[진보넷, 홈플러스 개인정보 불법제공 사건에 대응]
개인정보 불법제공 사실을 회원들에게 알리지 않는 홈플러스
행정자치부가 행정지도 실시할 것을 촉구한다!
1. 최근 홈플러스가 경품 행사를 미끼로 수집한 개인정보를 보험사에 제공하고 건당 1,980원에 판매한 혐의로 기소되었습니다. 홈플러스는 회원카드 발급 등으로 수집한 소비자 개인정보 2,406만 여건(경품이벤트 참여 고객 약 712만 건, 홈플러스 회원정보 약 1,694만 건)을 보험사 7곳에 판매하고 148억 원을 챙긴 혐의를 받고 있습니다.
정보인권 단체인 우리는 소비자들의 정보인권을 유례없이 침해한 홈플러스 개인정보 불법제공 사건을 심각한 문제로 보고 있으며, 소비자들의 권리 회복을 위하여 집단분쟁조정 신청을 하는 등 적극 활동할 예정입니다.
2. 그러나 정작 2천 4백만 건에 달하는 피해자들은 자신의 개인정보가 이번 불법제공의 대상이 되었는지 여부를 확인하지 못하고 있습니다. 홈플러스가 이번 사건과 관련한 정보주체들에게 불법제공 사실을 통지하지 않고 있기 때문입니다.
오늘(2/10) 우리는 소비자의 개인정보를 불법적으로 판매하여 개인정보보호법을 중대하게 위반한 홈플러스에 대하여, 이 법을 주무하는 행정자치부가 다음과 같은 행정지도를 즉각 실시할 것을 촉구하는 민원을 제기하였습니다.
– 다 음 –
홈플러스는 이번 사건으로 개인정보가 제공된 모든 정보주체에 대하여
(1) 개인정보보호법 제34조 혹은 그에 준하는 조치로서 개인정보 불법제공 사실을 휴대전화 문자나 홈페이지 접속 등의 간이한 방법으로 확인할 수 있도록 개별적인 통지를 실시할 것
(2) 개인정보보호법 제35조 및 동법 시행령 제41조에 따른 개인정보의 제3자 제공 현황을 홈페이지 접속 등 간이한 방법으로 열람할 수 있도록 조치할 것
3. 우리 개인정보보호법은 개인정보가 유출되었을 경우 다음과 같이 정보주체에게 알릴 것을 규정하고 있습니다.
개인정보보호법 제34조(개인정보 유출 통지 등)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정자치부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 행정자치부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.
④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
개인정보보호법 시행령 제40조(개인정보 유출 통지의 방법 및 절차)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면등의 방법으로 지체 없이 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다.
② 제1항에도 불구하고 개인정보처리자는 같은 항 본문에 따라 개인정보가 유출되었음을 알게 되었을 때나 같은 항 단서에 따라 유출 사실을 알고 긴급한 조치를 한 후에도 법 제34조제1항제1호 및 제2호의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다.
③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다.
개인정보보호법은 제34조 제1항을 위반하여 정보주체에게 사실을 알리지 아니한 자에게는 5천만원 이하의 과태료를 부과하도록 하고 있습니다.
4. 홈플러스의 고의적인 개인정보 판매는 위 법에서 규율하는 ‘유출’이 아니라고 볼수 있을지 모릅니다. 그러나 정보주체인 소비자 입장에서는 자신이 동의하지 않은 목적으로 개인정보가 분실, 도난, 유출, 변조, 훼손되는 경우는 모두 ‘유출’로 간주하고 있습니다.
이번 사안을 위 법에서 규정한 ‘유출’로 보지 않을 경우라도, 정보주체는 자신의 개인정보가 불법제공되었다는 사실을 통지받을 수 있어야 합니다.
만약 정보주체가 자신의 개인정보가 불법적으로 제3자에 제공된 사실을 제도적으로 확인할 수 없다면, 개인정보처리자로 하여금 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하도록 한 개인정보 보호법의 입법 목적을 달성할 방법이 없어지게 됩니다.
따라서 홈플러스는 이번 개인정보 불법제공 사실을 정보주체에게 통지해야 마땅합니다.
5. 우리 개인정보보호법은 정보주체에게 개인정보를 열람할 수 있는 권리를 인정하고 있으며, 이때 열람할 수 있는 사항으로 ‘개인정보의 제3자 제공 현황’이 포함되어 있습니다.
개인정보보호법 제35조(개인정보의 열람)
① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
가. 조세의 부과·징수 또는 환급에 관한 업무
나. 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
개인정보보호법 시행령 제41조(개인정보의 열람절차 등)
① 정보주체는 법 제35조제1항 및 제2항에 따라 자신의 개인정보에 대한 열람을 요구하려는 경우에는 행정자치부령으로 정하는 바에 따라 다음 각 호의 사항 중 열람하려는 사항을 표시한 개인정보 열람요구서를 개인정보처리자에게 제출하여야 한다.
1. 개인정보의 항목 및 내용
2. 개인정보의 수집ㆍ이용의 목적
3. 개인정보 보유 및 이용 기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에 동의한 사실 및 내용③ 법 제35조제3항 전단에서 “대통령령으로 정하는 기간”이란 10일을 말한다.
④ 개인정보처리자는 제1항에 따른 개인정보 열람요구서를 받은 날부터 10일 이내에 정보주체에게 해당 개인정보를 열람할 수 있도록 하는 경우와 제42조제1항에 따라 열람 요구 사항 중 일부를 열람하게 하는 경우에는 열람할 개인정보와 열람이 가능한 날짜ㆍ시간 및 장소 등(제42조제1항에 따라 열람 요구 사항 중 일부만을 열람하게 하는 경우에는 그 사유와 이의제기방법을 포함한다)을 행정자치부령으로 정하는 열람통지서로 해당 정보주체에게 알려야 한다.
방대한 양의 개인정보가 불법제공된 이번 사태의 엄중함을 감안해 보건대, 홈플러스 회원들이 자신의 개인정보가 제3자에게 제공되었는지 여부를 간이하게 열람할 수 있는 방안이 지체없이 강구되어야 마땅합니다.
2015년 2월 16일 행정자치부 답변 내용
