우리의 개인정보는 안녕할까요?

개인정보보호위원회와 에어비앤비

얼마 전에 부산으로 4박 5일 가족여행을 다녀왔습니다.

2박은 해운대의 끝자락, 동백공원 입구에 위치한 호텔의 작은 방에 머물기로 하였습니다.

호텔은 아무래도 한 공간에 가족이 다 같이 머물러야 되니 불편함이 있어, 좋은 시설과 경치는 2박이면 충분하다고 생각했지요.

그래서 나머지 2박은 어디에서 지내면 좋을지 고민을 하다가, 에어비앤비로 첫 예약을 해보았습니다.

에어비앤비를 통해 해운대 5분 거리의 바다가 보이는 넓은 레지던스를 예약하였지요.

그런데, 에어비앤비로 첫 예약을 하기 위해서는 아래와 같은 절차를 거쳐야 했습니다.

  1. 신분증(운전면허증, 주민등록증, 여권)의 사진을 찍어서 업로드할 것

  2. 본인의 얼굴을 실시간으로 촬영할 것

이와 같은 절차는 서비스 이용에 너무 과도한 개인정보를 요구하는 것은 아닌가 생각되었고, 법에 위반한 개인정보 수집인지 여부에 대해 의구심이 들었습니다.

---

개인정보보호법은 법률 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우가 아닌 경우에는 정보주체의 동의여부에 관계없이 주민등록번호의 처리를 제한하고 있습니다.

개인정보보호법 제24조의2(주민등록번호 처리의 제한) 

① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.

1. 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

에어비앤비가 인증을 요구하는 신분증에는 법률 등에 근거가 없는 한 수집할 수 없는 주민등록번호가 포함되어 있습니다. 그러면 수집 시 법률 근거를 명확히 정보주체에게 고지하고 동의를 받아야 합니다. 하지만, 에어비앤비의 개인정보 처리방침에는 "에어비앤비 플랫폼을 이용하는 데 필요한 정보 / 본인 인증 및 결제 정보 / (관련 법률에서 허용하는 경우) 정부가 발급한 신분증의 이미지, 신분증 번호, 기타 인증 정보, 신분증 인증 시 제출되는 셀카 사진"와 같이 수집항목만 고지하고 있고, 주민등록번호 수집에 대한 법률 근거는 고지하고 있지 않았습니다.

에어비앤비가 수집 전 자동화된 프로그램을 통해 주민등록번호를 삭제하는 등 비식별조치를 하는 것은 아닐까 하는 생각이 들었지만, 개인정보 처리방침에는 그 어떠한 설명도 찾을 수 없었습니다.

이와 같이 개인정보 침해가 의심되는 상황에서, 고민에 고민을 거듭하다가 외국 기업이 주민등록번호를 법을 무시하고 이용하는 것이 화나기도 하고, 직업적인 특성상 이러한 위법 정황을 바로잡아야겠다고 판단했고, 개인정보보호위원회(정확히는 KISA개인정보침해신고센터)에 위와 같은 사실을 (고발의 의미로) 신고하였습니다. 

---

그러나, 제게 돌아온 대답은 "주민등록번호 수집에 대한 입증책임은 개인정보처리자에게 있으므로 번거로우시더라도 해당 피신고업체 측의 개인정보보호책임자 등을 통해 수집하는 근거를 문의하여 보시기 바랍니다"였습니다.

개인정보보호위원회는 주민등록번호 수집에 대한 입증책임은 개인정보처리자에게 있는데, 신고자에게 개인정보처리자가 법률에 근거 없이 주민등록번호를 수집했다는 사실을 입증할 것을 요구하고 있습니다.

우리의 개인정보는 안녕한가요?

개인정보보호법 제62조 제1항은 개인정보에 관한 권리 또는 이익을 침해받은 사람에게 침해 사실을 신고할 수 있는 권리를 부여하고 있습니다. 그리고, 개인정보보호법 제7조에 의해 설립된 개인정보보호위원회에 제7조의8 제3호은 정보주체의 권리침해에 대한 조사 및 이에 따른 처분에 관한 사항 처리할 의무를 부여하고 있습니다.

개인정보보호법 제62조(침해 사실의 신고 등) 

① 개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람은 보호위원회에 그 침해 사실을 신고할 수 있다. 

개인정보보호법 제7조(개인정보 보호위원회) 

① 개인정보 보호에 관한 사무를 독립적으로 수행하기 위하여 국무총리 소속으로 개인정보 보호위원회(이하 “보호위원회”라 한다)를 둔다.

개인정보보호법 제7조의8(보호위원회의 소관 사무) 

보호위원회는 다음 각 호의 소관 사무를 수행한다.

1. 개인정보의 보호와 관련된 법령의 개선에 관한 사항

2. 개인정보 보호와 관련된 정책ㆍ제도ㆍ계획 수립ㆍ집행에 관한 사항

3. 정보주체의 권리침해에 대한 조사 및 이에 따른 처분에 관한 사항

개인정보처리자인 에어비앤비가 법률에 근거하여 주민등록번호를 수집하였는지를 조사하고 처분할 의무가 있는 것은 개인정보보호위원회이지 신고자(정보주체)가 아닌 것입니다. 정보주체가 개인정보처리자를 조사할 수 있는 상황도 되지 않을 것이고요.

이와 같은 개인정보보호위원회의 답변을 받고는 더 이상 에어비앤비에 주민등록번호 수집에 대한 법률 근거를 문의하지 않았습니다. 법률에 직접적으로 의무를 부과한 소관 사무조차 소극적으로 행동하는 개인정보보호위원회에 더 이상의 기대감이 들지 않았기 때문이겠지요.