개인정보 보호법이 시행된 지 4개월이 지났다.

종전 분야별 개별법이 있는 공공기관(공공기관 개인정보보호법), 신용정보 제공·이용자(신용정보법), 정보통신서비스제공자(정보통신망법), 여행사·백화점 준용사업자(정보통신망법) 등 약 51만 사업자에게만 선별 적용해온 개인정보 보호 의무가 헌법기관, 공공기관, 포털, 금융기관, 병원, 학원, 제조업, 서비스업, 1인 사업자, 각종 협회, 동창회, 동호회 등 350만명으로 추산되는 개인정보 처리자까지 확대되었다.

적용 범위도 전자파일 형태 외에 동창회 명부, 민원서류, 이벤트 응모권, 수기문서 등이 추가되었다.

한 언론 보도에 따르면 인터넷 해킹으로 지난 한해 동안 유출된 개인정보가 우리나라 전체 인구보다 많은 5400여만명분에 이른다고 한다.

전 국민이 지난 1년간 최소 한 차례 이상 해킹 피해를 당한 셈이다.

공공기관도 더 이상 안전지대가 아니다. 정보화진흥원 보고에 의하면 개인정보의 오·남용, 내부자 관리 부실로 인한 유출, 개인정보 매매, 개인정보 과다보유로 인한 개인정보 침해 사고가 있었다고 한다.

회원수를 늘이기 위해 이벤트도 개최하고 ‘홈페이지 회원가입 백만명 돌파’를 자랑했지만 개인정보보호에 ‘불편한 진실’은 없는건지 잘 살펴 볼일이다.

공공기관은 행정목적을 달성하기 위해 민감한 개인정보를 다량 집적·보유하고 있다. 단 한번의 사고발생 사실만으로 조직에 큰 피해를 끼칠 수 있다. 따라서 일상적인 업무 관행을 버리고 현업에서는 명확한 법 규정을 우선적으로 준수해야 한다. 논란의 여지가 있는 과제보다 감독기관이 쉽게 증거를 확보할 수 있는 위규사항부터 완벽하게 준비하면 된다.

민감정보·주민번호 수집 시 별도 동의, 제3자 제공시 동의, 동의받은 목적외에 이용금지, 업무상 알게된 개인정보의 누설 금지(5년 이하 징역 또는 5000만원 이하 벌금), 안전성 미확보로 인한 유출사고시(2년 이하의 징역 또는 1000만원 이하 벌금), 목적 달성 후 개인정보 미파기(과태료 5000만원) 등 위법 시 처벌이 중한 순서대로 대응 순위를 정해 준비하면 효과적이다.

개인정보의 수집·이용은 다음과 같이 가능한 경우에만 추진하여야 한다.

정보주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우, 정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우, 정보주체 및 법정대리인의 의사 확인을 못하지만 명백하게 정보주체에게 이득인 경우, 개인정보처리자의 정당한 이익달성에 필요한 경우이다.

정보주체의 동의를 받는 경우라 하더라도 수집·이용 목적, 수집항목, 보유·이용기간, 동의거부권 등 고지가 필요하다.

동의를 획득하는 방법으로는 홈페이지에 동의를 구하는 화면 또는 동의 절차상에서 동의 내용을 게재하고 동의 여부를 표시하도록 하는 방법(회원가입 화면, 로그인 화면 등), 동의 내용이 기재된 서면을 직접 교부하거나, 우편 또는 팩스 등을 통해 전달하고 정보주체가 서명날인한 후 제출하는 방법, 동의 내용이 기재된 전자우편을 발송하여 정보주체로부터 동의의 의사 표시가 기재된 전자우편을 전송받는 방법, 동의 내용을 구두로 알려주고 동의를 받거나, 동의 내용을 확인할 수 있는 방법을 안내한 후 재차 전화 통화를 통해 동의를 얻는 방법 등이 있다.

동의 내용을 전부 표시하기 어려운 경우 동의내용을 확인할 수 있는 방법(인터넷 주소, 사업자 전화번호 등)을 안내해야 한다.

지난 5월, 2012년 대한민국 개인정보보호 컨퍼런스에서 만난 정보보호 전문가의 조언이 가슴에 와 닿는다.

“개인정보보호는 지키는 노력보다 없애는 노력을 선행하고 지속해야 한다. 개인정보를 수집하지 않는 것이 최선이며, 기존에 보유한 정보는 최대한 제거하는 체계로 운영하는 것이 바람직하다. 국민의 인권을 보호하고 공공기관이 가해자가 되지 않기 위해 전 직원이 개인정보보호 관련 법규를 잘 지켜야 한다”는 내용이다.