1. 지난달 15일 개인정보보호법이 개정됐습니다. 개인정보 관리에 소홀한 기업의 처벌 수위를 높이고, 정보주체(이용자)의 선택권을 강화한다는 게 골자입니다.

2. 가장 눈에 띄는 변화는 ‘동의 없는 개인정보 수집’이 가능해지는 점입니다. 이용자의 정보 제공 의사가 분명한 경우 기업은 동의서를 받지 않고도 개인정보를 수집하고 활용할 수 있습니다.

3. 회원가입이나 이벤트 참여 설문이 대표적인 상황인데요. 지금까지는 회원가입 때마다 전화번호나 메일 등 정보 활용 수집 동의서에 체크하는 과정을 거쳐야 했지만, 이를 형식적인 절차라고 판단해 의무화 하지 않겠다는 뜻입니다. 해당 페이지에 자발적으로 접속한 이용자라면 어차피 동의할 게 뻔하다는 이유에서죠.

4. 물론 모든 수집 동의서가 사라지는 건 아닙니다. 연령 정보 수집 동의서(만 14세 이상입니다 등)와 같이 아동의 개인정보 보호법과 연관되는 등 상대적으로 더 민감한 정보를 다루는 경우나, 기존에도 선택권이 부여 됐던 항목(광고 및 마케팅 활용 동의서 등)에 대해선 여전히 이용자의 동의를 받아야 합니다.

5. 개인정보보호위원회는 이처럼 개인정보 수집 과정을 간소화해 이용자의 편의를 높이겠다는 구상입니다.

💬 개인정보보호법 개정안 주요 내용은?

✅ 동의 없는 개인정보 수집 가능: 계약 체결 또는 이행과 관련해 정보주체의 요청(회원가입 등)이 있다면 동의 없는 개인정보 수집이 가능합니다.

✅ 개인정보처리방침 평가제 도입: 개인정보처리방침이 적절하고 알기 쉽게 공개됐는지에 대한 평가가 시작됩니다.

✅ 개인정보처리방침 내 재위탁사명 공개: 개인정보 처리업무를 재위탁 시 기업의 동의를 받아야 하며, 재위탁사명을 개인정보처리방침에 기재해야 합니다.

✅ 형벌에서 경제 제재 중심으로 처벌 변화: 책임자 징벌이 사라진 대신, 과징금이 전체 매출액의 3% 이하로 상향됐습니다.

기업의 관리 책임 더 커져

6. 국내 기업 중 정보보안 전문가를 둔 곳은 드뭅니다. 대부분 마케터나 기획자가 고객 개인정보를 수집하고 관리합니다. 이벤트나 설문 조사를 위해선 개인정보 수집 동의서가 필요한데, 전문 분야가 아니다 보니 막막함이 컸죠.

7. 그래서 이번 개정안은 언뜻 기업 입장에서 반가운 소리처럼 들립니다. 매번 번거롭게 개인정보 수집 동의서를 만들 필요가 없다는 뜻이니까요.

8. 하지만 주의해야 합니다. 수집 과정이 간소화된 반면 관리 의무는 더 강화되기 때문입니다. 기업은 개인정보를 자유롭게 수집하되, ‘수집-저장-활용-폐기’에 이르는 관리 과정을 더 철저하게 지켜야 합니다. 여기서 위반 사항이 발견되면 과징금을 내야 하고요.

9. 처벌 수위도 높아집니다. 앞으로 법을 어기면 회사 전체 매출의 최대 3%를 과징금으로 내야 합니다. 기존에는 위반한 서비스로 벌어 들인 매출만 과징금 대상으로 삼았으니, 과징금에 ‘0’ 몇 개가 더 붙을 만큼 규제가 강화된 셈이죠. 수집이 쉬워졌다는 이유로 자칫 관리에 소홀했다간 큰 처벌을 피할 수 없게 된 겁니다.

10. 지금처럼 고객 개인정보를 엑셀 파일에 담아 컴퓨터 하드에 아무렇게 보관하거나, 열람 목적을 남기지 않고 활용하는 등의 관행은 전부 위법에 해당합니다.

11. 관련해 개인정보 관리 자동화 솔루션 ‘캐치시큐’ 운영사 오내피플의 조아영 대표는 이렇게 말합니다.

12. “이번 개정안의 의도를 풀어 말하면요. ‘자유롭게 수집하고 활용하되, 수집, 저장, 활용, 폐기 등 관리 내역을 명확하게 입증하지 못하면 가차없이 처벌하겠다’는 겁니다. 워낙 개인정보 관리 실태가 나빴기 때문이죠. 정보보안 전문가를 고용한 기업이 얼마나 되겠어요. 대부분 마케터나 기획자가 개인정보 수집 관리 업무를 병행하는 게 현실이에요. 그래서 더 조심해야 합니다”

개인정보처리방침 평가제 도입

13. 개인정보 관리의 철저함을 요구하는 내용은 또 있습니다. 이번 개정안을 통해 처음 도입되는 ‘개인정보처리방침 평가제’가 그 주인공입니다.

14. 현행법에 따르면 웹사이트에는 개인정보처리방침이 의무적으로 명시돼야 합니다. 기존에는 관리가 제대로 안됐는데요. 이걸 상시 평가하는 법적 명분이 처음 생긴 겁니다.

15. 단순한 명시 여부뿐 아니라, 내용의 적합성과 게재된 위치의 적절성 등 이용자가 쉽게 확인할 수 있는지도 새롭게 평가합니다. 기업 입장에선 개인정보처리방침을 최신 규제에 맞춰 주기적으로 업데이트하고 관리하지 않으면 처벌을 받게 되는 것이죠.

16. “늘상 지켜보겠다, 이런 취지입니다. 지금까지는 다른 웹사이트의 처리방침을 가져다 사명만 바꿔 써도 따로 평가를 하지 않았으니 사실상 용인됐지만, 앞으로는 이런 게 다 걸리는 거죠” 조 대표의 설명입니다.

17. 재위탁사명을 개인정보처리방침에 필수로 공개해야 한다는 규정도 신설됐습니다. 이를 설명하기에 앞서 국내 개인정보 위탁 구조를 살펴 보면요. 이용자의 개인정보를 필요로 하는 건 기업이지만, 개인정보를 실제로 수집하고 활용하는 건 대행사(위탁사)인 경우가 많습니다. 마케팅 에이전시, 웹 에이전시 등이죠. 이용자와 직접 소통하는 쪽은 이들 대행사기 때문에 기업 웹사이트 개인정보처리방침에는 위탁사명이 기재돼야 합니다. 여기까지가 기존 규제 내용입니다.

18. 그런데 맹점이 있었습니다. 위탁사도 업무를 다른 대행사에 맡기곤(재위탁) 했거든요. 때문에 앞으로는 재위탁 시에도 기업의 동의를 받아야 하고요. 이들 재위탁사명까지 개인정보처리방침에 명시해 이용자가 개인정보 활용 현황을 명확히 알 수 있도록 한 것이 개정된 내용입니다.

개인정보, 어디까지나 빌려 쓰는 것

19. 개인정보 유출을 방지하기 위해 규제가 강화되는 건 당연합니다. 하지만 일부 현실화된 부분도 있는데요. 형벌에서 과징금 중심으로 바뀐 제재 방식입니다.

20. 기존에는 개인정보보호법을 위반하면 감옥에 가는 경우가 왕왕 있었습니다. 실제로 지난 2019년 한 대형마트가 경품 추첨에 응모한 고객의 개인정보를 보험사에 팔아 넘겨 해당 기업 대표가 징역 10월, 집행유예 2년을 선고 받은 바 있습니다. 개인정보 활용 동의 안내 문구를 1mm 크기로 적어 ‘사실상 제대로 고지하지 않았다’는 게 이유였죠.

21. 그런데 실무진 입장에서 처벌 수위가 강하다 보니 현장에선 아무도 정보보호 업무를 담당하지 않으려 했답니다. 결국 인재 양성에 어려움이 생긴다고 판단한 개인정보보호위원회는 처벌 방식을 과징금 중심으로 개편해 직원 개인이 아닌 회사가 책임을 지도록 한 것이죠.

22. 결국 처벌 방식의 전환은 장기적으로 개인정보 활용에 대한 선진 기업 문화를 조성하기 위한 방편으로 해석할 수 있습니다.

23. 조 대표는 개인정보에 대한 인식이 바뀌어야 한다고 강조합니다. “기업은 어디까지나 고객의 개인정보를 잠시 빌려 쓰는 겁니다. 우리 모두 개인정보의 주체라는 점을 기억해야 해요”

자료출처 : 강화된 개인정보보호법, 마케터가 알아야 할 점은? - DIGITAL iNSIGHT 디지털 인사이트 (ditoday.com)