개인정보보호입장

[논평] SK플래닛 티스토어는 무분별한 개인정보(민감정보) 수집을 중단하라!

By 2015/11/10 4월 18th, 2018 No Comments

– 가입자는 기업 앞에 벌거벗어야 하는가!
– 제한 없는 개인정보 수집은 개인정보보호법 입법취지에 반한다!
– 관련 약관을 즉각 삭제하고 지금까지 수집한 모든 정보를 폐기하라!

2000만명 이상의 가입자를 보유하고 있는 SK플래닛의 ‘티스토어’가 지난 6월 ‘개인정보 취급방침’을 개정하면서 이용자의 ‘사상과 신념’ ‘노동조합, 정당의 가입, 탈퇴’, ‘정치적 견해’ 등 에 대한 개인정보를 수집할 수 있도록 한 사실이 확인됐다. (국회의원 최민희 2015. 11. 9.자 보도자료 참조)

SK플래닛 티스토어의 이러한 개인정보 처리는 1) 수집 항목 제한이 없는 포괄적인 개인정보 수집인 점 2) 민감정보 수집을 알리고 동의 받는 절차 미흡한 점 3) 개인정보 취급방침 내용변경을 제대로 고지되지 않았다는 점에서 「개인정보보호법」과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 위반 소지가 크다.

1. 수집 항목 제한이 없는 포괄적인 개인정보 수집은 「개인정보보호법」의 입법취지에 반하는 개인정보 처리이다

SK플래닛 티스토어가 “서비스의 안정적 제공 및 개선을 위한 앱 이용 통계분석, 회사의 상품/서비스에 대한 이용실적 정보와 고객의 관심에 부합하는 서비스와 이벤트 기획 및 개인별 최적화된 서비스 제공”을 위하여 수집하는 개인정보 항목은 다음과 같은 민감정보가 포함되어 있다.

(i) 사상·신념, (ii) 노동조합·정당의 가입·탈퇴, (iii) 정치적 견해, (iv) 건강, 성생활 등에 관한 정보, (v) 유전정보, 형의 실효에 관한 법률 상 범죄경력자료에 해당하는 정보

이는 「개인정보보호법」 제23조의 민감정보 예시를 그대로 옮긴 것으로 SK플래닛 티스토어가 사실상 가입자의 모든 민감정보를 처리할 수 있는 길을 연 것이다, 그러나 이러한 개인정보 처리는 「개인정보보호법」의 입법취지에 반한다. (‘처리’라 함은 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 등’ 개인정보에 다루는 모든 행위를 포괄하는 개념이다. 개인정보보호법 제2조 제2호 참조)

「개인정보보호법」 제3조 제1항에서 개인정보 처리 목적에 필요한 최소한의 개인정보만 수집하도록 하였으며, 동조 제6항은 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리해야 한다고 규정하고 있다. 또한 동법 제15조 제2항에서는 개인정보를 수집·이용하는 목적과 그 목적을 위해 수집하려는 개인정보의 항목을 알리도록 하였다.

즉, 「개인정보보호법」은 개인정보 수집/이용 목적에 부합하는 개인정보만을 특정해서 수집하도록 규정하고 있다고 보아야 하며, 수집 항목 제한이 없는 포괄적인 개인정보 수집까지 용인하고 있다고 해석하여서는 안 될 것이다.

SK플래닛 티스토어가 개인정보 수집 항목을 특정하지 않고 민감정보를 예시적으로 열거하여 개인의 모든 민감정보 수집하도록 한 것은, 목적 범위 안에서 최소한의 개인정보를 사생활 침해를 최소화하여 수집할 것을 규정하고 있는 「개인정보보호법」 제3조와 제15조를 무력화 시키는 행위이다. 기업 앞에 가입자를 벌거벗겨 놓겠다는 것과 다를 바가 없다.

2. 민감정보 수집을 알리고 동의 받는 절차가 제대로 이루어지지 않았다

‘앱 이용통계 제공 및 활용 동의(선택)’에서 확인할 수 있는 것은 ‘서비스의 개선 및 혜택 제공을 위한 앱 이용통계 정보 제공 및 활용에 동의합니다“라는 내용을 확인할 수 있을 뿐 이다.

민감정보 수집 여부는 ‘전문보기’를 클릭해야 확인할 수 있으며 그나마 스마트폰 화면에서 읽기 힘든 작은 글씨로 민감정보를 예시적으로 열거하며 모든 민감정보를 처리될 수 있음을 알리고 있다.

「개인정보보호법」 제22조는 개인정보 처리에 관하여 개인의 동의를 받을 때 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받을 것을 규정하고 있다.

「개인정보보호법」 제23조에서 특별히 보호하고 있는 개인의 민감정보를 수집하면서 눈가림식 정보 수집을 알리고 동의를 받은 SK플래닛 티스토어의 행위는 「개인정보보호법」 제22조에 형해화시킨 것이다.

3. 개인정보 취급방침 내용변경이 제대로 알리지 않았다

SK플래닛 티스토어는 올해 6월에 개인정보 취급방침을 고치면서 민감정보 수집을 시작했다고 밝혔으나, 당시 공지된 개인정보 취급방침 내용변경에는 민감정보가 포함될 수 있다는 내용이 포함되어 있지 않다.

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제27조의2 제3항은 “정보통신서비스 제공자등은 제1항에 따른 개인정보 취급방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.” 라고 규정하고 있다.

민감정보는 「개인정보보호법」에서 엄격하게 보호하고 있는 개인정보로 개인정보 취급방침 내용변경을 공개하면서 민감정보 처리에 관한 내용을 누락된 것은 상식적으로 납득하기 힘들다. 이러한 공개는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제27조의2에서 규정하는 변경내용 공개 의무를 준수한 것이라 보기 어렵다.

4. 결어

이번 사건은 빅데이터 산업을 위해서 무분별하게 개인정보를 수집하는 것이 어떤 의미인지를 명확하게 보여 주었다 할 것이다.

한국사회는 주민등록번호라는 변경불가능한 식별번호 아래 전 국민이 묶여있고 실명인증에 기반한 서비스가 일반화되었기 때문에 개인의 가장 내밀한 정보인 민감정보(사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 형의 실효에 관한 법률 상 범죄경력자료에 해당하는 정보)조차 빅데이터 처리 과정에서 형식적인 동의에 의해서 수집·이용할 수 있다면, 개인은 기업에 예속된 존재로 전락할 것이다(끝).

2015년 11월 10일

진보네트워크센터

<참고자료>
1. 스마트폰을 이용한 앱 동의절차 화면
2. [공지] T store 개인정보취급방침 변경 안내