이들 사업자는 고객 개인을 식별하고 중복가입 여부를 확인하기 위해 ‘본인확인정보’를 필수항목으로 수집하는 경우가 가장 많았다. 본인확인정보는 사이트 가입 과정에서 고객이 휴대전화 문자 또는 아이핀 인증 등의 절차를 거칠 때 본인확인기관에서 부여하는 암호화된 정보다.
공정위는 "본인확인절차는 인터넷 서비스의 본질적 기능에는 필수적이지 않은데도 정보 유통단계를 늘리고 소비자 편의를 떨어뜨리는 측면이 있다"고 지적했다.
공정위는 앞으로 본인확인정보를 사업자가 아예 수집하지 않거나, 고객이 기입 여부를 선택할 수 있도록 고치도록 했다. 필요시 구매·결제단계에서만 필수수집항목으로 할 수 있게 했다.
제휴사이트에 통합 가입하거나 제휴사 통합 ID 설정 시 회원관리를 위해 개인정보를 제3자에 제공하는 사실을 고객에게 고지하지 않는 점도 시정될 전망이다. 공정위는 제휴사이트 가입 여부는 이용자가 선택할 수 있도록 하고, 제3자 정보제공 사실은 명확히 고지하도록 했다.
법률상 정해진 개인정보 보유기간이 지났는데도 '회사 내부방침' 같은 애매한 이유를 들어 고객정보를 파기하지 않는 관행도 바뀐다. 사업자가 개인정보를 계속 보관해야 할 예외적인 상황이 발생했을 때에는 어떤 항목을 언제까지 보존할지가 명확히 규정된다.
한편 개인정보 유출사고가 발생했을 때 '인터넷이나 네트워크상의 위험' 같은 모호한 사유를 들어 사업자가 책임을 덜 수 있도록 써놓은 약관 조항도 시정됐다. 앞으로는 사업자가 개인정보 보호를 위한 기술적·관리적 조치를 전부 했을 때에만 면책받을 수 있도록 하는 내용이 명시적으로 약관에 담긴다.
공정위는 작년 1월 신용카드사들의 개인정보 유출사건을 계기로 '전자상거래 표준약관'을 개정해 개인정보 필수수집 항목을 최소화하고, 사업자들의 약관이 불공정한지 여부를 심사한 끝에 이번 시정 조치를 내렸다.
민혜영 공정위 약관심사과장은 "이번 시정 조치를 통해 사업자의 자의에 의한 개인정보의 수집, 이용·제공 및 보관을 막아 궁극적으로 개인정보유출 가능성을 최소화했다"고 자평하며 "향후에도 공정위는 온라인 사업자의 개인정보 관련 약관조항을 지속적으로 점검해 개인정보 보호 강화를 위해 노력할 계획"이라고 말했다.