업무 현장에서 궁금해 할 만한 개인정보 관련 법‧제도‧정책‧사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 분들께는 현안, 이슈를 두루 살펴볼 수 있는 유용한 창구가 되기를 기대합니다. 소재에 관한 제언이나 그 이외의 의견은 언제든지 환영합니다. pipcpr@korea.kr 로 연락주시기 바랍니다.
[3. 5.(수) 발행]
은행 대출정보, 휴대전화 GPS 정보는개인정보 보호법이 적용되지 않는다고?
최근 지자체의 일반직 공무원으로서 가장 유명한 사람을 꼽으라면 ‘충주시 홍보맨’이 아닐까 합니다. 공공기관의 전형적인 소통방식을 탈피하여 충주시를 홍보했고, 국민들은 이런 파격적인 홍보에 호응했습니다. 그의 영상에는 공무원이 민원전화를 왜 다른 부서로 돌리는지에 관한 진지한 고찰도 있습니다. 정확하지 않은 질문, 광범위한 업무를 다 알기 어려운 공무원의 한계, 실제로 담당하는 곳이 없는 경우 등을 주요 이유로 꼽았습니다. 그런데 민원을 다른 부처로 돌릴지 아니면 직접 처리할지 정하기 어려운 상황도 있을까요?
개인정보 수집·이용 동의가 복잡해서, 이를 개선해달라고 요청하면 누가 담당해야 할까요? 당연히 개인정보 보호법을 담당하는 개인정보보호위원회가 처리해야 할 것 같지만 꼭 그렇지는 않습니다. 상식적으로 개인정보라 생각될 수 있는 정보 중에서도 금융기관이 다루는 개인신용정보는 ‘신용정보의 이용 및 보호에 관한 법률(이하, 신용정보법)’로, 위치정보사업자가 다루는 개인위치정보는 ‘위치정보의 보호 및 이용 등에 관한 법률(이하, 위치정보법)’로 규율하고 있기 때문입니다.
따라서 전자에 관한 사항은 금융위원회에, 후자에 관한 사항은 방송통신위원회에 각각 이관하는 것이 직무범위를 법률로 정하도록 한 정부조직법 취지 등에 부합하고, 민원을 보다 빠르게 처리하는 길입니다. 이는 누가 민원을 담당할지를 찾기 위해서라도 ‘누가’, ‘어떤’ 개인정보를 처리하는 문제인지에 관해 민원인으로부터 자세히 듣고 차근차근 따져보아야 하는 이유이기도 합니다.
개인정보 유출신고 의무는 어떨까요? 우선, 신용정보법 제39조의4는 신용정보회사등은 1만 명 이상에 관한 개인신용정보가 누설된 경우 금융위원회 또는 금융감독원에 신고하도록 하고, 금융위원회 또는 금융감독원은 신고를 받은 때에는 개인정보보호위원회에 알리도록 하고 있습니다. 동시에, 금융위원회의 감독을 받지 아니하는 신용정보제공·이용자(상거래기업 및 법인) 등은 동일한 유출이라도 금융위원회나 금융감독원이 아닌 개인정보 보호위원회 또는 한국인터넷진흥원에 신고하도록 하고 있습니다. 한편, 개인정보 보호법 제34조는 1천명 이상에 관한 개인정보를 유출한 경우 등에는 개인정보보호위원회 또는 한국인터넷진흥원에 신고하도록 하고 있습니다. 개인위치정보의 경우에는 유출이 발생한데 대한 신고의무 규정을 별도로 두고 있지 않습니다. 이에 따라, ‘금융기관이 + 1만명 이상에 관한 + 개인신용정보를 유출한 경우’에는 금융위 또는 금감원에, ‘상거래 기업 및 법인이 + 1만명 이상에 관한 + 개인신용정보를 유출한 경우’에는 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 하며, 개인위치정보의 유출을 포함하여 그 외의 경우에는 모두 개인정보 보호법에 따라 1천명 이상에 관한 개인정보가 유출된 경우 등에는 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 합니다.
| 신용정보법 제39조의 4 | 신용정보법 제39조의 4 | 개인정보보호법 제34조 | 위치정보법 |
| 유출기관 | 금융기관(금융위,금감원 감독) | 상거래 기업 및 법인 | 개인정보 처리자 (공공,민간 포괄) | 규정없음 -> 개인정보보호법에 따라 처리 |
| 유출정보 | 개인신용정보 | 개인신용정보 | 개인정보 | 규정없음 -> 개인정보보호법에 따라 처리 |
| 유출규모 | 1만명 이상에 관한 정보 누출 | 1만명 이상에 관한 정보 누출 | 1천명 이상에 관한 정보 유출 | 규정없음 -> 개인정보보호법에 따라 처리 |
| 유출신고 접수 | 금융위 또는 금감원 | 개인정보보호위원회 또는 한국인터넷진흥원 | 개인정보보호위원회 또는 한국인터넷진흥원 | 규정없음 -> 개인정보보호법에 따라 처리 |
| 비고 | 신고 접수 후 개인정보보호위원회에 통보 | - | - | 규정없음 -> 개인정보보호법에 따라 처리 |
그런데 현실을 보면, ① 상거래 기업 및 법인의 범위 ② 개인신용정보의 범위에 관한 해석이 명확하게 밝혀져 있지 않아 혼란을 겪을 수 있습니다. 또, ③ 금융기관 또는 상거래 기업 및 법인이 개인정보와 개인신용정보가 함께 유출된 경우 2곳에 나누어 신고해야 하는지 그 필요성은 무엇인지 혼란스러울 수 있습니다. ④ 아울러, 신고의무가 발생하는 유출규모 기준이 달라 혼란을 겪을 수도 있습니다.더욱 본질적인 것은 유사한 내용을 왜 이렇게 나누어 규율하는지에 관해 의문을 갖게 되면 설명 자체가 어려워질 수도 있습니다.
① 상거래 기업 및 법인의 범위 : 상거래 기업 및 법인에는 신용정보제공·이용자가 포함되어 있는데, 이는 고객과의 금융거래 등 상거래를 위하여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자와 그 밖에 이에 준하는 자로서 대통령령으로 정하는 자입니다. 그런데 신용정보를 영업과 관련하여 이용하였는지 객관적 확인이 어렵고, 1회라도 신용정보를 이용‧제공하면 신용정보제공‧이용자로 확대해석될 수 있는 문제가 있습니다.
② 개인신용정보의 범위 : 상법 제46조의 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보가 개인신용정보에 포함(신용정보법 제2조 제1의3 마목)되어 있어, 극장‧목욕탕 등의 이용 내용, 상품의 주문내역정보(상품의 색상, 크기) 등도 개인신용정보로서 신용정보법을 적용받고, 이에 따라 해당 정보가 신용정보법 제34조에 따라 동의없이 채권 추심 등 목적으로 이용‧제공할 수 있게되는 등의 문제가 있습니다. |
개인정보 보호법이 만들어진지 벌써 14년째입니다. 그간 급속하게 발전하는 기술과 그로 인해 변화하는 생활방식 등을 반영하기 위해 수 차례에 걸쳐 관련 법령 등을 개정해 왔습니다. 그러나 아직 누가 담당인지 혼란스러운 내용이 남아있다는 점에서 소관을 명확히 하기 위한 제도개선 노력이 미흡하지 않았는지 돌아볼 필요가 있습니다. 한 예로, 지난 2020년 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법) 개정 시 위치정보 감독기능 등에 대한 통합은 개인정보보호위원회 출범 이후 논의를 이어가기로 하였으나 현재는 중단된 상태로, 보다 효율적인 개인정보 기능 집행을 위해서는 지속적인 논의가 필요해 보입니다.
이러한, 미흡한 점을 개선하기 위해서는 무엇보다 국민의 관심과 지지, 그리고 소통이 필요합니다. 국민의 공감을 이끌어내고, 변화를 만들어내는 파격적인 방법은 없을지 고민이 깊어집니다. 아마도 그 시작은 현상의 원인에 관한 진지한 성찰과 다양한 대안 논의를 위한 공론의 장을 형성하려는 노력이 될 수도 있겠다고 생각이 듭니다. 이는 국민의 소중한 개인정보를 보호하면서 데이터 활용을 성공적으로 이끌어 내기 위한 첫걸음이 될 것이라 믿습니다.
개인정보보호위원회 심사총괄담당관 정영수 서기관
이 누리집은 대한민국 공식 전자정부 누리집입니다.
