방송통신위원회는 기업이 온라인에서 이용자의 개인정보를 수집할 때 필수항목과 선택항목을 별도 페이지로 구분해 표시하도록 하는 등의 개인정보 수집 기준(가이드라인)을 마련한다고 18일 밝혔다.
방통위는 19일 오전 10시 한국인터넷진흥원(KISA) 대동청사 강당에서 '2014년 1차 온라인 개인정보보호 세미나'를 열고 '개인정보 최소 수집·이용 정착을 위한 온라인 개인정보 수집·이용·제공 등 가이드라인(안)'을 발표한다.
가이드라인은 기업이 수집하는 개인정보를 최소한으로 줄이고, 불필요한 개인정보를 바로 파기하며, 동의서 양식을 이용자가 이해하기 쉽게 작성하도록 하는 것을 목적으로 한다.
먼저 최소한의 개인정보를 수집하도록 서비스 계약 이행에 필요한 '필수항목'을 이름, 연락처 등으로 한정한다. 서비스 특성에 따라 요구되는 개인정보는 업종별 가이드라인에 반영한다.
기본 서비스를 제공하는 데 필수적이지 않은 정보는 '선택항목'에 포함해 별도의 동의를 받도록 한다. 또 필수항목과 선택항목, 제3자 제공, 취급위탁 동의서는 별도의 페이지에서 알리고 동의를 받아야 한다.
이때 동의를 거부하더라도 기본서비스 이용이 가능하다는 사실을 '굵은 글씨, 빨간색 표시' 등으로 알려야 한다. 수집하는 항목 중 민감한 정보, 보유 기간, 마케팅 목적, 제3자 제공 등 중요 내용도 굵은 글씨, 빨간색 등으로 강조해야 한다.
서비스를 제공하기도 전에 미리 동의받는 관행을 개선하기 위해 이용자가 실제 서비스를 이용하는 시점에 수집·이용 동의를 받도록 한다. 동의서는 누구나 쉽게 이해할 수 있는 용어를 사용해야 하며, 전문용어에는 별도의 설명을 제공해야 한다.
가이드라인은 단계별 개인정보 파기 기준도 제시한다. 보유기간이 종료되거나 이용자가 파기를 요청하는 등 파기 사유가 발생하면, 보유한 정보를 즉시 파기해야 한다.
이동통신사 영업점에서는 이용자가 개인정보를 전자기기에 입력하면 본사에 직접 전송되는 등의 시스템을 구축해 영업점에 저장되는 정보가 없도록 한다.
보관이 필요한 개인정보는 외부와 차단된 별도 데이터베이스(DB)에 보관하고, 이용자가 일정기간 서비스를 이용하지 않으면 별도 DB에 보관하거나 파기하도록 한다.
DB 서버에 보관한 개인정보는 암호화 등 보호조치 의무를 강화해야 하고, 수집한 개인정보는 서비스와 무관한 제3자에는 이용자의 동의를 받더라도 제공할 수 없도록 제한한다.
이용자는 개인정보를 제공한 기업은 물론, 해당 정보를 받은 제3자에도 정보 파기를 요청할 수 있다. 개인정보를 제공한 기업은 제3자가 개인정보를 안전하게 관리하는지 철저히 관리해야 한다.
세미나에서는 ▲개인정보 유효기간 단축 및 암호화 대상 확대 방안 ▲IT 환경변화에 따른 '정보통신망법' 발전방향 ▲빅데이터 개인정보보호 가이드라인(안)도 발표한다.
방통위와 KISA는 중소 영세사업자를 대상으로 시행 중인 '주민번호 수집창 삭제' 및 '주민번호 DB파기' 기술 지원 사업을 설명하고, 지원서도 접수할 예정이다.
[매경닷컴 김용영 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]
기사에 대해 의견을 남겨주세요.