일반적으로 조직은, 필요한 목적을 달성하기 위해 이용자의 동의를 기반으로 개인정보를 수집한다.
국가기관은 관련 법률이나 해당 기관의 역할 수행을 위해 필요한 정보들을 수집할 것이고, 일반 기업은 비지니스에 활용하기 위해 동의를 받고 수집하는 경우가 대부분이다.
수집된 개인정보는 내부 DB에 저장되고, 수집할 때 동의 받은 목적으로만 이용해야 하는 것이 원칙이지만, 현실에서 충분히 검토해서 이용하고 있는지 관심을 가질 필요가 있다.
아직까지 정보주체 관점에서 목적외 이용에 대한 인식이 높은 편은 아니고, 개인정보처리자 입장에서도 이미 수집된 개인정보는 조직에서 어떤 용도든지 사용할 수 있는 것이 아닌가하는 인식을 쉽게 볼 수 있다.
하지만 개인정보의 목적외 이용 개념은 우리나라의 개인정보보호법이나 GDPR 등 여러 국가들의 규정에서도 중요하게 사용되는 내용으로, 수집 시 동의를 받는 일 만큼이나 기본적이고 중요한 부분이다.
◇개인정보보호법 제3조(개인정보 보호 원칙)
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
◇GDPR 제5조 개인정보 처리원칙
1. 개인정보는:
(b) 구체적이고 명시적이며 적법한 목적을 위해 수집되어야 하고, 해당 목적과 양립되지 않는 방식으로 추가 처리되어서는 안 된다. 공익적 기록보존의 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 추가 처리는 제89조(1)에 따라 본래의 목적과 양립되지 않는 것으로 보지 않는다(‘목적 제한’).
(c) 처리되는 목적과 관련하여 적절하고, 타당하며, 필요한 정도로만 제한되어야 한다(‘데이터 최소화’).
목적외 이용이 되지 않도록 하기 위해 가장 중요한 것은, 수집 시 필요한 목적을 충분하게 고지하고 동의를 받는 일이다.
그 다음은, 기획자나 개발자 등 업무 담당자가 개인정보 수집 시 사용목적에 고지한 내용을 간과하고, DB에 저장된 개인정보를 임의의 용도로 활용하고 있는 것은 아닌지 체크할 수 있는 업무 프로세스를 구축해야 한다.
또한 다양하게 분포된 DB상에 개인정보 항목들이 어떤 용도로, 어느 서비스에 사용되고 있는지를 면밀히 추적하고 현황을 파악할 수 있어야 한다.
아직까지 목적외 이용에 대한 관리 수준이 전반적으로 충분하지 않을 수 있으며, 비교적 문제점이 쉽게 노출될 수 있는 '개인정보보호 수준의 약한 고리'일 수 있다.
회원가입을 목적으로 수집한 개인정보를 임의로 이벤트 문자메시지를 발송한다거나, 반대로 이벤트용으로 수집한 정보를 회원가입 홍보용으로 이용하는 등 다양한 상황에서 수집목적을 인식하지 못하고 목적외로 활용될 위험이 높다.
온라인 상에서 수집하는 정보 뿐만 아니라, CCTV 영상정보나 오프라인에서 다양한 방식으로 수집되는 개인정보들에 대해서도 동일한 기준으로 수집한 목적외로 이용되지 않도록 하는 조직의 관심과 보호 대책이 필요하다.
[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]
◈[PASCON 2021] 공공•금융•기업 정보보안&개인정보보호 컨퍼런스에 초대합니다.
-2022년 공공∙기업 정보보안책임자/실무자를 위한 최고의 컨퍼런스-
△주최: 데일리시큐
△후원: 개인정보보호위원회•한국인터넷진흥원•한국정보보호산업협회
△참석대상: 공공기관•공기업•정부산하기관•금융기관•의료•교육•일반기업 개인정보보호 및 정보보호 담당자, IT담당자 등 1,000여 명 참석
(※위 관계자 이외 일반인은 참석 금지)
△일시: 2021년 11월 11일 목요일(오전9시~오후5시30분)
△장소: 더케이호텔서울 2층 가야금홀 전관
△솔루션전시회: 국내•외 최신 개인정보보호 및 정보보호 솔루션
△교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록: 클릭
△문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
★정보보안 대표 미디어 데일리시큐!★
