온라인서비스제공자가 이용자의 동의 없이 제3자에게 개인정보 제공으로 인한 분쟁조정사례

Ⅲ. 이용자 동의 없는 개인정보 제3자 제공

 

사례2

온라인서비스제공자의 이용자 동의 없는 개인정보 제3자 제공

 

1. 사건개요

 

. 신청인은 2009년 12월 피신청인의 홈페이지에 회원으로 가입하였는데, 가입 시 제3자 제공 동의란에 동의하지 않았음

 

-그러나 2010년 1월초 보험사의 TM전화를 받게 되었고, 보험사 직원에게 개인정보 수집 경로를 문의하자 피신청인에게 제공받았다고 답변함

 

-신청인은 이에 대해 피신청인의 고객센터에 사실을 확인하고 TM거부에 대한 의사 표시를 하였는데, 피신청인은 신청인이 제3자 제공 동의를 하지 않았기 때문에 개인정보가 보험사에 제공되지 않았다고 답변하였음

 

. 그럼에도 불구하고, 신청인은 다시 2010년 2월 27일 피신청인에게 개인정보를 제공 받아 연락하였다는 보험사의 TM전화를 받게 되었으며, 재차 피신청인에게 항의를 하자 피신청인은 전산담당자의 실수로 신청인의 개인정보가 보험사에 제공되었다고 답변함

 

-이에, 신청인은 피신청인이 자신의 동의 없이 개인정보를 제3자에게 제공한 사실에 대하여 정신적 손해배상을 요구하는 분쟁조정을 신청함

 

2. 피신청인 주장

 

. 피신청인은 시스템 오류로 인하여 전산담당자가 회원정보에 대한 프로그램을 수정하고 테스트를 하는 과정에서 실수를 하여 신청인의 개인정보를 제3자에게 제공하였다고 소명함

 

3. 사실조사

 

가. 신청인이 피신청인과 이용자관계 인지 여부

 

. 신청인은 2009년 12월 22일 오전 11시 15분 00초 피신청인의 홈페이지에 가입하여 서비스를 이용 중임

 

나. 피신청인 홈페이지에서의 회원가입 절차

 

. 이용자는 피신청인의 홈페이지에서 신규회원인지 확인받고, 약관동의 후, 정보입력 절차를 거쳐 가입을 완료 하며,

- 이용약관 동의 시에 ‘제3자 마케팅 활용’ 부분에 “동의안함”으로 수신 거부 의사 표 시 가능함

 

※ 피신청인은 이용약관에서 약 70개 업체를 명시하고 이에 대한 개인정보 제3자 제공 동의를 얻고 있으나, 실제로 이용자의 개인정보를 제공하고 있는 업체는 2개 업체로서 A생명보험(주), B생명보험(주)이며, 신청인의 개인정보가 제공된 업체는 (주)A생명보험만이라고 소명함(유선 확인)

 

다. 신청인이 개인정보 제3자 제공에 동의하였는지 여부

 

. 신청인은 개인정보 제3자 제공에 동의하지 아니하였으며, 피신청인도 이를 인정함

 

라. 신청인이 A생명보험(주)의 TM전화를 2차례 수신한 경위

 

. 피신청인의 소명에 따르면, 신청인의 회원가입 시점에 전산시스템의 오류가 발생하여 이를 복구 시 프로그래머의 착각으로 신청인의 정보만 누락되어,

 

- 신청인은 가입 시점부터 개인정보 제3자 제공에 “동의함”으로 처리되어 피신청인은 개인정보를 A생명보험(주)에 제공하고, 이에 신청인이 TM 전화를 받게 되었음

 

. 제1차 TM 수신 경위

 

- 신청인은 2010년 1월 초 TM전화를 받게 되었으며, 이에 TM 상담원에게 개인정보 수집경로를 확인하자 해당 상담원은 피신청인에게 신청인의 개인정보를 제공받았다고 답변함

 

- 신청인은 피신청인에게 개인정보 제3자 제공에 대한 사실확인을 요구하였고, 피신청인은 “회원님의 DB상에 TM 거부자로 등록이 된 상태로 회원가입이 되셔서 저희 사이트에 등록된 정보가 보험회사에 간게 없습니다”라는 답변의 이메일을 신청인 에게 보냄

 

※ 피신청인은 당시에 고객상담 페이지의 관리자 모드에는 “수신거부”라고 표시되어 있었지만, 전산시

스템 오류로 보험사에 보낸 고객리스트(엑셀파일)에 신청인 정보가 포함되어 있었다는 사실을 알지 못하여 위와 같은 답변을 보냈다고 소명함

 

. 제2차 TM 수신 경위

 

- 신청인은 2010년 2월 27일 재차 TM전화를 받았고, 해당 상담원에게 개인정보 수집경로를 문의하자, 제1차 TM때와 마찬가지로 피신청인에게 신청인의 개인정보를 제공받았다고 답변함

 

- 신청인이 피신청인에게 확인하자, 피신청인은 비로서 시스템을 확인하고 전산담당자의 실수로 신청인 정보가 수신거부 리스트에서 누락되어 A생명보험(주)로 제공 되었다고 답변함

 

라. 피신청인이 소명하는 전산시스템 오류 경위 및 판단

 

. 피신청인은 시스템 오류가 발생하여 전산담당자가 회원정보에 대한 복구 프로그램을 실행하고 데이터를 복구하는 과정에서 다음과 같은 이유로 신청인의 개인정보가 A생명보험(주)에 제공되었다고 소명함

 

.

 

1. 회원가입일 : 2009. 12. 22.(11:15:00초)

 

2. 제3자 제공일 : 2009. 12. 28.

 

3. 프로그램 테스트 에러 발생

 

- 2009. 12. 22일 09:15:00초~11:15:00초 까지 2시간동안 DB에러발생

 

4. 당일 즉시 복구프로그램 가동 중 프로그래머의 착각으로 신청인의 정보만 포함되지 않음

 

- 09:15:00 ~ 11:15:00초의 의미는 09:15:00 “이상”~11:15:00초 “이하”

 

- 그러나 프로그래머는 09:15:00 “이상”~11:15:00초 “미만”으로 착각

 

- 11:15:00초에 가입한 신청인만 복구프로그램에 포함되지 아니하여 원래 회원정보 DB에는 “수신거부” 상태로 남아 있었지만, 별도의 수신거부자 리스트에 포함되지 아니하여 A생명보험(주)에 제공됨

 

. 피신청인의 제출한 자료를 살펴보면(한국인터넷진흥원 전문가 자문 결과), 본 사건과 유사한 전산시스템 오류의 발생 가능성은 있다고 인정할지라도,

 

- 실제로는 “정보DB 시스템과 관리자 페이지 간의 정보 값의 일치성”이 전제되어야 하는 전산시스템의 특성 및

 

- 개인정보를 제공 받는 제3자에게 “제3자 제공의 동의자 정보”를 전송하는 것이 아니라 “거부자 정보”를 제외한 회원정보(엑셀파일)를 모두 전송한다는 사실과

 

- 또한, 해당 정보의 전송 시에 “거부자 정보”가 포함되어 있는지를 확인하는 아무런 필터링장치 없이 정보를 보냈다는 사실 등에 비추어

 

- 피신청인의 소명은 여전히 쉽게 납득할 수 없는 문제점이 있어 그 진위 여부는 확인하기 곤란하였음

 

4. 위원회 의견

 

가. 신청인이 개인정보 제3자 제공에 대한 거부의사를 표시하였음에도 불구하고 개인 정보를 제3자에게 제공한 피신청인의 책임 유무

 

.정보통신망 이용촉진 및 정보보호 등에 관한 법률.(이하 “정보통신망법”) 제24조의2는 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공할 경우, 제공하는 개인정보 항목, 이용기간 등 관련 모든 사항을 알리고 동의를 얻도록 규정함

 

. 본 사안에서 신청인은 회원 가입 시 개인정보 제3자 제공에 대해 동의하지 않았음은 물론,

 

- 보험사의 TM 수신 후 피신청인에게 이에 대한 사실확인을 요청하여, 신청인이 제3자 제공 동의를 하지 않았기 때문에 개인정보가 보험사에 제공되지 않았다는 피신청인의 확인 답변까지 받았음

 

. 그러나 피신청인의 시스템 오류 진위 여부는 별론으로 하더라도, 피신청인은 신청인의 개인정보 제3자 제공에 대한 사실확인 요청 시에 관련 시스템을 제대로 확인하고 수정하는 등 조치를 취하지 않았을 뿐만 아니라,

 

- 개인정보를 제공한 제3자 업체(A생명보험)에 신청인 개인정보의 삭제조치 요구 등 지체 없이 필요한 조치를 취하지 아니함으로써

 

- 개인정보의 제3자 제공 시 이용자의 동의를 받아야 함을 규정한 정보통신망법 제 24조의2 규정을 준수하지 않은 것으로 판단됨

 

나. 신청인 개인정보의 제3자 제공에 대한 기술적. 관리적 조치 미흡에 대한 피신청인의 책임 유무

 

. 피신청인은 자사 전산시스템의 오류 및 이를 복구하는 과정에서 전산담당자의 실수로 신청인의 개인정보가 제3자 제공 수신거부자 DB에서 누락되어 제3자에게 제공되었다고 소명하고 있으나,

 

- 일반적으로 “동의획득”과 관련한 사항은 법적 효력의 발생여부 뿐 아니라 정보통신망법 등 관련 법률의 준수 여부 등을 결정하는 기본적이고 중요한 조건이므로 기술적. 관리적으로 엄격하게 조치되어야 할 사항임을 고려한다면

 

- “동의”버튼을 선택하지 않은 이용자의 개인정보를 제3자에게 제공한 피신청인의 행위는 이용자의 개인정보를 안전하게 보호할 수 있도록 기술적. 관리적 조치를 취할 의무를 규정한 정보통신망법 제28조의 규정을 위반한 것으로 판단됨

 

5. 위원회 결정

 

. 피신청인은 신청인이 개인정보 제3자 제공에 대하여 동의하지 않았음에도 불구하고, 제3자에게 신청인의 개인정보를 제공하였을 뿐 아니라, 신청인의 이의 제기를 받고도 소홀히 대처함으로써 신청인에게 심대한 정신적 피해를 입혔다고 인정되므로

 

- 피신청인은 신청인에게 손해배상금으로 금500,000원을 지급하도록 조정 결정함

 

. 아울러, 피신청인은 지체 없이 신청인을 비롯한 모든 회원의 개인정보 DB를 재점검하여 개인정보 제3자 제공에 동의하지 않았음에도 제3자에게 제공된 개인정보를 해당 제3자의 DB에서 모두 삭제되도록 조치할 것이며,

 

- 현재 피신청인이 이용약관에 “개인정보를 제공받는 제3자”를 70여개 나열하여 일괄동의 받는 방식은 이용자의 자유선택권을 제약할 여지가 있으므로, 개인정보 제3자 제공 및 활용 동의는 이용약관과 따로 분리하여 이용자가 선택할 수 있도록 개선하고,

 

- 회원의 개인정보를 안전하게 보호하고 정보통신망법 등 관련 법령을 준수할 수 있도록 개인정보 취급. 관리체계 및 기술적. 관리적 조치 등을 즉시 재정비 하는 제도 개선할 것을 조정 결정함

 

개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)