KT 리스크대응팀의 조인우(43) 박사는 26일 한양대 법학 박사학위 논문으로 제출한 ‘전자상거래에서 본인확인제도의 문제점과 개선방안’에서 개인정보의 민간사용 수집을 전면 금지해야 한다고 밝혔다.논문에 따르면 전자상거래에서 주민등록번호에 의한 본인확인의 문제점들을 개선하기 위해 제도적으로 기본법인 개인정보보호법과 특별법인 정보통신망법에 주민등록번호의 민간 수집 자체를 금지하는 조항을 신설할 필요가 있다고 주장했다.
주민등록번호는 독자성, 전속성, 식별기능을 갖고 있어 본인확인 수단으로 효율적이고 적합한 측면이 있지만, 생년월일, 성별, 출신지역 등 지나치게 민감한 개인정보가 내포돼 있고 영구적으로 변하지도 않아 오남용의 가능성이 많을 뿐 아니라 한번 유출되는 등의 침해가 발생하면 원상회복이 사실상 불가능한 것은 주지의 사실이다.
논문은 전자상거래의 경우 회원가입이나 제3자 정보제공의 동의를 전제로 하고 있는 관행이 사실상 소비자에게 개인정보제공을 강제하고 있다는 문제의식에서 출발해 전자상거래를 위축시키지 않으면서도 개인정보를 보호할 수 있는 방법을 모색하고 있다.
논문에서 소개한 외국의 사례 중 미국의 경우 민간부문에서 개인식별번호인 사회보장번호(SSN) 수집 및 판매가 별다른 제한이 없으나 최근 연방과 다수 주(州)에서 사회보장번호의 사용 자체를 제한하는 법을 제정하고 있다. 아마존, 니만마커스 등은 회원가입 및 물품배송을 위해 이름, 이메일 주소, 배송정보 및 결재 정보만을 수집할 뿐 별도의 본인확인절차를 거치지 않는다.
독일은 원칙적으로 정보주체의 의사에 반하는 정보처리는 모두 기본권을 침해하는 행위로 보고 있다. 일본는 개인식별번호로 주민표코드를 도입하고 있지만 이는 무작위번호로서 주민의 신청에 의해 언제나 변경이 가능하다. 또 시정촌장 이외의 자는 업무에 관한 계약 시 해당자에게 주민표코드 제공을 요구할 수 없으며 타인에 대한 제공 목적으로 주민표코드가 기록된 데이터베이스를 구성할 수 없다.
조 박사는 이에 대해 “국내 관련법에서는 주민등록번호를 전자상거래 시 본인 확인 수단으로 사용하는 것을 금지하고 있지 않다. 단서 조항을 둬 사실상 허용하고 있다”고 지적했다.
최근 대안으로 제시된 아이핀도 그 대안이 될 수 없다는 입장이다. 논문에서는 “본인확인 시 아이핀을 사용하도록 강제하는 규정의 미비 등으로 아이핀 제도의 이용이 저조할 뿐 아니라 아이핀 제도 시행 시 시스템 개편 등에 따른 민간사업자의 부담가중, 아이핀 자체의 정보노출 등도 문제”라고 주장했다.
논문은 대안으로 개인정보보호법이나 정보통신망법에 주민등록번호의 민간에서 수집 자체를 금지하는 조항을 신설할 것을 제시했다. 기존의 수집된 주민등록번호를 삭제하고 민간에서의 주민등록번호 보유를 줄이기 위해 주민등록번호를 통한 본인확인은 법령에 주민등록번호에 의한 본인확인을 규정하고 있는 경우, 비지니스의 성질상 주민등록번호에 의한 본인확인이 필요한 경우로서 본인의 동의를 얻은 때, 계약의 이행을 위해 반드시 필요한 경우 등 3가지 경우에 한정할 것을 제안했다.
조 박사는 “최근 개인정보 대량 유출 이후 해당 기업이 향후 개인정보 수집을 하지 않겠다고 발표한 것은 이전에도 개인정보 없이 서비스 이용이 가능했다는 것을 방증하는 것”이라고 설명했다.
<이태형기자 @vmfhapxpdntm>
/ thlee@heraldcorp.com
