개인정보보호 법규 위반행위에 대한 시정조치 등에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 시정조치를 명한다. 가. 동의없이 수집한 개인정보를 파기하거나 이용자에게 동의를 받아야 한다. 나. 위 가의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 90일 이내에 이행결과를 개인정보보호위원회에 제출하여야 한다. 2. 피심인에 대하여 다음과 같이 과징금과 과태료를 부과한다. 가. 과 징 금 : 224,000,000원 나. 과 태 료 : 3,200,000원 다. 납부기한 : 고지서에 명시된 납부기한 이내 라. 납부장소 : 한국은행 국고수납 대리점

이유

Ⅰ. 조사 개요 1. 조사배경 개인정보보호위원회(이하 '위원회’라 한다)는 해외사업자의 개인정보수집 동의방식에 문제가 있다는 국회 지적과, 에 대한 과다 정보 수집 관련 민원 제기를 계기로 개인정보 동의방식 전반을 포함한 개인정보 취급ㆍ운영 실태를 조사하였다. 위원회는 구체적인 사실관계를 파악하고자 피심인에게 「개인정보 보호법」(이하 '보호법’) 제63조제1항에 따른 관계 물품ㆍ서류 등을 제출하도록 요구('20.12.7., '21.4.13.)하였고, 피심인이 제출한 자료(’20.12.21., ’21.1.8., ’21.5.4.)를 분석한 결과, 아래와 같은 사실을 확인하였다. 2. 피심인의 지위 및 현황 피심인은 영리를 목적으로 정보통신망을 통해 대한민국 이용자에게 서비스를 제공하는 정보통신서비스 제공자이며 개인정보처리자로서 일반현황과 매출액은 다음과 같다. <피심인 일반현황> <img src="/LSW/flDownload.do?flSeq=126223709" alt="1번째 이미지"></img> <연도별 매출액(단위 : 천원)> <img src="/LSW/flDownload.do?flSeq=126223713" alt="2번째 이미지"></img> <개인정보 수집현황('20.12. 기준)> <img src="/LSW/flDownload.do?flSeq=126223715" alt="3번째 이미지"></img> Ⅱ. 사실조사 결과 및 위법성 판단 1. 서비스 가입 절차 완료 전 이용자의 동의 없이 개인정보를 수집한 행위 가. 기초 사실 피심인은 이용자가 서비스 가입 3단계 중 1단계 화면에서 “다음” 버튼을 누르면 동의 절차가 완료되기 전에 이용자의 이메일과 비밀번호 등의 개인정보를 수집하고, 서버에 저장ㆍ보관하였다. * 가입 단계 : (1단계) 계정생성 → (2단계) 요금제 선택 → (3단계) 결제정보 등록 * 1단계에서 가입 중단한 한국 이용자 : (’18년) 만명, (’19년) 만명, (’20년) 만명 <img src="/LSW/flDownload.do?flSeq=126223717" alt="4번째 이미지"></img> 피심인이 해당 개인정보를 수집하기 전에 이용자의 동의를 받는 화면은 없으며, 최종 결제정보 입력 단계에서 개인정보 처리방침 전문을 게재하고 이용자의 동의를 받았다. 피심인은 조사과정에서 위반행위를 인지하고 ’20.12.31. 위반행위를 자진 시정하였으나,

’20.12.31.까지 1단계에서 서비스 가입 절차를 중단한 이용자의 이메일 및 비밀번호 등 개인정보가 동의 없이 수집된 것으로 확인되었다. <img src="/LSW/flDownload.do?flSeq=126223719" alt="5번째 이미지"></img> 나. 관련 법령의 규정 및 법리 보호법 제39조의3제1항은 「정보통신 서비스 제공자는 ①수집ㆍ이용 목적, ②수집 항목, ③보유ㆍ이용기간 등 3개 항목 모두를 이용자에게 알리고 동의를 받아야 한다」라고 규정하고 있다. 「개인정보보호법령 및 지침ㆍ고시 해설(이하 '해설서’)」은 개인정보의 수집 및 동의에 대해 다음과 같이 해석의 기준을 제시하고 있다. 표준 개인정보 보호지침 제6조에서 개인정보의 수집이란 정보주체에 관한 모든 형태의 개인정보를 취득하는 것으로서 업무처리 과정에서 개인정보가 생산되거나 생성된 경우 등까지 포괄함을 의미한다. * 표준 개인정보 보호지침 제6조(개인정보의 수집ㆍ이용) ① 개인정보의 수집이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다. 정보주체의 동의는 정보주체가 자유 의지로 동의 여부를 판단ㆍ결정할 수 있도록 보장하기 위해, 동의 내용과 의미를 쉽고 명확하게 인지할 수 있게 미리 알리고 동의받도록 하는 명시적 동의를 의미한다. 다. 위법성 판단 정보통신서비스 제공자는 이용자의 개인정보를 수집ㆍ이용는 경우 보호법 제39조의3제1항에 따라 ①개인정보의 수집ㆍ이용 목적과 ②개인정보 수집 항목, ③보유ㆍ이용 기간을 이용자에게 알리고 동의받아야 하나, 피심인은 회원가입 3단계 중 1단계에서 가입 절차를 중단한 이용자 약 명('18~’20년 까지 3년간 누적)의 이메일 등 개인정보를 동의를 받지 않고 수집하여 보호법 제39조의3제1항을 위반하였다. 2. 개인정보 국외 이전 관련 법정 고지사항을 공개하지 않은 행위 가. 기초 사실 피심인은 “ 고객 개인정보*”를 기반시설 및 IT 업무, 보안 및 사기 방지, 메시지 서비스, 디지털 광고, 그룹 내 업무처리 목적으로 미국 등 국외로 이전하고 있는 것으로 확인되었다.

* 이메일, 비밀번호, 결제 방법 및 인증, 성명, 휴대전화 번호, 서비스 활동 및 상호작용 내역, IP 주소(및 IP 주소로 유추할 수 있는 관련 국가), 자사 쿠키, 광고 식별자, 디바이스 식별자, 기기 및 소프트웨어 특성, 이용자가 파트너사 기기 또는 음성 인식 플랫폼에 입력한 당사에 대한 검색 쿼리 및 명령 <img src="/LSW/flDownload.do?flSeq=126223721" alt="6번째 이미지"></img> 그러나, 피심인은 개인정보의 국외 이전 사실 자체만 동의를 받고, 이전받는 자, 보유ㆍ이용 기간 등 보호법에 정한 사항을 개인정보 처리방침에 구체적으로 공개하지 않은 사실이 있다. <img src="/LSW/flDownload.do?flSeq=126223723" alt="7번째 이미지"></img> 나. 관련 법령의 규정 및 법리 보호법 제39조의12제2항은 본문에서 개인정보 국외 이전 시 이용자의 동의를 받도록 하면서, 같은 조 제3항은 제2항 본문에 따른 동의를 받으려면 미리 각호에 따른 이전되는 개인정보, 이전국가ㆍ일시ㆍ방법, 이전받는 자, 이용목적 및 보유ㆍ이용기간 등 4가지 사항 모두를 이용자에게 고지하도록 하고 있다. 같은 조 제2항의 단서로서 개인정보 항목 등 제3항 각호의 4가지 사항 모두를 처리방침에 공개하는 경우 동의 절차를 면제하고 있다. 다. 위법성 판단 정보통신서비스 제공자가 이용자의 개인정보를 국외로 이전하려면 이용자의 동의를 받거나 보호법에 정한 사항 모두를 개인정보 처리방침에 공개하여야 하나, 피심인은 “ 고객 개인정보”를 미국 등 국외로 이전하면서 개인정보 수집 동의 화면에 국외 이전 사실 자체만 기재하고 법정 고지사항을 알리지 않았으며, 처리방침에서도 법정 고지사항 모두를 공개하지 않아 보호법 제39조의12제2항을 위반하였다. Ⅲ. 처분 및 결정 1. 시정조치 명령 피심인의 보호법 제39조의3제1항에 따른 이용자의 동의없이 수집한 행위에 대하여 보호법 제64조제1항에 따라 개인정보 보호 및 침해 방지를 위하여 아래와 같이 시정조치를 명한다. 가. 이용자의 동의 없이 수집한 개인정보를 파기하거나 이용자에게 동의를 받아야 한다. 나. 위 가의 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 90일 이내에 이행결과를 개인정보보호위원회에 제출하여야 한다. 2. 과징금 부과

피심인의 보호법 제39조의3제1항 위반행위는 같은 법 제39조의15제1항제6호에 해당하여 위반행위와 관련한 매출액의 100분의 3 이하의 과징금을 부과할 수 있으며, 관련 매출액이 없는 경우에는 같은 조 제2항 단서에 따라 4억원 이하의 과징금을 부과할 수 있다. 피심인의 보호법 제39조의3제1항 위반에 대하여 같은 법 제39조의15제2항 및 「개인정보보호 법규 위반에 대한 과징금 부과기준」(고시 제2020-6호) (이하 '과징금 부과기준’)에 따라 다음과 같이 과징금을 부과한다. 가. 과징금 상한액 피심인은 회원가입 1단계에서 가입절차를 중단한 이용자의 개인정보를 동의 없이 수집하여 보호법 제39조의3제1항을 위반하였으나, 해당 이용자에게 서비스가 제공되지 않아 매출액이 발생하지 않았으므로 제39조의15제2항 단서에 따라 4억원 이하의 과징금을 부과한다. 나. 기준금액 1) 고의ㆍ중과실 여부 과징금 부과기준 제5조제1항은, 보호법 시행령 〔별표 1의5〕 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리 목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단하도록 규정하고 있다. 이에 따를 때, 피심인은 영리를 목적으로 정보통신망을 통해 정보통신서비스인 서비스를 대한민국 이용자에게 제공하고 있는 개인정보처리자이자 정보통신서비스제공자로서 ▲피심인의 서비스를 이용하는 대한민국 이용자의 월간 이용자 수는 ’20년 12월 기준 명으로 방대하고, ▲위반행위로 인한 피해규모는 ’20년 12월 기준 명에 이르고 있는 점을 고려할 때, 피심인에게 중과실이 있다고 판단한다. 2) 중대성의 판단 과징금 부과기준 제5조제3항은, 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 '매우 중대한 위반행위’로 판단하도록 규정하고 있으나, 단서조항에서, ① 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우(제1호), ②위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우(제2호), ③이용자의 개인정보가 공중에 노출되지 않은 경우(제3호) 중 모두에 해당할 때에는 '보통 위반행위’로, 1개 이상 2개 이하에 해당할 때에는 '중대한 위반행위’로 규정하고 있다.

위 기준을 적용하여 ① 피심인이 직접적으로 이득을 취하지 않은 점, ② 동의 없이 수집한 한국인의 개인정보( 명)는 피심인이 보유한 한국인 개인정보( 명)의 5%를 초과한 점, ③ 이용자의 개인정보가 공중에 노출되지 않은 점 등을 종합적으로 고려할 때, 위반행위의 중대성을 '중대한 위반행위’로 판단하였다. 3) 기준금액 산출 피심인의 기준금액은 보호법 시행령 [별표 1의5] 2. 가. 2) 및 과징금 부과기준 제3조제2항에 따라 '중대한 위반행위’에 해당하는 2억 8천만원을 기준금액으로 한다. <개인정보 보호법 시행령 [별표 1의5]> <img src="/LSW/flDownload.do?flSeq=126223725" alt="8번째 이미지"></img> 다. 필수적 가중 및 감경 과징금 부과기준 제6조와 제7조에 따라 피심인의 위반행위의 기간이 2년을 초과('16.1.∼’20.12.31.)하므로 기준금액의 100분의 50에 해당하는 1억 4천만원을 가중하고, 최근 3년간 보호법에 의한 과징금 처분을 받은 적이 없으므로 기준금액의 100분의 50에 해당하는 1억 4천만원을 감경한다. 라. 추가적 가중 및 감경 과징금 부과기준 제8조는 사업자의 위반행위의 주도 여부, 조사의 협조 여부 등을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중ㆍ감경할 수 있다고 규정하고 있다. 피심인에 대해 특별히 가중할 사유는 없으며, 가입 절차에 대해 시정을 완료하고 조사에 적극 협력한 점을 고려, 필수적 가중ㆍ감경을 거쳐 산출된 2억 8천만원을 기준으로 100분의 20에 해당하는 5,600백만원을 감경한다. 마. 과징금의 결정 피심인의 보호법 제39조의3제1항 위반행위에 대한 과징금은 같은 법 제39조의15조제1항제6호 및 같은 법 시행령 제48조의11제4항 [별표 1의5] 2. 가. 1)(과징금의 산정기준과 산정절차) 및 과징금부 부과기준에 따라 상기와 같이 단계별로 산출한 금액인 2억 2,400만원을 최종 과징금으로 결정한다. 〈과징금 산출내역(안)〉 <img src="/LSW/flDownload.do?flSeq=126223727" alt="9번째 이미지"></img> 3. 과태료 부과

피심인의 보호법 제39조의12제2항을 위반하여 국외이전 관련 법정 고지사항을 개인정보처리방침에 고지하지 않은 행위’에 대해 같은 법 제75조제3항 및 시행령 제63조의〔별표2〕, 「개인정보 보호법 위반에 대한 과태료 부과기준(지침)」에 따라 다음과 같이 과태료를 부과한다. 가. 기준금액 보호법 시행령 [별표 2]와 과태료 부과지침 제6조에 따라 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실이 없으므로 1회 위반에 해당하는 400만원을 적용한다. <img src="/LSW/flDownload.do?flSeq=126223711" alt="10번째 이미지"></img> 나. 과태료의 가중 및 감경 과태료 부과지침 제7조 및 제8조는 ▲위반의 정도, ▲위반행위의 동기와 그 결과 등을 고려하여 과태료를 가중 부과할 필요가 있다고 인정되는 경우에는, 기준금액의 100분의 50의 범위 이내에서 가중ㆍ감경할 수 있다고 규정하고 있다. 피심인은 특별히 가중할 사유는 없으며, 사전통지 기간내 시정을 완료하고, 조사협력한 점을 고려하여 기준금액의 100분의 20에 해당하는 80만원을 감경한다. 다. 최종 과태료 이에 따라 피심인의 보호법 제39조의12제2항을 위반행위에 대해 320만원의 과태료를 부과한다. Ⅳ. 결론 피심인의 보호법 제39조의3제1항, 제39조의12제2항 위반행위에 대하여 보호법 제39조의15(과징금의 부과 등에 대한 특례), 제75조(과태료)제3항 각각에 의한 과징금ㆍ과태료 부과를 주문과 같이 의결한다.

결정요지

안건번호 : 제2021-013-103호 (사건번호 : 2021조일035) 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치 등에 관한 건 의결연월일 : 2021. 8. 25.