인권위 ‘개인정보 수집 가이드라인 마련’ 권고에방통위 “필요없다” 거부

기업의 정보수집 실태도 조사안해
통신망법 시행 15년이나 지났는데
‘정보 수집 최소한’의 기준 없어
“안일한 태도가 유출사고 만들어”

온라인상 개인정보 관리·보호 주무부처인 방송통신위원회가 기업의 개인정보 수집과 관련한 가이드라인을 마련하라는 국가인권위원회 권고를 거부한 사실이 뒤늦게 드러났다. 1999년 시행된 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)은 기업 등의 개인정보 수집 범위를 ‘필요한 최소한의 정보’로 제한하고 있는데, ‘필요한 최소한의 정보’의 구체적 기준조차 없는 상태다.

16일 국회 정무위 김영주 의원(민주당)이 방통위와 국가인권위원회로부터 제출받은 자료를 보면, 방통위는 2012년 1월 인권위에 ‘기업의 강제적 개인정보 수집에 대한 제도개선 권고에 대한 회신’ 공문을 보냈다. 공문을 보면 ‘기업의 개인정보 수집실태를 전반적으로 점검하고 서비스 이용자의 개인정보가 보호될 수 있도록 관련된 가이드라인을 마련’하라는 인권위 권고에, 방통위는 “가이드라인 마련의 목적, 필요성, 내용 등이 전혀 제시되어 있지 않은 상태이므로 별도의 가이드라인 마련은 불필요하다고 판단”된다고 밝혔다.

앞서 카카오는 2011년 8월 개인정보 취급 방침을 변경하고, 푸시 알림을 통해 서비스 이용자들에게 ‘이메일 주소 수집에 동의하지 아니할 경우 계정이 삭제될 수 있다’는 메시지를 보내, 기업의 강제적 개인정보 수집 논란을 일으킨 바 있다. 조사에 나선 인권위는 그해 10월 이 조치들이 정보통신망법을 위반한 여지가 있다며, 방통위에 법 위반 여부를 조사해 적절한 조치를 취하고 기업의 개인정보 수집실태를 전반적으로 점검하도록 권고했다.

하지만 방통위의 판단은 달랐다. 방통위는 2012년 1월과 4월 인권위에 보낸 회신 공문에서 “이메일 수집으로 이용자 식별 방법의 문제점을 개선할 수 있다는 점이 인정되고, 유사 서비스 업체도 이메일을 수집·이용하고 있다는 점을 감안할 때 최소 수집 원칙을 일탈했다고 볼 수 없다”며 카카오 손을 들어줬다. 아울러 개인정보 수집과 관련한 가이드라인을 마련하라는 인권위 권고를 거부했다.

김영주 의원은 “인권위의 권고에도 불구하고 방통위는 최근 5년 동안 기업들의 전반적인 개인정보 수집실태 조사를 단 한번도 하지 않았다. 관련 법 위반 신고나 사고발생 때만 조사를 하고 있다”고 지적했다.

기업이 수집할 수 있는 개인정보의 수준을 최소화하도록 한 법과 달리, 이를 적용하기 위한 실제 기준이나 가이드라인이 없는 점도 문제로 지적된다. 정보통신망법은 “정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스의 제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다”(제23조 ②)고 규정하고 있다. ‘필요한 최소한의 정보’와 관련해 방통위는 “향후 구체적 기준을 마련하도록 하겠다”고 김 의원 쪽에 답했다.

김 의원은 “정부의 안일한 태도와 소극적인 개인정보보호 정책이 이번 개인정보 대량 유출 사태를 만든 것이나 다름없다. 정보통신망법이 시행된 지 15년이 지나도록 개인정보 수집에 대한 정의와 가이드라인조차 마련되지 않았다는 것은 충격적”이라며 “인권위 권고대로 하루빨리 개인정보 보호 가이드라인을 제정해야 한다”고 지적했다. 이순혁 기자 hyuk@hani.co.kr