#1. 저희 피부과에서는 홈페이지에 환자의 시술 전후 사진을 올립니다. 시술 부위 위주로만 게시하기 때문에 누가 누구인지 알기 어렵고요. 그런데 이러한 경우도 개인정보보호법에 적용을 받나요?
#2. 신용정보회사가 채권추심을 위해 저의 소재를 비롯한 개인정보를 모두 조사했습니다. 본인 동의 없는 개인정보 수집은 위법 아닌가요?
#3. A 쇼핑몰은 회원가입 신청서에 주민등록번호와 주민등록증 발급일자까지 꼭 기재하도록 하고 있습니다. 과도한 개인정보 수집 아닙니까?
#4. 신용카드사에 전화로 상담을 신청했는데 주민등록번호를 반드시 입력해야만 통화가 가능합니다. 이거 문제 있는 거죠?
#5. 새로 분양한 아파트 단지에 입주했는데 인근 부동산중개업소에서 저의 정확한 동 호수, 전화번호, 성명 등을 알고 전월세·매매에 관한 홍보전화를 걸어옵니다. 부동산 중개업소에 물어보니 아파트 건설사로부터 정보를 받았다고 하는데, 법적으로 문제가 있는 것 아닌지요?
개인정보보호법 시행 2년째, 그동안 한국인터넷진흥원(KISA) 개인정보침해신고센터에는 정보주체와 개인정보를 다루는 사업자들로부터 다양한 궁금증이 접수됐다.
2007년 하나로텔레콤(600만건), 2008년 옥션(1800만건)·GS칼텍스(1150만건), 2011년 SK커뮤니케이션즈(3560만건)의 정보유출 사고를 겪은 대한민국. 더는 당하고만 있을 수 없어 지난 2011년 3월 개인정보보호법을 제정·공포했다.
개인정보 유출과 오·남용을 막고자 만든 해당 법이 그해 9월 시행에 들어갔지만, 두달도 안 돼 넥슨(2011년, 1320만건)에 이어 EBS(2012년, 400만건), KT(2012년, 870만건) 등에서 정보유출 사고가 터졌다.
법 시행 약 2년이 흐른 지금, 내 개인정보는 얼마나 잘 보호되고 있는 걸까. 내 '민감 정보'를 다루는 사업자들은 해당정보를 과연 '법대로' 처리하고 있을까.
◆개인정보 민감도 높아진 대한민국
연이어 터진 개인정보 유출사고와 개인정보보호법 시행으로 사업자, 그리고 정보주체의 개인정보에 대한 민감도가 높아진 상태다. 실제 개인정보침해신고센터에 접수된 개인정보 침해신고·상담 접수 건수는 2010년 5만여건에 불과했으나 2011년 12만여건으로 급증했다.
증가세는 지금도 이어지고 있다. 2012년 KISA에 접수된 개인정보 침해신고·상담 건수는 전년대비 36%이상 증가한 16만여건으로 집계됐다. 올해 6월까지 접수된 건수는 8만2000여건으로 지난해와 비슷한 수준이다.
특히 위에 열거된 사례와 같이 개인정보보호와 관련된 사업자나 정보주체가 제기하는 궁금증 역시 법 시행 1년차 때보다 더 구체화된 모습이다.
◆'타인 정보' 도용, 전체 신고·상담의 80%
개인정보 유출과 관련해 가장 큰 문제점을 노출하는 것은 타인의 주민등록번호 훼손과 침해·도용 부분이다. 주민등록번호 등 타인 정보 도용이 지난해 KISA에 접수된 개인정보 침해신고·상담 유형 가운데 80% 이상을 차지했는데 올해도 비슷한 상황이 연출되고 있다.
상반기까지 누적된 개인정보 침해신고·상담 건수 중 주민등록번호 등 타인 정보 훼손·침해·도용과 관련된 건이 75%에 이른다.
개인정보보호법은 사업자 등 개인정보처리자가 주민등록번호와 같은 타인의 개인정보를 수집·이용할 때 정보주체의 동의를 받아야 하는 것이 원칙이지만 아직도 이를 도용하는 일이 많이 발생하고 있다는 얘기다.
이용자의 동의 없이 개인정보를 수집하거나 CCTV와 관련된 상담·신고도 자주 접수되고 있다. 이태승 KISA 개인정보침해대응팀장은 "성형외과에서 홍보용으로 수술 전후 사진을 환자 본인 동의 없이 이용하는 경우가 있다"며 "또한 안내판 없이 CCTV를 설치하거나 각도가 남의 건물까지 촬영되도록 설치된 것에 대한 신고·상담도 많이 접수됐다"고 설명했다.
이용자가 분명히 회원탈퇴 절차를 거쳤는데도 탈퇴 처리를 하지 않는 인터넷 사이트 역시 개인정보 침해신고·상담의 단골 유형으로 꼽힌다.
◆병원에서 내 정보가?…의료기관 34곳 중 22곳 '법 위반'
개인정보를 다루는 기관의 경우 의료기관의 환자 개인정보보호 상태가 부실한 것으로 드러났다. 안전행정부가 지난해부터 올해 6월까지 34개 의료기관을 기획점검한 결과 64.7%에 해당하는 22개 기관이 개인정보보호법을 위반한 것으로 나타났다.
22개 기관의 총 위반 건수는 65건에 이른다. 의료기관 한곳당 평균 3건가량 위반한 셈이다. 별다른 의심 없이 의료기관을 이용하고 있는 환자들로서는 불안감이 커질 수밖에 없는 상황.
세부내용을 보면 개인정보 업무처리를 위탁할 때 작성해야 하는 문서에 포함돼야 할 사항을 누락하거나 수탁자(업체)에 대한 관리감독을 소홀히 한 경우(26.2%)가 가장 많았다.
개인정보 DB 접속기록을 보관하지 않고 있거나 개인정보 전송·저장 시 암호화 조치를 취하지 않는 등 개인정보보호법에서 규정한 안전성 확보조치를 부실하게 한 경우(21.5%)가 그 뒤를 이었다.
의료기관이 진료 목적으로 환자의 개인정보를 위탁·처리하려면 ▲위탁업무 수행 목적 외 개인정보의 처리 금지 ▲개인정보의 기술적·관리적 보호조치 등에 관한 사항 등이 포함된 업무위탁문서를 작성해야 한다. 서비스 홍보나 판매 권유를 위한 개인정보 위탁의 경우에는 정보주체에게 위탁사실을 알려야 한다.
안행부는 의료기관 등 민감정보를 다량 보유하고 있는 곳을 대상으로 기획점검을 지속적으로 추진할 계획이다.
◆내년 하반기, 강력한 개인정보보호법 시행
지난 6월26일 개인정보보호법 개정안이 국회 본회의를 통과함에 따라 앞으로 개인정보에 대한 사회적 민감도는 더욱 높아질 전망이다.
특히 주민등록번호 수집이 더욱 어려워질 것으로 보인다. 현재 안행부 조사에 따르면 전체 웹사이트 180만개 중 32만개가 주민등록번호를 수집하고 있으며 이들 가운데 약 29만개(92.5%)가 불필요하게 주민등록번호를 수집하고 있다.
이에 따라 개정안에는 ▲법령 또는 조례에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 ▲정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위해 명백히 필요하다고 인정되는 경우 ▲주민등록번호 처리가 불가피한 경우로서 안전행정부 장관이 정해 고시하는 경우 외에는 사업자가 주민등록번호를 수집할 수 없도록 했다. 이를 위반하면 3000만원 이하의 과태료를 물어야 한다.
해당 법안은 공포일로부터 1년 이후에 시행된다.
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제290호에 실린 기사입니다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>