고객 정보를 활용하는 스타트업의 필수 고려사항
*외부필진 '법무법인 비트'가 작성한 글입니다
지난 4월, 한 통신사의 유심 해킹 문제로 시끌시끌했었죠. 바로 직전에는 공연티켓 플랫폼까지. 대형 보안 사고가 연이어 발생했습니다. 디지털 전환이 가속화되는 시대에서 개인정보 보호에 대한 경각심이 다시금 높아지고 있는데요.
사실! 현행 법령상 해킹으로 유출된 정보가 '개인정보'가 아니라면, 형사적 또는 행정적으로 해당 사업자를 처벌하는 규정은 존재하지 않습니다. 별도로 이용자들에게 민사적 책임을 질 수는 있어도요. 그러나 ‘개인정보’가 유출된 경우에는 다른데요. 개인정보보호법에 따라 적지 않은 과징금이 발생하게 됩니다. 비슷한 해킹 사건이라고 하더라도 유출된 정보가 개인정보인지 여부에 따라 기업의 책임이 크게 달라지고요.
오늘은 "과연 우리 서비스는 괜찮을까?" 걱정하는 스타트업 대표님 및 모든 관련인들을 위해, 고객 정보 활용 시 스타트업이 고려해야 하는 필수 고려사항을 소개해보고자 합니다.
개인정보보호법이 말하는 '개인정보'의 범위는 어디까지인지. 또 스타트업이 데이터를 활용할 때 꼭 지켜야 할 원칙은 무엇인지. 그리고 만약 사고가 난다면, 어떤 책임을 져야할 지 까지. 법무법인 비트와 함께 알아보았습니다.
SKT 해킹사태와 개인정보
지난 4월 발생한 SKT 개인정보 유출 사건은 IT업계가 다시 한번 개인정보 보호에 대한 경각심을 가지는 계기가 되었습니다. 정부는 현재까지는 가입자 식별키(IMSI)와 전화번호 2,600만건 가량이 유출된 것으로 확인하였으나, 이후 조사 결과에 따라 유출 규모가 더 늘어날 수 있는 상태입니다.
현행 법령상 해킹으로 인하여 유출된 정보가 '개인정보'가 아닌 경우라면, 해당 사업자가 이용자들에 민사적인 책임을 부담하는 것은 별론으로 하더라도, 형사적 또는 행정적으로 해당 사업자를 특별히 처벌하는 규정은 존재하지 않습니다.
그러나 ‘개인정보’가 유출된 경우에는 개인정보보호법에 따라 적지 않은 과징금이 발생할 수 있기 때문에, 비슷한 해킹 사건이라고 하더라도 유출된 정보가 개인정보인지 여부에 따라 기업의 책임이 크게 달라질 수 있습니다.
SKT 해킹 관련 기사와 정보를 접한 분들 중에는, 전화번호는 그렇다 치더라도 가입자 식별키(IMSI)까지 '개인정보'에 포함되는지에 대해 의문을 가지는 분도 계셨을 것입니다. 가입자 식별키(IMSI)란 이동통신 서비스 가입 시 단말기에 할당되는 국제 표준의 15자리 고유번호이며 단말기의 이용자를 식별하기 위해 할당됩니다.
특별한 일이 없다면 통신사 데이터베이스 내에만 보관되는 비공개 정보이므로 이름, 생년월일, 전화번호처럼 그 자체로 개인정보인 것과는 그 성질이 다르다고 할 수도 있습니다.
나아가 온라인 서비스에서 각 이용자에게 부여되는 회원번호, ADID·IDFA 등의 광고식별자, Mac address, 개인 기기의 시리얼 넘버, IP 주소, 행태정보 같은 것도 개인정보에 해당할 수 있을까요?
아래에서는 개인정보보호법이 정하는 ‘개인정보’의 범위에 대해서 알아보고, 이들을 처리할 때 준수해야 할 사항과 유출 사고시 처벌의 수위에 대해서 알아보겠습니다.
[이어서 읽기] Click
▶ 스타트업 성장 분석 플랫폼, 혁신의숲 바로가기 (Click)
