[Hot Issue]개인정보보호법 위반하면, 어떤 일이?
2014년 개인정보보호법 위반에 따른 행정처분 사례
지난 8월 7일자로 개정 개인정보보법이 전면 시행되면서 개인정보 관리에 대한 책임이 한층 더 강화되었다.
안전행정부는 사회 전반의 개인정보의 보호수준 향상과 실태 개선을 위하여 정부부처 합동으로 구성한 ‘개인정보보호합동점검단’을 중심으로, 개인정보의 유출이나 침해 우려가 있는 취약 분야 및 다량의 개인정보를 취급하는 분야 등을 대상으로 실태검사를 실시했다. 이에 안전행정부는 지난 9월 24일, 2014년도 민간기관에 대한 실태검사 결과에 따른 ‘개인정보보호법 위반에 따른 행정처분 사례’를 발표했다. 이를 통해 각 기업이 자체 시정 기회 및 인식 전환 계기로 삼아 정보보호수준 제고를 위해 노력해 줄 것을 권고했다. 이 글에서는 안전행정부가 발표한 2014년 민간분야 개인정보보호법 위반 행위 행정처분 사례를 소개한다.
수집이용, 제공 시 동의 및 고지 의무 위반 (제15조, 제17조, 제18조)
| 제15조 제1항 위반: 5천만 원 이하의 과태료(1회 위반 1,000만 원) |
| 제15조(개인정보의 수집 이용) 제2항 위반: 3천만 원 이하의 과태료(1회 위반 600만 원) |
또한 개인정보보호법 제 15조 2항에 따르면, 개인정보 수집 시 필수 고지사항을 고지하지 않는 경우에도 처벌의 대상이 된다.
이때 반드시 고지해야 하는 항목 4가지는 수집ㆍ이용 목적, 수지 항목, 보유ㆍ이용기간, 미동의 시 불이익 고지 등이다. 안전행정부가 이 자료를 통해 소개한 사례를 보면, 홈페이지를 통한 개인정보 수집 시 동의거부권 및 불이익 사항 고지 누락, 민원게시판에서 개인정보 수집시 필수사항 전부 고지 누락한 경우이다. 또한 수집 단계에서 필수/선택 항목을 구분하나, 고지 단계에서 필수/선택 항목을 구분하지 않은 경우에도 고지 내용 미흡으로 처벌의 대상이 된다. 이 경우 3천만 원 이하의 과태료로 1회 위반에 600만 원의 과태료가 부과된다.
개인정보 과도 수집 및 서비스 거부 금지 (제16조)
| 제16조(개인정보의 수집 제한) 제2항위반: 3천만 원 이하의 과태료(1회 위반 600만 원) |
개인정보보호법 제 16조 2항에 따르면, 최소한의 정보 외의 수집에 미동의 시 재화 또는 서비스 제공 거부가 금지되도록 되어 있다. 이 사례로 홈페이지에서 선택 정보인 주소 수집에 미동의 시 회원 가입 절차가 정지되어 서비스 이용한 업체를 적발했다. 이 경우에 1회 위반 시 600만 원의 과태료가 부과된다.
개인정보의 파기 의무 위반 (제 21조)
| 제21조 제1항 위반: 3천만 원 이하의 과태료(1회 위반 600만 원) |
개인정보보호법 제 21조 1항에 따르며, 보유기간 경과, 처리 목적 달성 후 개인정보를 파기하도록 하고 있다. 이에 대한 위반 사례로는 홈페이지에서 탈퇴한 회원 정보를 기간 내 파기하지 않거나 일부 미파기 사례가 소개되었다. 이 경우 1회 위반 시 600만 원의 과태료가 부과된다.
개인정보 수집 동의를 받는 방법 위반 (제 22조)
| 제22조 제1∼3항 위반: 각각 1천만 원 이하의 과태료(1회 위반 200만 원) |
제22조 제4항 위반: 3천만 원 이하 과태료(1회 위반 600만 원)
또한 홈페이지에서 선택 정보인 여권번호 수집에 미동의 시 회원가입 절차가 정지되어 서비스 이용을 제한한 업체도 적발됐다. 이 경우에는 선택적 사항 미동의 시 서비스 거부 금지 위반으로 1회 600만 원의 과태료가 부과된다.
개인정보 처리 위탁 시 준수사항 위반 (제26조)
제26조(업무위탁에 따른 개인정보의 처리 제한) 제1항 위반: 3천만 원 이하의 과태료(1회 위반 200만 원)
이외에 개인정보취급자에 대한 감독 위반(제 28조)의 경우 개인정보취급자에 대한 교육을 미 실시한 사례가 있으며, 시정조치 명령 대상이 된다.
개인정보의 안정성 확보조치 의무 위반 (제29조)
| 제29조(안전조치의무) 위반: 3천만 원 이하의 과태료(1회 600만 원) |
우선 접근 통제 및 접근 권한의 제한 조치 위반 사례는 외부에서 관리자페이지에 접속 시 VPN이나 전용선 등 안전한 접속 수단을 사용하지 않고 아이디/비밀번호를 인증하는 경우, 관리자 계정을 2명 이상 공유, 안전하지 않은 비밀번호 작성 규칙 수립, 퇴사자 접근권한 미삭제, 취급자의 권한 변경 이력 기록 미관리 등이 있다.
또한 개인정보 저장 및 전송 시 암호화 위반 사례로는 홈페이지에서 비밀번호 저장 시 일방향이 아닌 양방향 암호화 실시, 비밀번호 및 주민번호 저장 시 암호화 미조치, 업무용 PC에 주민번호 포함 저장 시 암호화 미조치, 홈페이지에서 회원의 비밀번호/주민번호 전송 시 암호화 미조치 등이 적발됐다.
이외에도 접속기록 보관 및 위ㆍ변조 방지 조치 위반 사례로는 관리자 페이지의 접속기록 미생성 및 미보관, 접속기록을 6개월 이상이 아닌 3개월만 보관하는 경우도 이에 해당한다.
이와 같이 개인정보의 안정성 확보 조치 의무를 위반 했을 때에는 1회 600만 원의 과태료가 부과된다. @
- AhnLabAhnLab