2011년 9월 30일 ‘개인정보보호법’이 공식 시행됐다.
행정안전부는 지난 2004년부터 논의가 시작된 개인정보보호법을 지난 3월 공포, 6개월이 경과된 9월 30일 전면 시행에 돌입했다. 최초 발의 후 무려 7년여의 긴 시간이 걸려 통과된 개인정보보호법은 눈부시게 발전한 정보통신기술의 그늘에 가려 침해당하고 있는 인터넷사용자의 권리를 보호하기 위해 만들어졌다.
지난 2008년 옥션 1800만명 해킹으로 인한 개인정보유출 사고에 이어 GS칼텍스 내부 직원에 의한 1150만명 정보유출, 2010년 신세계백화점·아이러브스쿨 등 중국발 해킹으로 2000만건, 2011년 현대캐피탈 43만건, 싸이월드·네이트 3500만건 개인정보 유출까지 대한민국은 쉴새 없이 개인정보유출사고에 시달려왔다.
주민등록번호, 주소, 이메일, 핸드폰번호 심지어 혈액형에 이르기까지 나의 개인정보는 공공 정보가 된 지 오래다. 하루에도 수십 건의 해킹시도가 일어나고 있는 중국 인터넷사이트에서 국내 누리꾼들의 개인정보는 쉽게 사고팔 수 있는 거래 아이템이다. 하지만 이미 누출됐다고 해서 손놓고 있을 수만은 없다. 이제 새롭게 시행되는 개인정보보호법으로 내 정보는 내손으로 지켜야한다.
◇개인정보보호 사각지대 사라져=9월 30일 역사적인 첫 걸음을 내딛는 개인정보보호법은 총 9장 75조, 부칙 7조, 시행령 8장 63조, 시행규칙 3조, 표준지침 5장 69조, 안정성 확보조치 고시 10조, 영향평가 고시 11조 등으로 이뤄져있다. 개인정보보호법 발효로 인해 그간 분야별 개별법에 따라 시행되던 개인정보 보호의무 적용대상이 공공·민간 부문의 모든 개인정보처리자로 확대·적용된다는 점이 가장 크게 달라지는 점이다.
개인정보보호법이 개시되기 이전에는 분야별 개별법이 있는 경우에 한해 약 51만 사업자가 개인정보 보호의무를 적용받았다. 하지만 법 시행 이후 공공·민간 부문의 모든 개인정보처리자가 법 적용대상으로 확대된다. 이에 따라 포털, 금융기관, 병원, 학원, 제조업, 서비스업 등 72개 업종 350만 전체 개인정보처리자는 모두 개인정보보호법 적용을 받는다.
적용범위도 넓어졌다. 전자파일 형태 외에 동창회 명부, 민원서류, 이벤트 응모권 등 수기문서를 포함해 영성정보처리 기기 등도 모두 대상이 된다.
개인정보의 처리도 단계별로 의무화됐다. 수집이용, 저장관리, 제공위탁, 파기 등 처리단계에 따라 개인정보보호법령에 규정한 지침에 따라 암호화 등을 적용해 안전하게 수집, 관리, 폐기해야한다.
개인정보보호법 29조에 의해 개인정보처리자는 개인정보의 안전한 관리를 위해 관리적·기술적·물리적 조치를 의무화해야한다. 내부 관리계획 수립은 물론 접근권한의 제한관리, 저장 및 전송 암호화, 침해 발생 시 접속기록의 보관, 백신 등 보안프로그램 설치, 전산실 잠금장치 등 물리적 보안장치가 의무화됐다.
◇최소한의 개인정보 수집만 허용=이전까지 관행적으로 개인정보를 수집해왔던 병원, 학원, 서비스업 등에서 반드시 정보주체의 동의를 받지 않는 한 정보를 수집할 수 없게 됐다. 또한 개인정보 제공자가 개인정보수집에 동의하지 않는다고 해서 서비스 제공을 거부할 수 없게 된다.
인터넷상에서 주민번호 입력 없이 회원가입이 가능해진 것도 획기적인 변화다. 개인정보보호법 제24조 2항 영 제20조에 따라 공공기관 및 일평균 홈페이지 이용자 1만명 이상의 사이트에서는 반드시 주민번호 이외의 회원가입방법을 의무적으로 제공해야 한다.
필요 없어진 개인정보의 파기시기 또한 빨라졌다. 21조에 따라 보유기간이 경과하거나 개인정보 처리 목적 달성 등 개인정보가 불필요하게 되었을 시 지체 없이(5일 이내) 개인정보를 파기해야한다. 개인정보 유출 사고 발생 시 법 34조에 의해 유출사실을 5일 이내 통보해야 한다.
개인정보에 대한 침해사고 발생 시 개인정보침해신고센터 전문기관인 한국인터넷진흥원에 침해신고의 접수, 처리를 바로 의뢰할 수 있다. 또 개인정보 관련 분쟁 조정을 원할 경우 개인정보분쟁 조정위원회에 조정신청도 가능하다.
장광수 행정안전부 정보화전략실 실장은 “개인정보보호법은 시대적 요구사항이며 더 이상 미룰 수 없는 현안”이라며 “개인정보의 사각지대에 놓여있던 모든 업종을 포괄함으로 국민의 가장 기본적인 정보인 개인정보를 보호할 수 있는 법적 체계가 마련됐다”고 말했다.
개인정보보호법은 9월 30일 적용개시 후 6개월의 경과일을 두고 시행될 예정이다.
<개인정보보호법 추진 경과>
- 17대 국회, 3개 개인정보보호법안 의원 발의
노희찬 의원(민노당 2004년 11월) 이은영 의원(우리당 2005년 7월) 이혜훈 의원(한나라당 2005년 12월) 17대 국회 임기만료로 3개 법안 자동폐기
- 18대 국회, 3개 개인정보보호법안 발의
이혜운 의원안(2008년 8월 8일), 변제일 의원안(2008년 10월 27일), 정부안(2008년 11월 28일)
- 국회 행안위 상정(2009년 2월 20일), 행안위 법안소위(5회), 법사위 법안소위(2011년 1월), 본회의 의결(2011년 3월 11일), 공포(2011년 3월 29일), 시행(2011년 9월 30일)
- 개인정보보호 연구회 구성·운영(2011년 4월)
- 시행령 및 시행규칙 제정(2011년 9월 27일)
- 개인정보 표준지침 및 분야별 고시 제정(2011년 9월 30일)
장윤정기자 linda@etnews.com