함께하는 시민행동은 전국 250개 지방자치단체 홈페이지의 개인정보보호현황을 조사한 보고서를 발표했습니다. 이번 조사에 다르면, 55%의 지방자치단체가 개인정보 데이터베이스 보유 현황을 제공하지 않고 있었으며, 회원제 서비스를 제공하는 자치단체의 40%가 회원탈퇴 메뉴를 제공하지 않고 있는 등 지방자치단체들이 시민들의 자기정보통제권을 상당히 침해하고 있음이 드러났습니다.
공공기관 홈페이지, 자기정보통제권 보장하지 않고 있어
[보도자료] 공공기관 홈페이지 개인정보보호현황 조사 보고서 발간
● 55%의 자치단체, 개인정보데이터베이스 보유 현황 제공 않아
● 회원제 서비스를 제공하는 자치단체의 40%, 회원탈퇴메뉴 없어
● 75%의 자치단체 회원제 서비스, 개인정보 수집목적 밝히지 않아
● 회원제 서비스를 제공하는 자치단체의 35%, 약관 제시하지 않아
1. 함께하는 시민행동은 오늘 국가인권위원회의 후원으로 [공공기관 홈페이지 개인정보보호현황 조사 보고서]를 발간했습니다. 이번 조사는 지난 7월부터 9월까지 전국 250개 지방자치단체를 대상으로 진행되었습니다.
2. 이번 조사는 ▲ 개인정보보호방침 게시 실태 ▲ 회원제 서비스의 약관/개인정보 게시 실태 ▲ 회원 가입·탈퇴 관리의 세 부분을 중심으로 이루어졌습니다. 구체적 내용으로는 △ 개인정보보호방침 게시 여부 △ 개인정보보호방침 작성 방식 △ 개인정보데이터베이스 목록 공개 여부 △ 개인정보 타기관 제공 현황 공개 여부 △ 기술적 보호조치 내역 공개 여부 △ 권익 침해시 구제방법 소개 여부 △ 개인정보관리책임자 내용 소개 여부 △ 수집 목적 제시 여부 △ 보존 및 폐기에 관한 사항 공지 여부 △ 이용자 권리 규정 공지 여부 △ 개인정보 수집 항목별 적절성 검토 △ 실명확인제도 도입 여부 △ 회원 탈퇴의 자유로움 여부 등의 항목이 조사되었습니다.
3. 이번 조사 결과, 79%에 달하는 지방자치단체들이 개인정보보호정책을 제시하고 있어, 개인정보보호방침 게시가 정착되고 있음이 확인되었습니다. 또, 77.2%의 자치단체들이 개인정보관리책임자를 지정하여 안내하고 있었습니다.
4. 그러나, 구체적으로 관리 실태를 살펴보면, 많은 측면에서 개인정보자기통제권을 제약되고 있음이 확인되었습니다. 구체적으로 다음과 같은 문제점들이 조사되었습니다.
4.1. 행정자치부의 지침에 따르면, 공공기관은 개인정보보호방침을 통해 해당 기관이 보유하고 있는 개인정보 데이터베이스의 목록 및 타 기관에 제공하는 개인정보의 내역을 공개하도록 되어 있습니다. 그러나, 전체 자치단체의 45%만이 보유중인 개인정보 DB의 목록을 공개하고 있었습니다. 제3자 제공 내역을 공개하는 단체의 비율은 더욱 적어 전체의 40%에 불과했습니다. 보유한 데이터베이스의 현황과 제3자 제공 내역을 공개하는 것은 자기정보에 대한 기본적인 알 권리를 보장하는 것입니다. 절반 이상의 자치단체가 이를 공개하지 않고 있다는 것은 자기정보통제권의 실현 의지를 의심케 하는 것입니다.
▲ 개인정보보호방침을 게시할 때는, 개인정보관리책임자의 성명, 지위, 전화번호 및 기타 연락처를 밝히도록 되어 있습니다. 특히, 실명과 직책은 이용자들이 개인정보관리책임자를 쉽게 찾을 수 있도록 하기 위해 반드시 안내되어야 하는 정보입니다. 그러나, 개인정보관리책임자를 지정 운영하는 194곳의 자치단체 중 약 5%에 불과한 10곳만이 관리책임자의 실명을 밝히고 있었습니다. 또한, 직책이나 부서명을 밝히고 있는 곳도 28%에 그쳤습니다.
4.2. 전체 지방자치단체의 80%가 넘는 207개에 달하는 자치단체가 웹메일, 커뮤니티, 쇼핑몰 등 다양한 형태의 회원제 서비스를 제공하고 있었습니다. 서비스의 활성화 여부와는 별도로, 주민들과의 접촉면을 늘리려는 노력이라는 점에서 회원제 서비스의 증가는 긍정적인 측면이 있습니다. 그러나, 여러 가지 개인정보를 수집하는 회원제 서비스에 걸맞는 개인정보 보호 조치가 이루어지지 않고 있었습니다.
▲ 법률에 의해 수집되는 개인정보 데이터베이스와 달리, 회원제 서비스는 동의에 의해 개인정보를 수집합니다. 따라서, 개인정보 수집에 관련된 사항과 회원의 권리·의무에 관한 사항들을 약관이나 개인정보보호정책을 통해 제시해야 합니다. 그러나, 회원제 서비스를 제공하는 자치단체 중 35%가 약관을 제시하지 않고 있었습니다. 회원제 서비스에 걸맞는 개인정보보호정책을 제시한 곳은 단 13곳에 불과했습니다.
▲ OECD의 1980년 [개인데이터의 국제유통과 프라이버시 보호에 관한 가이드라인]은 개인 참가의 원칙을 규정하고 있습니다. 이 원칙에 따르면, 개인정보 수집에 대한 동의의 철회는 자기정보통제권의 기본적 권리입니다. 홈페이지에서 이 권리는 회원 탈퇴 메뉴를 통해 구현됩니다. 가입하는 것보다 어렵지 않게 탈퇴하는 것은 회원의 기본적 권리입니다. 그러나, 회원제 서비스를 제공하는 자치단체 중 약 40%가 회원 탈퇴 기능을 제공하지 않고 있었습니다.
▲ 또한, OECD 가이드라인은 목적 명확성의 원칙을 규정하고 있습니다. 이 원칙에 따르면, 회원제 서비스를 통해 개인정보를 수집할 때는 어떤 목적으로 수집하는 것인지를 사전에 고지하고, 고지된 목적 이외의 방식으로 사용해서는 안 됩니다. 그러나, 회원제 서비스를 실시하는 자치단체의 75%가 수집 목적을 전혀 제시하지 않고 있었습니다. 수집 목적을 제시하는 곳들도 대다수가 '서비스 제공을 위해'라는 추상적 문구만으로 목적을 제시하고 있어, 수집 목적의 타당성을 확인할 수 없었습니다. 구체적인 수집 목적을 제시하는 곳은 회원제 서비스를 제공하는 전체 자치단체의 3%에 불과했습니다.
▲ 회원제 서비스를 실시하는 지방자치단체의 93%가 명백한 필요성도 없이 주민등록번호를 수집하고 있었습니다. 주민등록번호는 세계에서도 유래 없는 평생 불변의 고유식별번호이므로, 한 번 유출되면 피해 구제가 불가능한 특성을 갖고 있습니다. 따라서, 그 수집이 엄격히 제한되어야 합니다. 그러나, 우리 사회에서는 공공 영역과 민간 영역의 모든 기관이 자유롭게 주민등록번호를 수집할 수 있도록 하고 있어 주민등록번호 유출로 인한 피해가 날로 심각해지고 있습니다. 이런 상황에서, 타의 모범이 되어야 할 공공기관들이 분명한 필요성도 제시하지 않고 주민등록번호를 수집하는 것은, 프라이버시 침해를 심화시키는 것입니다.
4. 본 보고서는 250개 조사대상 자치단체들에 배포될 예정입니다. 함께하는 시민행동 웹사이트(http://www.privacy.or.kr/content/info_board/downadd.asp?attach=8654&code=pri_pds)에서도 본 보고서의 전문을 다운로드받으실 수 있습니다.
