ISMS-P 결함사례 고찰 #3.3. 개인정보 제공 시 보호조치

3.3.1 개인정보 제3자 제공

인증기준: 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.

 

결함사례#1

개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우가 있다. 개인정보를 제 3자에게 제공하는 것을 동의 받을 때 고지사항에 대해서는 개인정보 보호법에 상세하게 명시돼 있다. 제공받는 자가 누구인지, 그 집단 혹은 개인의 이용 목적은 무엇인지, 어떤 항목을 제공하는 것인지, 제공하면 보유 및 이용 기간은 어찌 되는지, 거부할 권리가 있다는 사실과 불이익이 있을 시의 그 내용에 대해 고지해야 한다. 이런 누락은 정말이지 드문 사례인지라... 담당자가 깨져도 할 말이 없을 것 같다. 

 

결함사례#2

개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체의 개인정보가 함께 제공된 경우가 있다. 개인정보의 무게감이 국내에서는 다소 가벼운 감이 있지 않나 싶다. 툭하면 유출 관련으로 사고가 터지는 것이 일상이니 말이다. 특히나 개인정보를 다수 다루는 기관에서는 해당 담당자에게 개인정보의 중요성에 대해 교육을 정기적으로 깊이 있게 할 필요가 있다고 생각한다.

 

결함사례#3

개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우가 있다. 정보주체는 제공받는 자가 누구인지 명확하게 알 권리가 있다. 이걸 대충 ~등으로 퉁치게 되면 정보주체의 권리를 무시하는 행태가 될 것으로 보인다. 정보를 전달함에 있어 아무리 내용이 길어진다 한들, 이 부분에 있어서는 세부적으로 전부 기재하는 것을 원칙으로 삼아야 한다. 그것이 담당자의 소명을 다하는 일이 될 것이다.

 

결함사례#4

회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우가 있다. 선택사항이라고 써놓았으나 사실상 필수사항으로서 강제하는 일이 되는 경우인데, 사실 말이 안 되는 것이다. 제3자 제공을 하지 않으면 필수적인 서비스를 수행할 수 없다는 것으로 해석이 될 수도 있는데, 그럼 그 회사는 필수적인 서비스 조차 수행할 수 없다는 것이 아닌가? 이런 경우가 아닌 이상 선택사항을 강요하는 일은 보통 영리적 목적을 충족하기 위해 하는 일일 것으로 보인다. 만약 이런 사례를 갖고 있는 회사가 고객 타깃을 노년층으로 하고 있다면 조금 의심해봐도 되지 않을까 싶다.

 

결함사례#5

제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우가 있다. 언제나 개인정보는 법에서 제한하는 선에서 '최소한의' 영역으로만 한정해야 한다. 필수적인 서비스 진행을 위해 필요한 최소한의 정보만을 말이다. 이것을 제외한 추가적인 정보를 요구한다는 것은 다른 목적이 있음을 밝히는 일로 밖에 해석이 되지 않는다. 누락의 경우도 아니고, 굳이 불필요한 정보를 추가하는 경우이니 말이다.

 

3.3.2 개인정보 처리 업무 위탁

인증기준: 개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 공개하여야 한다. 또한 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다.

 

결함사례#1

홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나, 일부 수탁자와 위탁하는 업무의 내용이 누락된 경우가 있다. 제3자 제공을 하건, 위탁을 하건, 그 사항에 대해서는 세부적으로 다 밝힌다고 생각하면 된다. 굳이 법을 차치하더라도, 기본적인 6하원칙만 떠올린다면 이런 결함사례는 발생하지 않을 것 같다. 개인정보를 수집할 때 동의를 받았다고 해서 다 마음대로 해서는 안 된다는 걸 명심해야 한다. 개인정보는 정말이지 소중히 다뤄야 한다.

 

결함사례#2

재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하면서, 위탁하는 업무의 내용과 수탁자를 서면등의 방법으로 정보주체에게 알리지 않고 개인정보 처리방침에 공개하는 것으로 갈음한 경우가 있다. 이거는 사실상 알리지 않겠다는 말과 다름 없다. 처리방침을 솔직히 누가 필독한단 말인가? 솔직히 서면으로 보내는 게 무지막지한 돈이 드는 것도 아닌데 말이다. 그런데 굳이 처리방침에 끼워넣는 것으로 갈음했다는 것은 다른 숨은 의도가 있지 않은가 하는 의심을 들게 만든다. 굳이 상식적이지 않은 행동을 할 때는 언제나 의심이 따를 수밖에 없다는 것을 명심해야 한다. 나는 그런 조직이면 믿지 못할 것 같다.

 

결함사례#3

기존 개인정보 처리업무 수탁자와의 계약 해지에 따라 개인정보 처리업무 수탁자가 변경되었으나, 이에 대하여 개인정보 처리방침에 지체 없이 반영하지 않은 경우가 있다. 무엇이건 변동사항이 생길 때에는 지체하지 않고 반영하는 것을 원칙으로 삼아야 한다. 개인적으로 이런 것들은 이해가 가질 않는데, 일이 아무리 많다 한들, 법으로 규정한 것보다 우선순위가 높은 것들이 넘쳐날까 싶다. 그게 아니라면 귀찮음으로 인해 미루면서 나중에 일괄로 처리하는 습관을 적어도 개인정보 처리업무에서는 버려야 할 것이다.

 

결함사례#4

개인정보 처리업무를 위탁받은 자가 해당 업무를 제3자에게 재위탁을 하고 있지만, 재위탁에 관한 사항을 인터넷 홈페이지 등에 공개하고 있지 않은 경우가 있다. 재위탁에 관한 사항이 동의가 되었다고 한들, 자기들끼리만 주고받고 하면 끝나는 것이 아니다. 매번 그 내용에 대해서 정보주체에게 알 권리를 충족시켜줄 필요가 있다. 수탁자, 위탁자의 수가 많을지라도, 그 내용을 모두 세세하게 다 써서 지체없이 바로 공개하는 것이 원칙이다.

 

3.3.3 영업의 양도 등에 따른 개인정보 이전

인증기준: 영업의 양도·합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체 통지 등 적절한 보호조치를 수립·이행하여야 한다.

 

결함사례#1

개인정보처리자가 영업 양수를 통하여 개인정보를 이전받으면서 양도자가 개인정보 이전 사실을 알리지 않았음에도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우가 있다. 계속해서 이런 사례가 나오고 있다. 제3자건, 위탁이건, 양도건, 개인정보 처리에 있어 변동이 생기면 세부적으로 다 알려야 하는 것은 개인정보 처리업무를 한 두번 맡아본 사람이 아닌 이상 상식처럼 여겨져야 하는 상황인데 말이다. 이전하려는 사실, 이전받는 자의 정보, 이전을 원치 않는 경우 조치할 수 있는 방법과 절차에 대해서 세세하게 다 알려야 한다.

 

결함사례#2

영업 양수도 등에 의하여 개인정보를 이전받으면서 정보주체가 이전을 원하지 않은 경우 조치할 수 있는 방법과 절차를 마련하지 않거나, 이를 정보주체에게 알리지 않은 경우가 있다. 위에서 3가지에 대해 말했는데, 다른 것은 다 알렸으면서 조치할 수 있는 방법을 알리지 않았다는 것은 조치하지 말라는 것과 다를 바 없다. 3가지를 다 누락한 경우도 아니고, 딱 하나만 누락했다면 그 의도가 뻔히 보이지 않나 싶다. 이렇게 고의성이 의심되는 경우는 각별한 제재가 필요하지 않나 싶다.

 

3.3.4 개인정보 국외이전

인증기준: 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다.

 

결함사례#1

개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 인증, 대상국 인정 등 동의 예외 요건에 해당되지 않음에도 불구하고 개인정보 국외 이전에 대한 별도 동의를 받지 않은 경우가 있다. 다른 예외 요건이 4개가 되는데, 그 많은 요건에 해당이 되지도 않으면서 별도 동의조차 받지 않는다면 아예 동의에 대해 생각조차 안 하고 있던 것이 아닐까 싶다. 사실 이런 업무를 자세히 살펴 보면, 정말 특수한 경우들을 제외하고는 보통은 동의를 받는 것이 디폴트이기 때문에 왜 이런 사례가 발생하는지 사실 이해가 되지 않는다. 왜 항상 디폴트를 깨는 사례가 굳이 있을까 굳이..

 

결함사례#2

국외 클라우드 서비스(국외 리전)를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리지 않은 경우가 있다. 제발 좀 알리자. 개인정보 관련해서 결함사례를 볼 때마다 왜 이렇게 정보주체가 알아야 하는 법적 권리를 무시하는 행태가 너무 많은지 모르겠다. 그냥 하나부터 열까지 다 알리고, 변동사항이 생기면 매번 동의를 받고, 그런 원칙을 기억하고 있으면 되는데 말이다.

 

결함사례#3

개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우가 있다. 솔직히 업체명만 봐서는 어느 나라의 어느 기업인지 어떻게 알 수 있을까? 당장 우리나라만 하더라도 순수 우리나라 말로 기업 이름을 짓는 경우만 있는 것은 아니지 않는가? 영문명 업체가 수없이 많은데, 그걸 세계로 확산하면 정말 끝없이 많을 것이다. 당연히 이름이 같은 업체는 차고 넘칠 테고 말이다. 개인정보의 국외 이전 동의 시 고지사항에 이미 법적으로 이전되는 국가와 시기 방법 등에 대한 항목도 기재가 되어 있다. 개인정보와 관련해서는 사실 대부분 모든 과정에서 법이 무엇을 해야 하는지 세심하게 알려주고 있다. 굳이 친절한 도우미가 있는데 이를 누락하는 일은 없어야 할 일이다.