개인정보 영수증, 어디서 어떻게 이용되는지 내가 확인한다
상태바
개인정보 영수증, 어디서 어떻게 이용되는지 내가 확인한다
  • 유지연 책임
  • 승인 2019.09.30 05:25
  • 조회수 3056
  • 댓글 0
이 콘텐츠를 공유합니다

형식적인 개인정보 활용 동의

 대부분의 서비스 제공기업은 서비스 이용약관을 포함한 개인정보 활용에 대한 동의*를 개인에게 요구한다. 그리고 우리는 특정 서비스를 이용하기 위해 기꺼이 나의 개인정보를 수집 및 활용할 수 있도록 동의 한다. 하지만 서비스 가입을 위해 동의서 전문을 읽고 내용을 모두 확인한 뒤에 동의를 하는 사람이 과연 몇이나 될까?

(*동의구분: 개인정보 수집 및 이용 동의, 민감정보 수집 및 이용 동의, 고유식별 수집 및 이용 동의, 목적 외 수집 이용 동의, 개인정보 열람위임 동의, 개인정보 제3자 제공 대신 동의, 개인정보 제3자 제공 동의, 민감정보 제3자 제공 동의, 목적 외 제3자 제공 동의, 개인정보 국외 이전 동의, 개인정보 처리위탁 동의(정보통신서비스 한정), 접근권한 동의(정보통신서비스 한정).)

투이톡_개인정보_1.jpg  
[그림 1]  서비스 이용약관 및 동의서 확인의 불편함 / 출처: Jtbc 차이나는 클라스

아마도 대다수의 일반인들은 위의 반응처럼 ‘서비스 이용약관이 너무 길다.’ ‘글씨가 너무 작아서 읽기 힘들다.’ ‘동의하고 싶지 않아도 동의를 하지 않으면, 다음 페이지로 넘어가지 않는다.’ 등의 불편함을 한번쯤은 느꼈을 것이다. 이러한 불편함 때문에 대부분은 서비스 이용약관과 동의서 내용을 꼼꼼하게 확인하지 않고 동의를 하게 된다. 그래서 동의한 나의 개인정보가 어디서 어떻게 수집되고 이용되는지 제대로 알지 못한다.

 

나의 정보가 어디서 어떻게 활용되는지 알 수 있을까?

개인정보보호법과 정보통신망법은 개인정보 활용 기업의 의무를 다음과 같이 규정하고 있다.

 ▶ 정보주체의 권리: 개인정보보호법 제4조에 따르면, 정보주체는 자신의 개인정보와 처리에 관한 정보를 제공받을 권리가 있으며, 개인정보 처리 여부를 확인 및 열람을 요구할 권리가 있음.

▶ 정보통신 서비스 제공자의 의무: 정보통신망법 제30조의2에 따르면, 정보통신서비스 이용자 수가 일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자는 정보주체인 개인에게 개인정보의 수집 이용 목적 및 수집항목, 개인정보를 제공받은 자 및 제공 목적, 개인정보 업무 위탁자 및 위탁 내용을 연 1회 이상 통지해야 함.

▶ 정보주체의 열람 권리: 개인정보보호법 제35조에 따르면 개인(정보주체)이 개인정보처리에 대한 열람을 요구하면 1. 개인정보의 항목 및 내용 2. 개인정보의 수집ㆍ이용의 목적 3. 개인정보 보유 및 이용 기간 4. 개인정보의 제3자 제공 현황 5. 개인정보 처리에 동의한 사실 및 내용을 알려야 하며 열람할 수 없을 시 사유를 알려야 함.

▶ 개인정보 수집자의 의무: 개인정보보호법 제20조에 따르면 정보주체 이외로부터 개인정보를 수집한 경우에는 정보주체의 요구가 있으면 즉시 1. 개인정보 수집 출처 2. 개인정보 처리 목적 3. 개인정보 처리정지 요구권리를 알려야 함. 단, 5만명 이상의 민감정보/고유식별정보 처리자, 100만명 이상 정보처리자는 정보주체의 요구와 관계없이 모든 사항을 정보주체에게 필수적으로 고지해야 함.

위와 같은 법률에 따라 개인정보를 이용하여 서비스를 제공하는 기업(관)은 정보주체에게 개인정보 이용내역을 메일로 보내고 있다.

투이톡_개인정보_2.jpg
[그림 2] 개인정보 이용내역 안내 메일 예시

하지만 현재와 같은 방식으로는 몇 가지 문제가 있다.

 

▶ 대부분의 정보주체는 이러한 권리가 있음에도 불구하고 본인의 개인정보 처리내역을 어떠한 방법으로 요청해야 하는지 모르는 경우가 많다.

▶ 서비스 제공 기업이 보내주는 이메일로는 나의 개인정보가 어떻게 활용되고 있는지 파악하기에는 한계가 있다.

▶ 개인이 본인의 데이터가 어떻게 활용되고 있는지 쉽게 확인할 수가 없으며, 확인을 하고 싶을 때에는 서비스 제공 기업에 별도로 요청을 해야 하는 불편함이 있다.

 

해외 사례 - GDPR에서 채택하고 있는 개인정보 영수증

2018년 5월부터 GDPR 시행으로 개인정보 주권이 강화되고 있는 유럽의 경우는 어떠할까? Right to be informed(정보를 제공받을 권리)를 통해 정보주체의 요청에 따라 제공해야하는 개인정보 항목을 명시하였다.

투이톡_개인정보_3.jpg

[표 1] 유럽 일반 개인정보보호법(GDPR)에서 정보주체에게 제공해야하는 개인정보 항목

이에 개인에게 영수증 형태로 개인정보 수집 및 이용, 제3자 제공 등에 대한 거래(Transaction) 정보를 쉽게 확인할 수 있도록 동의 영수증(Consent Receipt)을 제공하고 있다.

 

투이톡_개인정보_4.jpg
[그림 3] 유럽의 개인정보 동의 영수증 예시

영국의 차세대 기술혁신센터인 캐터펄트 센터(Catapult center)가 제시하는 동의 영수증 항목은 다음과 같다.

1. 가입된 서비스를 제공하기 위해 수집하는 개인정보 항목
2. 제3자 제공에 중점을 둔 개인정보 수집 목적
3. 개인정보 보관 장소, 방법, 보관 기간
4. 개인정보 삭제요청을 할 수 있도록 데이터 관리자의 연락처

또한 Consent & Information Sharing Work Group (CISWG)가 제시하는 동의 영수증 항목은 다음과 같다.

1. Content(항목): 이름, 이메일, 소속, 방문일자
2. Storage(저장): 저장장소, 저장일자, 저장기간
3. Purpose(목적): 수집목적
4. Sharing(공유): 공유기관
5. 영수증 발행 담당자 연락처
6. 영수증 발행 시간
7. 영수증 번호
8. 영수증 발행 기관 주소 개인정보, 수집, 이용 관련 항목

우리나라는 다음의 경우에 정보주체에게 관련 내용을 알리도록 법제화되어 있다. 아래의 표는 각 동의서별 정보주체에게 알려야 하는 항목을 정리하였다.

 

투이톡_개인정보_7.jpg  

투이톡_개인정보_6.jpg

[표 2] 각 동의서별 정보주체에게 안내해야 할 개인정보 항목

현재 우리나라는 정보통신과학기술부, 금융위원회 등의 주도로 데이터의 주권을 개인에게 돌려주는 마이데이터 서비스가 여러 산업에서 시작되고 있지만, 여전히 개인정보 수집, 이용, 제3자 제공, 제3자 처리에 대한 내역을 개인이 원할 때 편한 방법으로 제공받지 못하고 있다.

그래서 개인이 물건을 구매했을 때 구매 시간, 구매품, 구매처 등을 확인할 수 있듯이, 내 개인정보가 언제, 어디서, 어떠한 목적으로 활용되었는지 언제든지 확인 할 수 있도록 보기 편하게 필요한 항목만을 구성하여 영수증 형태로 제공한다면 개인의 개인정보 주권을 강화할 수 있을 것이다.

- 끝 -

저작권자 © 투이컨설팅 무단전재 및 재배포 금지
유지연 책임
유지연 책임 다른 콘텐츠 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.