출처 : http://www.boannews.com/media/view.asp?idx=44336&page=1&kind=2&search=title&find=
개인정보, 보유기간 명확히 표기하고 마케팅 목적은 별도 동의 필요
이용기록 없는 개인정보 유효기간 1년, 내년 8월 18일부터 파기해야
|
[보안뉴스 김경애] 오는 29일부터 시행되는 개정 정통망법이 하루 앞으로 다가온 가운데 가이드라인 준수를 위한 기업들의 움직임이 분주하다. 어디까지 개인정보를 수집해야 하는지, 이용자에게 어떤 기준으로 명확하게 표기해야 하는지 등 실무진들은 각종 궁금증과 애로사항으로 혼선이 가중되고 있다.
이에 본지는 개정 정통망법을 앞두고, 사업자들이 준수해야 할 사항들을 정리해보고자 한다. 다음은 개인정보처리자들이 가장 궁금해하는 주요 사항을 방송통신위원회 임종철 조사관과의 인터뷰를 통해 일문일답 형태로 정리해봤다.
[온라인 개인정보 취급 가이드라인]
Q. 개인정보 수집·이용 동의 시 ‘명확한 개인정보 보유기간 표기’ 기준이 궁금합니다.
특정기간을 표기할 수 있는 경우라면 명확한 표기가 바람직합니다. 다만 목적 달성 기간이 특정될 수 없는 경우에는 수집·이용 동의를 받을 때 목적을 명확하게 표기하고, 해당 목적 달성 시까지 표기하는 것도 가능합니다. 그러나 이때 해당 목적과 보유기간은 서로 연결되어 있어야 하며, 포괄적으로 기재되어서는 안 됩니다(가이드라인 8면, 16면 하단, 20면 예시 참조).
Q. 만 14세 미만 아동을 직접 대상으로 서비스 사업자 기준은 무엇이고, 본인여부 확인은 어떻게 하나요?
서비스 사업자 기준은 만 14세 미만 아동을 직접 대상으로 온라인 교육, 아동 대상 방송프로그램 등의 온라인 서비스를 하는 곳이며, 주요 이용자가 만 14세 미만 아동인 경우가 해당됩니다. 따라서 해당 사업자는 반드시 신뢰할 수 있는 방법으로 본인여부를 확인하고, 아동인 경우 법정대리인의 동의를 받아야 합니다.
다만 성인 콘텐츠, 게임 등과 같이 법률(청소년보호법·게임산업진흥에 관한 법률 등)에 본인여부 및 나이확인 의무를 규정하고 있는 경우에는 해당 법령에 따라 확인해야 합니다.
만약 서비스의 성격이 아동대상이 아니고, 아동의 개인정보를 수집·이용할 목적이 전혀 없는 경우, 이용자가 스스로 밝힌 생년월일을 통해 나이 확인이 가능하도록 해야 합니다. 이는 회원가입 시 복잡한 본인확인을 강제하는 관행을 없애고, 이용자가 좀더 편리하게 인터넷을 이용할 수 있도록 개선하려는 취지입니다.
Q. 온라인 개인정보 취급 가이드라인 적용일과 사업자는 언제까지 이행해야 하는지요 궁금합니다.
온라인 개인정보 취급 가이드라인은 지난 12일부터 시행되고 있습니다. 이번 가이드라인은 정보통신망법 제23조제2항(개인정보 최소수집원칙), 제29조(개인정보 파기), 제26조의2(동의방법)에 대한 해설과 예시를 제시하고 있어 가능한 한 빠른 시일 내에 홈페이지 개선 등을 진행해야 합니다. 내년부터는 주요 웹사이트부터 단계적으로 업종별 관련협회와 공동 점검할 예정입니다.
Q. 개인정보 파기에 있어 수탁자로부터 파기했다는 확인서를 받았다면 확인한 것으로 볼 수 있는지요?
이용자는 위탁자를 믿고 개인정보를 제공한 것입니다. 따라서 개인정보관리 책임은 위탁자에게 있는 것이 원칙이며, 단순히 수탁자로부터 파기 확인서를 받았다는 이유만으로 관리 책임을 다했다고 보기는 어렵습니다.
[개정 정통망법 및 시행령]
Q. 개정 추진 중인 개인정보 유효기간제 기간 단축(3년→1년) 시행 예정일은 언제인가요?
개정 정보통신망법 시행령은 오는 29일부터이며, 이중 유효기간제와 관련된 조항은 오는 2015년 8월 18일부터 시행될 예정(시행령 부칙에 규정)입니다. 따라서 개인정보처리자는 2014년 8월 18일 이후, 이용기록이 없는 이용자 개인정보에 대해 2015년 8월 18일부터 파기 또는 별도 분리저장 등의 필요한 조치를 해야 합니다.
Q. 그렇다면 사업자는 유효기간이 경과한 이용자의 개인정보를 매일 확인작업을 통해 파기해야 하나요? 혹시 업무 효율을 위해 주기적 파기는 가능한지요?
물론 매일 확인해 파기 등 필요한 조치를 하는 것이 바람직합니다. 그러나 사업자의 경우 현실적으로 어려울 수 있어 일주일 단위로 처리하는 것도 가능할 것으로 보입니다.
Q. 개인정보 취급방침 공개에 있어 동의 예외도 있던데 마케팅 목적으로 개인정보를 취급·위탁하는 경우는 개정 정보통신망법에 위반되나요?
개정 정통망법의 개인정보 취급방침 공개의 경우 동의를 받지 않아도 되는 예외 사항은 계약이행이 필요한 경우나 이용자의 편의 증진과 관련성이 있을 경우가 해당됩니다. 이는 기존 정통망법에 이용자 편의 증진이 추가된 것으로 이해하면 되며, 동의 예외에 대한 인정 범위를 제한한 것입니다.
그러나 마케팅 목적으로 개인정보를 취급·위탁하는 것은 예외 해당사항에 포함되지 않으며, 현재에도 정통망법 25조에 따라 별도로 동의를 받아야 하기 때문에 동의를 받지 않으면 위반입니다.
Q. 개인정보 유효기간과 관련해 미이용 기간 1년의 기산일은 언제이며, 로그인 기록도 ‘이용’에 포함하는지 궁금합니다.
로그인 기록만으로 이용여부를 단순히 판단하기는 쉽지 않지만 이용에 해당할 수 있습니다. 미이용 기간의 기산일은 전화상담 등 오프라인 이용도 포함되는 것으로 이용자의 최종 이용일입니다.
Q. 개인정보 취급방침의 전자적 표시의무가 폐지된다고 했는데, 이제 개인정보 취급방침을 홈페이지 첫 화면에 게시를 안 해도 되나요?
전자적 표시방법은 방통위 고시에 따라 표준화된 웹 언어로 작성하는 것을 의미하는 것이기 때문에 현재 홈페이지에 개인정보 취급방침을 게시하는 것과는 다릅니다. 따라서 개인정보 취급방침은 정보통신망법 제27조의2에 따라 앞으로도 계속 홈페이지 하단에 공개해야 합니다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 개인정보의 수집과 일시적 저장 (0) | 2014.12.11 |
|---|---|
| [정리] 보안에 있어 필수적으로 알아야 할 법률 (0) | 2014.12.09 |
| [자료] 온라인 개인정보 취급 가이드라인 (0) | 2014.11.13 |
| [정리] 정보보호 관리등급 제도 (0) | 2014.11.11 |
| [정리] 정보보호 준비도 평가 안내서, 가이드 (0) | 2014.11.11 |
