개인정보보호 법규 위반행위에 대한 시정조치에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 개인정보 처리실태의 개선을 권고한다. 가. 피심인은 App 내 연령 확인 절차를 도입하고, 이용자가 만 14세 미만 아동으로 확인되는 경우 법정대리인의 동의를 받거나 해당 이용자의 개인정보를 파기할 것 나. 피심인은 개인정보를 국외로 처리위탁ㆍ보관할 때 보호법 제28조의8제2항 각 호의 사항을 구체적으로 개인정보 처리방침에 공개하거나, 전자우편 등의 방법으로 정보주체에게 알릴 것 다. 피심인은 가.~나.의 조치를 개인정보보호위원회와 협의하여 이행하고, 개선권고 통지를 받은 날로부터 90일 이내에 이행 결과 및 계획을 제출할 것 2. 피심인에 대하여 다음과 같이 과징금을 부과한다. 가. 과 징 금 : 379,000,000원 나. 납부기한 : 고지서에 명시된 납부기한 이내 다. 납부장소 : 한국은행 국고수납 대리점

이유

Ⅰ. 기초 사실 피심인은 가상자산 지갑 애플리케이션인 ( , ' 앱’)을 개발ㆍ운영 하면서 서비스 이용자의 개인정보를 처리하는 「개인정보 보호법」(각주:개인정보 보호법(법률 제19234호, 2023. 3. 14. 일부개정, 2024. 3. 15. 시행)) (이하 '보호법’)상의 개인정보처리자로서 일반현황 및 최근 3년간 재무현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=150222495" alt="1번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=150222497" alt="2번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 개인정보보호위원회(이하 '위원회’)는 피심인이 ( , 이하 ' ’) 생체정보를 무단으로 수집하고 있다는 민원 제기(각주:수집 관련 이용목적ㆍ보유기간 등에 대해 고지받지 못했으며, 삭제 절차가 없다며 조치를 요구('24.2.26., '24.3.8. 등)) 및 언론보도(각주:( , ’ . . .), ( , ' . . .)) 등에 따라 피심인의 개인정보 수집ㆍ처리 관련 사실관계 및 보호법 위반 여부를 조사하였으며, 다음과 같은 사실을 확인하였다. 2. 행위 사실 가. 피심인의 업무 형태 피심인은 앱을 통해 수집ㆍ처리하는 개인정보(이름, 전화번호, 이메일, 기기정보 등)에 대한 개인정보처리자이자, 앱 설치 시 생성되는 ' ID(각주:이 개발ㆍ보급하는 디지털 수단으로, 이용자가 ① ② ③ 할 수 있다고 주장) ’, 기기( , 이하 '기기’)를 통해 수집ㆍ생성된 ' 원본 이미지’ 및 ' ’ 등에 대해 (이하 ' ’)으로부터 개인정보 처리 업무를 위탁받아 처리하는 자(이하, '수탁자’)이다. 피심인은 2022년 2월 17일 앱을 출시하여, 국내 정보주체의 개인정보를 수집 및 처리하였다. <img src="/LSW/flDownload.do?flSeq=150222499" alt="3번째 이미지"></img> 나. 보호법 위반 관련 사실관계 1) 아동의 개인정보 처리 관련 피심인은 이용자가 앱 회원가입 시 “귀하는 18세 이상입니다”라는 내용의 사용자 이용약관 동의란에 체크하도록 하였을 뿐, 별도의 연령 확인 절차를 마련하지 않았다. <img src="/LSW/flDownload.do?flSeq=150222501" alt="4번째 이미지"></img> 2) 개인정보의 국외 이전 관련

피심인은 수집한 개인정보(이름, 전화번호, 이메일, 기기정보 등)를 ( )의 데이터베이스에 보관하였으며, 자회사인 ( ) 등에 피심인이 수집한 모든 개인정보를 처리위탁ㆍ보관(이전)하였으나, 이를 개인정보 처리방침에 공개하거나 이용자에게 알린 사실은 확인되지 않았다. Ⅲ. 관련 법규 및 위법성 판단 1. 관련법 규정 가. 보호법 제22조의2제1항은 “개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 하며, 법정대리인이 동의하였는지를 확인하여야 한다.”라고 규정하고 있다. 나. 보호법 제28조의8제1항은 “개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.”라고 규정하고 있으며, 제1호는 “정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우”, 제3호는 “정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우”라고 규정하면서, “제2항 각 호의 사항(각주:1. 이전되는 개인정보 항목, 2. 개인정보가 이전되는 국가, 시기 및 방법, 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다), 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간, 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과) 을 제30조에 따른 개인정보 처리방침에 공개한 경우(가목)”, “전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우(나목)” 개인정보의 국외이전이 가능하다고 규정하고 있다. 2. 위법성 판단 가. 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 사실 [보호법 제22조의2(아동의 개인정보 보호)제1항] 피심인은 앱 이용자의 개인정보를 수집하면서 연령 확인 및 법정대리인의 동의 절차를 마련하지 않았으나, 실제 만 14세 미만 아동의 개인정보 수집 여부 등 보호법 제22조의2제1항 위반 여부는 확인되지 않았다. 나. 개인정보를 국외로 이전하면서 적법 근거를 갖추지 않은 사실 [보호법 제28조의8(개인정보의 국외 이전)제1항]

피심인은 앱을 통해 수집한 개인정보를 ( ) 등에 처리위탁 및 보관하고 있으므로, 개인정보 처리방침에 국외 이전에 관한 법정 고지사항을 공개하는 등 보호법 제28조의8제1항에서 규정한 적법 근거를 갖추어야 한다. 그러나 피심인이 개인정보의 국외 이전에 관한 법정 고지사항을 개인정보 처리방침에 공개하거나, 전자우편 등의 방법에 따라 이용자에게 알리지 않고, 이용자의 개인정보를 국외로 이전한 행위는 보호법 제28조의8제1항 위반에 해당한다. Ⅳ. 피심인의 주장에 대한 검토 1. 국외 이전의 적법 근거 피심인은 국외 사업자로서 개인정보를 국외에서 직접 수집하므로 개인정보가 국외로 이전되는 것이 아니하고 주장하며, 설령 개인정보의 국외 이전에 해당하더라도 현재는 법정 고지사항을 처리방침에 공개하는 등 개인정보를 적법하게 국외로 이전하고 있다고 주장한다. 특히, 피심인이 국외 사업자인 점을 고려할 때, 앱 관련 데이터는 전세계적으로 통일적인 처리와 데이터 관리 및 보안이 적절히 수행되어야 하므로, 국외 이전이 이용자가 예상 가능한 합리적인 범위를 벗어난다고 보기 어렵다고 주장한다. 그러나, 피심인은 국내 이용자의 개인정보를 ( ) 등 다른 국외 사업자에게 처리위탁ㆍ보관(이전)하고 있으며, 이는 보호법 상 명백히 개인정보의 국외 이전에 해당한다. 특히, 위원회 조사 시점에는 개인정보의 국외 이전 관련 보호법상 고지사항이 전부 누락되어 있었으며, <img src="/LSW/flDownload.do?flSeq=150222503" alt="5번째 이미지"></img> 일부 개선된 개인정보 처리방침도 피심인의 해외 자회사인 와 구분하지 않고 수립ㆍ공개하고 있어 개인정보의 국외 이전 등 개인정보 처리에 관한 내용을 정보주체가 쉽게 확인할 수 없는바, 현재는 개인정보를 적법하게 국외로 이전하고 있다고 하는 주장 또한 인정할 수 없다. 2. 과징금 산정 관련 피심인은 앱 가입자 명 중 한국 국적 가입자는 명(약 . %, ’ . . .기준)이므로, 피심인의 전체 매출(각주:으로부터 위탁받은 업무( 개발ㆍ유지, 하드웨어 및 소프트웨어 생산ㆍ개발, 와의 계약 등) 수행의 대가로 발생) 에서 해당 비율을 곱한 금액만 과징금 부과의 기준 금액으로 산정되어야 한다고 주장한다.

그러나, 피심인의 매출은 특정 범주의 정보주체에 대한 재화의 판매 또는 광고 수익 등을 통해 발생하는 것이 아니라, 모두 이 전 세계 이용자를 대상으로 제공하는 서비스의 업무위탁 대가로서 발생하고 있으므로, 특정 국가의 가입자 수의 다과와 직접적으로 연동되거나 비례적으로 증감한다고 볼 수 없어, 한국 가입자 비율을 곱한 금액이 아닌 전체매출액을 기준금액으로 산정한다. 특히, 피심인 스스로도 를 통해 (각주:: 새로운 프로세스나 제도를 도입할 때 사용자가 없어 생기는 문제) 를 방지하고, 글로벌 및 인프라 구축을 위한 네트워크의 성장, 궁극적으로는 ID를 전 세계적인 표준으로 활용하기 위해 를 지급한다고 설명하는 등 서비스의 범위를 전 세계로 규정하고 있으므로, 한국 가입자 비율을 곱한 금액만을 과징금 부과의 기준금액으로 산정하여야 한다는 피심인의 주장은 인정할 수 없다. <img src="/LSW/flDownload.do?flSeq=150222505" alt="6번째 이미지"></img> Ⅴ. 처분 및 결정 1. 개선권고 피심인이 만 14세 미만 아동의 개인정보를 보다 충실히 보호하도록 보호법 제61조제2항에 따라 다음과 같이 개인정보 처리 실태의 개선을 권고한다. 가. 피심인은 앱 내 연령 확인 절차를 도입하고, 이용자가 만 14세 미만 아동으로 확인되는 경우 법정대리인의 동의를 받거나 해당 이용자의 개인정보를 파기할 것 나. 피심인은 개인정보를 국외로 처리위탁ㆍ보관할 때 보호법 제28조의8제2항 각 호의 사항을 구체적으로 개인정보 처리방침에 공개하거나, 전자우편 등의 방법으로 정보주체에게 알릴 것 다. 피심인은 가., 나.의 조치를 개인정보보호위원회와 협의하여 이행하고, 개선권고 통지를 받은 날로부터 90일 이내에 이행 결과 및 계획을 제출할 것 2. 과징금 부과 피심인의 보호법 제28조의8(개인정보의 국외 이전)제1항 위반행위에 대해 같은 법 제64조의2제1항제7호, 같은 법 시행령(각주:개인정보 보호법 시행령(대통령령 제33723호, 2024. 3. 12. 일부개정, 2024. 3. 15. 시행)) (이하 '시행령’) 제60조의2 [별표 1의5] 및「개인정보보호 법규 위반에 대한 과징금 부과기준(각주:개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보호위원회 고시 제2023-3호, 2023. 9. 15. 시행)) 」(이하 '과징금 부과기준’)에 따라 다음과 같이 부과한다. 가. 과징금 상한액

피심인의 보호법 제28조의8제1항 위반에 대한 과징금 상한액은 같은 법 제64조의2제1항, 시행령 제60조의2에 따라 위반행위가 있었던 사업연도 직전 3개 사업연도의 연평균 매출액의 100분의 3을 초과하지 아니하는 범위에서 부과할 수 있다. 나. 과징금 산정 기준 1) 전체 매출액 산정 보호법 제64조의2제1항 각 호 외의 부분 본문에 따른 '전체 매출액’은 시행령 제60조의2제1항에 따라 위반행위가 있었던 사업연도(이하 '해당사업연도’)의 첫 날 현재 사업을 개시한 지 3년이 되지 않은 경우에는 그 사업개시일부터 직전 사업연도 말일까지의 매출액을 연평균 매출액으로 환산한 금액으로 한다. 피심인의 경우, 앱을 출시한 2022년 2월 17일(사업개시일)부터 2023년 12월 31일(직전 사업연도 말일)까지 총 $ 의 매출액이 발생하였으며, 이를 연평균 매출액으로 환산한 금액인 $ 를 전체 매출액으로 한다. 2) 중대성의 판단 과징금 부과기준 제8조제1항은 '시행령 [별표 1의5] 2. 가. 1) 및 2)에 따른 위반행위의 중대성의 정도는 [별표] 위반행위의 중대성 판단기준을 기준으로 정한다.’라고 규정하고 있다. [별표] 위반행위의 중대성 판단기준에 따르면 '위반행위의 중대성의 정도는 고려사항별 부과기준을 종합적으로 고려하여 판단’하고, '고려사항별 부과수준 중 두 가지 이상에 해당하는 경우에는 높은 부과 수준을 적용한다.’라고 규정하고 있으며, '고려사항별 부과 수준의 판단기준은 ▲(고의ㆍ과실) 위반행위의 목적, 동기, 당해 행위에 이른 경위, 영리 목적의 유무 등을 종합적으로 고려, ▲(위반행위의 방법) 안전성 확보 조치 이행 노력 여부, 개인정보 보호책임자 등 개인정보 보호 조직, 위반행위가 내부에서 조직적으로 이루어졌는지 여부, 사업주, 대표자 또는 임원의 책임ㆍ관여 여부 등을 종합적으로 고려하고, 개인정보가 유출등이 된 경우에는 개인정보의 유출등과 안전성 확보 조치 위반행위와의 관련성을 포함하여 판단, ▲(위반행위로 인한 정보주체의 피해 규모 및 정보주체에게 미치는 영향) 피해 개인정보의 규모, 위반기간, 정보주체의 권리ㆍ이익이나 사생활 등에 미치는 영향 등을 종합적으로 고려하고, 개인정보가 유출등이 된 경우에는 유출 등의 규모 및 공중에 노출되었는지 여부를 포함하여 판단한다.’라고 규정하고 있다.

피심인의 고의ㆍ과실, 위반행위의 방법, 처리하는 개인정보의 유형, 정보주체의 피해 규모 및 정보주체에게 미치는 영향 등을 종합적으로 고려하여, 위반행위의 중대성을 ’보통 위반행위'로 판단한다. 3) 기준금액 산출 과징금 부과기준 제6조제1항은 '기준금액은 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액에 부과기준율을 곱한 금액으로 정한다’라고 규정하고 있다. 피심인의 경우, 과징금 부과기준 제7조제3항에 따라 위반행위와 관련이 없는 매출액으로 인정하는 매출액이 없으므로, 앱을 운영하면서 발생한 연평균 전체 매출액 $ 에 시행령 [별표 1의5] 2. 가. 1)에 따른 '보통 위반행위’의 부과기준율 1만분의 105를 적용하여 기준금액을 $ 로 한다. <img src="/LSW/flDownload.do?flSeq=150222507" alt="7번째 이미지"></img> 다. 1차 조정 과징금 부과기준 제9조에 따라 피심인 위반행위의 기간이 2년을 초과(’22. 2. 17. ~ ’24. 3. 21.)하여 '장기 위반행위’에 해당하므로 기준금액의 100분의 50에 해당하는 금액인 $ 를 가산한다. 라. 2차 조정 과징금 부과기준 제10조에 따라 피심인이 조사에 적극 협력한 경우에 해당하여 1차 조정을 거친 금액의 100분의 30에 해당하는 $ 를 감경한다. 마. 과징금의 결정 피심인의 보호법 제28조의8(개인정보의 국외 이전)제1항 위반행위에 대한 과징금은 같은 법 제64조의2제1항제7호, 시행령 제60조의2, [별표 1의5] '과징금의 산정기준과 산정절차’ 2. 가. 1) 및 '과징금 부과기준’에 따라 위와 같이 단계별로 산출한 금액인 원을 최종 과징금으로 결정한다. <img src="/LSW/flDownload.do?flSeq=150222509" alt="8번째 이미지"></img> * ①(고의ㆍ과실:중) ▲개인정보를 국외에 단순 보관(처리위탁)하였다고 하나, ▲한국 정보주체의 개인정보를 국외로 이전하면서 기본적인 규제를 검토ㆍ준수하지 않은 중과실이 있음 ②(부당성:중) ▲해외 자회사인 와 구분하지 않고 개인정보 처리방침을 수립ㆍ공개하고 있어 정보주체가 국외 이전 등 개인정보 처리에 관한 내용을 확인하기 어려움 ③(개인정보 유형:하) ▲국내 정보주체의 이름ㆍ전화번호ㆍ이메일ㆍ기기정보 건(’ . . . 기준)

④(피해규모ㆍ영향:하) ▲국내 정보주체의 개인정보 건이 적법근거 없이 국외로 이전되었으나(’22.2월 ~ ’24.3월), ▲별도 이용 행위 없이 국외 서버에 단순 보관 ** 과징금 부과기준 제11조제5항에 따라 1억원 이상인 경우에는 1백만원 단위 미만의 금액을 버리며, 제11조제6항에 따라 매출액 등 산정 기간(’22.1.1.~’23.12.31.)의 평균환율(하나은행이 최초로 고시하는 매매기준율 : 1달러=1,298.44원)을 원화로 환산함 Ⅵ. 결론 피심인의 보호법 제28조의8(개인정보의 국외 이전)제1항을 위반한 행위에 대하여 같은 법 제64조의2(과징금의 부과)제1항제7호, 시행령 제60조의2(과징금의 산정기준 등), 제61조(의견제시 및 개선권고)제2항에 따라 과징금, 개선권고를 주문과 같이 의결한다.

결정요지

안건번호 : 제2024-016-235호 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건 신청인 : 대표자 의결연월일 : 2024. 9. 25.