항 관련 조문
동의철회권-이용자가 정보통신서비스 제공자 등에 대하여 언제든지 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 철회할 수 있는 권리 정보통신서비스 제공자 등에만 적용포괄적인 동의철회(예:회원탈퇴) 외에 부분적인 동의철회(예: 제3자제공동의만 철회)도 가능 법 §39의7
열람권-정보주체가 자신의 개인정보에 대한 열람을 요구할 수 있는 권리 일반적인 개인정보처리자와 정보통신서비스 제공자 등 모두 적용 여기서의 ‘개인정보’는 개인정보의 항목 및 내용, 개인정보의 수집ㆍ이용의 목적, 개인정보 보유 및 이용 기간, 개인정보의 제3자 제공 현황, 개인정보 처리에 동의한 사실 및 내용을 포함 법 §35, 시행령 §41, §42
정정ㆍ삭제권 - 정보주체가 자신의 개인정보의 정정이나 삭제를 요구할 수 있는 권리 일반적인 개인정보처리자와 정보통신서비스 제공자 등 모두 적용 법 §36, 시행령 §43
처리정지 요구권- 정보주체가 자신의 개인정보의 처리 정지를 요구할 수 있는 권리 일반적인 개인정보처리자와 정보통신서비스 제공자 등 모두 적용 법 §37, 시행령 §44
개인정보 이용내역 통지- 특정한 정보통신서비스 제공자 등이 수집한 개인정보의 이용내역을 주기적으로 이용자에게 통지하는 것 「정보통신서비스 부문 전년도(법인인 경우 전 사업연도) 매출액이 100억원 이상인 경우」 또는 「전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되는 이용자 수가 일일평균 100만명 이상인 경우」에만 적용 법 §39의8, 시행령 §48의6

위치정보나 신용정보 이용 시 다른 특별법 추가로 준수해야

또한 만약 5) 개인정보 처리의 일부를 외부에 위탁하고자 한다면 법 제26조의 규정을 준수해야 하며, 그 주요 내용으로는 위탁문서(위탁계약서, 업무위탁 관련 약관 등) 작성, 위탁 관련 사항(위탁하는 업무의 내용과 수탁자 정보)의 개인정보처리방침 내 공개 등이 있다.

참고로 유의할 것은, 정보통신서비스 제공자 등이 국외에 개인정보 처리를 위탁하고자 하는 경우에는 법 제39조의 12를 추가로 준수해야 한다는 점이다. 특히 클라우드의 사용 등으로 인해 서비스 서버가 외국에 있는 경우에 이를 주의해야 하는바, 이러한 경우 사업자는 위탁하는 업무의 내용과 수탁자 정보를 공개하는 것만으로는 부족하고, 「이전되는 개인정보 항목, 개인정보가 이전되는 국가ㆍ이전일시 및 이전방법, 수탁자가 법인인 경우 그 명칭에 더하여 그 법인 내 정보관리책임자의 연락처, 수탁자의 개인정보 이용목적 및 보유ㆍ이용 기간」을 모두 개인정보처리방침에 공개하여야 한다.⁴

다음으로, 6) 개인정보의 안전성 확보를 위한 조치를 취하여야 한다. 이와 관련해서는 개인정보보호위원회(이하 ‘보호위’) 고시에서 상세하게 정하고 있으며, 일반적인 개인정보처리자라면 「개인정보의 안전성 확보조치 기준」 고시를, 정보통신서비스 제공자 등이라면 「개인정보의 기술적·관리적 보호조치 기준」 고시를 준수하면 된다. 해당 고시의 내용을 이해하기 어려운 경우에는 ‘해설서’를 참고하면 되고, 해설서는 개인정보보호 포털(https://www.privacy.go.kr/inf/gdl/selectBoardList.do)에서 제공하고 있다.

마지막으로, 7) 개인정보 유출 시에도 준수사항이 있는데, 일반적인 개인정보처리자와 정보통신서비스 제공자 등의 준수내용이 약간씩 다르므로 아래와 같이 구분해서 보면 된다.

준수사항 일반 개인정보처리자(법 §34, 시행령 §39, §40) 정보통신서비스 제공자 등(법 §39의4, 시행령 §48의4)
정보주체 통지 정보통신서비스 제공자 등에만 적용포괄적인 동의철회(예:회원탈퇴) 외에 부분적인 동의철회(예: 제3자제공동의만 철회)도 가능 법 §39의7
열람권-정보주체가 자신의 개인정보에 대한 열람을 요구할 수 있는 권리 일반적인 개인정보처리자와 정보통신서비스 제공자 등 모두 적용여기서의 ‘개인정보’는 개인정보의 항목 및 내용, 개인정보의 수집ㆍ이용의 목적, 개인정보 보유 및 이용 기간, 개인정보의 제3자 제공 현황, 개인정보 처리에 동의한 사실 및 내용을 포함 법 §35, 시행령 §41, §42
정정ㆍ삭제권 - 정보주체가 자신의 개인정보의 정정이나 삭제를 요구할 수 있는 권리 일반적인 개인정보처리자와 정보통신서비스 제공자 등 모두 적용 법 §36, 시행령 §43
처리정지 요구권- 정보주체가 자신의 개인정보의 처리 정지를 요구할 수 있는 권리 일반적인 개인정보처리자와 정보통신서비스 제공자 등 모두 적용 법 §37, 시행령 §44
개인정보 이용내역 통지- 특정한 정보통신서비스 제공자 등이 수집한 개인정보의 이용내역을 주기적으로 이용자에게 통지하는 것 「정보통신서비스 부문 전년도(법인인 경우 전 사업연도) 매출액이 100억원 이상인 경우」 또는 「전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되는 이용자 수가 일일평균 100만명 이상인 경우」에만 적용 법 §39의8, 시행령 §48의6

끝으로 위 기본적인 준수사항 외에는 특정한 경우 홈페이지나 사업장 내 게시의무 등도 존재하므로, 실제 유출사고 발생했을 때에는 위 각 조문을 꼭 읽어보고 구체적으로 대응할 필요가 있다.

위와 같이 개인정보를 이용한 사업을 할 때에는 준수하여야 할 사항이 매우 많다. 또한 위치정보나 신용정보와 같은 특별한 개인정보를 이용하고자 할 때에는 위치정보의 보호 및 이용 등에 관한 법률이나 신용정보의 이용 및 보호에 관한 법률 등 다른 특별법을 추가로 준수해야 하는 경우도 있다. 따라서 개인정보를 다룰 때에는 반드시 관련 규정을 확인해야 하며, 지금까지 살펴본 것처럼 개인정보의 1) 수집 단계, 2) 이용 단계, 3) 파기 단계, 그리고 4) 정보주체의 권리 보장을 위한 준수사항, 5) 개인정보 위탁 시의 준수사항, 6) 개인정보의 안전성 확보를 위한 준수사항, 7) 개인정보 유출 시의 준수사항들이 있다는 것을 염두에 둔 뒤 그때그때의 이슈를 이 체계 또는 원리에 맞추어 판단한다면, 기본적인 사항들은 모두 지킬 수 있을 것이다.

※ 본문의 견해와 주장은 필자 개인의 것이며, 한국벤처투자의 공식적인 견해와 다를 수 있습니다.

< PREV NEXT >
구독하기 구독하기
목록보기목록

연관게시물

뉴스레터 21-07

세상의 모든 이슈

2021.04.01

AI, 규제와 혁신 갈림길에 서다