개인 정보의 종류와 개인 정보 수집 & 제공 동의서 작성 방법

개인 정보 보호법을 준수하는 서비스를 개발하려면 어떻게 해야 할까요?

답은 간단하지만 그리 쉽지는 않습니다.

 

우선 우리는 개인 정보 보호법에 대해 알고 그에 맞게 서비스를 개발해야 됩니다.

개인 정보 보호법은 정부에서 친절하게 인터넷에 게시(https://www.law.go.kr/법령/개인정보%20보호법)해 쉽게 찾아 볼 수 있지만 이것을 읽고 이해해 서비스를 개발하는 것은 약간은 지루하고 난해한 일입니다.

 

그래서 이번 글에서는 개인 정보 보호법 중 서비스 개발에 필요한 부분과 도움이 될만한 정보들을 정리해보았습니다.

 

벤쳐기업 또는 개인 개발자들이 서비스를 개발하다 흔히 간과하는 부분인 개인정보 보호법 입니다.

이거 생각 외로 중요하고 심각한 부분인데 대부분의 개발자들은 크게 신경 쓰지 않습니다.

 

나중에 서비스 출시 할때 어디 저 구석에 개인정보 처리 및 서비스 이용 약관 넣어 놓고 동의 받으면 끝난다고 생각하는데 그렇게 쉽게 생각할 사안이 아닙니다.

벤쳐기업 또는 개인 개발자들이 서비스를 만들면서 개인 정보 처리를 우선시 하지 않는 이유는 서비스의 런칭이 우선이고, 그 다음이 런칭된 서비스를 많은 사용자들 사용하도록 하는것이기 때문일 것 입니다.

우선 순위가 그렇다 보니 기업 입장에서도 개발자 입장에서도 서비스 런칭에서 개인정보 보호법은 그다지 높은 우선순위가 아니게 됩니다.

 

잠시 다른 이야기를 해보면

서비스를 많은 사용자들이 사용하게 하려면 어떻게 해야 할까요…? 글을 읽으면서 대강 생각해도 

   - 소셜 서비스의 친구를 활용한다던가…

   - 휴대폰에 저장된 친구 목록을 활용한다던가…

이와 같은 것들이 제일 먼저 떠오를 것 입니다.

 

이것들은 서비스 초반 사용자들을 서비스에 유입 시키는데 매우 강력한 도구로 활용될 수 있지만 서비스 개발 우선 순위에 밀려 개인정보 보호법을 제대로 적용하지 못한 벤쳐기업 또는 개인 개발자들에게는 언제든 부메랑으로 돌아올 수 있는 위험 요소로 존재하게 됩니다.

 

그래서 우리는 이런 위험 요소인 개인정보 보호법에 대해 조금 더 자세히 알아야 할 필요가 있습니다.

벤쳐기업이라면 기업과 서비스의 안정적인 운영을 위해!

개발자라면 개인정보 보안 책임자라고 경찰서 불려가거나 재판받지 않기 위해… ㅠ_ㅠ

 

 

1. 법률이 정한 개인정보의 정의

2020년 8월 5일부터 시행된 개인 정보 보호법(“법률 제 15930호”)에서 이야기하는 개인정보의 정의란 다음과 같습니다.

제 2조(정의)
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
   가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
   나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지.         
        여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
   다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아
        볼 수 없는 정보(이하 “가명정보”라 한다)
1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수
        없도록 처리하는 것을 말한다.
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄),
    그 밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)
    을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관,
    법인, 단체 및 개인 등을 말한다.
6. “공공기관”이란 다음 각 목의 기관을 말한다.
   가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을
        포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는
     장치로서 대통령령으로 정하는 장치를 말한다.
8. “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.

한글이지만 이해하기 어렵네요… @_@

이부분을 해석해보면 개인정보는 아래와 같이 두가지입니다.

   - 개인을 직접적으로 알아볼 수 있는 정보 (이름, 주민번호)

   - 개인을 직접적으로 알아 볼 수 없게  암호화 처리한 정보

 

그럼 여기서 드는 의문이 이메일주소는 개인정보일까?

네, 익명 회원의 이메일 주소도 보편적으로 다른 곳의 정보(주소, 사진(영상), 전화번호, 이름, 생년월일, IP, SNS, 웹 등)와 결합하여 개인을 특정할 수 있기 때문에 개인정보에 해당한다고 볼 수 있습니다.

 

그런데, 어떤 시점에서 그 이메일을 이용하여 다른 곳의 정보와 엮어 개인을 추적했음에도 누구인가를 특정할 수 없었다면 개인정보가 아닐 것입니다. 하지만 그건 그 시점에서의 판단 결과일 뿐이고, 미래에 어떻게 될지 확신하기 어렵기 때문에,

디지털 환경에서는 작은 정보 파편만으로도 개인을 특정하기 쉬워 우리나라의 개인정보보호법(다른 나라의 규범도 큰 차이는 없습니다.)은 개인정보 개념을 폭넓게 정의하여 보호 수준을 높인 것 입니다.

 

넓게 보호해서 위험성을 낮추자는 목적입니다.

 

이게 농담이 아닌게…

휴대번호 뒷자리 4자리도 그것만으로도 그 번호와 관련된 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)과 결합하여 그 사용자가 누구인지 알아볼 수 있기 때문에 개인정보로 볼수 있다라는 법원 판결이 있었습니다.

 

이쯤되면 뭐가 개인정보이고 뭐가 개인정보가 아닌제 헷갈리네요…

그럼 이런 개인정보의 종류는 어떤 것들이 있을까요?

 

2. 개인 정보의 종류

개인정보의 종류는 아래표와 같이 구분할 수 있습니다.

이러한 개인정보를 등급으로 구분해보면 아래와 같습니다.

이정도면 그동안 살아오면서 무심히 만들어진 정보들이 거의 대부분이 개인정보라는 것을 알 수 있습니다.

 

복잡하게 생각할 것 없이 그냥 로그인 기능만 들어가면 “아! 이건 무조건 개인정보 수집&제공 동의를 받아야 하고 회사에 개인정보 처리 담당자를 지정해야 하는구나!” 라고 생각하고

만드는 서비스에 개인정보 수집&제공 동의를 받는 부분을 추가하시는게 좋습니다.

 

그럼 개인정보 수집&제공 동의서는 어떻게 작성하는 것이 좋을까요?

 

3. 개인정보 수집&제공 동의서 작성 방법

개인정보 보호의 중요성이 높아짐에 따라 국가에서는 개인정보를 수집하는 기업들을 위해 아래와 같이 개인정보 수집&제공 동의서 작성 가이드라인을 제공하고 있습니다.

https://www.gne.go.kr/upload_data/board_data/notice010/155109365870942.pdf

 

기업은 반드시 위 가이드라인을 준수하여 개인정보 수집&제공 동의서를 작성해야하고 사용자로부터 사용동의를 받았을 때만 개인정보를 수집 및 활용해야 합니다.

동의서 작성시 가이드라인의 모든 부분이 다 중요하지만 가장 중요한 부분은 아래와 같습니다.

   - 서비스에서 왜 개인정보가 필요한지 목적을 분명히 설명하고…

   - 누가 개인정보를 누가하는지 설명하고…

   - 필요한 개인정보는 어떤 것들이 있는지 설명하고…

   - 수집한 개인정보를 언제까지 보유할 것인지 설명해야 합니다.

   - 그리고 미성년자인 경우 반드시 법정 대리인의 동의가 필요합니다.

만약 이렇게 동의 받은 개인정보를 제 3자에게 제공한다면 그에 대한 설명도 반드시 추가해야 합니다.

 

개인정보 수집 및 이용 동의서는 구글링하면 샘플을 쉽게 찾을 수 있지만 그러한 샘플이 법적인 위험성을 모두 해소한 것인지 판단할 수 있는 역량을 갖출 필요가 있으므로 가이드라인 문서는 반드시 읽어보시는 것이 좋습니다.

 

일예로…

서비스를 웹 또는 마켓에 등록(전체 이용가)하고 소셜 로그인을 추가한 서비스의 경우,

회원 가입 시 개인정보 이용 동의 전문을 보여주고 이용 동의를 받는 경우, 미성년자인지 확인하는 부분이 없으면 미성년자에 대해서는 제대로 개인정보 이용 동의를 받지 않은 것이 되어 이후 문제가 될 수 있습니다.

 

 

정리

우리가 살면서 남기는 흔적들 대부분은 개인정보에 해당합니다.

그러므로 서비스 개발 시 로그인이 기능이 들어간다면 그냥 무조건 개인정보 수집&제공 동의를 받는 것이 안전 합니다.

개인정보 수집&제공 동의서 샘플은 구글링으로 쉽게 검색해 활용할 수 있지만 법적인 지식없이 샘플을 고쳐쓰다가는 낭패를 볼 수 있으므로 기본적인 지식을 갖추고 있어야 합니다.

서비스에 맞는 개인정보 수집&제공 동의서를 만들었다면 작성 가이드라인을 참고하여 문제가 없는지 확인해보는 것이 좋습니다.

 

 

참조

* 개인정보 보호법 전문

https://www.law.go.kr/법령/개인정보%20보호법

 

* 수집&제공 동의서 작성 가이드라인

https://www.gne.go.kr/upload_data/board_data/notice010/155109365870942.pdf

 

* 개인정보 보호법과 개인정보 암호화 방법

https://als2019.tistory.com/88

개인정보 보호법과 개인정보 암호화 방법

 

* 패스워드 암호화

https://als2019.tistory.com/86

패스워드 암호화