 |
| ▲ 법무법인 케이씨엘 변호사/변리사 김보성 |
최근 언론을 통해 자주 보도된 바와 같이, 주민등록번호의 수집을 원칙적으로 금지하고, 이를 위반하거나 주민등록번호를 유출하게 되면 과징금, 과태료 등 무거운 처벌을 하는 내용의 개정 개인정보보호법이 2014년 8월 7일부터 시행되고 있다.
주민등록번호는 1960년대 말 간첩 식별을 위한 목적으로 주민등록법에 의하여 주민등록증을 발급하면서 부여되기 시작한 국민식별번호인데, 그 후 정부기관의 행정 처리 뿐만 아니라 금융, 의료, 상거래 등 사회 모든 분야에서 개인 식별을 위한 기초 자료로 널리 활용되게 되었다. 특히, 2000년대 이후 온라인 서비스가 크게 활성화되면서 거의 대부분의 인터넷 사이트에서 이용자 본인 식별, 성인 인증 등의 목적을 위해 주민등록번호를 수집해 이용하게 됐다. 그 결과 개인정보 보호 체계가 어느 정도 갖추어진 대형 인터넷 사이트는 물론이고, 규모가 작은 인터넷 사이트들까지도 이용자의 주민등록번호를 보유하게 되었고, 이처럼 과도하게 수집, 이용되고 있던 주민등록번호가 내부관리 소홀이나 해킹에 의해 유출되면서 그로 인한 막대한 피해가 발생하게 되었던 것이다.
그런데, 개인정보 중에서 주소, 전화번호, 은행계좌번호, 카드번호와 같은 개인정보는 그나마 정보주체인 본인이 변경을 하거나, 시간이 지남에 따라 변경되어 더 이상 개인정보로서 의미가 없게 될 수도 있지만, 주민등록번호는 한 개인에 대해 유일하고 변경할 수 없는 개인정보라는 점에서 유출로 인한 피해가 매우 크고 지속적이라는 점에서 문제가 있는 것이다. 이에, 정부는 주민등록번호의 수집, 이용 자체를 최소화함으로써 유출 피해를 줄이기 위해 소관 부서인 안전행정부, 방송통신위원회, 금융위원회가 참여하는 종합대책을 마련한 바 있고, 그 일환으로 개인정보보호법이 개정된 것이다(이와 별개로, 정부는 특정한 사유가 있는 경우에 주민등록번호를 변경할 수 있도록 주민등록법을 개정하는 방안도 추진하고 있다).
 |
특별 사유 따른 ‘주민등록번호 변경’ 추진
개정된 개인정보보호법의 주요 내용을 살펴보면, 개인정보 처리자가 개인정보를 필요한 최소한도로만 수집하도록 하고, 특히 주민등록번호에 대해서는 그 수집, 이용을 원칙적으로 금지하되, 예외적인 경우, 즉 법령(법률, 시행령, 시행규칙)에서 구체적으로 주민번호 처리를 요구하거나 허용한 경우와 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요한 경우에만 허용된다고 규정되어 있다. 이에 따라, 위와 같은 예외 사유에 해당하지 아니한다면, 개인정보 처리자는 보유하고 있던 주민등록번호를 2016년 8월 6일까지 파기해야 한다.(참고로, 개인정보 처리자는 업무를 목적으로 개인정보 파일을 운용하기 위해 개인정보를 처리하는 공공기관, 회사, 단체, 개인을 말한다. 친목 단체도 개인정보 처리자가 될 수 있으므로 일부 조항을 제외하고 개인정보보호법이 적용될 수 있다.)
만일, 이를 위반해 주민등록번호를 수집, 이용하거나 위 기한 내에 파기하지 아니한다면, 3천만원 이하의 과태료를 부과받을 수 있게 된다. 그리고 예외 사유에 해당하여 주민등록번호를 보유할 수 있다고 하더라도, 보유하고 있는 주민등록번호가 분실, 도난, 유출, 변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보 조치를 취할 의무를 부담하게 되고, 만일 주민등록번호가 유출되는 경우에는 5억 원 이하의 과징금을 부과받게 될 수 있고, 안전행정부로부터 고발, 책임자에 대한 징계권고 등을 당하게 될 수 있다.
이처럼 처벌 규정이 강화되었고, 특히 정부에서 중점적으로 감독하고 있는 상황이므로, 개인정보를 처리하는 회사, 개인 사업자 또는 단체의 임직원이나 관계자라면 주민등록번호 처리에 관한 개인정보보호법을 숙지하고 그 의무를 성실히 이행해야 할 것이다.
그렇다면, 어떠한 경우에 주민등록번호의 수집, 이용이 허용되는지에 대해서 살펴보면, 대표적으로 원천징수영수증 발급을 하기 위한 경우(근거법령: 소득세법)와 4대 보험 처리를 하는 경우(근거법령: 국민건강보험법 등), 임금대장을 작성하는 경우(근거법령: 근로기준법) 등이 있다.
따라서 회사가 임직원의 국민연금, 고용보험, 건강보험, 산재보험 등 4대 보험 가입과 세금 원천징수 등을 위해 임직원들의 주민등록번호를 수집, 이용하는 것은 허용될 수 있는 것이다. 물론, 위와 같은 법령에 정한 업무 처리에 한정되는 것이고, 그 외에 다른 목적으로 주민등록번호를 이용하는 것은 허용될 수 없을 것이다. 또한, 회사가 고객 관리를 위해 그 동안 수집해 보유하고 있던 고객들의 주민등록번호에 대해서는 이를 보유할 법령상 근거가 없기 때문에 허용될 수 없다.
의법 사유 없는 수집 시도엔 단호히 거부해야
한편, 위와 같은 예외 사유에 해당해 주민등록번호를 계속 보유할 수 있다고 하더라도, 이를 보호하기 위한 엄중한 조치를 취할 의무를 이행해야 하는 책임이 뒤따르게 된다. 개정 개인정보보호법에 의하면, 앞서 언급한 바와 같이 주민등록번호가 유출되는 경우에는 최고 5억 원의 과징금을 부과할 수 있도록 하고, 안전행정부가 고발, 징계권고 등의 조치를 취할 수도 있으며, 개인정보 주체로부터 손해배상 청구, 신뢰 훼손 등 큰 어려움이 뒤따를 수밖에 없으므로, 개인정보에 대한 안전성 확보 조치를 이행하는 것은 무엇보다도 중요하다. 주민등록번호와 같은 개인정보를 보유하고 있다면, 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행, 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치, 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 등의 조치를 이행하여야 할 것이다. 물론, 이러한 조치를 취한다고 하더라도 현실적으로 개인정보의 유출을 100% 막을 수는 없지만, 안전성 확보에 필요한 조치를 이행한 정도에 따라 과징금 부과를 면제받거나 금액을 감경받을 수 있을 것이다.
따라서, 개인정보를 처리하는 회사, 개인사업자, 단체는 주민등록번호를 보유할 수 있는 법령상 근거가 있는지를 면밀히 검토한 후(외부 자문을 받아볼 필요도 있다), 그러한 사유가 없다면 기한 내에 파기하고, 보유할 수 있다면 반드시 그 목적으로만 수집, 이용하고, 안전성 확보 조치를 제대로 취하고 있는지 여부를 점검하여야 할 것이다. 아울러, 주민등록번호 외에도 다른 개인정보 역시 마찬가지로 중요하고, 개인정보보호법은 개인정보 처리자의 보호 의무를 규정하고 있으므로, 이에 대한 준수 여부도 살펴보아야 할 것이다.
이와 같은 개인정보 보호 문제를 회사나 단체의 입장에서는 번거롭고 비용만 드는 규제로 인식하기 쉬운데, 개인정보가 유출되거나 개인정보보호법 위반으로 인한 처벌을 받게 된다면 회사가 입게 되는 피해가 매우 크다는 점을 고려할 때, 개인정보 보호를 위한 전향적이고 적극적인 자세가 필요하고, 특히 대표자와 책임자들이 지속적인 관심을 기울이는 게 무엇보다도 중요할 것이다.
아울러, 개인정보 처리자가 아니라도 하더라도, 우리 모두는 헌법에 근거한 자기정보관리통제권을 가지고 있는 개인정보의 주체이고, 개인정보보호법은 개인정보 주체에 대한 여러 권리를 인정하고 있으므로, 제3자가 불필요하게 자신의 개인정보를 수집하거나 법령상 사유 없이 주민등록번호를 수집하려고 한다면 이를 단호히 거부하고, 자신의 개인정보를 보호하기 위한 권리를 적극적으로 행사한다면, 점점 심각해져 가는 개인정보 침해로 인한 피해를 좀 더 줄일 수 있을 것이다.
인사이트코리아, INSIGHTKOREA
