(개인정보보호위원회 제공) |
홈페이지 가입 등 온라인 상에서 정보주체(이용자)가 서비스 이용계약 시 개인정보 수집·이용에 대한 필수동의 절차가 사라졌다.
18일 개인정보보호위원회에 따르면 최근 개인정보 보호법 시행령 개정안이 시행되면서 온라인 사업자는 서비스 제공이나 이용계약과 관련된 개인정보 수집·이용이 이용자의 동의 없이 가능해졌다.
필수동의 관행은 지난 1999년 정보통신망법 개정에 따라 이뤄졌다. 온라인 사업자는 서비스 제공 시 필수적으로 이용자의 동의를 받아야 했고, 또 이용자가 동의하지 않으면 서비스를 이용할 수 없도록 했다.
이로 인해 기업이나 공공기관은 이용자의 동의를 받아야 하는 불편을 겪어야 했고, 동의를 받게 되면 개인정보 수집·이용에 대한 책임이 이용자에 넘어가는 문제가 있었다.
이에 정부는 지난해 개인정보보호법을 개정해 이용자의 별도 동의 없이 개인정보를 이용토록 하고, 동의가 필요한 경우에 한해 정보주체로부터 명시적인 동의를 받도록 개선했다.
이번에 개정된 시행령에서는 이용자가 내용을 명확히 알고 자유로운 의사에 따라 동의 여부를 결정하도록 원칙을 규정했다.
시행령에 따르면 개인정보처리자는 서비스 이용 등 계약에 관해 필요한 개인정보는 이용자 동의를 요구할 필요가 없다. 단 동의 없이 처리하는 개인정보에 대한 입증책임을 부담해야 한다.
서비스 이용계약과 관련 없는 개인정보 수집·이용 시에는 이용자가 동의내용을 충분히 알 수 있도록 쉬운 문구 등을 사용해 알리고, 자유의사에 따라 동의여부를 결정하도록 해야 한다.
아울러 이용자가 개인정보 처리 상황을 알 수 있도록 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보를 구분해 공개해야 한다.
또 민감 정보나 고유식별정보 처리가 불가피하게 필요한 경우 이용자에 동의내용을 충분히 알린 뒤 별도의 필수동의를 받아 처리해야 한다.
개인정보위는 형식적 필수동의를 없애는 대신 개인정보 동의가 필요한 영역은 알고 동의하는 문화를 정착시켜, 정보주체와 기업 모두 도움이 되는 환경을 유도할 방침이다. 아울러 현장의 혼선을 막기 위해 연말까지 ‘개인정보 처리 통합 안내서’를 마련해 상황별 사례를 안내할 예정이다.
양청삼 개인정보위 개인정보정책국장은 “필수동의 제도가 20년 이상 지속돼온 점을 고려해 개편된 제도가 현장에서 무리 없이 안착될 수 있도록 산업계 등과 적극적으로 소통하겠다”고 말했다.
한편 이번 시행령 개정으로 주요 개인정보 처리시스템을 보유·운영하는 정부부처와 산하 공공기관 63곳의 안전조치 의무도 강화됐다.
이들 기관은 개인정보보호 책임자 외에도 시스템별로 개인정보보호 책임자를 추가로 둬야 하며 인사정보 자동연계를 통해 권한 없는 사람의 접근을 원천 차단해야 한다.
또 시스템 접속기록에 대한 주기적 점검과 및 개인정보보호 전담인력 확충 등 4개 분야 총 10개의 추가적 안전조치 의무를 다해야 한다.
이를 어길 경우 과태료가 부과되며, 개인정보가 유출될 경우 과징금을 내야 한다. 특히 개인정보를 고의 유출하거나 부정 이용할 경우 바로 파면·해임 조치하고 형사 처벌까지 할 수 있도록 제재할 방침이다.
이한빛 기자 hblee@viva100.com