개인정보보호, 소프트웨어 정책
개인정보 알아야 보호된다
디지털 세상에서 무엇을 하든 요구하는 개인정보
현 시대를 살아가면서 우리는 무엇을 하든 어김없이 맞닥뜨릴 수밖에 없는 개인정보 제공 동의, 싫어도 하지 않으면 아무것도 할 수 없어 우리는 서비스 제공자가 요구하는 개인정보 수집과 이용에 관한 동의에 응 할 수 밖에 없는 것이 현실이다.
개인정보 알아야 보호된다
개인정보 보호는 정보 수집주체가 알아서 보호해주지는 않습니다. 기업들은 우리의 정보를 자신의 자산으로 생각하며, 개인정보의 수집과 활용에는 시간과 인력을 투자하지만 그에 비하여 보호를 강화하는데 들어가는 투자는 아깝다고 여기고 있습니다.
기업들에게 잘못을 지적하고 개선을 요구하는 정보주체의 의식이 성숙하면 그만큼 개인정보의 보호는 강화되어 갈 것이나 우리가 무관심하면 그 무관심이 높아 질 수록 보호의 문턱도 낮아집니다.
무엇이 개인정보에 속하는가?
개인 정보는 살아 있는 개인에 관한 정보로 이름, 주민 등록 번호, 휴대전화번호, 가입한 사이트의 아이디와 비밀번호, 전자 우편 주소, 영상 등 개인을 알아볼 수 있는 정보를 말한다.
또한 동의를 하는 과정에서도 많게는 수십 페이지에 달하는 개인정보 수집과 이용에 관한 알림 글을 읽어보고 동의하는 경우가 얼마나 될까? 이미 해당 서비스가 필요로 하여 개인정보 동의 절차를 수행하는 과정에 특별한 관심 없이 개인정보제공에 동의하는 것이 현실이다.
개인정보보호 원칙
우리가 제공하는 개인정보의 보호를 위하여 8가지의 원칙을 기초로 관련 법률을 제정하여 시행하고 있습니다.
개인정보보호 8대 원칙
8대 원칙 | 내용 |
수집제한의 원칙 | 개인정보의 수집은 합법적이고 공정한 절차에 의하여 가능한 한 정보주체에게 알리거나 동의를 얻은 후에 해야 함 |
목적 명확화의 원칙 | 개인정보는 수집 시 그 수집목적이 명백히 제시되어야 하며, 그 후의 이용은 수집목적의 실현 또는 수집목적과 양립되어야 하고 목적이 변경될 때마다 명확히 해야 함 |
이용제한의 원칙 | 개인정보는 목적명확화의 원칙에 의하여 확인된 목적 이외의 다른 목적을 위하여 개시, 이용, 그 밖의 사용에 제공되어서는 안 된다. 다만 정보주체의 동의가 있거나 법률의 규정에 의한 경우에는 예외임 |
정보의 정확성 원칙 | 개인정보는 그 이용목적에 부합되는 것이어야 하며, 이용목적에 필요한 범위 내에서 정확하고 완전하며 최신의 것이어야 함 |
안전보호의 원칙 | 개인정보는 분실 또는 불법적인 접근, 사용, 훼손, 변조, 개시 등의 위험에 대하여 합리적인 안전조치를 함으로써 보호해야 함 |
공개의 원칙 | 개인정보의 처리와 관련된 정보처리장치의 설치, 활용 및 관련정책은 일반에게 공개하여야 함. 또한 개인정보의 존재, 성질, 주요이용목적 및 정보관리자를 식별하고, 그 주소를 명확하게 하기 위한 수단을 쉽게 이용할 수 있어야 함 |
개인참가의 원칙 | 개인은 자기에 관한 정보의 소재를 확인할 권리를 가지며, 필요한 경우에는 자신에 관한 정보를 합리적인 기간 내에 합리적인 비용과 방법에 의해 알기 쉬운 형태로 통지 받을 권리를 가짐. 이러한 권리가 거부된 경우에 개인은 그 이유를 구하고 거부에 대하여 이의를 제기하거나 데이터의 폐기, 정정 및 보완을 청구할 권리를 가짐 |
책임의 원칙 | 정보 관리자는 위의 제 원칙을 실시하기 위한 조치에 따를 책임이 있음 |
개인정보 보호에 있어서 원칙 중에서 “수집제한의 원칙“은 이용자의 개인정보를 수집함에 있어 서비스의 제공에 필요한 최소한의 정보를 수집하여야 하며, 사상 · 신념 · 과거의 병력 등 개인의 권리 · 이익 및 사생활을 현저하게 침해할 우려가 있는 개인정보의 수집을 제한과 개인정보에 대하여 정보주체의 자기결정권을 보장하도록 하는 원칙이다. 그러나 현행 제도는 이에 대하여 포괄적 정의로 인하여 현실에서는 수집자의 무분별한 정보의 수집의 허용과 서비스를 볼모로 개인정보의 제공을 강요하고 있어 최소수집의 범위 및 개인정보의 자기결정권이 형식적으로만 보장하고 있다.
또한 “안전보호 원칙“에 명시적으로 보호하는 정보항목이 주민등록번호, 비밀번호 등 10개 미만의 특정 항목만 암호화 대상으로 규정되어 있다. 이로 인하여 해킹에 의한 정보 유출에도 무방비로 개인정보가 노출되고 있는 것이 현실입니다.
그리고 개인정보와 관련된 법률들이 개별법인 정보통신망법, 신용정보법, 위치정보법 등과 일반법인 개인정보보호법으로 존재하고 있어 각 법률간에 개인정보를 바라보는 시각은 많은 차이점을 보이고 있다. 무엇보다 개별법의 주요 내용은 해당 분야의 산업 육성을 위한 내용이며, 일부 개인정보보호 조항을 포함하고 있어, 개인정보의 보호보다는 산업 활성화에 목적을 두고 있어 개인정보의 활용을 확대하려 하고 있습니다.
개인정보보호의 무력화
2014년 카드3사의 1억300만건에 달하는 사상초유의 개인정보 유출 사건 이 후 개인정보의 보호를 강화하기 위한 법률들을 개정하였으나 최근에 들어 빅데이터, 핀테크, 사물인터넷 등의 활성화를 목적으로 개인정보보호의 기본을 망각하는 법 개정을 시도하고 있습니다.
위의 법안들은 빅데이터 산업의 활성화를 목적으로 개인정보의 비식별화를 통하여 개인정보의 활용 및 판매가 가능하도록 하는 내용으로 이는 개인정보에 대한 자기결정권을 침해하며, 개인정보를 비식별화를 하여도 기술적으로 원천 데이터를 보유하고 있는 상태에선 재 식별화가 가능하게 현실입니다.
또한 제3자에게 개인정보의 판매 시 판매를 한다는 내용을 고지하도록 의무화하는 내용은 표면상으론 개인정보를 보호의 강화처럼 보이나 이는 개인정보의 상품화를 합법적으로 인정하는 것이며, 이로 인한 개인정보의 과다 수집을 조장하며, 무분별한 판매로 인하여 개인정보 노출의 위험성을 높아지게 됩니다.
우리가 잘 알고 있는 인터넷실명제가 폐지되기까지 무려 5년이란 시간이 걸린 것을 보듯 한번 재정된 법을 되돌리기에는 긴 세월이 흘러야만 됩니다. 따라서 법률의 제정은 사회적 합의 없이 경제적인 측면에서만 접근하는 것에 대하여 문제의식을 가져야 합니다.
이는 개인정보의 주체인 시민들의 관심만이 개인정보를 보호하는 원동력이 됩니다.