개인정보 이용내역 통지라니?

8월 들어서 “개인정보 이용내역 통지” 식의 제목을 단 메일들이 쏟아지고 있습니다. 뭐 이런 식입죠.



이런 메일이 8월 들어 쏟아지는 것은 예시로 든 신라인터넷면세점 메일 내에서도 표시했다시피 “정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조의2”에 의거한 것으로, 2012년 2월 17일에 신설되어 2012년 8월 17일부 효력이 발생한 조항입니다.



정보통신망 이용촉진 및 정보보호 등에 관한 법률


제30조의2(개인정보 이용내역의 통지) ① 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 제22조 및 제23조제1항 단서에 따라 수집한 이용자 개인정보의 이용내역(제24조의2에 따른 제공 및 제25조에 따른 개인정보 취급위탁을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니하다.
② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다.
[본조신설 2012.2.17]



정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령


제17조(개인정보 이용내역의 통지) ① 법 제30조의2제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등을 말한다.
   ② 법 제30조의2제1항에 따라 이용자에게 통지하여야 하는 정보의 종류는 다음 각 호와 같다.
1. 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목
2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다.
3. 법 제25조에 따른 개인정보 취급위탁을 받은 자 및 그 취급위탁을 하는 업무의 내용
   ③ 법 제30조의2제1항에 따른 통지는 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다.


그러니까, ①2012년 12월 31일 기준 10, 11, 12월간 100만명 이상의 회원이 가입되어있거나 그에 준하는 사용자의 개인정보를 보유하고 있을 경우, ②또는 정보통신서비스 부분 전년도 매출액이 100억원 이상인 경우, ③연락처 정보를 가지고 있는 한 ④매년 1회 이상 ⑤“당 사이트는 어떤 목적을 위해 당신의 개인정보 중 어떤 것을 수집 및 이용하였고, 또 제3자에게 이렇게 제공되었으며, 업무 처리를 위해 또다른 제3자에게 수탁하였다”라는 내용을 ⑥이메일, 우편, 팩스, 전화 등의 연락 방법으로 사용자에게 전달하도록 규제하고 있습니다.


이 법률 조항에서는 딱히 언제 보내란 얘기는 없이 1년에 1회 이상 전달하도록 규정하고 있으나, 8월에 갑자기 쏟아지는 건 이 법률의 시행일이 2012년 8월 17일이기 때문입니다. 즉, 2013년 8월 17일에 1년이 도래하기 때문이죠. 며칠 정도는 방통위에서 허용 범위로 넘어가준다 쳤을 때 늦어도 8월 31일 전까지는 통보가 완료되어야합니다. 그래서 메일이 8월 내내 쏟아지는 겁니다.


긍정적인 면이 있다면 현재 사용하고 있는 메일 주소로 가입된 사이트를 일일히 찾을 필요없이 위 조건에 부합하는 사이트에서는 의무적으로 보내고 있으니 가입 사이트를 확인할 수 있다는 것이겠지만, 뭐 보안이나 개인정보 사고가 주로 터지는 곳은 규모가 작은 곳이니까 큰 의미가 없을지도 모릅니다.


한가지 개선되어야할 것은, 현재 보내는 메일은 전부 개인화된 메일이 아니라 사이트별로 동일한 내용을 담고 있는 단체 메일로, 네이버 같은 포털은 세부 내역을 자신 계정으로 로그인해서 확인할 수 있도록 했으나 어떤 경우던 간에 본질적인 내용은 각 사이트에 개시된 “개인정보취급방침”을 거의 그대로 복사해서 붙여넣은 수준입니다. 즉, 예를 들어, 모카드사에서 마케팅 목적으로 니 정보를 어느 보험사에 주었다는 것을 개인별로 보여주는 것이 아니라, 뭉뚱그려서 어디어디어디어디 보험사에 주었을지도 모른다, 라는 식으로 한 번에 때려넣었다는거죠. 이래서야 해당 조항의 입법 취지와는 거리가 있어 보이는데, 딱히 법을 어긴 것은 아니라고 볼 때 그저 입법 과정에서의 아쉬움이라고 할 수 밖에 없습니다. 뭐, 그렇다고 전부 개인화를 하자니 비용이 드는 것을 국가에서 보전해주는 것도 아니고 사업자 입장을 고려하지 않을 수 없네요.


다만 이렇게 개인정보취급방침을 그대로 복사해서 붙어넣기하는 메일을 보내는 판에, 위반시 3천만원씩 과태료 때리는 규제를 굳이 해야할 필요가 있나 생각이 듭니다. 하긴, 공무원 나으리들은 규제 안하면 목에 깁스도 못해보니 바랄 걸 바래야하나요. ⓣ

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.