60만 명의 카카오톡 대화를 무단으로 수집한 이루다 개발사에 대해 정부가 1억 원의 과징금과 과태료를 부과한다는 뉴스가 있었습니다. 오늘은 정보통신망법 개인정보에 대한 법률사항에 대해서 알아보겠습니다. 또 개인정보를 최소화할 수 있는 방법도 같이 알아보겠습니다.
자주 듣는 개인 정보 유출 사건
아래는 최근에 나온 뉴스이며 매년 듣던 뉴스입니다.
- 2021년 4월: 페이스북 사용자 개인정보 대량 유출
- 2021년 4월: 클럽 하우스 130만 명의 개인 정보 유출
- 2021년 1월: 카카오톡 대화 내용 무단 수집 및 개인 정보 유출
이번 소식은 이루다(Scatter Lab), 인공지능 개발 회사에서 카카오톡 대화를 허락도 없이 수집하여 AI 프로그램을 개발하는 과정에서 개인의 동의 등이 무시된 개인 정보법 위반을 해가면서 60만 명의 카톡 정보를 불법으로 수집하였다고 합니다.
특히 20대 여성의 대화가 1만 건 이상 수집되었고 보호자의 동의가 필요한 미성년자의 데이터도 수집되고 또한 카카오톡 대하에 포함된 이름, 휴대전하 번호, 주소 등이 포함되어 있다고 합니다.
개인 정보유출을 최소화할 수 있는 방법
▶ 회원약관을 꼼꼼히 읽어야 합니다.
▶ sns, 소셜 네크워킹 서비스에 글을 올리거나 정보를 주고받을 때는 개인의 신상정보가 들어 있는 것은 주의해서 올려야 합니다. 개인의 은행계좌 번호나 비밀 번호 등은 SNS보다는 전화나 다른 방법이 좋습니다. 혹시 주고받더라도 바로 지워야 합니다.
▶ 비밀번호는 다른 사람이 추측하기 쉬운 단어 조합이나 본인의 생일등은 피하는 것이 좋습니다. 가입한 사이트의 비밀번호를 주기적으로 변경하거나 복잡한 비밀 번호를 사용합니다. (예를 들면 영문 대문자 소문자 사용, 숫자, 특수 기호 사용하여 만듭니다)
▶ 보안 프로그램을 설치합니다. (백신 프로그램으로 알약 또는 V3등 아주 다양하게 있습니다)
개인 정보는 어디까지 보호가 될까요?
그렇다면 개인 정보는 법으로 어떻게 보호가 되는지 궁금해지는 데 우리나라 법에 나와 있는 법률 정보를 다는 아니고 개인이 알면 좋을 내용을 몇 가지 알아보았습니다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 )
제22조(개인정보의 수집·이용 동의 등)
① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
- 개인정보의 수집ㆍ이용 목적
- 수집하는 개인정보의 항목
- 개인정보의 보유ㆍ이용 기간
② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.
- 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
- 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
- 이 법 또는 다른 법률에 특별한 규정이 있는 경우
제23조(개인정보의 수집 제한 등)
① 정보통신서비스 제공자는 사상, 신념, 가족 및 친인척관계, 학력(學歷)ㆍ병력(病歷), 기타 사회활동 경력 등 개인의 권리ㆍ이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집하여서는 아니 된다. 다만, 제22조 제1항에 따른 이용자의 동의를 받거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우에는 필요한 범위에서 최소한으로 그 개인정보를 수집할 수 있다.
② 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스의 제공을 위하여 필요한 범위에서 최소한의 개인정보만 수집하여야 한다.
제24조(개인정보의 이용 제한) 정보통신서비스 제공자는 제22조 및 제23조 제1항 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제22조 제2항 각 호에서 정한 목적과 다른 목적으로 이용하여서는 아니 된다.
제27조의 3(개인정보 유출 등의 통지·신고)
① 정보통신서비스 제공자 등은 개인정보의 분실ㆍ도난ㆍ유출(이하 “유출 등”이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
제45조(정보통신망의 안정성 확보 등)
③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다.
- 정당한 권한이 없는 자가 정보통신망에 접근ㆍ침입하는 것을 방지하거나 대응하기 위한 정보보호 시스템의 설치ㆍ운영 등 기술적ㆍ물리적 보호조치
- 정보의 불법 유출ㆍ위조ㆍ변조ㆍ삭제 등을 방지하기 위한 기술적 보호조치
제47조의 4(이용자의 정보보호)
① 정부는 이용자의 정보보호에 필요한 기준을 정하여 이용자에게 권고하고, 침해사고의 예방 및 확산 방지를 위하여 취약점 점검, 기술 지원 등 필요한 조치를 할 수 있다.
제48조(정보통신망 침해행위 등의 금지)
① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여서는 아니 된다.
제49조(비밀 등의 보호) 누구든지 정보통신망에 의하여 처리ㆍ보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설하여서는 아니 된다.
제49조의 2(속이는 행위에 의한 개인정보의 수집 금지 등)
① 누구든지 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하여서는 아니 된다.
제22조 2항에 의해 개인 정보를 수집할 수는 있습니다. 그렇지만 그것은 한정적입니다. 그 외 다른 항목들은 개인의 정보를 보호하려는 법률입니다. 특히 제49조에 명시되어 있듯이 누구든지 타인의 정보를 훼손하거나 비밀을 도용하거나 누설하면 안 된다고 명시되어있습니다.
이외에도 더 자세한 사항은 국가법령정보 웹사이트에 접속하셔서 확인할 수 있습니다.
기업이나 회사는 개인의 정보를 개인의 동의 없이 이용하여 이윤을 얻으려고 개인정보를 무단으로 사용하는 것은 불법이며 서비스를 제공하는 회사도 다시는 이런 일이 발생하지 않게 조치를 취해야 한다고 생각합니다. 이미 어쩌면 여기저기 제 정보도 뿌려져 있다는 생각을 합니다. 자주 걸려 오는 스팸전화를 보면 그걸 알 수 있습니다. 정보를 얻는 소비자도 정보를 제공하는 기업도 이제는 개인들이 안심하고 이용할 수 있게 방안을 강구했으면 합니다.
참고:
https://law.go.kr/LSW/lsInfoP.do?lsiSeq=192306#0000
