개인정보보호 법규 위반행위에 대한 시정조치에 관한 건

결정문 요약

주문

1. 피심인 ㈜자비스앤빌런즈에 대하여 다음과 같이 시정조치를 명한다. 가. 피심인은 주민등록번호는 정보주체의 명시적인 위임을 받아 주민등록번호가 포함된 종합소득세 신고서의 단순 작성ㆍ제출에만 사용한 후 파기하여야 하며, 파일 등으로 저장ㆍ보유하지 않아야 하고, ’20.4.29. 이후 수집ㆍ보관 중인 주민등록번호는 즉시 파기하여야 한다. 나. 피심인은 가.의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 60일 이내에 이행 결과를 개인정보보호위원회에 제출하여야 한다. 2. 피심인 ㈜자비스앤빌런즈에 대하여 다음과 같이 과징금과 과태료를 부과한다. 가. 과 징 금 : 854,106,000원 나. 과 태 료 : 12,000,000원 다. 납부기한 : 고지서에 명시된 납부기한 이내 라. 납부장소 : 한국은행 국고수납 대리점 3. 피심인 ㈜자비스앤빌런즈에 대한 시정조치 명령과 과태료 부과의 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다. 4. 피심인 ㈜자비스앤빌런즈에 대하여 다음과 같이 개선을 권고한다. 가. 피심인은 복수의 회원가입 방법을 마련하여야 한다. 나. 피심인은 이용자에게 개인정보 수집ㆍ이용ㆍ제공 관련 동의를 받을 때 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. 다. 피심인은 개인정보 처리 목적을 명확히 하고, 처리 목적이 달성된 개인정보를 파기하여야 한다. 라. 피심인은 가., 나., 다.의 개선권고에 따른 필요한 조치를 이행하고, 개선권고 통지를 받은 날로부터 60일 이내에 조치결과를 개인정보보호위원회에 제출하여야 한다.

이유

Ⅰ. 기초 사실 삼쩜삼 서비스를 제공하는 피심인은 「개인정보 보호법」(2020. 8. 5. 시행, 법률 제16930호, 이하 '보호법’이라 한다.)에 따른 개인정보처리자 및 정보통신서비스 제공자이며, 피심인의 일반현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=135154477" alt="1번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 개인정보보호위원회는 민원ㆍ공익신고(’22.1.28., ’22.3.3., ’22.10.13.)를 접수하여 피심인에 대한 개인정보 취급ㆍ운영 실태 및 보호법 위반 여부를 조사(’22. 5. 2. ～ ’23. 5. 30.)하였으며, 다음과 같은 사실을 확인하였다. 2. 행위 사실 가. 개인정보 수집현황 피심인은 삼쩜삼 서비스(3o3.co.kr)를 운영하면서 ’22. 10. 11. 기준으로 이용자 의 개인정보를 수집하여 보관하고 있다. <img src="/LSW/flDownload.do?flSeq=135154479" alt="2번째 이미지"></img> 3. 개인정보의 취급ㆍ운영 관련 사실관계 가. 이용자 동의 없이 개인정보를 제공한 행위 피심인은 세금 환급 신고 과정에서 세무대리인의 추가 검토가 필요한 경우 세무대리인이 대신 신고토록 하면서 세무대리인에게 이용자의 개인정보를 제공하고 있으나, 세무대리인의 성명 또는 법인명, 제공하는 개인정보의 항목, 개인정보 보유 및 이용 기간 등을 이용자에게 명확하게 알리지 않은 사실이 있다. 나. 이용자의 별도 동의 없이 민감정보를 처리한 행위 피심인은 이용자의 장애인 여부, 장애인 전용 보장성 보험료, 장애인 특수교육비 등의 민감정보를 처리하고 있으나, 민감정보 수집 항목, 민감정보 수집ㆍ이용 목적 등을 명확하게 알리지 않고 민감정보 처리에 대한 별도 동의를 받지 않은 사실이 있다. 다. 법령 등의 근거 없이 주민등록번호를 처리한 행위 피심인은 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인 및 소득 관련 정보 수집, 세무대리인의 수임 동의, 세금 환급 신고 대행을 하였으며, 피심인은 조사 기간 동안 절차를 개선하여 홈택스 로그인 및 소득 관련 정보 수집과 세무대리인의 수임 동의의 경우 주민등록번호를 간편인증 등으로 대체하고, ’23. 3월 이후부터는 환급 신고 대행시에만 주민등록번호를 수집ㆍ이용한 후 회원 탈퇴시까지 저장ㆍ보유한 사실이 있다.

라. 개인정보 처리방침의 수립 및 공개를 소홀히 한 행위 피심인은 개인정보를 파기하지 않고 보존한 근거 법령의 제명ㆍ조항 및 보존하는 개인정보 항목, '개인정보의 안전성 확보 조치에 관한 사항’을 개인정보 처리방침에 포함하지 않은 사실이 있다. 마. 이용자 동의 없이 개인정보를 수집ㆍ이용한 행위 피심인은 소득정보 등 개인정보 수집과 관련하여 개인정보 처리방침을 통하여 포괄 동의를 받고 있으나, 전자신고 결과, 종합소득세 신고도움 정보, 연말정산간소화 소득ㆍ세액공제 정보, 소득별 지급명세서 정보 등의 개인정보 수집 항목을 알리지 않고 수집ㆍ이용 목적, 보유 및 이용 기간 등을 명확하게 알리지 않은 사실이 있다. 바. 1년 이상 서비스 미사용자 개인정보의 파기 등을 하지 않은 행위 피심인은 1년의 기간 동안 서비스를 이용하지 않은 이용자의 개인정보를 파기하거나 분리하여 저장ㆍ관리하지 않은 사실이 있다. 4. 처분의 사전통지 및 의견 수렴 개인정보보호위원회는 ’23. 5. 31. 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 ’23. 6. 15. 개인정보보호위원회에 의견을 제출하였다. Ⅲ. 위법성 판단 1. 관련법 규정

가. 보호법 제17조제1항은 “개인정보처리자는 '정보주체의 동의를 받은 경우(제1호)’, '제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우(제2호)’의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.”라고 규정하고 있으며, 보호법 제17조제2항은 “개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 '개인정보를 제공받는 자(제1호)’, '개인정보를 제공받는 자의 개인정보 이용 목적(제2호)’, '제공하는 개인정보의 항목(제3호)’, '개인정보를 제공받는 자의 개인정보 보유 및 이용 기간(제4호)’, '동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용(제5호)’의 사항을 정보주체에게 알려야 한다. '개인정보를 제공받는 자(제1호)’, '개인정보를 제공받는 자의 개인정보 이용 목적(제2호)’, '제공하는 개인정보의 항목(제3호)’, '개인정보를 제공받는 자의 개인정보 보유 및 이용 기간(제4호)’, '동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용(제5호)’의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.”라고 규정하고 있다. 나. 보호법 제23조제1항은 “개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, '정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우(제1호)’, '법령에서 민감정보의 처리를 요구하거나 허용하는 경우(제2호)’의 어느 하나에 해당하는 경우에는 그러하지 아니하다.”라고 규정하고 있다.

다. 보호법 제24조의2제1항은 “개인정보처리자는 '법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우(제1호)’, '정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우(제2호)’, '제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우(제3호)’의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.”라고 규정하고 있다. 라. 보호법 제30조제1항은 “개인정보처리자는 '개인정보의 처리 목적(제1호)’, '개인정보의 처리 및 보유 기간(제2호)’, '개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)(제3호)’, '개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)(제3호의2)’, '개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)(제4호)’, '정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항(제5호)’, '제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처(제6호)’, '인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)(제7호)’, '그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항(제8호)’의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.”라고 규정하고 있다. 같은 법 시행령 제31조제1항은 “법 제30조제1항제8호에서 “대통령령으로 정한 사항”이란 '처리하는 개인정보의 항목(제1호)’, '제30조 또는 제48조의2에 따른 개인정보의 안전성 확보 조치에 관한 사항(제3호)’의 사항을 말한다.”라고 규정하고 있다.

마. 보호법 제39조의3제1항은 “정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 '개인정보의 수집ㆍ이용 목적(제1호)’, '수집하는 개인정보의 항목(제2호)’, '개인정보의 보유ㆍ이용 기간(제3호)’의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. '개인정보의 수집ㆍ이용 목적(제1호)’, '수집하는 개인정보의 항목(제2호)’, '개인정보의 보유ㆍ이용 기간(제3호)’의 어느 하나의 사항을 변경하려는 경우에도 또한 같다. 바. 보호법 제39조의6제1항은 “정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.”라고 규정하고 있다. 같은 법 시행령 제48조의5제1항은 “정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제39조의6제1항의 기간 동안 이용하지 않는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 한다. 다만, 법 제39조의6제1항 본문에 따른 기간(법 제39조의6제1항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존해야 하는 경우에는 다른 법령에서 정한 보존기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 한다.”라고 규정하고 있다. 2. 위법성 판단 가. 이용자 동의 없이 개인정보를 제공한 행위 [보호법 제17조(개인정보의 제공)제1항ㆍ제2항] 피심인이 세무대리인에게 제공하는 개인정보 항목, 제공받는 세무대리인의 성명 또는 법인명, 이용ㆍ보유 기간 등을 명확하게 알리지 않은 행위는 보호법 제17조제1항ㆍ제2항을 위반한 것이다. 나. 이용자의 별도 동의 없이 민감정보를 처리한 행위 [보호법 제23조(민감정보의 처리 제한)제1항] 피심인이 민감정보 수집 항목, 민감정보 수집ㆍ이용 목적 등을 명확하게 알리지 않고 정보주체의 별도 동의 없이 민감정보에 해당하는 장애인 여부 등의 개인정보를 처리한 행위는 보호법 제23조제1항을 위반한 것이다. 다. 법령 등의 근거 없이 주민등록번호를 처리한 행위

[보호법 제24조의2(주민등록번호 처리의 제한)제1항] 피심인이 법령 등에서 주민등록번호의 처리를 요구하거나 허용한 경우 등이 아님에도 주민등록번호를 수집ㆍ보관한 행위는 보호법 제24조의2제1항을 위반한 것이다. 라. 개인정보 처리방침의 수립 및 공개를 소홀히 한 행위 [보호법 제30조(개인정보 처리방침의 수립 및 공개)제1항] 피심인이 개인정보를 파기하지 않고 보존한 근거 법령의 제명ㆍ조항 및 보존하는 개인정보 항목, '개인정보의 안전성 확보 조치에 관한 사항’을 개인정보 처리방침에 포함하지 않은 행위는 보호법 제30조제1항, 같은 법 시행령 제31조제1항을 위반한 것이다. 마. 이용자 동의 없이 개인정보를 수집ㆍ이용한 행위 [보호법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)제1항] 피심인이 이용자에게 개인정보 수집ㆍ이용에 대한 포괄 동의를 받으면서 개인정보 수집 항목을 누락하고 수집 목적과 보유 기간 등을 불명확하게 고지한 행위는 보호법 제39조의3제1항을 위반한 것이다. 바. 1년 이상 서비스 미사용자 개인정보의 파기 등을 하지 않은 행위 [보호법 제39조의6(개인정보의 파기에 대한 특례)제1항] 피심인이 1년의 기간 동안 서비스를 이용하지 않은 이용자의 개인정보를 파기하거나 분리하여 저장ㆍ관리하지 않은 행위는 보호법 제39조의6제1항, 같은 법 시행령 제48조의5제1항을 위반한 것이다. <img src="/LSW/flDownload.do?flSeq=135154481" alt="3번째 이미지"></img> Ⅳ. 처분 및 결정 1. 시정조치 명령 가. 피심인은 주민등록번호는 정보주체의 명시적인 위임을 받아 주민등록번호가 포함된 종합소득세 신고서의 단순 작성ㆍ제출에만 사용한 후 파기하여야 하며, 파일 등으로 저장ㆍ보유하지 않아야 하고, ’20.4.29. 이후 수집ㆍ보관 중인 주민등록번호는 즉시 파기하여야 한다. 나. 피심인은 가.의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 60일 이내에 이행 결과를 개인정보보호위원회에 제출하여야 한다. 2. 과징금 부과

피심인의 보호법 제17조제1항ㆍ제2항, 같은 법 제23조제1항 및 같은 법 제39조의3제1항 위반에 대한 과징금은 같은 법 제39조의15제1항제1호ㆍ제3호ㆍ제6호, 같은 법 시행령 제48조의11제1항과 제4항, [별표 1의5] (과징금의 산정기준과 산정절차) 및 '개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보호위원회 고시 제2022-3호, 이하 ’과징금 부과기준'이라 한다)’에 따라 다음과 같이 부과한다. 가. 과징금 상한액 피심인의 보호법 제17조제1항ㆍ제2항, 같은 법 제23조제1항 및 같은 법 제39조의3제1항 위반에 대한 과징금 상한액은 같은 법 제39조의15, 같은 법 시행령 제48조의11에 따라 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도 연평균 매출액(다만, 해당 사업연도 첫날 현재 사업을 개시한지 3년이 되지 않은 경우에는 그 사업개시일부터 직전 사업연도 말일까지의 매출액을 연평균 매출액으로 환산한 금액)의 100분의 3 이하에 해당하는 금액으로 한다. 나. 기준금액 1) 고의ㆍ중과실 여부 과징금 부과기준 제5조제1항은, 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리목적의 유무, 같은 법 시행령 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단하도록 규정하고 있다. 피심인은 영리를 목적으로 정보통신망을 통해 정보통신서비스를 제공하는 자이므로 피심인에게 위반행위에 대한 고의 또는 중과실이 있다고 판단한다. 2) 중대성의 판단 과징금 부과기준 제5조제3항은, 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 '매우 중대한 위반행위’로 판단하도록 규정하고 있다. 다만, 과징금 부과기준 제5조제3항 단서에서 위반행위의 결과가 ▲위반 정보통신서비스 제공자등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우(제1호), ▲위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우(제2호), ▲이용자의 개인정보가 공중에 노출되지 않은 경우(제3호) 중 모두에 해당하는 경우 '보통 위반행위’로, 1개 이상 2개 이하에 해당하는 경우 '중대한 위반행위’로 감경하도록 규정하고 있다.

피심인의 경우, 보호법 제17조제1항ㆍ제2항 및 같은 법 제23조제1항 위반행위는 '위반행위로 인해 직접적으로 이득을 취하지 않은 경우’, '위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우’ 및 '이용자의 개인정보가 공중에 노출되지 않은 경우’에 해당하여 '보통 위반행위’로 감경하고, 보호법 제39의3제1항 위반행위는 '이용자의 개인정보가 공중에 노출되지 않은 경우’에 해당하여 '중대한 위반행위’로 감경한다. 3) 기준금액 산출 피심인의 삼쩜삼 서비스(3o3.co.kr)를 통해 발생한 매출을 위반행위 관련 매출로 하며, 보호법 제17조제1항ㆍ제2항 위반행위에 대해서는 삼쩜삼 서비스의 사업개시일로부터 직전 사업연도 말일까지의 연평균 매출액 에 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 '보통 위반행위’의 부과기준율 1천분의 15를 적용하여 기준금액을 으로 하고, 보호법 제23조제1항 위반행위에 대해서는 삼쩜삼 서비스의 사업개시일로부터 직전 사업연도 말일까지의 연평균 매출액 에 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 '보통 위반행위’의 부과기준율 1천분의 15를 적용하여 기준금액을 으로 하고, 보호법 제39조의3제1항 위반행위에 대해서는 삼쩜삼 서비스의 사업개시일로부터 직전 사업연도 말일까지의 연평균 매출액 에 보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 '중대한 위반행위’의 부과기준율 1천분의 21을 적용하여 기준금액을 으로 한다. < 피심인의 위반행위 관련 매출액 > (단위 : 천원) <img src="/LSW/flDownload.do?flSeq=135154483" alt="4번째 이미지"></img> * 사업자가 제출한 재무제표 등 회계자료를 토대로 작성 <보호법 시행령 [별표 1의5] 2. 가. 1)에 따른 부과기준율> <img src="/LSW/flDownload.do?flSeq=135154485" alt="5번째 이미지"></img> 다. 필수적 가중 및 감경

과징금 부과기준 제6조제1항과 제7조에 따라 피심인의 각 위반행위의 기간이 2년을 초과하므로 '장기 위반행위’에 해당하여 보호법 제17조제1항ㆍ제2항 위반행위(’20. 4. 29. ~ ’22. 12. 2.)는 기준금액의 100분의 50인 을 가중하며, 같은 법 제23조제1항 위반행위(’20. 4. 29. ~ ’23. 6. 13.)는 기준금액의 100분의 50인 을 가중하고, 같은 법 제39조의3제1항 위반행위(’20. 4. 29. ~ ’22. 12. 2.)는 기준금액의 100분의 50인 을 가중한다. 과징금 부과기준 제6조제2항에 따라 피심인은 최근 3년간 보호법에 의한 과징금 처분을 받은 적이 없으므로 보호법 제17조제1항ㆍ제2항 위반행위는 기준금액의 100분의 50인 을 감경하며, 같은 법 제23조제1항 위반행위는 기준금액의 100분의 50인 을 감경하고, 같은 법 제39조의3제1항 위반행위는 기준금액의 100분의 50인 을 감경한다. 라. 추가적 가중 및 감경 과징금 부과기준 제8조는 사업자의 위반행위의 주도 여부, 조사 협력 여부 등을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 가중ㆍ감경할 수 있다고 규정하고 있다. 이에 따를 때, 피심인이 ▲조사에 적극 협력한 점, ▲개인정보 유출이 발생한 것이 아니므로 유출 사실을 자진 신고한 경우에는 해당하지 아니하나 위반사항을 자발적으로 시정한 점 등을 종합적으로 고려하여 보호법 제17조제1항ㆍ제2항 위반행위는 필수적 가중ㆍ감경을 거친 금액의 100분의 20인 을 감경하고, 같은 법 제23조제1항 위반행위는 필수적 가중ㆍ감경을 거친 금액의 100분의 20인 을 감경하며, 같은 법 제39조의3제1항 위반행위는 필수적 가중ㆍ감경을 거친 금액의 100분의 20인 을 감경한다. 마. 과징금의 결정 피심인의 보호법 제17조(개인정보의 제공)제1항ㆍ제2항 위반행위, 같은 법 제23조(민감정보의 처리 제한)제1항 위반행위 및 같은 법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)제1항 위반행위에 대한 과징금은 같은 법 제39조의15제1항제1호ㆍ제3호ㆍ제6호, 같은 법 시행령 제48조의11, [별표 1의5] 2. 가. 1)(과징금의 산정기준과 산정절차) 및 과징금 부과기준에 따라 위와 같이 단계별로 산출한 금액인 854,106천원을 최종 과징금으로 결정한다. <과징금 산출내역>

<img src="/LSW/flDownload.do?flSeq=135154487" alt="6번째 이미지"></img> 3. 과태료 부과 피심인의 보호법 제17조(개인정보의 제공)제2항, 같은 법 제24조의2(주민등록번호 처리의 제한)제1항, 같은 법 제30조(개인정보 처리방침의 수립 및 공개)제1항 및 같은 법 제39조의6(개인정보의 파기에 대한 특례)제1항 위반행위에 대한 과태료는 같은 법 제75조제2항제1호ㆍ제4호ㆍ제4호의2, 같은 법 제75조제4항제7호, 같은 법 시행령 제63조, 같은 법 시행령 [별표2] '과태료의 부과기준’ 및 '개인정보 보호법 위반에 대한 과태료 부과기준’(이하 '과태료 부과지침’)에 따라 다음과 같이 부과한다. 가. 기준금액 보호법 시행령 제63조의 [별표2]는 최근 3년간 같은 위반행위를 한 경우 위반 횟수에 따라 기준금액을 규정하고 있고, 피심인은 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실이 없으므로 보호법 제17조제2항 위반행위, 같은 법 제24조의2제1항 위반행위 및 같은 법 제39조의6제1항 위반행위에 대해 기준금액을 1회 위반에 해당하는 600만원으로 산정하고, 같은 법 제30조제1항 위반행위에 대해 기준금액을 1회 위반에 해당하는 200만원으로 산정한다. < 보호법 시행령 [별표2] 2. 개별기준 > <img src="/LSW/flDownload.do?flSeq=135154489" alt="7번째 이미지"></img> 나. 과태료의 가중 및 감경 1) 과태료의 가중 과태료 부과기준 제8조는 '사전통지 및 의견제출 결과와 당사자의 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 [별표2]의 가중기준(▲조사방해, ▲위반의 정도, ▲위반기간, ▲기타 위반행위의 정도와 동기, 사업규모, 그 결과 등을 고려하여 가중할 필요가 있다고 인정되는 경우)에 따라 기준금액의 100분의 50의 범위 이내에서 가중할 수 있다.’라고 규정하고 있다. 피심인의 경우, 보호법 제17조제2항 위반행위, 같은 법 제24조의2제1항 위반행위, 같은 법 제30조제1항 위반행위 및 같은 법 제39조의6제1항 위반행위가 '법 위반상태의 기간이 3개월 이상인 경우’에 해당하여 각각 기준금액의 10%를 가중한다. 2) 과태료의 감경

과태료 부과지침 제7조는 '사전통지 및 의견제출 결과와 당사자의 위반행위 정도, 위반행위의 동기와 그 결과 등을 고려하여 [별표1]의 감경기준(▲당사자 환경, ▲위반정도, ▲조사협조 및 자진시정 등, ▲개인정보보호 노력정도, ▲사업규모, ▲기타 위반행위의 정도와 동기, 사업 규모, 그 결과 등을 고려하여 감경할 필요가 있다고 인정되는 경우)에 따라 기준금액의 100분의 50의 범위 이내에서 감경할 수 있다.’라고 규정하고 있다. 피심인의 경우, 보호법 제17조제2항 위반행위, 같은 법 제30조제1항 위반행위 및 같은 법 제39조의6제1항 위반행위는 '위반행위에 대해 시정을 완료한 경우’, '조사에 적극 협력한 경우’ 및 '중기업인 경우’에 해당하여 기준금액의 50%를 각각 감경하고, 같은 법 제24조의2제1항 위반행위는 '위반행위를 시정 중에 있는 것으로 인정되는 경우’, '조사에 적극 협력한 경우’ 및 '중기업인 경우’에 해당하여 기준금액의 50%를 감경한다. 다. 최종 과태료 피심인의 보호법 제17조제2항, 같은 법 제24조의2제1항, 같은 법 제30조제1항 및 같은 법 제39조의6제1항을 위반한 행위에 대해 기준금액에서 가중ㆍ감경을 거쳐 총 1,200만원의 과태료를 부과한다. <img src="/LSW/flDownload.do?flSeq=135154491" alt="8번째 이미지"></img> 4. 결과 공표 보호법 제66조제1항 및 '개인정보보호위원회 처분결과 공표기준’(2020. 11. 18. 개인정보보호위원회 의결) 제2조(공표요건)에 따르면 피심인의 위반행위는 '보호법 제75조제2항 각 호에 해당하는 위반행위를 2개 이상 한 경우(제4호)’ 및 '위반행위 시점을 기준으로 위반상태가 6개월 이상 지속된 경우(제5호)’에 해당하므로 피심인이 시정조치 명령과 과태료 부과를 받은 사실에 대해 개인정보보호위원회 홈페이지에 공표한다. <img src="/LSW/flDownload.do?flSeq=135154493" alt="9번째 이미지"></img> Ⅴ. 개선권고 및 결정 1. 개선권고 가. 피심인은 복수의 회원가입 방법을 마련하여야 한다. 나. 피심인은 이용자에게 개인정보 수집ㆍ이용ㆍ제공 관련 동의를 받을 때 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.

다. 피심인은 개인정보 처리 목적을 명확히 하고, 처리 목적이 달성된 개인정보를 파기하여야 한다. 라. 피심인은 가., 나., 다.의 개선권고에 따른 필요한 조치를 이행하고, 개선권고 통지를 받은 날로부터 60일 이내에 조치결과를 개인정보보호위원회에 제출하여야 한다. Ⅵ. 결론 피심인의 보호법 제17조(개인정보의 제공)제1항ㆍ제2항, 같은 법 제23조(민감정보의 처리 제한)제1항, 같은 법 제24조의2(주민등록번호 처리의 제한)제1항, 같은 법 제30조(개인정보 처리방침의 수립 및 공개)제1항, 같은 법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)제1항 및 같은 법 제39조의6(개인정보의 파기에 대한 특례)제1항을 위반한 행위에 대하여 같은 법 제39조의15(과징금의 부과 등에 대한 특례)제1항제1호ㆍ제3호ㆍ제6호, 같은 법 제75조(과태료)제2항제1호ㆍ제4호ㆍ제4호의2, 같은 법 제75조제4항제7호, 같은 법 제66조(결과의 공표)제1항, 같은 법 제61조(의견제시 및 개선권고)제2항에 따라 과징금ㆍ과태료 부과, 시정조치 명령, 결과 공표 및 개선권고를 주문과 같이 의결한다.

결정요지

안건번호 : 제2023-011-116호 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건 신청인 : ㈜자비스앤빌런즈 (사업자등록번호 : )서울특별시 강남구 테헤란로 332, HJ타워 10층대표자 김범섭 의결연월일 : 2023. 6. 28.