'개인정보 비식별', 신산업으로 키워야
어떤 회사가 애프터서비스 처리를 위해 고객의 전화번호를 수집했다면 당연히 애프터서비스 처리를 위한 목적으로만 그 전화번호를 사용해야 한다. 개인정보보호법이 시행된 이후에 애프터서비스 처리 목적으로 수집한 전화번호를 다른 상품의 구매 권유에 사용하는 간 큰(?) 사업자(개인정보처리자)는 거의 없을 것으로 보인다. 정보주체의 동의 없이 개인정보를 목적 외 사용할 경우 형사처벌까지 받을 수 있기 때문이다. 그런데 애프터서비스 처리목적으로 수집한 정보를 통하여 제품하자의 구체적 사례를 잘 정리해두었다가 더 좋은 제품을 만들기 위한 참고자료로 활용한다면 이는 기업은 물론이고 소비자에게도 이익이 될 것이다.
하지만 제품 하자의 내용을 정리하여 분석하다 보면 그 내용 중에 개인정보가 포함될 수도 있고, 그럴 경우 정보주체의 동의 없이 개인정보를 처리하는 결과를 초래하여 개인정보보호법을 위반하게 된다. 그렇다면 어떤 방법과 절차를 거쳐 제품하자 내용을 정리하고 분석하여야 법을 위반하지 않을 수 있을까? 해답은 최근 정부부처 합동으로 마련한 '개인정보 비식별 조치 가이드라인'에 있다.
예컨대 애프터서비스를 요청한 고객의 이름과 전화번호는 삭제하고 제품하자의 내용만을 정리하고 분석하면 정보주체의 동의 없이 처리가 가능하다. 물론 제품하자만을 정리한 자료가 나중에라도 특정 개인을 알아볼 수 있는 가능성이 있는지에 대한 검증을 철저히 해야 할 것이며, 비록 비식별 조치된 정보라도 개인정보 못지않게 안전한 관리가 이루어지도록 해야 할 것이며, 처리를 통하여 필요한 결과를 도출한 이후에는 즉시 해당 정보를 파기해야 할 것이다. 이러한 내용이 이번 가이드라인에 구체적으로 제시되어 있다.
이러한 절차나 방법에 대해 까다롭고 귀찮은 일로 생각하는 사업자도 있을 것이다. 하지만 조금만 더 깊이 생각해 보면, 명확한 기준에 따른 조치를 취함으로써 법적 분쟁소지를 미연에 방지할 수 있고, 고객에게 신뢰를 주어 회사의 이미지를 제고시킬 수도 있을 것이다. 개인정보 비식별 가이드라인은 개인정보보호 원칙을 결코 후퇴시키는 것이 아니라 개인정보자기결정권을 강화하는 현실적 대안이 될 것으로 기대한다.
법률로 정해야할 사항을 가이드라인으로 제시하는 것은 법체계상 적절하지 않다는 일부의 주장도 있다. 가능하다면 법률로 정하는 것이 법치주의 원칙에 부합할 수 있다 하지만 법률의 경직성 때문에 구체적·기술적 사항은 하위법령이나 고시, 가이드라인 등에 위임하는 것이 일반적이다. 예컨대 애프터서비스 처리를 위해 수집한 개인정보는 그 목적으로만 이용할 수 있다는 것은 법률로 정할 수 있다. 하지만 구체적으로 어떤 것이 개인정보에 해당하는지, 어디까지가 목적의 범위 내 인지 등 구체적 사항은 법을 집행하는 과정에서 정부의 유권해석과 법원의 판례 등을 통해 형성되는 것이다.
우리나라뿐만 아니라 미국, 영국, 캐나다 등도 비식별 조치의 구체적 처리 절차나 기준 등은 가이드라인을 통해 제시하고 있다. 최근 법원도 구체적 상황에 관한 정부의 해석을 가능한 존중하는 경향을 보이고 있다. 그만큼 정부의 해석과 가이드라인의 중요성도 커지고 있다. 빅데이터를 기반으로 하는 신산업과 개인정보보호는 양립이 불가능한 명제가 아니다. 보호와 활용의 조화를 통하여 개인정보를 보호하면서 동시에 신산업을 육성할 수 있는 '묘수'를 찾아야 한다.
이번에 어렵사리 마련된 가이드라인이 그 묘수가 될 수 있다. 사업자(개인정보처리자)들은 이번에 마련된 가이드라인을 철저히 준수해 개인정보 침해사고가 발생하지 않도록 각별히 노력해야 한다. 정부는 기업들의 가이드라인 준수율 제고를 위해 지속적인 감시와 관심을 가져야 한다. 아무쪼록 이번에 마련된 가이드라인이 개인정보 자기결정권 강화에 도움이 되고 신산업을 육성하는 묘수가 되기를 진심으로 바란다.
디지털타임즈 2016. 8. 16 포럼
http://www.dt.co.kr/contents.html?article_no=2016081602102251813001
'개인정보 비식별', 신산업으로 키워야
어떤 회사가 애프터서비스 처리를 위해 고객의 전화번호를 수집했다면 당연히 애프터서비스 처리를 위한 목적으로만 그 전화번호를 사용해야 한다. 개인정보보호법이 시행된 이후에 애프터서비스 처리 목적으로 수집한 전화번호를 다른 상품의 구매 권유에 사용하는 간 큰(?) 사업자(개인정보처리자)는 거의 없을 것으로 보인다. 정보주체의 동의 없이 개인정보를 목적 외 사용할 경우 형사처벌까지 받을 수 있기 때문이다. 그런데 애프터서비스 처리목적으로 수집한 정보를 통하여 제품하자의 구체적 사례를 잘 정리해두었다가 더 좋은 제품을 만들기 위한 참고자료로 활용한다면 이는 기업은 물론이고 소비자에게도 이익이 될 것이다.
하지만 제품 하자의 내용을 정리하여 분석하다 보면 그 내용 중에 개인정보가 포함될 수도 있고, 그럴 경우 정보주체의 동의 없이 개인정보를 처리하는 결과를 초래하여 개인정보보호법을 위반하게 된다. 그렇다면 어떤 방법과 절차를 거쳐 제품하자 내용을 정리하고 분석하여야 법을 위반하지 않을 수 있을까? 해답은 최근 정부부처 합동으로 마련한 '개인정보 비식별 조치 가이드라인'에 있다.
예컨대 애프터서비스를 요청한 고객의 이름과 전화번호는 삭제하고 제품하자의 내용만을 정리하고 분석하면 정보주체의 동의 없이 처리가 가능하다. 물론 제품하자만을 정리한 자료가 나중에라도 특정 개인을 알아볼 수 있는 가능성이 있는지에 대한 검증을 철저히 해야 할 것이며, 비록 비식별 조치된 정보라도 개인정보 못지않게 안전한 관리가 이루어지도록 해야 할 것이며, 처리를 통하여 필요한 결과를 도출한 이후에는 즉시 해당 정보를 파기해야 할 것이다. 이러한 내용이 이번 가이드라인에 구체적으로 제시되어 있다.
이러한 절차나 방법에 대해 까다롭고 귀찮은 일로 생각하는 사업자도 있을 것이다. 하지만 조금만 더 깊이 생각해 보면, 명확한 기준에 따른 조치를 취함으로써 법적 분쟁소지를 미연에 방지할 수 있고, 고객에게 신뢰를 주어 회사의 이미지를 제고시킬 수도 있을 것이다. 개인정보 비식별 가이드라인은 개인정보보호 원칙을 결코 후퇴시키는 것이 아니라 개인정보자기결정권을 강화하는 현실적 대안이 될 것으로 기대한다.
법률로 정해야할 사항을 가이드라인으로 제시하는 것은 법체계상 적절하지 않다는 일부의 주장도 있다. 가능하다면 법률로 정하는 것이 법치주의 원칙에 부합할 수 있다 하지만 법률의 경직성 때문에 구체적·기술적 사항은 하위법령이나 고시, 가이드라인 등에 위임하는 것이 일반적이다. 예컨대 애프터서비스 처리를 위해 수집한 개인정보는 그 목적으로만 이용할 수 있다는 것은 법률로 정할 수 있다. 하지만 구체적으로 어떤 것이 개인정보에 해당하는지, 어디까지가 목적의 범위 내 인지 등 구체적 사항은 법을 집행하는 과정에서 정부의 유권해석과 법원의 판례 등을 통해 형성되는 것이다.
우리나라뿐만 아니라 미국, 영국, 캐나다 등도 비식별 조치의 구체적 처리 절차나 기준 등은 가이드라인을 통해 제시하고 있다. 최근 법원도 구체적 상황에 관한 정부의 해석을 가능한 존중하는 경향을 보이고 있다. 그만큼 정부의 해석과 가이드라인의 중요성도 커지고 있다. 빅데이터를 기반으로 하는 신산업과 개인정보보호는 양립이 불가능한 명제가 아니다. 보호와 활용의 조화를 통하여 개인정보를 보호하면서 동시에 신산업을 육성할 수 있는 '묘수'를 찾아야 한다.
이번에 어렵사리 마련된 가이드라인이 그 묘수가 될 수 있다. 사업자(개인정보처리자)들은 이번에 마련된 가이드라인을 철저히 준수해 개인정보 침해사고가 발생하지 않도록 각별히 노력해야 한다. 정부는 기업들의 가이드라인 준수율 제고를 위해 지속적인 감시와 관심을 가져야 한다. 아무쪼록 이번에 마련된 가이드라인이 개인정보 자기결정권 강화에 도움이 되고 신산업을 육성하는 묘수가 되기를 진심으로 바란다.
디지털타임즈 2016. 8. 16 포럼
http://www.dt.co.kr/contents.html?article_no=2016081602102251813001