한국소비자연맹의 삼쩜삼 고발 톺아보기
개인정보 수집 동의, 제대로 안 받으면 과징금이 1억?
한국소비자연맹이 말하는 삼쩜삼의 개인정보보호법 위반?, 타당한 지적인지 팩트 체크해요.
삼쩜삼 사례에서 배운 '개인정보 수집 동의'를 위한 3가지 교훈, 꼭 기억해둡시다!
개인정보는 사실 정보주체의 동의를 받으면 수집·이용이 모두 가능해요. 여러 서비스들이 '동의 받았으니 괜찮겠지?'라고 생각하는 이유이기도 하죠. 이용약관, 개인정보수집동의, 개인정보처리방침 중 하나의 동의만 받아도 충분하다고 여기기도 하고요.
그런데 개인정보보호법은 정보주체의 동의를 받는 절차를 까다롭게 규정하고 있어요. 먼저, 이용자에게 동의를 받기 전에 반드시 알려야 할 사항들이 있고요. 가입 절차를 완료하기 전에 수집하지는 않았는지, 다른 목적으로 정보를 추가 수집할 때는 별도의 동의를 받았는지 등 유의해야 할 점이 많아요. 그래서 "동의만 받으면 되겠지?" 하다가는 자칫 법을 위반하기 쉬워요.
개인정보보호법을 위반했을 때는 처벌이 무거워요. 형사처벌, 벌금, 과태료를 법으로 규정하고 있죠. 실제로 IT 기업들이 개인정보보호법을 위반했다는 사례들이 종종 들려오는데요. 페이스북과 넷플릭스는 '개인정보보호법 위반'으로 과징금 67억원을 부과받았어요. 데이팅앱 골드스푼은 과징금 1억 2979만원에, 과태료 1,860만원을 부과받았죠.
한국소비자연맹은 지난 3월 4일 삼쩜삼을 개인정보보호법 위반 혐의로 개인정보보호위원회에 신고했어요.
"삼쩜삼 앱이 ‘계약이행’이라는 모호한 목적을 내세워 ‘주민등록번호 전체’ 와 ‘홈택스 ID/PW, 카드번호’ 등을 수집해 세무대리인 등에 제공하고 있다"는 점이 문제가 되었는데요. "수집된 개인정보에 대한 이용기간, 파기방법에 대해 구체적인 정보를 제공하지 않은 점"도 지적했죠.
삼쩜삼 서비스의 어떤 이용화면에서 이같은 문제가 발생했을까요? 직접 삼쩜삼 서비스를 이용해봤어요.
소비자연맹은 또한 “삼쩜삼이 앱 이용시 신고 대행으로 인해 세무 대리인에게 소비자의 개인정보가 전달되지만 이에 대해 소비자는 구체적인 사전 안내나 선택 동의 절차를 제공받지 못하고 있다”고 밝혔어요. 소비자들이 동의하지 않은 내용이나 목적으로도 삼쩜삼이 개인정보를 활용하고 있을 수 있다는 지적이에요. 타당한 지적인지 함께 살펴보아요.
환급액 조회를 하려고 하자 이름, 휴대폰 번호와 주민등록번호를 입력하는 화면이 나왔어요. 다 입력하고나니, '개인정보 이용 동의'와 '제3자 제공 동의' 창이 떴어요. ‘어? 동의를 제대로 받고 있는 것 같은데?’하는 생각이 들었죠.
개인정보는 수집 직전에 개인정보 이용 동의나 제3자 제공 동의를 받아야 해요. 그런데, 일반적으로 이 규정을 지키지 않는 스타트업이 많아요. 미리 동의를 받아두면 안되는데, 편의상 회원가입할 때 한꺼번에 동의를 받아두곤 하거든요.
배송에 필요한 정보면 배송에 관한 정보 수집하기 전에, 상담이면 상담에 필요한 정보 수집하기 전에 별도로 동의를 받아야해요. 삼쩜삼에서는 위의 화면을 통해 회원가입과 별도로, 환급액 조회를 하기 전에 개인정보 이용과 관련한 동의를 다시 받고 있는거죠.
이용자가 동의한 내용을 살펴보니, 삼쩜삼이 받는 동의가 아니었어요. 이건 국세청의 간편인증서비스 이용을 위한 개인정보 수집, 개인정보 제3자 제공 동의였어요. 개인정보를 수집하는 주체가 삼쩜삼이 아닌 국세청�이라는 뜻이죠.
삼쩜삼은 자체적으로 홈택스 ID/PW, 주민등록번호, 환급계좌정보를 수집하고, 파트너 세무사에게 해당 정보를 제공하고 있다고 밝히고 있어요(삼쩜삼 개인정보처리방침). 하지만, 이용자들은 국세청이 정보를 수집, 제공하는 데에만 동의했지 삼쩜삼에게는 동의한 적이 없는거죠. 삼쩜삼이 직접 이용자들의 개인정보를 서비스에 활용하기 위해서는, 삼쩜삼을 주체로 한 동의 또한 별도로 받아야 할 거예요.
특히 삼쩜삼은 '홈택스 간편인증을 위해 아래 정보를 입력해주세요' '고객님의 소중한 정보는 환급액 조회 외 다른 목적으로 활용하지 않습니다.' 라고 말하고 있어요.
이용자들은 '아 홈택스에서 환급액 조회하려고 개인정보 입력하라고 하는구나' 하면서 개인정보를 입력했을 거예요. 수집 할 때 ‘환급액 조회’ 이외로는 사용되지 않는다고 했음에도, 세무사가 ‘세금 계산 및 신고’나 ‘세무 상담’ 목적으로 해당 정보를 이용할 수 있도록 제공하면 수집 시 고지한 이용목적을 넘어서 제3자에게 제공된 것으로도 볼 수 있겠죠.
또한 삼쩜삼이 자체적으로 개인정보 수집동의, 제3자 제공동의를 받더라도, 주민등록번호를 수집하고, 이를 제3자인 파트너 세무사에 제공한 것은 위법할 가능성이 높아요. 주민등록번호는 동의를 받더라도 법에 정해진 사유가 없으면 처리할 수 없어요.
소비자연맹에서 지적하지는 않았지만, 많은 스타트업들이 놓치고 있는 문제 하나를 삼쩜삼 서비스에서 발견했어요.
삼쩜삼은 회원가입 시 필수 서비스 동의 항목으로 '서비스 이용약관'과 '개인정보 처리방침' 두 가지만 받고 있었는데요. '개인정보 수집·이용 동의'를 별도로 받지 않는다는 점이 문제가 될 수 있어요.
'삼쩜삼'이 이번에 한 실수는 사실 많은 스타트업들이 흔히 하고 있는 실수에요. 로스규이 독자님들께 개인정보 수집과 관련되어 자주 하는 실수들을 한 번 정리해서 자세히 알려드리고 싶어서, 이번 이슈를 꼼꼼히 살펴보게 되었어요. 오늘 다룬 삼쩜삼의 개인정보보호법 위반 논란을 통해 얻을 수 있는 3가지 교훈을 알려드릴게요.
개인정보를 수집하거나 제3자 제공하기 위해서는 '개인정보 수집 동의'와 '제3자 제공 동의'를 별도로 받아야 해요. (개인정보 처리방침이랑도 별도에요!)
회원 가입시에 개인정보 처리방침에 대한 동의만 받고 있었다면, 실은 개인정보 수집동의, 제3자 동의를 받아야하고요. 서비스 이용 중에 별도의 또 다른 목적으로 개인정보를 수집한다면 그때그때 별도로 개인정보 수집동의, 제3자 제공동의를 받아야 해요.
정보주체 동의 없이 개인정보 수집하면, 5천만원 이하 과태료를, 정보주체 동의 없이 개인정보 제3자 제공하면, 5년이하 징역이나 5천만원 이하 벌금을 부과받을 수 있답니다.
앞서 이야기했듯, 개인정보 수집 시에는 꼭 알려줘야하는 사항이 있어요. ① 수집·이용 목적 ② 수집·이용 항목 ③ 보유기간 ④ 동의 거부 권리 및 동의 거부 시 불이익의 내용을 고지하고 수집 동의를 받아야 한다는 점 잊지마세요!
이용목적을 고지했다고 하더라도, 이용 목적을 초과한 수집·활용은 문제가 있어요. 개인정보 수집이나 제3자 제공 시 개인정보를 이용할 목적을 다 알려주어야 하고, 고지한 이용 목적 외에 다른 목적으로 개인정보를 활용해서는 안돼요!
개인정보를 수집할 때 고지한 내용 및 방법을 위반하면, 3천만원 이하 과태료를 부과받을 수 있어요.
주민등록번호는 동의를 받더라도 법에 정해진 사유가 없으면 처리할 수 없어요. 법에서는 주민등록번호 수집과 처리를 엄격하게 제한하고 있어요. 법률이나 시행령, 규칙 등에서 구체적으로 주민등록번호의 처리를 허용한 경우이거나 정보주체 또는 제3자의 급박한 생명 ·신체 ·재산 ·이익을 위해 명백히 필요한 경우로 제한하고 있어요. 즉, 일반적인 서비스 활용 목적으로는 허용되기 어렵다고 보면 돼요.
주민등록번호 처리할 수 있는 사유가 아님에도 처리하면, 3000만원 이하 과태료 부과대상이랍니다. 국세청 간편인증 서비스에서도 주민등록번호가 아닌 생년월일만을 수집하고 있어요.
매주 스타트업에 도움되는 법 규제 이야기를 소개하는, 뉴스레터 로스규이에 실린 글입니다.
로스규이, 지난 발행회차를 보고 싶다면?
https://page.stibee.com/archives/163239
매주 월요일, 3분만에 조금 더 똑똑해지고 싶다면 구독해주세요!
https://page.stibee.com/subscriptions/163239?groupIds=152842