PIPC Decision Insights
개인정보보호 법규 위반행위에 대한 시정조치에 관한 건
대표 결정문 HTML 보기
| 항목 | 내용 |
|---|---|
| 결정문 ID | 6499 |
| 결정일 | 2024-04-24 |
| 결정문 유형 | 법규 위반·제재 |
| 추출 금액 | 720만원 |
| 사건유형 | 유출·침해;동의·고지 위반;안전조치 미흡;정보주체 권리보장 |
| 주요 조문 | 제29조;제2조;제48조의2;제4조;제63조;제66조;제75조;제7조;제8조 |
결정문 요약
2024-04-24 법규 위반·제재 결정문으로, '개인정보보호 법규 위반행위에 대한 시정조치에 관한 건' 사건이다. 행태정보·맞춤형 광고·플랫폼 통제 쟁점에서는 동의의 명확성, 개인정보처리자 지위, 플랫폼의 실질적 통제, 제3자 제공·국외이전 구조가 핵심 독해축이다. 결론 유형은 과태료;공표명령이다. 금액 제재 신호는 720만원로 추출됐다. 주문 요지는 '피심인의 법 위반행위 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.'이다.
행태정보·맞춤형 광고·플랫폼 통제: 맞춤형 광고와 플랫폼 사건은 단순 동의 문구의 문제가 아니라, 누가 처리자인지, 플랫폼이 데이터 흐름을 얼마나 통제하는지, 제3자 제공·국외이전 구조가 어떻게 결합되는지를 함께 봐야 하는 쟁점이다. 사건유형은 유출·침해;동의·고지 위반;안전조치 미흡;정보주체 권리보장로 분류된다. 주요 조문 신호는 제29조;제2조;제48조의2;제4조;제63조;제66조;제75조;제7조;제8조이다. 판단 요소로 정보주체 규모;사후 시정 노력;내부통제 및 안전조치 수준;위반 기간;수집·이용 목적 명확성;금전 제재 여부;공표 또는 시정명령 여부가 함께 나타난다.
기초 사실 피심인은 영리를 목적으로 웹( )ㆍ앱으로 온라인 쇼핑몰을 운영하는 「舊 개인정보 보호법」 (이하 '舊 보호법’)에 따른 개인정보처리자이자 정보통신서비스 제공자이며, 피심인의 일반현황은 다음과 같다. 조사 배경 개인정보보호위원회는 피심인이 서비스 운영 중 개인정보가 유출된 정황을 인지하고 유출 신고(’ 1.)함에 따라 개인정보 취급ㆍ운영 실태 및 舊 보호법 위반 여부를 조사(’
주요 조문은 제29조;제2조;제48조의2;제4조;제63조;제66조;제75조;제7조;제8조이다. 이 결정문은 동의의 명확성, 개인정보처리자 지위, 플랫폼의 실질적 통제, 제3자 제공·국외이전 구조를 중심으로 읽을 수 있다. 자동 라벨상 판단 요소는 정보주체 규모;사후 시정 노력;내부통제 및 안전조치 수준;위반 기간;수집·이용 목적 명확성;금전 제재 여부;공표 또는 시정명령 여부이다. 원문상 법리 판단 근거는 '기초 사실 피심인은 영리를 목적으로 웹( )ㆍ앱으로 온라인 쇼핑몰을 운영하는 「舊 개인정보 보호법」 (이하 '舊 보호법’)에 따른 개인정보처리자이자 정보통신서비스 제공자이며, 피심인의 일반현황은 다음과 같다. 조사 배경 개인정보보호위원회는 피심인이 서비스 운영 중 개인정보가 유출된 정황을 인지하고 유출 신고(’' 부분에 압축되어 있다.
결론 유형은 과태료;공표명령이다. 금액 제재 신호는 720만원로 추출됐다. 주문 요지는 '피심인의 법 위반행위 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.'이다.
주문
1. 피심인에 대하여 다음과 같이 과태료를 부과한다. 가. 과 태 료 : 7,200,000원 나. 납부기한 : 고지서에 명시된 납부기한 이내 다. 납부장소 : 한국은행 국고수납 대리점 2. 피심인의 법 위반행위 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.
이유
Ⅰ. 기초 사실 피심인은 영리를 목적으로 웹( )ㆍ앱으로 온라인 쇼핑몰을 운영하는 「舊 개인정보 보호법」(각주:법률 제16930호, 2020. 2. 4. 일부개정, 2020. 8. 5. 시행) (이하 '舊 보호법’)에 따른 개인정보처리자이자 정보통신서비스 제공자이며, 피심인의 일반현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=147392413" alt="1번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 개인정보보호위원회는 피심인이 서비스 운영 중 개인정보가 유출된 정황을 인지하고 유출 신고(’22. 1. 1.)함에 따라 개인정보 취급ㆍ운영 실태 및 舊 보호법 위반 여부를 조사(’22. 2. 28. ~ ’23. 7. 14.)하였으며, 다음과 같은 사실을 확인하였다. 2. 행위 사실 가. 개인정보 수집현황 피심인은 온라인 쇼핑몰을 운영하면서 ’22. 3. 8.(자료제출일) 기준 건의 개인정보를 수집하여 보관하고 있다. <img src="/LSW/flDownload.do?flSeq=147392415" alt="2번째 이미지"></img> ※ 피심인은 '21.7.1. 을 흡수합병( 법인해산)하여, 이 수집ㆍ보관 중인 이용자의 개인정보를 ’21.5.28. 이용자에게 이전고지 후 이전받음 나. 개인정보 유출 관련 사실관계 피심인은 '21.7.1. ~ ’22.8.22. 이용자가 배송지 목록 페이지 조회 시, 이용자의 로그인 상태 확인 및 회원식별정보(고객번호)의 유효성을 검증하는 절차를 누락하여, 이용자가 로그인 후 배송지 목록을 조회하는 중에 비정상 종료로 자동 로그아웃(쿠키정보 초기화)된 직후 배송지 목록 페이지에 재접속할 경우, 회원식별번호가 “0”으로 저장되어 있는 배송지 정보가 조회되었고, 그 결과 배송지 정보 조회 조건**에 부합하는 이용자(1명)의 개인정보(이름, 주소, 휴대전화번호)가 노출되었다. * 유출사고 발생 당시(’21.12.30.) 배송지 정보 DB에 고객번호가 “0”으로 1,414건이 저장됨 ** 수정일시(MOD_DTM) '조회시점 기준 3년’, 주소사용여부(ADDR_USE_YN) 'Y’ 1) (유출 규모 및 항목) 이용자의 개인정보 1건* * 이름, 주소, 휴대전화번호 2) 유출 인지 및 대응 <img src="/LSW/flDownload.do?flSeq=147392417" alt="3번째 이미지"></img>
3. 개인정보의 취급ㆍ운영 관련 사실관계 가. 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위 피심인은 '21.7.1. ~ ’22.8.22. 이용자가 배송지 목록 페이지 접속시 로그인 상태 확인 및 회원식별정보의 유효성 검증 등 접근통제 조치를 소홀히 하여 이용자의 개인정보가 열람 권한 없는 자에게 노출된 사실이 있다. 4. 처분의 사전통지 및 의견수렴 개인정보보호위원회는 ’23. 7. 14. 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 '23. 7. 31.에 개인정보보호위원회에 의견을 제출하였다. Ⅲ. 위법성 판단 1. 관련법 규정 가. 舊 보호법 제29조는 “개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.”라고 규정하고 있다. 같은 법 시행령(각주:대통령령 제32813호, 2022. 7. 19. 일부개정, 2022. 10. 20. 시행) (이하 '舊 시행령’) 제48조의2제1항제2호는 “개인정보에 대한 불법적인 접근을 차단하기 위해 ’그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치(마목)’를 하여야 한다.”라고 규정하고 있다. 또한, 같은 조 제3항은 “제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.”라고 규정하고 있다. 한편, 舊 시행령 제48조의2제3항에 따라 위 기준 수립ㆍ시행의 내용을 구체적으로 정하고 있는 舊 개인정보의 기술적ㆍ관리적 보호조치 기준(각주:개인정보보호위원회 고시 제2021-3호, 2021. 9. 15., 시행) (이하 '舊 기술적 보호조치 기준’) 제4조제9항은 “정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.”라고 규정하고 있다. 2. 위법성 판단 가. 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위 [舊 보호법 제29조(안전조치의무)]
피심인은 이용자가 배송지 목록조회 페이지 접속 시 로그인 상태 및 회원식별정보(고객번호)의 유효성 검증을 하지 않아 처리 중인 개인정보가 열람권한이 없는 자에게 노출되었으며, 이와 같이 처리 중인 개인정보에 대한 접근통제 조치를 소홀히 한 피심인의 행위는 舊 보호법 제29조, 舊 시행령 제48조의2제1항제2호 및 舊 기술적 보호조치 기준 제4조제9항을 위반한 것이다. <img src="/LSW/flDownload.do?flSeq=147392419" alt="4번째 이미지"></img> Ⅳ. 처분 및 결정 1. 과태료 부과 피심인의 舊 보호법 제29조(안전조치의무) 위반행위에 대한 과태료는 같은 법 제75조제2항제6호, 舊 시행령 제63조, 舊 시행령 [별표2] '과태료의 부과기준’ 및 「舊 개인정보 보호법 위반에 대한 과태료 부과기준」(각주:개인정보보호위원회지침, 2023. 3. 8. 시행) (이하 '舊 과태료 부과기준’)에 따라 다음과 같이 과태료를 부과한다. 가. 기준금액 舊 시행령 제63조의 [별표2]는 최근 3년간 같은 위반행위를 한 경우 위반 횟수에 따라 기준금액을 규정하고 있고, 피심인은 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실*이 있으므로, 舊 보호법 제29조 위반행위에 대해 2회 위반에 해당하는 1,200만 원을 기준금액으로 산정한다. * 舊 보호법 제29조(안전조치의무) 위반에 따른 개인정보보호위원회 심의ㆍ의결('21.11.10.) < 舊 시행령 [별표2] 2. 개별기준 > <img src="/LSW/flDownload.do?flSeq=147392421" alt="5번째 이미지"></img> 나. 과태료의 가중 및 감경 1) (과태료의 가중) 舊 과태료 부과기준 제8조는 ’사전통지 및 의견제출 결과와 당사자의 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 舊 과태료 부과기준의 [별표2] '과태료의 가중기준(▲조사방해, ▲위반의 정도, ▲위반기간, ▲기타 위반행위의 정도와 동기, 사업규모, 그 결과 등을 고려하여 가중할 필요가 있다고 인정되는 경우)’에 따라 기준금액의 100분의 50의 범위 이내에서 가중할 수 있다.'라고 규정하고 있다. 피심인이 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위는 舊 과태료 부과기준 제8조와 舊 과태료 부과기준의 [별표2] 과태료의 가중기준에 따라 '법 위반행위의 상태가 3개월 이상인 경우’에 해당하여 기준금액의 10%를 가중한다.
2) (과태료의 감경) 舊 과태료 부과기준 제7조는 '사전통지 및 의견제출 결과와 당사자의 위반행위 정도, 위반행위의 동기와 그 결과 등을 고려하여 舊 과태료 부과기준의 [별표1] '과태료의 감경기준(▲당사자 환경, ▲위반정도, ▲조사협조 및 자진시정 등, ▲개인정보보호 노력정도, ▲사업규모, ▲기타 위반행위의 정도와 동기, 사업 규모, 그 결과 등을 고려하여 감경할 필요가 있다고 인정되는 경우)’에 따라 기준금액의 100분의 50의 범위 이내에서 감경할 수 있다.’라고 규정하고 있다. 피심인이 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위는 舊 과태료 부과기준 제7조와 舊 과태료 부과기준의 [별표1] 과태료의 감경기준에 따라, '위반행위에 대해 시정을 완료한 경우’, '조사에 적극 협력한 경우’, 'ISMS-P 인증을 받은 경우’에 해당하여 기준금액의 50%를 감경한다. 다. 최종 과태료 피심인이 舊 보호법 제29조를 위반한 행위에 대해 기준금액에서 가중ㆍ감경을 거쳐 총 720만 원의 과태료를 부과한다. <img src="/LSW/flDownload.do?flSeq=147392423" alt="6번째 이미지"></img> 2. 결과 공표 舊 보호법 제66조제1항 및 「舊 개인정보 보호위원회 처분결과의 공표기준(2020. 11. 18. 개인정보보호위원회 의결)」 제2조(공표요건)에 따라, 피심인의 위반행위는 '위반행위 시점을 기준으로 위반상태가 6개월 이상 지속된 경우(제5호)’ 및 '보호위원회의 처분 시점을 기준으로 최근 3년 내 시정조치 명령, 과태료, 과징금 부과 처분을 2회 이상 받은 경우(제6호)’에 해당하므로, 피심인이 과태료를 부과받은 사실을 개인정보보호위원회 홈페이지에 공표한다. 다만, 개정된 「개인정보 보호법 위반에 대한 공표 및 공표명령 지침(2023. 10. 11. 개인정보보호위원회 의결)」에 따라 공표 기간은 1년으로 한다. <img src="/LSW/flDownload.do?flSeq=147392425" alt="7번째 이미지"></img> Ⅴ. 결론 피심인의 舊 보호법 제29조(안전조치의무) 위반행위에 대하여 舊 보호법 제75조(과태료) 제2항제6호, 같은 법 제66조(결과의 공표)제1항에 따라 과태료 부과, 결과 공표를 주문과 같이 의결한다.
결정요지
안건번호 : 제2024-208-200호 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건 신청인 : (사업자등록번호 : )대표자 의결연월일 : 2024. 4. 24.