개정법으로 ‘정보 주체’의 알 권리 강화...정보 공개에 대한 투명성 및 내용 이해 도와야
기업 내 실제 개인정보 처리현황 맞춰 꼼꼼히 준비해야...‘사실 관계의 중요성’ 재차 강조
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 3화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 개인정보 지키다 코너 진행에 이소미 기자입니다. 벌써 청룡의 해, 갑진년 새해가 밝았습니다. 올해도 개인정보보호에 대한 명확한 가이드라인을 저희 코너를 통해 제시해 드릴 수 있도록 하겠습니다. 더욱이 올해는 개인정보보호에 대한 중요성이 대기업뿐만 아니라 중소기업·소상공인에 이르기까지 앞으로 확대가 더 많이 될 것 같습니다. 이를 현명하게 준비하기 위해 오늘도 김진환 변호사님 모셨습니다.
▲[김진환의 개인정보 지키다] 3화 시작 화면[이미지=보안뉴스]
[주의해야 할 개정된 개인정보 보호법]
□ 이소미 기자
변호사님, 지난해 9월 15일부터 개정된 개인정보 보호법이 시행 중인데 올해 3월부터 새롭게 시행되는 제도들이 있잖아요? 이에 따라 특별히 적용되는 ‘대상’도 주목해야 할 것 같고, 개정 보호법 중에서도 가장 시급히 챙겨야 할 ‘제도’들이 있다면 말씀 부탁드리겠습니다.
■ 김진환 변호사
지난해 개정된 개인정보 보호법의 변동사항이 워낙 방대해 미리 챙겨야 할 것들이 한두 가지는 아닙니다. 그렇다고 해도 모든 것을 동시에 챙길 수는 없으니 일의 순서를 두고 검토할 필요가 있는데요. 그중에서 제가 만약 담당자라면 ‘우리 기업에 대한 조사·점검이 있을 수 있는 부분’에 대해 제일 먼저 신경 쓸 것 같습니다.
이번 개정에서 대표적인 제도를 꼽아본다면 △첫째, 개인정보 처리방침 평가 제도 △둘째, 개인정보보호 사전 실태 점검 제도 △셋째, 개인정보 보호수준 평가제도가 아닐까 싶습니다.
‘개인정보 처리방침 평가 제도’와 ‘사전 실태 점검 제도’는 이미 개정법 시행에 따라 지난해 9월 15일부터 시행 중이며 ‘모든 개인정보 처리자’를 대상으로 합니다. 이와 달리 ‘개인정보 보호수준 평가 제도’는 올해 3월 15일부터 시행 예정으로 그 대상은 ‘공공기관’ 위주로 적용될 것으로 보입니다.
이들 제도 모두 개인정보보호위원회가 주관해 개인정보 처리자들의 개인정보 처리현황에 대해 평가하고 그 결과를 통해 일정한 불이익 또는 시정을 요구할 수 있는 제도라는 점에서 특별히 신경 쓸 필요가 있습니다.
□ 이소미 기자
새롭게 시행되는 제도일수록 생소한 부분이 있기 때문에 개인정보 처리 담당자분들은 이같은 제도들을 사전에 더욱 꼼꼼히 체크하셔야 겠습니다.
[개인정보 처리방침 평가 제도]
□ 이소미 기자
이번에는 앞서 설명해 드렸던 기업에 대한 조사·점검과 관련된 핵심적인 세 가지 제도 중에서 ‘개인정보 처리방침 평가 제도’에 대해 자세히 알아보겠습니다. 변호사님 ‘개인정보 처리방침’이 무엇인지, 구체적으로 어떤 것을 평가하는 것인지 설명 부탁드립니다.
■ 김진환 변호사
‘개인정보 처리방침 평가 제도’란 개인정보 처리자가 정보 주체에게 공개하고 있는 개인정보 처리방침 내용이 ‘적정’한지, 제대로 ‘공개’하고 있는지 등에 대해 개인정보보호위원회가 평가하고, 만약 문제가 있다면 개선을 권고할 수 있는 제도를 말합니다.
참고로 ‘개인정보 처리방침’이란 개인정보를 다루는 개인정보 처리자가 정보 주체를 위해 처리상의 유의점 및 정보 주체의 권리 등을 상세히 기재해 공개하는 문건을 말합니다. 이러한 개인정보 처리방침은 정보 주체에 ‘공개’됨으로써 개인정보 처리자의 개인정보 처리의 ‘투명성’을 확보하는 기능을 하게 되죠.
그러나 최근까지도 개인정보 처리방침이 법령이 요구하는 내용들을 제대로 담고 있지 못하거나 형식적으로 작성해 정보 주체가 이해하지 못할 정도로 어려운 내용을 담는 현상들이 왕왕 있습니다. 또는 공개 방법을 위반하는 경우도 적지 않기 때문에 이번 법 개정을 통해 이러한 문제점들을 시정하기 위해 도입된 제도라고 볼 수 있습니다.
심지어 아직까지도 ‘개인정보 처리방침’이라는 법정 용어를 쓰지 않고 ‘개인정보 취급 방침’ 또는 ‘개인정보 이용약관’ 또는 ‘프라이버시 정책’ 등의 잘못된 용어를 쓰고 있는 곳도 많이 있거든요? 이러한 부분들은 신속하게 변경돼야 합니다.
□ 이소미 기자
말씀해 주신대로 개정 보호법을 통해 정보 주체가 자신의 정보가 어떻게 처리됐는지 투명하게 알 권리를 보장하고, 처리방침 내용을 형식적이지 않은 실질적인 표현들을 사용해 정보 주체가 충분히 이해하기 쉽도록 작성해야 한다는 점을 반드시 기억하셔야겠습니다. 또한 잘못된 용어 사용을 지양하는 등 더욱 촘촘해진 개정 보호법을 실감할 수 있었네요.
[개인정보 처리방침 공개 방식]
□ 이소미 기자
변호사님, 그렇다면 반드시 준수해야 할 개인정보 처리방침 ‘공개 방식’도 궁금하고요. 그리고 ‘평가 점검’이라는 벽을 무사히 넘기 위해서 우리 담당자분들이 어떤 것들을 준비하면 좋을지 코멘트 부탁드리겠습니다.
■ 김진환 변호사
개인정보 처리방침 속에 ‘법이 요구하는 모든 사항’이 포함돼 있는지 우선 살펴봐야 하는데요. 흔히들 개인정보 보호법 제30조 1항에 나열된 10개 사항과 그리고 시행령에서 정한 두 개 사항까지 합쳐 총 12개 사항만 잘 들어있으면 된다고 생각하기 쉽습니다. 사실 많은 변호사 또는 관련 분야 전문가들도 실제 업무 수행 시 이 같은 전제로 임하곤 합니다.
하지만 그렇게만 준비하면 많은 법정 사항들을 간과할 수 있습니다. 제 업무 경험상 그렇습니다.
다시 말해 개인정보 보호법은 30조에서 개인정보 처리방침에 반영돼야 할 중요한 내용을 앞서 설명드린 것처럼 ‘12개’ 사항으로 언급하고 있는 것은 맞지만, 개인정보 보호법은 그 외에 다른 법조문들에서도 일정 사항을 개인정보 처리방침에 포함하도록 정하고 있는 경우가 꽤 많거든요. 그러다 보니 이러한 사항까지 다 합치면 우리가 알고 있는 12개가 아니라 대략 그 두 배인 ‘24개’ 사항 정도가 됩니다.
이와 관련해 대표적인 사항을 말씀드리면 △만 14세 미만 아동에 개인정보 처리에 관한 사항 △가명정보의 제3자 제공에 관한 사항 △법령에 따라 보존해야 하는 개인정보에 관한 사항 △개인정보 국외 이전 사항 △국내 대리인 지정에 관한 사항 등이 있습니다.
시간 관계상 오늘 이 자리에서 다 열거할 수는 없지만, 개인정보 업무 담당자로서 이러한 점을 미리 염두에 두고 기업의 실제 개인정보 처리현황에 맞게 개인정보 처리방침 내용을 꼼꼼하게 챙길 필요가 있습니다. 이 부분에서 지난 시간에 말씀드린 ‘사실관계 파악이 중요하다’는 점을 다시 한번 강조 드리고 싶습니다.
□ 이소미 기자
‘사실 관계 확인의 중요성’ 맥을 딱 짚어주셨습니다. 개인정보 보호법 주요 법령 사항을 총 12개로만 한정 지어 생각하면 오산이다! 오히려 두 배수인 24개 정도 해당 된다는 점도 놓치지 않으셔야겠습니다.
[개인정보 처리방침 평가 기준과 대상자]
□ 이소미 기자
그렇다면 개인정보보호위원회가 ‘개인정보 처리방침 평가’를 어떻게 진행하고, 또 평가 대상자는 어떻게 선정하고 있을까요?
■ 김진환 변호사
개인정보보호위원회가 발표한 바에 따르면, 우선 작년 2023년 말까지 개인정보 처리방침 평가를 위한 지표를 개발하기로 했습니다. 그리고 올해부터 구체적인 평가와 계획을 준비해 그에 따른 평가를 시행할 예정이라면서 이를 위해 얼마 전 개인정보 처리방침 평가에 관한 고시 제정안이 행정 예고되기도 했습니다.
해당 고시 제정안에 따르면 △매출액 1500억 원 이상 그리고 일 평균 백만 명 이상을 처리하는 경우처럼 일정 규모 이상의 개인정보 처리자도 그 대상이 되지만, △정보 주체의 동의 없이 처리할 수 있는 개인정보와 동의를 받아 수집하는 개인정보를 구분하지 않는 경우 △개인정보 처리 방식상 개인정보 침해 우려가 인정되는 경우 △과거 3년 동안 과징금·과태료를 받았던 이력이 있는 경우 등도 점검 대상에 포함되는 등 ‘개인정보 처리에 미흡할 것이다’ 이렇게 예상되는 개인정보 처리자들을 포괄적으로 그 대상으로 삼고 있습니다.
[개인정보 처리방침이 미흡한 경우]
□ 이소미 기자
‘개인정보 처리가 미흡할 것이다!’ 이렇게 예상되는 대상이라면 어떻게 보면 ‘블랙리스트’ 같은 개념으로 봐도 무방할 것 같은데요. 그렇다면 개인정보 처리방침을 미흡하게 갖추고 있다가 만약에 문제가 발생 된다면 실제로 법적인 제재나 그에 따른 결과는 어떻게 나타날까요?
■ 김진환 변호사
개인정보보호위원회는 해당 개인정보 처리자에게 ‘개선 권고’를 내릴 수 있고요. 그러한 결과를 일반에게도 ‘공개’할 수 있습니다. 특히 기업 입장에서 조심해야 할 부분입니다. 바로 이번 개정법을 통해 새로 도입된 ‘공표 명령의 대상’이 될 수 있다는 점인데요. 공표 명령은 ‘개선 권고를 받았다’ 다시 말해 ‘법 위반이 있었다’는 사정을 개인정보 처리자 스스로 자신의 홈페이지에 공개해야 하므로 기업 평판·이미지 등에 미칠 영향이 굉장히 크다고 하겠습니다.
□ 이소미 기자
기업 입장에서 평판·이미지에 부정적 영향이 미칠 수 있다는 점은 정말 심각한 문제가 아닐 수 없는데요, 사실 ‘권고’라는 단어는 그래도 친절하게 들리는 편이거든요? 반면 ‘공표 명령’은 말 그대로 ‘공개 의무를 다 해야 한다’는 사실 때문에 기업 이미지가 손상될 수 있다는 점에서 쉽게 생각해서는 안 될 것 같습니다.
지금까지 ‘개인정보 처리방침 평가 제도’에 대해 알아봤는데요. 다음 시간에도 ‘꼭 알아두어야 할 제도’에 대해 준비해 오겠습니다. 많은 기대 부탁드립니다.
또 ‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 추가적으로 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아 뵙도록 하겠습니다 시청해주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>