개인정보관리자는 개인정보가 포함된 DB를 구축/관리하는 자를 의미할뿐
개인정보가 포함된 DB를 단순 열람/이용하는 자는 의미하지 않는다는 판결이 있더군요.
그래서 생각하는건데 오직 소셜로그인만 이용하고 내 사이트에는 딱 토큰만 저장하고
개인정보는 매번 소셜에서 가져오는 식으로 하면 이건 개인정보보호법에
안걸리는게 아닌가 싶은데 말이죠..
DB는 페북에 있고 나는 DB를 열람할 뿐이잖아요.
그리고 토큰 및 내 사이트 내부에서 만들어진 정보만 내 DB에 저장하고...
그럼 내 DB에는 어떤 개인정보도 없는거고 나는 개인정보관리자가 아닌게 되는거고
그럼 개인정보관리법의 영향에서도 벗어나는거죠.
왜 이런 생각을 했느냐 하면 개인정보보호 책임보험이 의무가입으로 바뀐다고 하기에..
그 보험이 얼마나 돈이 들지는 모르겠지만... 웬지 만만치가 않을 것 같은 기분인데...
개인정보보호법에서 빠져나갈 방법을 궁리해봤습니다.
그리고 아이디/패스워드도 개인정보일까요?
이걸 가지고 개인을 식별하는게 불가능할텐데 말이죠..
물론 해당 아이디/패스워드로 다른 사이트 로그인 시도가 가능하다는 점에서 꽤 중요한 정보인건 맞지만...
이걸 개인식별이 가능한 개인정보라고 할 수 있을런지요...
애초에 아이디는 겹치는 경우가 너무 흔한데 말이죠.
하물며 패스워드를 해쉬로 저장하면 타사이트 로그인도 불가능하고...
이메일도 좀 그런데... 인증된 이메일이 아니라 단순 입력된 이메일은..
그냥 이메일 포맷의 아이디일뿐... 실제 그 이메일을 아이디로서 입력한 사람이
이메일의 소유자라는 보장이 없잖습니까..? 그게 개인식별정보가 되는지 약간 의문입니다...
트위터같은 세계적으로 이용자가 많은 곳에서는 뭐 어쩔수없다 하지만 일반적으로 국내에만 서비스되는 사이트이거나 XETown과 같은 중소규모 사이트에서는 일반인들이 가지고 있는 아이디의 패턴이 대부분은 비슷하다는게 사실이겠죠.
그 아이디를 통해서 이 유저가 그 사람이다 라는 추정을 할 수 있고, 해당 아이디에서 사용된 아이피를 서로 대입하면 그것또한 활동정보를 확인하는 것이기 때문에 개인정보라고 보입니다.
물론 대조가능한 사이트가 있어야 하겠지만 제 생각에는 아이디 패스워드도 개인정보의 일부분이라고 생각됩니다.