행정안전부는 사업자들이 고객의 개인정보를 취급할 때 유의해야 할 사항을 정리해 `사업자 개인정보 보호 10가지 원칙`을 발표했다.
행안부는 지난 9월 개인정보보호법의 개정 시행 이후 사업자들을 상대로 개인정보 보호 실태를 점검했는데, 이를 토대로 `10가지 원칙`을 작성해 `개인정보보호 종합지원포털`(www.privacy.go.kr)에 게시했다.
행안부는 "고객의 개인정보를 수집할 때 제3자 제공 동의는 별도로 받아야 하지만 지켜지지 않고 있는 경우가 많았다"며 "또 실제 수집 항목과 고객에게 수집대상으로 고지한 항목이 불일치하거나 필수 정보가 아닌 것을 필수 항목으로 수집한 경우도 있었다"고 설명했다.
행안부는 이달 중 개정 개인정보보호법과 관련한 `법령·지침 해설서`를 발간할 예정이며 개인정보 기술지원센터를 통해 중소·영세사업자들에게 컨설팅을 지원할 계획이다.
다음은 행안부가 발표한 `사업자 개인정보보호 10가지 원칙`의 주요 내용이다.
▲무분별한 개인정보 수집자제 = 대다수 업종에서 서비스 제공 시 주민등록번호나 생년월일 수집은 필요하지 않다. 불필요하게 개인정보를 수집하는 경우 유출사고 시 책임이 증가하므로 서비스제공에 필요한 최소한의 개인정보 수집이 현명하다.
▲개인정보 수집 시 서비스 제공에 꼭 필요한 필수정보와 선택정보 구분 = 해당서비스 제공과 관련 없는 개인정보(생일, 결혼기념일 등)나 제3자 제공 동의 여부는 고객이 선택적으로 입력할 수 있도록 해야 한다. 선택정보를 고객이 입력하지 않았다고 해서 해당 서비스 제공을 거부해서는 안된다.
▲주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지 = 고유식별정보와 민감정보는 정보주체의 별도의 동의, 법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고는 처리(수집·관리)할 수 없으며 수집하는 경우에도 다른 정보와 구분하여 별도의 동의를 받아야 한다.
▲홍보·판매 목적으로 개인정보 위탁 시 고객에게 고지하고 철저히 관리 = 홍보·판매 목적으로 개인정보처리업무를 위탁할 때에는 고객들에게 고지해야 한다. 또한 수탁자의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 한다.
▲개인정보파일은 DB보안프로그램, 암호화소프트웨어등 안전한 방법을 사용해 보관 = 개인정보파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있으므로 안전한 방법으로 보관해야 한다.
▲보관이 필요한 증빙서류는 법령에서 정한 보유기간 숙지해 준수 = 고객의 개인정보가 담긴 계약서, 청약 철회서처럼 보관하고 있지 않으면 불이익을 당할 수 있는 문서를 보관해야 하는 경우에는 법령에서 지정한 보유기간(전자상거래법의 거래기록 보존규정 등)을 숙지하고 이를 준수하는 것이 좋다.
▲개인정보파일을 수집 당시 사용목적에 따라 이용한 후에는 알아볼 수 없도록 파기 = 개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 컴퓨터로 저장된 문서를 가지고 있는 경우라면 복원할 수 없는 방법으로 파기처리한다.
▲CCTV에는 반드시 안내판 설치 = 개인정보보호법 제정으로 폐쇄회로(CC)TV의 설치운영이 제한되며, 필요한 경우라도 반드시 설치목적 등이 포함된 안내판을 설치해야 한다. 또한 녹음기능 사용, 당초 설치목적을 벗어난 각도조절도 할 수 없다.
▲개인정보보호에관한 지침·문서 등을 반드시 구비 = 개인정보보호 관련문서를 명확하게 구비하지 않았다면 개인정보가 유출되는 경우에 책임이 보다 커질 수 있다.
▲개인정보유출통지, 집단분쟁조정, 단체소송에 대비 = 개인정보가 유출된 경우 정보주체에게 즉시 알리고, 사실확인, 홈페이지차단, 비밀번호변경공지 등 초동조치를 신속히 해야 한다.
[연합뉴스]