개인정보보호법(안)이 2011. 3. 9. 국회 법제사법위원회 법안심사 소위에서 가결되었고, 곧 국회 본회의 안건으로 상정될 예정입니다. 국회에서 의결될 경우, 개인정보보호법은 공포된 날로부터 6개월 이후에 시행됩니다.

개인정보보호법은 공공기관의 개인정보 보호에 관한 법률을 대체하게 되고, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(“정보통신망법”)이나 신용정보의 이용 및 보호에 관한 법률(“신용정보법”)의 적용을 받지 않던 사업자들에게도 적용되게 되므로 실질적으로 개인정보의 보호와 관련된 사항의 기본적인 법률로 기능을 하게 될 것으로 기대됩니다. 특히, 정보통신서비스 제공자는 아니지만 정보통신망법이 준용되던 여행사, 호텔, 항공사, 백화점, 대형마트, 영화관 등도 개인정보보호법이 시행된 이후에는 개인정보보호법의 적용을 받게 됩니다.

개인정보보호법은 개인정보의 수집∙이용∙제공 등에 대한 사항과 영상정보처리기기(CCTV)의 설치 및 운영에 대한 사항을 주로 규제하고 있는데, 개인정보보호법이 시행될 경우 아래와 같은 사항을 유의하여야 합니다.

1. 자신에게 적용되는 법률의 확인

개인정보보호법은 정보통신망법 또는 신용정보법의 적용을 받는 사업자에 대해서는 해당 법률이 우선하도록 규정하고 있기 때문에 자신에게 적용되는 법률이 개인정보보호법, 정보통신망법 및 신용정보법 중에 어느 법률인지 확인할 필요가 있습니다. 위 법률들은 개인정보의 보호와 관련하여 유사한 규제를 하고 있지만 적용되는 법률에 따라 개인정보의 수집∙이용∙제공 등에 대한 고객의 동의 방식 등과 같은 세부적인 사항에 있어 차이가 있습니다.

2. 개인정보의 수집∙이용∙제공 등에 대한 고객의 동의

기존에 정보통신망법이나 신용정보법의 적용대상이 아니어서 고객의 개인정보를 수집∙이용∙제공하는 것과 관련 하여 별도의 동의를 받지 않던 경우라도 개인정보보호법의 시행 이후에는 동의를 받아야 합니다. 구체적인 동의의 방식은 개인정보보호법의 규정에 따라 최소한의 형식을 갖추어야 하고, 실제로 개인정보를 이용하고 제3자에게 제공하는 형태를 고려하여 동의서를 준비하여야 합니다.

특히, 고객으로부터 동의서를 받은 이후에 개인정보를 이용∙제공하는 방식이 변경되는 경우에는 변경된 사항에 대해 새로 동의를 받아야 하지만 현실적으로 새로이 동의를 받는 것이 불가능한 경우가 대부분이고, 종래 정보통신망법의 적용을 받는 사업자들의 경우에도 개인정보 제공∙활용동의서의 내용이 충분하지 아니하여 개인정보의 이용에 제한을 받는 경우가 많았습니다. 이와 같은 점을 고려하여 개인정보의 수집∙이용∙제공에 관한 동의서를 신중히 준비하여야 합니다.

3. 개인정보 처리 위탁절차

개인정보를 수집하는 사업자들 대부분은 개인정보를 직접 처리하지 아니하고 일부 업무를 외부업체에 위탁하는 경우가 대부분입니다. 정보통신망법은 이와 같은 위탁에 대해서도 원칙적으로 개인정보주체의 동의를 받도록 규정하고 있으나, 개인정보보호법은 위탁과 관련된 사실을 공개하거나 개인정보주체에게 통지하도록 규정하여 위탁과 관련된 규제는 상당히 완화되어 있습니다. 그러나, 개인정보 처리업무를 위탁할 경우에는 수탁업무 외에는 개인정보를 처리하지 않을 것 등을 내용으로 하는 문서로 위탁하도록 하고 있으므로 수탁자와의 계약에 개인정보보호법이 규정하고 있는 사항을 반영하여야 합니다.

4. 개인정보 유출사고 발생에 대한 대책

개인정보보호법은 개인정보 유출사고가 발생한 경우 정보주체에게 이를 통지하여야 하고, 일정한 규모 이상의 유출사고가 발생한 경우에는 유출사실을 행정안전부에 신고하도록 규정하고 있습니다. 또한, 개인정보와 관련하여 단체소송제도를 도입하고 있어 정보통신망법과 상당한 차이가 있습니다.

사업자의 입장에서 개인정보 유출사고가 발생하였을 경우, 이를 정보주체에게 통지한다는 것이 상당히 부담스럽겠지만, 종래 개인정보 유출사고가 발생하였을 경우 사업자에게 손해배상책임이 있는지 여부와 관련하여 관련 법령에 규정된 조치를 이행하였는지 여부를 고려하고 있으므로 개인정보 유출사고에 따른 손해배상책임을 최소화하기 위해서는 적극적으로 통지하는 것이 필요할 것입니다.

5. 정보통신망법 및 신용정보법을 적용받는 사업자의 경우

개인정보보호법은 정보통신망법 및 신용정보법이 우선적용되도록 규정하고 있기 때문에 개인정보보호법이 시행되더라도 많은 영향을 받지 않을 것으로 예상됩니다. 그러나, 정보통신망법이나 신용정보법에 규정이 되지 않은 사항에 대해서는 개인정보보호법이 적용될 수 있으므로 현재 개인정보의 수집∙이용∙제공 형태를 재검토할 필요성이 있고, 개인정보 유출사고와 관련하여서는 개인정보보호법이 적용될 수 있다는 점에 유의하여야 합니다.

상기의 사항에 대하여 궁금하신 사항이 있으신 분은 연락하여 주시면 보다 자세한 내용을 상담하여 드리도록 하겠습니다.