온라인광고서비스 제공자의 이용자 동의 없는 개인정보 제 3 자 제공으로 인한 분쟁조정사례

Ⅲ. 이용자 동의 없는 개인정보 제3자 제공

 

사례.

온라인광고서비스 제공자의 이용자 동의 없는 개인정보 제 3 자 제공

 

1. 사건개요

 

. 신청인은 2009년 11월 26일 경에 A사의 광고성 이메일을 받았는데, A사에 확인한 결과, A사는 피신청인에게 개인정보를 제공받아 광고성 이메일을 보냈다고 답변함

 

-신청인이 피신청인에게 자신 개인정보의 출처를 확인하니, 피신청인은 B라는 P2P사이트에서 이벤트를 열어 수집하였다고 답변하였고,

 

-신청인은 B사이트에 회원가입을 한 적은 있지만, 탈퇴를 한지 1년이 지났고 피신청인에게 자신의 개인정보를 제공한 적이 없다고 하며,

 

-자신의 개인정보를 피신청인이 A사에 넘긴 것은 동의 없는 개인정보 제3자 제공이라고 하며 손해배상을 요청하는 분쟁조정을 신청함

 

2. 피신청인 주장

 

. 피신청인은 P2P사이트인 B의 회원가입 화면에서 이벤트를 열었고, 여기에서 신청인에게 개인정보 제3자 제공동의를 얻었으며, 현재 신청인에 대한 자료는 없다고 소명 함

 

. 피신청인은 이메일 마케팅을 위해 A사와 이메일 발송 위탁 대행계약을 맺고 자사명으로 마케팅을 진행하였으나, A사 담당자의 업무 실수로 테스트 이메일이 잘못 발송 되었다고 소명함

 

-또한, 2010년 1월 11일 A사와 맺은 제휴계약을 종료하였음을 소명함

 

3. 사실조사

 

가. 피신청인이 신청인의 개인정보를 수집한 경위

 

. 신청인은 B사이트 회원가입 당시에 피신청인의 개인정보 활용에 대해 동의하였음

 

※ 동의 내용은 다음과 같음.

 

“동의하신 정보는 전화, 이메일, SMS를 통한 C해상보험(주), 피신청인의 보험상품 및 만기서비스 안내 등의 마케팅 자료로 활용할 수 있으며, 보험료 산출을 위하여 보험개발원 보험정보망을 통해 보험계약 및 사고 관련 개인정보의 조회자료로 5년간 활용될 수 있습니다”

 

. 피신청인이 B사이트에서 이벤트를 개최한 사실은 확인되나, 신청인이 해당 이벤트에 참여하였는지 여부는 명확하지 아니함

나. 피신청인이 A사에 신청인 개인정보의 제공 경위 및 신청인의 동의 여부

 

. 피신청인은 A사와 “이메일 마케팅 위탁업무 대행 계약”을 맺고(2009.10.15~2010.10.14) A사에 신청인의 개인정보를 제공하였으나,

 

- 이에 대해 신청인의 명시적 동의를 얻은 바 없음

 

- 피신청인이 개인정보를 수집할 당시 고지한 개인정보취급방침에는 C해상보험(주)에 개인정보를 제공한다는 고지는 있으나 A사에 제공한다는 내용은 없었음

 

. 이러한 개인정보 제공에 대하여, 피신청인은 어떠한 개인정보도 본인의 동의 없이 제3자에게 제공한 적은 없으며, 다만, A사와 광고대행 계약을 맺어 이메일 마케팅을 시행한 것뿐이라고 소명하나,

 

- 이메일 광고 주체와 명의가 A사인 것으로 보아, 이메일 발송 대행이나 위탁이라는 피신청인의 주장은 근거 없는 변명에 불과한 것으로 판단됨

 

다. A사가 신청인에게 광고성 이메일을 발송한 경위

 

. A사는 피신청인과의 광고대행 계약에 따라, 2009년 10월 피신청인에게 개인정보 데이터를 전달받아, 같은 해 11월 경 이메일 마케팅을 시행하였고, 이때에 신청인에게 광고성 이메일을 발송하였음

 

※ A사는 신청인이 한국인터넷진흥원 불법스팸대응센터에 민원을 제기하였을 당시에, 즉시 모든 데이터를 삭제처리 하였으며, 이 민원은 광고성 이메일에 “개인정보 수집 출처가 피신청인”이라고 근거를 명시하지 않아 발생하였다고 소명함

 

※ 신청인은 2009년 11월 26일 불법스팸대응센터에 본 사건 민원을 제기하였고(1차), 2010년 4월 14일 A사와 피신청인과의 계약관계 입증자료를 요구함(2차)

 

※ 피신청인1과 2 사이의 개인정보 제공 계약은 2010년 1월에 파기되었음

 

. 피신청인은 신청인에게 A사의 광고성 이메일이 발송된 것은 A사 업무 담당자의 실수로 테스트 이메일이 잘못 발송되었기 때문으로 알고 있다고 소명하고 있으나,

 

- A사 측에서는 피신청인에게 받은 데이터를 이용하여 2009년 11월 이메일 마케팅을 하였다고 소명하고 있는 점으로 보아, 피신청인의 소명은 신빙성이 없다고 사료됨

 

. 이상과 같은 사실조사 결과를 종합적으로 살펴보면, 피신청인의 신청인 개인정보를 수집하는 과정에서의 적법성을 인정하더라도,

 

- 피신청인이 신청인에게 개인정보를 제3자인 A사에게 제공한다는 내용에 대해 동의를 얻었다는 입증자료는 없으며,

 

- 피신청인과 A와의 광고대행 계약서의 내용에 비추어 보면, 피신청인은 유상 또는 무상인지 여부는 불명하나 A사에 신청인을 포함한 다수의 개인정보를 제공하였으며, A사 마케팅의 경우 결제당 25%의 광고비를 받는 등 개인정보를 이용한 수익 행위를 한 사실이 인정됨

 

4. 위원회 의견

 

가. 신청인의 개인정보를 동의 없이 제3자에게 제공한 피신청인의 책임 유무

 

. 정보통신망법 제24조의2는 개인정보를 제3자에게 제공하려면 제공받는 자, 이용목적, 제공하는 개인정보의 항목, 제공받는 자의 개인정보 보유 및 이용기간 등을 이용자에게 알리고 동의를 받아야 한다고 규정함

 

. 본 사건에서, 피신청인은 제3자인 A사와 이메일 광고 대행 계약을 맺고 개인정보를 제공하였다고 하지만, 내용상으로는 공동의 영리행위를 위하여 신청인의 개인정보를 A사에 제공하였으며, 이러한 사실을 신청인에게 알리거나 동의를 받지 않았으므로

 

- 정보통신망법 제24조의2의 규정을 위반하였다고 판단됨

 

5. 위원회 결정

 

. 피신청인은 .정보통신망 이용촉진 및 정보보호 등에 관한 법률.(이하 “정보통신망법”)에 의한 고지 및 동의절차 없이 신청인의 개인정보를 제3자에게 제공하였고, 나아가 광고성 이메일을 받게 하여 신청인에게 개인정보침해로 인한 정신적 피해를 입혔다고 인정되어,

 

- 피신청인은 신청인에게 손해배상금으로 금300,000원을 지급할 것을 조정 결정함



개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)