행정안전부는 언론과 사이트에 보도자료를 배포하고 오는 2011년 9월 30일 전면 시행을 앞두고 개인정보 보호법 시행령 및 시행규칙 제정안을 입법예고했다.
내용은 아래와 같다.
행정안전부에서는 올해 9월 30일 전면 시행되는 “개인정보 보호법 시행령 및 시행규칙 제정안”을 마련하고 5월 24일부터 6월 12일까지(20일간) 입법예고를 통해 국민의 의견을 수렴 한다.
금번 제정안은「개인정보 보호법(2011.3.29제정·공포, 2011.9.30 시행)」에서 위임된 사항과 법 시행을 위해 필요한 사항을 규정하였다.
제정(안)의 주요 내용은 다음과 같다.
① 법률 적용대상으로 헌법기관 및 중앙행정기관, 지방자치단체 이외에 ‘대통령령으로 정하는 공공기관’을 ①국가인권위원회 ②“공공기관의 운영에 관한 법률”에 따른 공공기관 ③지방공사·공단 ④특수법인 ⑤각급 학교로 함으로써 모든 공공기관이 법의 적용을 받도록 하였다.
② 개인정보 보호위원회에 설치될 사무국의 조직과 정원은 별도의 대통령령으로 규정하도록 하여 위원회의 독립적 업무수행을 보장하였다.
③ 민감정보·고유식별정보 등 주요 개인정보의 범위를 구체화 하고 안전한 관리를 위해 암호화 조치 등 보호조치를 의무화하였다.
* 개인정보 처리에 있어 특별한 보호를 받는 민감정보 및 고유식별 정보민감정보 : 유전정보, 범죄경력 정보
고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
④ 공공기관의 장이 영상정보처리기기를 설치 할 경우 ①공청회 ②설명회·설문조사·여론조사 또는 관계전문가의 자문을 거치도록 하여 개인정보 보호 절차를 강화였다.
⑤ 개인정보 처리의 투명성 등을 확보하기 위하여 개인정보처리자(공공 기관, 기업 등)로 하여금 ①처리하는 개인정보항목 ②파기사항 ③안전성확보 보호조치를 내용으로 하는 ‘개인정보 처리방침’을 정하여 홈페이지 등에 공개토록 하였다.
⑥ 인터넷에서 고유식별정보의 누출방지를 위하여 모든 공공기관과 3개월간 홈페이지 이용 정보주체의 수가 일일평균 1만명 이상인 모든 개인정보처리자는 주민등록번호 이외의 회원가입 방법을 제공하도록 의무화 하였다.
※ 게임·전자상거래 1만명 이상, 포털 일일평균 5만명 이상(정보통신망법 시행령 제9조)⑦ 개인정보 보호책임자를 지정해야할 대상으로 ①공공기관 ②상시 종업원 수 50인 이상 개인정보 처리자로 정하여 영세 소기업의 부담을 대폭 덜어주었다.
※ 중소기업지원기본법 시행령(제8조)에는 영세소기업을 10인 미만으로 규정⑧ 행안부장관은 유출에 따른 기술지원과 개인정보 침해사실 신고의 접수 처리 등 업무 수행을 위한 전문기관으로 한국정보화진흥원 또는 한국인터넷진흥원을 지정할 수 있도록 하였다.
행정안전부 김남석 제1차관은 “시행령 제정(안) 입법예고를 함에 있어 향후, 공청회 등을 병행하여 국민의 의견을 최대한 수렴할 것이며, 개인정보보호법의 안정적인 시행을 위해 최선의 노력을 경주할 것”이라고 밝혔다. 시행령은 입법예고후 부처간 협의와 규제심사 등의 절차를 거쳐 9월 중순 경 공포될 예정이다.
여기서 수많은 언론이 제목을 뽑은 내용이 바로 '주민등록번호 없이도 사이트에 가입할 수 있다"는 내용이었다.
9월부터 1만명 이상 이용 사이트, 주민번호 없어도 회원 가입 조선일보 [경제] 2011.05.24
이외의 다른 기사는 거의 대동소이하다. 보도자료가 나오고 연합뉴스 기사가 대개 이런식으로 제목을 뽑으면 나머지 기사들이 비슷하게 진행된다.
네이버에서 뉴스 검색으로 찾아보기
어쨌든 무척이나 반갑다. 그동안 과도한 개인정보 저장이 보안에 취약하다는 주장을 해왔으니 말이다.
2008/09/09 '과다 정보 저장'이 개인정보 침해 주범
2008/05/01 개인정보 유출, 원인은 과도한 실명제?
그런데 마냥 반갑다가 여기서 드는 의문점 하나.
언뜻 보기에 주민등록번호 없이 본인인증을 거치지 않고 트위터나 페이스북처럼 그냥 익명으로 회원 가입을 할 수 있다는 뜻 처럼 보인다. 그런데 '1만 명 이상'의 사이트에 이런 조항이 붙은 이유는 무엇일까?
보통 규제 완화 조치라면 1만 명 이상은 본인확인제를 위해 본인인증 절차를 두고 1만 명 미만의 경우 이런 식으로 '주민등록번호 없이 회원 가입이 가능해도 된다'는 식이어야 말이 되지 않을까? 그리고 공공기관에서도 주민등록번호를 받지 않는다? 뭔가 어색하지 않은가.
적어도 행정안전부 공무원이 똑똑하든가 기자들이 바쁘든가, 둘 중 하나겠다.
혹시 궁금한 분은 개인정보보호법 시행령 시행규칙 제정안 입법예고 파일을 원문 상태로 보기 바란다.
여기에 이렇게 쓰여 있다.
문구 그대로 읽어보면 '주민등록번호 이외의'란 구문이 눈에 띈다.
현재 본인확인제 대상 사이트는 일일 10만 명 이상의 방문자를 보유하고 있는 곳들이다. 본인확인제가 2007년 7월 처음 도입된 이후 2008년 11월 이후 확대 시행되었다. 당시 본인확인제 대상 사이트는 37개 사이트에서 268개 사이트로 늘어났고 적용 대상 이용자 수도 전체 인터넷 이용자의 51.5%에서 74.5%로 증가한 것으로 추정되었다.
이쯤 되면 눈치 챘는지도 모르겠다.
이곳에서 말하고 있는 '주민등록번호 이외의'란 말은 결국 '본인인증을 하되, 주민등록번호를 사용하지 않는 대체 방법'을 말한다. 이른 바 아이핀 같은 것 말이다.
아이핀은 이미 본인인증을 거친 상태여서 다른 곳에서 회원가입용으로 주민등록을 입력할 필요가 없는 방법이어서 주목을 받았다. 하지만 이 역시 '본인인증'이 주목적이어서 개인정보 위험은 그대로 남게 된다.
예를 들어 이렇게 말이다.
아이핀도 뚫렸다 [서울신문]
2010/06/06 아이핀도 믿을 수 없다는데 실명제에 기대는 이유
그러니까 한줄로 요약하자면,
현재 본인인증을 통해 제한적 본인확인제 범주에 드는 사이트는 하루 10만 명 이상의 방문객 규모였는데 주민등록번호가 없이도 다른 대체 수단을 갖춰서 본인인증을 받아서 회원 가입을 해야 하는 사이트가 하루 1만 명 이상의 방문객 규모로 축소된 셈이다.
사실상 본인확인제의 전면 시행과 다름 없다.
물론 기타 여러 가지 정보보호를 위한 수단을 만든 것은 환영하는 바다. 주민등록번호 남용에 대한 한 단계 진일보한 계획인 것은 맞다. 하지만 이런 단순한 '대체 수단 도입 의무화'를 두고 '주민등록번호가 없어도 회원 가입이 가능하다'고 말하는 것은 뭔가 한 두 단계를 훌쩍 건너띈 논리가 되는 것이다.
오늘의 교훈은... 뉴스, 제목만 보지 말자
보안과 실명제 관련 더 읽어볼 글.
2011/03/10 실명제를 무덤으로 보내라
2010/04/08 실명제, 한국 인터넷 박제로 만들다
2010/01/15 옥션 해킹 집단 소송 판결이 주는 교훈
2009/08/14 관성과 관행이 만드는 역설
2009/08/10 [책] 한국 웹의 불편한 진실 '악화가 양화를 몰아냈다'
2009/06/22 사이버 망명, 선언에 불과하다
2008/09/09 '과다 정보 저장'이 개인정보 침해 주범
2008/05/01 개인정보 유출, 원인은 과도한 실명제?
2008/04/22 해킹한 개인정보가 거래되는 사회
* 오늘 파란에서 보도자료가 나왔는데 괜찮은 방법입니다. OAuth를 통한 계정 연동이 그나마 나은 방식으로 보입니다. 법제 때문에 본인인증이 필요한 부분에서만 본인인증 과정을 걸어놓는 방식이지요.
▶페이스북 계정으로 파란에 로그인한다 [전자신문]