PIPC Decision Insights
(제목 없음)
대표 결정문 HTML 보기
| 항목 | 내용 |
|---|---|
| 결정문 ID | 10021 |
| 결정일 | 2025-07-23 |
| 결정문 유형 | 기타 |
| 추출 금액 | 1.0억원 |
| 사건유형 | 유출·침해;동의·고지 위반;민감정보·고유식별정보;정보주체 권리보장 |
| 주요 조문 | 제10조;제11조;제24조의2;제60조의2;제64조;제64조의2;제6조;제76조;제7조;제84조;제8조;제9조 |
결정문 요약
2025-07-23 기타 결정문으로, '제목 없는 결정문' 사건이다. 아동 개인정보·법정대리인 동의 쟁점에서는 만 14세 미만 아동의 개인정보 수집, 법정대리인 동의, 연령확인 설계가 핵심 독해축이다. 결론 유형은 과징금;과태료;시정명령이다. 금액 제재 신호는 1.0억원로 추출됐다.
아동 개인정보·법정대리인 동의: 아동 개인정보 쟁점은 법정대리인 동의와 연령확인 설계가 핵심이며, 사건 수가 많지 않아도 사회적 민감도와 반복 가능성이 높다. 사건유형은 유출·침해;동의·고지 위반;민감정보·고유식별정보;정보주체 권리보장로 분류된다. 주요 조문 신호는 제10조;제11조;제24조의2;제60조의2;제64조;제64조의2;제6조;제76조;제7조;제84조;제8조;제9조이다. 판단 요소로 정보주체 규모;고유식별정보 포함 여부;고의 또는 중과실;피해 발생 또는 위험 발생;사후 시정 노력;수집·이용 목적 명확성;동의 적법성;제3자 제공 또는 위탁 구조;금전 제재 여부;공표 또는 시정명령 여부가 함께 나타난다.
기초 사실 피심인은 모바일 게임 등을 운영하는 「개인정보 보호법 」(이하 '보호법’)에 따른 개인정보처리자이며, 피심인의 일반현황은 다음과 같다. 조사 배경 피심인은 모바일게임인 '삼국지 전략판’를 운영하며 게임 내 이벤트 를 진행하는 과정에서, 이벤트 당첨자에게 구글 독스로 주민등록번호 입력을 요구하였다는 공익신고 , 개인정보 보호위원회 이첩(' 개인정보 수집현황 피심인은 홍콩 소재의 글로벌 게임회사로 한국 내 모바일게임 등을 출시하여 운영하면서 ’
주요 조문은 제10조;제11조;제24조의2;제60조의2;제64조;제64조의2;제6조;제76조;제7조;제84조;제8조;제9조이다. 이 결정문은 만 14세 미만 아동의 개인정보 수집, 법정대리인 동의, 연령확인 설계를 중심으로 읽을 수 있다. 자동 라벨상 판단 요소는 정보주체 규모;고유식별정보 포함 여부;고의 또는 중과실;피해 발생 또는 위험 발생;사후 시정 노력;수집·이용 목적 명확성;동의 적법성;제3자 제공 또는 위탁 구조;금전 제재 여부;공표 또는 시정명령 여부이다. 원문상 법리 판단 근거는 '기초 사실 피심인은 모바일 게임 등을 운영하는 「개인정보 보호법 」(이하 '보호법’)에 따른 개인정보처리자이며, 피심인의 일반현황은 다음과 같다. 조사 배경 피심인은 모바일게임인 '삼국지 전략판’를 운영하며 게임 내 이벤트 를 진행하는 과정에서, 이벤트 당첨자에게 구글 독스로 주민등록번호 입력을 요구하였다는 공익신고 , 개인정보 보호위원회 이첩('' 부분에 압축되어 있다.
결론 유형은 과징금;과태료;시정명령이다. 금액 제재 신호는 1.0억원로 추출됐다.
이유
Ⅰ. 기초 사실 피심인은 모바일 게임 등을 운영하는 「개인정보 보호법(각주:법률 제19234호, 2023. 3. 14. 일부개정, 2023. 9. 15. 시행) 」(이하 '보호법’)에 따른 개인정보처리자이며, 피심인의 일반현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=155445027" alt="1번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 피심인은 모바일게임인 '삼국지 전략판’를 운영하며 게임 내 이벤트(각주:'술에 담긴 삼국 이야기’라는 이벤트명으로 ’24. 9. 16. ~ ’ 24. 9. 27. 진행) 를 진행하는 과정에서, 이벤트 당첨자에게 구글 독스로 주민등록번호 입력을 요구하였다는 공익신고(각주:국민권익위원회 접수(2024공익02140, '24. 10. 15.), 개인정보 보호위원회 이첩('25. 1. 6.)) 가 접수되어 피심인에 대하여 조사에 착수하였다. 2. 행위 사실 가. 개인정보 수집현황 피심인은 홍콩 소재의 글로벌 게임회사로 한국 내 모바일게임 등을 출시하여 운영하면서 ’25. 2. 14.(자료제출일) 기준 최근 3개월 동안 아래와 같이 개인정보를 수집하여 보관하고 있다. <img src="/LSW/flDownload.do?flSeq=155445031" alt="2번째 이미지"></img> 나. 공익신고 관련 사실관계 피심인은 모바일게임인 ’삼국지 전략판'에서 ’술에 담긴 삼국 이야기’ 등 총 6건의 이벤트를 진행하면서 주류 경품 당첨자로부터 주민등록번호 41건을 수집한 사실이 있다. 한편, '삼국지 전략판’을 제외한 피심인이 서비스하는 타 모바일 게임에서 주민등록번호를 수집한 사실은 확인되지 않았다. <img src="/LSW/flDownload.do?flSeq=155445033" alt="3번째 이미지"></img>(각주:네이버 카페 서비스에서 카페 멤버 간 이용하는 채팅 서비스) 구체적으로, 피심인은 '삼국지 전략판’ 내 진행한 이벤트의 주류 경품 당첨자를 대상으로 네이버 CafeTalk 또는 구글독스를 활용하여 주민등록번호 입력을 요구하면서, 입력 화면 내 연령 확인이 필요함을 언급한 것 외에 당첨자에게 고지한 개인정보 처리 동의서에도 주민등록번호 수집의 법적 근거를 기재한 사실은 없었다. 피심인이 주류 경품 당첨자에게 제공한 '주민등록번호 입력 화면’과 '개인정보 처리 동의서’는 다음과 같다.
<img src="/LSW/flDownload.do?flSeq=155445035" alt="4번째 이미지"></img>(각주:피심인은 네이버 CafeTalk을 활용한 채팅 기능으로 이벤트 주류 상품 당첨자에 대한 주민등록번호를 수집한 경우, 해당 채팅 내용을 보관하지 않아 수집 증빙은 별도로 보유하고 있지 않음을 소명) <img src="/LSW/flDownload.do?flSeq=155445037" alt="5번째 이미지"></img> 3. 처분의 사전통지 및 의견 수렴 개인정보보호위원회는 2025년 3월 31일 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 2025년 4월 30일 개인정보보호위원회에 제출하였다. Ⅲ. 피심인의 주장에 대한 검토 피심인은 주민등록번호 처리와 관련하여 당첨자의 나이ㆍ본인 여부 확인, 소득세 원천징수 목적으로 주민등록번호를 처리하였으며, 개인정보보호위원회에서 발간한 「개인정보 보호 가이드라인-온라인 경품행사편(’23.5.)」에 따라 필요한 시점에 주민등록번호를 확인하여 법령 해석과 선례에도 부합하므로 법적근거 없이 주민등록번호를 처리하지 않았다고 소명하였다. <img src="/LSW/flDownload.do?flSeq=155445039" alt="6번째 이미지"></img> 그러나, 피심인이 주장하는 「청소년 보호법」에서는 유해약물등(주류 포함)을 배포하고자 할 때 상대방의 나이 및 본인 여부를 확인하도록 할 뿐, 주민등록번호 수집ㆍ확인 등을 허용하는 규정이라고 볼 수 없다. 설령, 피심인의 주류 경품 제공 행위를 「주류의 통신판매에 관한 명령위임 고시」에서 정의하는 주류 통신판매 행위로 보더라도 피심인은 해당 고시가 규정한 성인인증 방법(휴대전화ㆍ아이핀ㆍ전자서명)을 따르지 않았다. 또한, 피심인의 지급한 경품가액은 5만원 이하로 「소득세법」 제84조에 따른 비과세 대상이므로 주민등록번호 수집이 불필요할뿐더러 「개인정보 보호 가이드라인-온라인 경품행사편(’23.5.)」은 5만 원 이하 경품에 대한 주민등록번호 수집을 잘못된 사례로 안내하고 있어, 피심인의 적법 처리 주장을 불수용한다. <img src="/LSW/flDownload.do?flSeq=155445041" alt="7번째 이미지"></img>
다만, 피심인이 제출한 의견 가운데 위반행위의 중대성 판단시에 수집 규모, 위반 기간, 정보주체에게 피해가 발생하지 않은 점에 대한 고려가 필요한 점, 이 사건과 관련된 이벤트가 진행되지 않은 한국 외의 다른 국가에서 발생한 매출액 '위반행위와 관련이 없는 매출액’으로 보아야 한다는 주장은 수용한다. Ⅳ. 관련 법규 및 위법성 판단 1. 관련법 규정 보호법 제24조의2제1항은 “개인정보처리자는 법률ㆍ대통령령 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우(제1호), 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우(제2호), 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우(제3호) 외에는 주민등록번호를 처리할 수 없다.”고 규정하고 있다. 2. 위법성 판단 가. 법적 근거 없이 주민등록번호를 처리한 사실 [보호법 제24조의2(주민등록번호 처리의 제한)제1항] 피심인이 보호법 제24조의2제1항 각 호에서 규정한 바와 같이 법령 등에서 처리를 요구하거나 허용한 경우 등이 아님에도 이벤트 주류경품 당첨자의 주민등록번호를 수집ㆍ보관한 행위는 보호법 제24조의2제1항 위반에 해당한다. Ⅳ. 처분 및 결정 1. 과징금 부과 피심인의 보호법 제24조의2(주민등록번호 처리의 제한)제1항 위반행위에 대해 같은 법 제64조의2제1항제4호, 시행령 제60조의2 [별표 1의5] 및 「개인정보보호법 위반에 대한 과징금 부과기준」(각주:개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보호위원회 고시 제2023-3호, 2023. 9. 15. 시행)) (이하 '과징금 부과기준’)에 따라 다음과 같이 부과한다. 가. 과징금 상한액 피심인의 보호법 제24조의2제1항 위반에 대한 과징금 상한액은 같은 법 제64조의2제1항, 시행령 제60조의2에 따라 위반행위가 있었던 사업연도 직전 3개 사업연도의 연평균 매출액의 100분의 3을 초과하지 아니하는 범위에서 부과할 수 있다. 나. 기준금액 1) 중대성의 판단 과징금 부과기준 제8조제1항은 '시행령 [별표 1의5] 2. 가. 1) 및 2)에 따른 위반행위의 중대성의 정도는 [별표] 위반행위의 중대성 판단기준을 기준으로 정한다.’라고 규정하고 있다.
[별표] 위반행위의 중대성 판단기준에 따르면 '위반행위의 중대성의 정도는 고려사항별 부과기준을 종합적으로 고려하여 판단’하고, '고려사항별 부과수준 중 두 가지 이상에 해당하는 경우에는 높은 부과수준을 적용한다.’라고 규정하고 있으며, '고려사항별 부과수준의 판단기준은 ▲(고의ㆍ과실) 위반행위의 목적, 동기, 당해 행위에 이른 경위, 영리 목적의 유무 등을 종합적으로 고려, ▲(위반행위의 방법) 안전성 확보 조치 이행 노력 여부, 개인정보 보호책임자 등 개인정보 보호 조직, 위반행위가 내부에서 조직적으로 이루어졌는지 여부, 사업주, 대표자 또는 임원의 책임ㆍ관여 여부 등을 종합적으로 고려하고, 개인정보가 유출등이 된 경우에는 개인정보의 유출등과 안전성 확보 조치 위반행위와의 관련성을 포함하여 판단, ▲(위반행위로 인한 정보주체의 피해 규모 및 정보주체에게 미치는 영향) 피해 개인정보의 규모, 위반기간, 정보주체의 권리ㆍ이익이나 사생활 등에 미치는 영향 등을 종합적으로 고려하고, 개인정보가 유출등이 된 경우에는 유출등의 규모 및 공중에 노출되었는지 여부를 포함하여 판단한다.’라고 규정하고 있다. 피심인의 고의ㆍ과실, 위반행위의 방법, 처리하는 개인정보의 유형, 정보주체의 피해 규모 및 정보주체에게 미치는 영향 등을 종합적으로 고려하여, 위반행위의 중대성을 '보통 위반행위’로 판단한다. 2) 기준금액 산출 과징금 부과기준 제6조제1항은 '기준금액은 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액에 부과기준율을 곱한 금액으로 정한다’라고 규정하고 있다. 피심인의 경우, 과징금 부과기준 제7조제3항에 따라 피심인의 직전 3개 사업년도의 연평균 전체 매출액에서 위반행위 관련성이 확인되지 않은 '삼국지 전략판 외 기타 게임(각주:, , , 등 6개 게임) 에서 발생한 매출액’ 및 '삼국지 전략판에서 발생한 매출액 중 본 사건과 관련된 이벤트가 진행되지 않은 국가에서 발생한 매출액’을 제외한 천 원에 시행령 [별표 1의5] 2. 가. 1) 에 따른 '보통 위반행위'의 부과기준율 1만분의 135를 적용하여 기준금액을 천 원으로 한다. <img src="/LSW/flDownload.do?flSeq=155445043" alt="8번째 이미지"></img> ※ 피심인이 제출한 회계자료를 토대로 작성 <img src="/LSW/flDownload.do?flSeq=155445045" alt="9번째 이미지"></img>
다. 1차 조정 과징금 부과기준 제9조에 따라 피심인이 위반행위로 인하여 경제적ㆍ비경제적 이득을 취하지 아니하였거나 취할 가능성이 현저히 낮은 경우에 해당하여 기준금액의 100분의 30에 해당하는 금액인 천 원을 감경한다. 라. 2차 조정 과징금 부과기준 제10조는 1차 조정을 거친 금액의 100분의 50의 범위 내에서 추가적으로 가중ㆍ감경할 수 있다고 규정하고 있으나, 피심인의 경우 해당사항이 없어 추가적으로 가중ㆍ감경을 적용하지 아니한다. 마. 부과과징금의 결정 피심인의 보호법 제24조의2(주민등록번호 처리의 제한)제1항 위반행위에 대한 과징금은 같은 법 제64조의2제1항제4호, 시행령 제60조의2, [별표 1의5] '과징금의 산정기준과 산정절차’ 2. 가. 1) 및 '과징금 부과기준’에 따라 위와 같이 단계별로 산출한 금액인 천 원을 최종 과징금으로 결정한다. <img src="/LSW/flDownload.do?flSeq=155445029" alt="10번째 이미지"></img> * ①(고의ㆍ과실:중) ▲업무 목적으로 활용되었으나 부당이득 목적은 아님, ▲주민등록번호는 구체적인 법률에 근거하여 수집해야 함에도 이를 인지하지 못한 중과실, ▲법률자문을 통해 주민등록번호 수집의 불가피성을 검토한 노력 참작(일부 인정) ②(부당성:하) ▲개인정보 보호 관련 국제인증(ISO27001) 취득, ▲개인정보보호 책임자 지정 및 개인정보 처리방침 구비, ▲조직적 행위 등 내부 관여가 없음 ③(개인정보 유형:상) ▲고유식별정보(주민등록번호)가 포함된 정보 수집 ④(피해규모 및 영향:하) ▲전체 회원이 아닌 특정 이벤트 당첨자 41명의 주민등록번호를 수집, ▲위반행위 기간은 3주 이내이며, ▲정보주체에 대한 피해가 없음 ** 과징금 부과기준 제11조제5항에 따라 1억원 미만인 경우에는 1십만원 단위 미만의 금액을 버림 ※ 보호법 제24조의2제1항 위반행위는 제64조의2제1항에 따라 과징금 부과 시 고려한바, 보호법 제76조(과태료에 관한 규정 적용의 특례)에 따라 과태료를 부과하지 않음 2. 시정조치 명령 피심인의 보호법 제24조의2(주민등록번호 처리의 제한)제1항 위반행위에 대해 같은 법 제64조제1항에 따라 다음과 같이 시정조치를 명한다. 가. 향후 이벤트 진행 등 업무 수행 시 법적 근거 없이 한국 정보주체의 주민등록번호가 처리되지 않도록 조치할 것
나. 가.의 시정명령에 따른 조치를 이행하고, 처분통지를 받은 날로부터 60일 이내에 시정명령 이행 결과를 개인정보보호위원회에 제출할 것
결정요지
신청인 : 에 대하여 다음과 같이 시정조치를 명한다.가. 향후 이벤트 진행 등 업무 수행 시 법적 근거 없이 한국 정보주체의 주민등록번호가 처리되지 않도록 조치할 것나. 피심인은 가.의 조치를 이행하고, 시정명령 통지를 받은 날로부터 60일 이내에 개인정보보호위원회에 이행 결과를 제출할 것2. 피심인에 대하여 다음과 같이 과징금을 부과한다.가. 과 징 금 : 93,700,000원나. 납부기한 : 고지서에 명시된 납부기한 이내다. 납부장소 : 한국은행 국고수납 대리점