[쇼핑몰 관련 상식] 개인정보 보호란?

[쇼핑몰 관련 상식] 개인정보 보호란?

안녕하세요. 갓대희 입니다. 이번 포스팅은 [ "개인정보" 보호 ] 입니다. :) 

선거철을 맞이하여 많은 분들이 선거 관련 메시지를 받고 이런 생각을 해보았을 것이다.

"내 휴대폰 번호를 어떻게 알았지?", "개인정보 보호법 위반 아닌가?" 등등

최근들어 이런 개인정보 보호에 관해 매우 민감하며 나도 쇼핑몰 업에서 일하면서 사내, 외부 감사를 받아 보기도 하였다. 

요즘들어 너무 민감하고 예민하며 중요한 내용인 것 같아 찾아보고 정리 해보았다.

개인 정보 보호란?

▶사전적 정의

 - 개인정보보호는 정보주체의 개인정보가 안전하게 수집·이용·처리·관리되도록 하고, 정보주체의 동의 없이 함부로 수집되거나 이용·제공되지 않도록 함으로써 정보주체의 ‘개인정보 자기결정권’을 보장하는 것이라고 할 수 있다.

 - ‘개인정보’는 일반적으로 “특정 개인을 식별하거나 식별할 수 있는 정보”를 말한다.

즉, 개인과 관련된 일체의 정보는 모두 개인정보에 해당될 수 있다.

(예 : 성명, 주소, 연락처, 직업 등)

 - 개인정보에는 해당 개인과 직접 관련이 있는 정보뿐만 아니라 그 개인에 대한 타인의 의견, 평가, 견해 등 제3자에 의해 생성된 간접적인 정보(예: 신용평가 정보 등)도 해당될 수 있다.

1) 개인에 관한 정보

  - 법률상의 개인정보는“자연인(自然人)에 관한 정보”만 해당된다. 법인(法人)이나 

     단체의 정보는 법률에 따라 보호되는 개인정보의 범위에 해당되지 않는다.

     

2) 생존하는 개인에 관한 정보

  - 법률상의 개인정보는“생존하는”자연인에 관한 정보만 해당된다. 

    따라서 이미 사망하였거나 민법에 의한 실종신고 등 관계 법령에 의해 사망한 

     것으로 간주되는 자에 관한 정보는 법률상의 개인정보로 볼 수 없다.

3) 생존하는 특정 개인을 알아볼 수 있는 정보

  - 법률상의 개인정보에 해당되기 위해서는 그 정보로“특정 개인을 

     알아볼(식별할)”수 있어야 하며, 해당 정보만으로는 특정 개인을 식별할 수 없다 

     하더라도“다른 정보와 쉽게 결합”하여 식별 가능하다면 개인정보에 해당된다.

          

예를 들어, 단순히 “성명” 정보만 있다면 특정개인을 식별하는 것이 쉽지 않으나(동명이인 등), 

개개인의 “주소∙연락처” 등과 결합되어 특정한 개인을 식별할 수 있다면 개인정보로 볼 수 있다.

관련 업무 Case

1. 첫번째

Q. 쇼핑몰에서 탈퇴한 회원들의 개인정보를 파기하려고 하는데, 일부 회원들은 할부 요금이 아직 미납되었거나 제품 A/S 기간이 남아있다. 이러한 경우에는 어떻게 해야 하는가?

A. 사업자는 개인정보의 수집∙이용 목적이 달성된 경우 등에는 지체없이 개인정보를 파기하여야 하나, 예외적으로 “다른 법률에 따라 개인정보를 보존하여야 하는 경우”에는 개인정보를 파기하지 않고 보존할 수 있다.

예를 들어, 전자상거래 등에서의 소비자 보호에 관한 법률 및 시행령에서는 대금결제 및 재화 공급에 관한 기록을 5년간 보관하도록 하고 있으므로, 질의와 같이 요금 미납, A/S 등에 해당하는 경우에는 동법에 의거 5년간 개인정보 보관이 가능하다.

2. 두번째

Q. 우리 회사의 홈페이지에서 고객들의 개인정보가 노출되는 사고가 발생하였다. 

피해를 입은 고객들이 손해배상 소송을 제기하겠다고 하는데, 소송을 거치지 않고도 사건을 원활히 해결하는 방법은 없는가?

A. 개인정보 분쟁조정위원회에 조정신청을 하면 소송절차를 거치지 아니하고 비교적 빠른 시간 내에 분쟁을 해결할 수 있다.

 개인정보 분쟁조정위원회는 위원장을 포함하여 20인 이내의 법조계·학계·소비자 및 사업자단체 전문가 등으로 구성되어 있으며, 분쟁조정 신청이 접수된 경우 사건접수일로부터 60일 이내에 사실조사 및 양 당사자의 합의를 거쳐 조정결정을 내린다.

 개인정보 침해로 인한 분쟁이면 모두 조정대상이 될 수 있으며, 정보주체와 사업자가 모두 분쟁조정을 신청할 수 있다.

3. 세번째

Q. 「개인정보 보호법」은 구체적으로 어떠한 업종에 적용되는가?

A. 공공부문은 국회, 법원, 헌법재판소 등 헌법기관과 국가인권위원회, 중앙행정기관 및 소속기관, 지방자치단체, 공사 공단, 공기업 등 약 28,000개 모든 공공기관이 적용된다.

또한, 약 350만개 72개 업종, 모든 사업자도 법 적용대상이다. 

일반법의 성격을 가지므로 포털, 망사업자, 병원, 금융기관, 제조업, 서비스업, 택배사, 1인사업자, 꽃가게, 공인중개사, 약국, 정유소 등이 포함된다.

한편 동창회, 직능단체, 사업자협회, 동호회 등 비영리단체까지도 새롭게 법 적용대상으로 확대된다.

과거 정보통신망법에 의한 ‘준용사업자(백화점, 여행사, 학원 등 24개 업종)’ 조항은 개인정보보호법이 

제정되어 삭제되었으므로 준용사업자는 당연히 개인정보보호법 적용대상이 된다.

4. 네번째

Q. "개인 정보처리자"의 범위는?

A. 업무를 목적으로 개인정보를 직접 또는 위탁하여 처리하는 모든 사업자, 단체, 기관, 개인, 공공기관 등은 개인정보처리자에 해당한다.

5. 다섯번째

Q. 개인정보처리자로부터 제공받은 개인정보를 처리하는 자는 개인정보처리자인지?

A. 정보주체는 물론 다른 개인정보처리자로부터 제공받은 개인정보를 처리하는 자도 개인정보처리자에 해당한다.

6. 여섯번째

Q. 사업장이나 단체의 경우 개인정보보호 책임자는 누구로 지정해야 되는가?

A. 개인정보 보호책임자는 개인정보 처리에 관한 전반적인 사항을 결정하고 이로 인한 제반 결과에 대하여 책임을 지는 자이므로 개인정보 수집·이용·제공 등에 대하여 실질적인 권한을 가지고 있어야 하며 조직 내에서 어느 정도 독자적인 의사결정을 할 수 있는 지위에 있는 자이어야 한다.

    

공공기관 외의 경우 개인정보보호 책임자는 ①대표자 또는 사업주 ②정보보호 처리부서의 장 ③ 개인정보보호에 소양이 있는 자 중에서 지정하면 된다.

7. 일곱번째

Q. 정보주체로부터 제공받은 명함이나, 전화번호부, 공개된 인터넷 홈페이지를 통해 개인정보를 수집하는 경우에도 정보주체의 동의를 받아야 하는가?

A. 정보주체로부터 직접 명함 또는 그와 유사한 매체를 제공받음으로써 개인정보를 수집하는 경우, 정보주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.

또한 전화번호부, 공개된 인터넷 홈페이지를 통해 개인정보를 수집하는 경우에도 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시하도록 허용한 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서 이용하여야 한다.

유출사례

1. G 정유사 회원정보 관리를 담당하는 자회사 직원이 개인정보 판매 목적으로 고객정보 1,125만건 유출 (2008.9)

g정유사와 자회사의 회원정보 관리담당 j씨가 후배와 동창생에게 고객정보 유출

2. ○○시 공무원 2명이 시립묘지 연고자 6,449명의 개인정보를 장묘 업체 관계자에 유출

3. 공무원 A씨와 B씨가 시립묘지 연고자 개인정보를 장묘업자 C씨에게 유출하여 유족상대 영업할동으로 수 억원의 이익을 챙김.

교육청 장학사가 교육의원에 출마한 후배를 위해 관내 교직원 3,000명의 이름, 전화번호 등 유출

매매사례

1. 주민센터 직원이 심부름센터 등에 건당 만원씩 받고 개인정보 판매

  - 공무원 Y씨가 주민등록자료와 제적등본자료를 심부름센터 업주 C씨에게 판매

2. C택배회사 영업소장이 자사와 거래하던 홈쇼핑 업체의 고객정보 2백만건을 빼돌려 텔레마케팅 업체에 판매 (2005.3)

  - 영업소장 K씨가 텔레마케터 업체 대표자A씨에게 1억 2천여만원을 받고 200백만건의 개인정보를 판매 

오남용

1. 차량등록시스템에 있는 차량번호, 주민번호, 이름 등 150명의 정보를 다른 공무원으로부터 건네받아 개인적 목적으로 사용

  - A씨는 교통사고 도주차량을 찾고자 차량등록시스템 자료를 동료B씨에게 요청하여 B씨는 담당자C씨에게 부탁. 

    B씨는 A씨의 부탁들 들어주고자 담당자 C씨에게 자료를 요청. 동료 B씨의 부탁으로 C씨는 차량등록시스템자료를 A씨에게 건네줌 

홈페이지 노출

1. 민원인 수백명의 이름, 주민번호, 주소 등 개인정보가 포함된 보도자료를 인터넷 홈페이지에 공개

  - 직원 C씨가 실수로 개인정보가 포함된 보도자료를 홈페이지에 게재하여 개인정보가 유출

허술한 관리/방치

1. 모 공단 직원이 고객정보 10만 건이 기록된 서류 미 파기 및 차량 방치

  - 모 공단 직원 정씨의 차량 트렁크에서 개인정보가 기록된 서류를 발견하였는데 이유는 업무가 바빠 차량에 싣고 다녔다고 해명

2. C 은행 직원의 부주의로 고객의 개인정보가 포함된 리스트를 상품안내 이메일에 첨부하여 발송 (2010.3)

  - C은행 직원이 개인정보가 포함된 리스트를 상품안내 이메일에 첨부하여 발송하여 개인정보 유출