개인정보보호법 무엇이 달라지나?(2) - 용어의 변화

오는 9.30 부터 시행되는 개인정보보호법에 대해서 알아보겠습니다.

오늘은 짧게 용어의 변화에 대해 알아보고자 합니다.


기존 사업자들은 정보통신망법을 대부분 적용 받았기 때문에 '정보통신망법'과 '개인정보보호법'에서의 용어의 변화에 대해 알아 봅니다.

1. 개인정보의 정의

<개인정보보호법 제2조>

“개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

 -> 기존 정보통신망법과 개념상 동일 합니다. 즉 개인을 식별할 수 있는 정보는 모두 개인정보라고 정의하고 있습니다.

2. 개인정보의 주체 

 '이용자'(정보통신망법) -> '정보주체'(개인정보보호법)

 개인정보에 대한 보호의 대상이 되는 자, 해당 법률에 의해 보호받는자를 기존 정보통신망법에서는 '이용자'로 표현을 하였고, 신설된 개인정보보호법에서는 '정보주체'로 표현하고 있습니다.

 이것은 큰 변화인데요. 개인정보에 의해 식별되는 자에 대해 정보통신망법에서는 '이용자'라는 개념으로 한정하여, 자신의 개인정보가 처리됨에도 불구하고 보호를 받지 못하는 상황이 많았는데, 개인정보에 대한 주체로서, 개인정보에 대한 자기결정권을 가지는 자에 대해 정확히 정보주체로 표현함으로써 이제 자신의 개인정보에 대해 통제권을 제대로 행사할 수 있게 되었습니다.

 '이용자'는 사업자가 제공하는 서비를 이용하는 자로서, 해당 서비스를 이용해야만 법적 보호를 받을 수 있었습니다. 즉, 서비를 이용하지 않는 사람은 정보통신망법이 적용되지 않습니다.  사업자와 그 직원간의 관계, 동호회와 그 동호회 회원은 서비스 이용 관계가 아니기 때문에 법적 보호의 대상이 아니였습니다.

 그러나, '정보주체'는 어떠한 관계이든 해당 정보에 의해 식별되는 사람으로서 그 사람의 개인정보를 이용하는 경우에는 법적 보호의 대상이 됩니다.

3. 개인정보 처리자 

 '정보통신서비스제공자'(정보통신망법) -> '개인정보 처리자'(개인정보보호법)

개인정보를 처리, 즉 수집하거나,이용, 관리, 저장, 파기 등 일련의 개인정보를 다루는 사람을 정보통신망법에서는 '정보통신서비스제공자'라고 하였고, 신설된 개인정보보호법에서는 '개인정보 처리자'라고 하고 있습니다.

정보통신망법에서는 이용자 개념과 마찬가지로 특정 서비스를 제공하는 자가 그 이용자의 개인정보를 처리할 때 법 적용대상으로 하고 있습니다. 즉 서비스를 제공하는 자가 아니면 법 적용을 받지 않습니다.

따라서, 비영리단체, 개인의 경우에는 서비스를 제공하는 자가 아니므로 정보통신망법을 적용받지 않습니다.

그러나, 개인정보보호법에서는 '개인정보 처리자'라고 규정함으로써 어떠한 경우이든 개인정보를 처리하게 되면 개인정보 처리자가 되어 개인정보보호법을 적용받게 됩니다. 그것이 개인이든, 비영리 기관이든, 공공기관이든 따지지 않습니다.


4. 개인정보 처리

그럼, 개인정보를 처리한다는 것은 무엇을 말하는 것일까요?

정보통신망법에서는 개인정보를 '수집, 가공, 저장, 검색, 송신, 수신 행위 등'으로 표현하고 있고

개인정보보호법에서는 '수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 및 그밖에 유사행위'로 표현하고 있습니다.

개념상 거의 대동소이하고요, 개인정보보호법이 좀 더 구체적으로 표현했다고 보시면 됩니다.

5. 개인정보 파일

이것은 개인정보보호법에서 신설된 개념인데요.

개인정보 파일이란, '개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)'을 말합니다.

즉, 개인정보 DB라고 보시면 됩니다. 정보통신망법에서는 파일에 대한 규정은 없었고, 단지 개인정보라는 개념으로 규율만 해 왔습니다.

그러나, 개인정보를 집합으로 모아놓은 경우에는 파일에 특정한 목적이 있을 수 있습니다. 예를 동사무소의 주민등록부 파일은 동 주민의 주민등록번호를 모아놓은 것이고, 농촌진흥청의 농업지도사 파일은 농업지도사로 등재된 사람들의 지도자 자격 취득일, 소재지 등 개인정보와 관련 정보를 모아 놓은 것입니다.

즉, 파일마다 고유한 목적과 정보가 담기는 것으로, 단순 개인정보 이외에 파일로서의 성격, 식별성이 더 생긴다고 볼 수 있습니다.

그래서, 개인정보보호법에서는 개인정보를 모아 놓은 파일이 있는경우에는 해당 파일을 공개하고 어떠한 파일이 있으며, 운영 근거 및 목적 등을 밝히도록 하고 있습니다.

이 개인정보 파일 공개는 공공기관만 해당되기 떄문에 사업자는 따로 공개할 필요는 없습니다.


6. 개인정보취급방침 

 '개인정보취급방침'(정보통신망법) -> '개인정보 처리방침(개인정보보호법)

사업자분들은 웹사이트에 모두 개인정보취급방침을 공개하고 있으시죠?
개인정보에 대해 어떻게 처리하고 관리하고 있는지 이용자가 쉽게 알 수 있도록 공개하는 것을 말하는데,

정보통신망법에서는 '개인정보취급방침'으로 명침을 정하여 공개하도록 되어 있고, 개인정보보호법에서는 '개인정보 처리방침'이라고 하여 공개하라고 하고 있습니다.

비슷한 사항에 대해 또 용어가 바뀌게 되어 혼란을 야기하고 있습니다.

그럼 기존에 있는 개인정보취급방침을 모두 개인정보 처리방침으로 바꿔야 하나요?

아직은 모릅니다. 이 부분은 9.30 개인정보보호법이 시행되어 봐야 뭔 얘기가 나올 것 같습니다.

현재로서는 중복 규제입니다.

7. 개인정보관리책임자 

 '개인정보관리책임자'(정보통신망법) -> '개인정보 보호책임자'(개인정보보호법)

이 부분도 마찬가지로 동일한 사항에 대해 용어를 바뀐 경우 입니다.ㅣ

기존에 사내의 개인정보보호 업무를 담당하는 자를 '개인정보관리책임자'라고 지정하여 운영하도록 하고 있는데, 개인정보보호법에서는 '개인정보 보호책임자'로 지정하라고 하고 있습니다.

개인정보취급방침과 마찬가지로 개인정보보호법이 시행되어봐야 어떻게 정리될 지 말이 나올 것 같습니다.

사업자인 경우에는 우선 개인정보관리책임자로 하여 지정하여 운영하고 있으면 됩니다.


뭐 쓰다 보니 좀 길어졌네요.
법이 바뀌면 용어도 바뀌고 용어가 바뀌면 개념이 달라지기 때문에 운영방식에 변화가 있을 수 있습니다.

참고하시기 바랍니다.


개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)