개인정보보호법(법률 제10465호)이 2011년 9월 30일부터 시행될 예정입니다. 종전에는 전기통신사업자, 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공(또는 정보 제공의 매개)하는 자가 수집하는 개인정보는「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서, 공공기관이 컴퓨터ㆍ폐쇄회로 등 정보의 처리 또는 송ㆍ수신 기능을 가진 장치를 통해 처리하는 개인정보는 「공공기관의 개인정보보호에 관한 법률」에서 규율하고 있었습니다. 신설되는 개인정보보호법은 규율대상을 민간 사업자, 직접 교부되는 신청서 등으로 제공되는 개인정보까지 확대하고 있어 주의가 요구됩니다.

가. 개인정보 유출 통지

개인정보가 유출되었을 때 개인정보 처리자는 그 사실을 인지하는 즉시 정보주체에게 "유출된 개인정보의 항목, 유출된 시점과 그 경위, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 개인정보 처리자의 대응조치 및 피해구제절차, 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처"를 알려야 합니다. 1만 명 이상의 개인정보가 유출되었을 때에는 행정안전부 장관 또는 한국인터넷 진흥원, 한국정보화 진흥원에 신고해야 하고, 정보주체에게 통지하고 인터넷 홈페이지의 첫 화면에 고객센터, 공시사항 등 정보주체가 알아보기 쉬운 위치에 최소 30일 이상 의무적으로 게시하여야 합니다.

나. 정보주체자의 개인정보 열람 요구

정보주체가 개인정보의 열람을 요구하면 개인정보 처리자는 10일 이내에 필요한 조치를 해야 합니다. 다만 ① 법률이 금지하는 경우, ② 타인의 생명, 신체, 재산을 침해할 우려가 있는 경우, ③ 조세의 부과, 성적 평가 및 채용에 관한 시험, 보상금 산정, 감사 및 조사에 관한 업무에 중대한 지장을 초래하는 경우에는 열람을 제한하거나 거절할 수 있습니다.

다. 개인정보 정정ㆍ삭제 요청

정보주체가 정정, 삭제를 요구하면 다른 법률에서 그 개인정보가 수집대상으로 명시된 경우를 제외하고는 필요한 조치를 하고 정보주체에게 통지해야 합니다. 자료를 삭제할 때는 복구 또는 재생이 불가능하도록 조치해야 합니다.

가. 최소한의 개인정보 처리원칙

개인정보 처리자는 목적에 필요한 최소한의 개인정보를 처리해야 합니다. 부가적인 개인정보 처리에 동의하지 아니한다는 이유로 서비스 제공을 거부할 수 없습니다. 인터넷 홈페이지를 통한 회원가입에서 주민등록번호를 요구하는 경우 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법(예를 들어 G-PIN, 공인인증서 등)을 반드시 제공해야 합니다.

나. 주체자의 동의에 의한 개인정보 처리원칙

정보주체의 동의는 ① 정보 주체가 서명 날인한 동의서, ② 전화 통화를 거친 의사확인, ③ 인터넷 사이트를 통한 동의, ④ 전자우편 등의 방법으로 받을 수 있습니다. 14세 미만의 경우 법정 대리인의 동의가 필요합니다. 따라서 14세 미만 회원과 14세 이상 회원을 구분하여 회원 가입 절차를 제공해야 하고, 특별한 사유 없이 14세 미만 회원 가입을 제한할 수 없습니다. 법정대리인 동의를 받기 위해 필요한 최소한의 정보는 해당 아동으로부터 직접 수집할 수 있습니다.

개인정보보호법 제15조는 ① 정보주체의 동의, ② 법률의 규정, ③ 공공기관이 소관 업무를 수행하기 위하여 불가피한 경우, ④ 정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우, ⑤ 정보주체의 사전 동의를 받을 수 없는 경우(주소불명, 의사표시할 수 없는 상태)로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우, ⑥ 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우에 개인정보 처리자가 개인정보를 수집ㆍ이용할 수 있도록 규정하고 있습니다.

정보주체의 동의를 받는 경우에는 ① 개인정보의 수집ㆍ이용 목적, ② 수집하려는 개인정보의 항목, ③ 개인정보의 보유 및 이용기간, ④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익 내용을 주체자에게 반드시 알려야 합니다. 거짓이나 그 밖의 부당한 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위는 당연히 금지됩니다.

정보주체의 동의를 받아 개인정보를 제3자에 제공하거나 정보처리를 위탁하는 경우에도 ① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 이용 목적, ③ 이용 또는 제공하는 개인, 정보의 항목, ④ 개인정보를 제공받은 자의 개인정보 보유 및 이용기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익 내용을 정보주체에게 알려야 합니다.

정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우에는 개인정보의 목적외 이용ㆍ제공을 할 수 있습니다. 이 경우 ① 이용 또는 제공 일자, ② 이용 또는 제공의 법적 근거, ③ 이용 또는 제공 목적, ④ 이용 또는 제공하는 개인정보의 항목을 1개월 이내에 관보 또는 인터넷 홈페이지에 게재해야 합니다. 이용ㆍ제공 절차를 문서로 처리해야 하고, 이용ㆍ제공 대장에는 다음 사항을 기록하고 관리해야 합니다.

개인정보파일의 명칭, 제공받는 기관의 명칭, 개인정보 이용 목적, 법적 근거, 개인정보의 항목, 이용 또는 제공의 일자, 주기 또는 기간, 이용 또는 제공하는 형태, 이용목적 또는 방법 그 밖에 필요한 사항에 대하여 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청한 내용

제3자에게 개인정보의 처리업무를 위탁하는 경우에는 위탁문서에 아래의 내용이 포함되어야 합니다.

위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항, 위탁하는 사무의 목적과 범위, 재위탁 제한에 관한 사항, 개인정보의 관리현황점검 및 수탁자 소속 직원의 교육에 관한 사항, 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등에 관한 사항

또한 정보주체자에게는 관보 또는 인터넷 홈페이지 게재 그 밖에 유사한 방법으로 "위탁하는 업무의 내용, 개인정보 처리업무를 위탁받은 처리자"를 알려야 합니다. 위탁자는 개인정보 안전관리에 관하여 수탁자를 교육하고, 수탁자에게 개인정보 처리현황, 개인정보파일 접근 대상자 및 접속 현황 등에 관한 사항을 기록, 관리하도록 해야 합니다.

개인정보 처리자는 ① 개인정보의 처리 목적, ② 개인정보의 처리 및 보유기간, ③ 정보주체의 권리ㆍ의무 및 그 행사방법에 관한 사항, ④ 처리하는 개인정보의 항목, ⑤ 개인정보의 파기에 관한 사항, ⑥ 개인정보의 안전성 확보조치에 관한 사항, ⑦ 개인정보의 제3자 제공에 관한 사항(해당되는 경우), ⑧ 개인정보처리의 위탁에 관한 사항(해당되는 경우)와 같은 내용이 포함된 개인정보 처리방침을 수립하고 공개해야 합니다.

개인정보 처리방침을 공개하는 방법은 ① 인터넷 홈페이지 첫 화면 또는 연결화면을 통해 공개하는 방법, ② 관보에 게재하는 방법, ③ 동일한 제호로 연 2회 이상 계속적으로 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지ㆍ청구서 등에 지속적으로 게재하는 방법, ④ 재화 또는 용역을 제공하기 위한 이용계약서 등에 게재하여 배포하는 방법이 있습니다.

또한 개인정보 처리자는 개인정보파일을 intra.privacy.go.kr 홈페이지에 등록할 의무가 있으며, 개인정보책임관, 분야별 책임관을 지정해야 합니다. 그밖에 ① 개인정보의 안전한 처리를 위한 내부관리계획을 수립, 시행하고, ② 개인정보를 직접 처리하는 소속 직원이나 수탁자를 교육하며, ③ 내부관리계획에 따라 정기적으로 자체 검사를 실시해야 합니다.