상 임 위 원 회
결 정
제 목 기업의 강제적 개인정보 수집에 대한 권고
주 문
방송통신위원장에게, 기업의 강제적 개인정보 수집 관행에 대하여 다음과 같이 권고한다.
1. (주) 카카오의 모바일 어플리케이션 ‘카카오톡 서비스의 강제적 개인정보 수집 행위’가 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」소정의 조항에 위반되는지 여부를 조사하고, 위반 사항이 있다면 관련규정에 따라 적절한 조치를 취할 것.
2. 기업의 개인정보 수집실태를 전반적으로 점검하고 서비스 이용자의 개인정보가 보호될 수 있도록 관련된 가이드라인을 마련할 것.
이 유
최근 기업에서 개인에 대한 타겟마케팅(Target Marketing)을 위하여 웹과 모바일 어플리케이션을 이용한 과도한 개인정보를 수집하고도 기술적․관리적 보호조치 미흡으로 일련된 개인정보 유출 사고가 발생하고 있다.
그럼에도 불구하고 (주) 카카오가 2011년 8월 23일 개인정보 취급방침을 변경하고 2011년 9월 8일 푸시알림(PNS, Push Notification System)을 통해 서비스 이용자에게 이메일 수집에 동의하지 아니할 경우 계정이 삭제될 수 있다는 메시지를 보내 기업의 강제적 개인정보 수집 논란을 확대한 바 있다. 또한 기업의 서비스 확장을 이유로 이용자들에게 수집된 개인정보를 활용하여 강제적 광고 마케팅을 유도하여 이에 대한 논란이 발생하였다.
이에 국가인권위원회(이하 ‘위원회’라 한다)는 「국가인권위원회법」 제25조 제1항에 따라 (주)카카오의 카카오톡 서비스 확대를 위한 개인정보의 강제적 수집 및 기업의 강제적 개인정보 수집 관행이 「헌법」과 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 한다)」및 국제인권 기준이 보장하고 있는 사생활 침해 등의 기본권을 침해할 우려가 있는지 여부에 대하여 검토하여 주문과 같이 권고하기로 하였다.
Ⅱ. 판단기준
「헌법」제17조, 「헌법」제37조, 「정보통신망법」제22조, 제23조, 제24조의2, 제26조의2, 제50조, 제71조 제1호, 제71조 제1항 제1호 및 제7호, 「정보통신망법 시행령」 제12조
개인정보 자기결정권은 자신의 개인정보를 타인에게 제공할 것인지, 제공할 경우 어느 범위에서 제공할 것인지를 스스로 정할 수 있는 권리로서 헌법재판소 판결(헌법재판소 2005.5.26. 99헌마513) 등을 통해 확인된 정보통신기술의 발달에 따라 보호되어야 할 기본권이며「헌법」뿐만 아니라 UN 개인정보파일 규율에 관한 지침, OECD 프라이버시 8원칙, APEC 프라이버시 원칙 등 국제기준에서도 정보주체의 동의권과 개인정보의 최소 수집 원칙을 포함한 권리이다.
다음에서는 (주)카카오가 개인정보를 수집하는 과정에서 개인정보자기결정권을 침해하여 관련 법률을 위반하였는지에 대하여 검토하되, (주)카카오의 강제적 개인정보취급방침 변경 푸시 알림을 보낸 시점이 개인정보보호법 시행 이전이고, 정보통신망법이 개인정보보호법의 특별법에 해당하므로 정보통신망법에 의한 위반 여부를 검토하면 다음과 같다.
2. 「정보통신망법」 위반 여부
가. 정보통신망법 제22조 제1항, 제26조의2 및 동법 시행령 12조의 위반 여부
정보통신망법 제22조 제1항에서는 이용자의 개인정보를 이용하려고 수집하는 경우에는 수집․이용의 목적, 수집하는 개인정보의 항목 및 보유․이용 기간을 고지한 후 동의를 받도록 하고 있다. 하지만 (주)카카오가 동의를 받는 과정에서 보낸 푸시 알림은 동의하지 않으면 개인정보 추가 수집 항목, 목적 및 이용 기간을 표기하지 않고 있다는 점에 있어서 동 
조항을 위반할 소지가 있다고 판단된다.
또한 동의를 받는 방법과 관련하여 정보통신망법 제26조의2 및 정보통신망법 시행령 제12조는 동의 내용을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하도록 하고 있으며, UN 개인정보파일 규율에 관한 지침, OECD 프라이버시 8원칙, APEC 프라이버시 원칙 등 개인정보 보호와 관련한 국제기준에서도 적법하고 공정한 방법을 통한 이용목적의 명시에 따른 정보주체의 인지를 그 기준으로 하고 있다.
하지만 (주)카카오가 보낸 푸시 알림은 추가 수집되는 항목과 목적이 분명하게 드러나 있지 않으면서 동의하지 않을 경우 서비스를 이용할 수도 없고, 계정이 삭제될 수도 있다는 문구를 삽입하여 서비스 이용자가 동의 내용을 명확하게 인지하지 못한 상태에서 푸시 알림에 따라 강제적으로 동의하도록 유도하고 있다. 그러한 점에서 (주)카카오는 위 조항을 위반할 소지가 있다고 판단된다.
나. 정보통신망법 제23조 제2항 위반 여부
정보통신망법 제23조 제2항은 이용자의 개인정보를 수집하는 경우에는 필요한 최소한의 정보 수집과 그 정보를 제공하지 아니한다는 이유로 서비스 제공을 거부해서는 아니된다고 규정하고 있다.
개인정보 최소한의 수집과 관련하여 (주)카카오는 서비스 이용자들의 이메일이 사용자 식별 수단의 목적으로 필요 최소한의 개인정보 수집이라고 주장하고 있으나, 현재 카카오톡 서비스에서 아이디가 인증보조 수단으로 사용되고 있다는 점, 이메일이 아닌 특정 숫자나 기호를 사용하는 방식으로도 인증수단을 사용할 수 있다는 점, 우리나라의 경우 실명에 기반한 이메일이 빈번한 해킹 및 개인정보 유출 사고로 인하여 많은 노출이 되어 있다는 점에 있어서 이는 최소한의 개인정보 수집으로 보기 어렵다고 판단된다. 또한 
향후 이메일에 의한 식별 수단으로의 전환은 현재 사용하고 있는 전화번호와 단말기 기기번호 식별 수단의 폐기가 예정되어 있는 경우에 사용자의 동의를 통한 전환이 바람직하다는 점, (주)카카오의 약관 제14조를 비롯하여 2010년 3월 서비스를 제공하는 시점부터 지속적으로 개인정보취급방침의 개인정보 수집 및 이용목적에 마케팅 광고에의 활용을 고지하고 있어 변경된 개인정보취급 방침에 의하여 수집된 이메일이 제휴 사업체의 마케팅 수단으로 활용될 가능성을 배제할 수 없다는 점에 있어서도 최소한의 개인정보 수집으로 보기 어렵다고 판단된다.
설사 (주)카카오가 주장하는 바와 같이 이메일 정보가 사용자 식별을 통한 최소한의 개인정보라 할지라도 동 조항에서 규정하고 있는 것처럼 서비스 이용자가 최소한의 정보를 제공하지 않는다는 이유로 서비스 제공을 거부해서는 아니된다고 하고 있으나 푸시 알림에는 서비스 이용제공 거부와 계정삭제를 표시하고 있다는 점에서 위 조항을 위반할 소지가 있다고 판단된다.
다. 정보통신망법 제24조의2 제3항 위반 여부
알림 메시지를 통해 개인정보 수집 동의 절차를 구하면서 개인정보 취급 위탁과 구분하여 동의를 받지 않고 있다는 점과 이에 동의하지 않는 경우 이용자에게 계정을 삭제한다고 고지하고 있다는 점에 있어서 위 조항을 위반할 소지가 있다고 판단된다.
라. 정보통신망법 제50조 제1항 위반 여부와 관련하여
(주)카카오는 서비스 이용자의 이메일은 사용자의 식별수단으로만 사용될 뿐 광고에의 활용 목적이 아니라고 주장하고 있으나, 개인정보 취급방침에는 개인정보에 대한 수집 목록을 추가하면서 수집된 개인정보가 각각 어떠한 목적으로 수집되는지 분리하여 명시하고 있지 않아 개인정보 수집 목적에 포함되어 있는 신규서비스개발 및 마케팅, 광고에의 활용으로 사용될 가능성도 배제할 수 없다. 또한 신규 서비스를 제공하기 위해서 최신 버전으로 업그레이드 할 경우 제휴 업체와의 친구로 추가해 달라는 메시지가 뜨도록 하고 있다는 점에 있어서 위 조항에서 규정하고 있는 영리목적의 광고성 정보 전송 제한을 위반할 소지가 있다고 판단된다.
이상과 같은 이유로 「국가인권위원회법」제25조 제1항에 따라 주문과 같이 결정한다.
2011. 10. 27.
위 원 장 현 병 철
위 원 장 향 숙
위 원 김 영 혜 <불참>
위 원 홍 진 표
1. 「정보통신망법」
제22조(개인정보의 수집․이용 동의 등) ① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1. 개인정보의 수집․ 이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유․이용 기간
제23조(개인정보의 수집 제한 등) ② 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스의 제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요한 최소한의 정보의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다.
제24조의2(개인정보의 제공 동의 등) ③ 제25조제1항에 따른 정보통신서비스 제공자등은 제1항에 따른 제공에 대한 동의와 제25조 제1항에 따른 개인정보 취급위탁에 대한 동의를 받을 때에는 제22조에 따른 개인정보의 수집․이용에 대한 동의와 구분하여 받아야 하고, 이에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 아니 된다.
제25조(개인정보의 취급위탁) ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라한다)는 제3자에게 이용자의 개인정보를 수집․보관․처리․이용․제공․파기 등(이하 “취급”이라 한다)을 할 수 있도록 업무를 위탁(이하 “개인정보 취급위탁”이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.
1. 개인정보 취급위탁을 받는 자(이하 “수탁자”라 한다)
2. 개인정보 취급위탁을 하는 업무의 내용
제26조의2(동의를 받는 방법) 제22조제1항, 제23조제1항단서, 제24조의2제1
항․제2항, 제25조제1항, 제26조제3항 단서 또는 제63조제2항에 따른 동의(이하 “개인정보 수집․이용․제공 등의 동의”라 한다)를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정한다.
제50조(영리목적의 광고성 정보 전송 제한) ① 누구든지 전자우편이나 그 밖에 대통령령으로 정하는 매체를 이용하여 수신자의 명시적인 수신거부의사에 반하는 영리목적의 광고성 정보를 전송하여서는 아니 된다.
2. 「정보통신망법 시행령」
제12조(동의 획득 방법) ① 정보통신서비스 제공자 등이 법 제26조의2에 따라 동의를 얻는 방법은 다음 각 호의 어느 하나와 같다. 이 경우 정보통신서비스 제공자 등은 동의를 얻어야 할 사항(이하 “동의 내용”이라 한다)을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하여야 한다.
1. 인터넷 사이트에 동의 내용을 게재하고 이용자가 동의 여부를 표시하 도록 하는 방법
2. 동의 내용이 기재된 서면을 이용자에게 직접 교부하거나, 우편 또는 모사전송을 통하여 전달하고 이용자가 동의 내용에 대하여 서명 날인 후 제출하도록 하는 방법
3. 동의 내용이 적힌 전자우편을 발송하여 이용자로부터 동의의 의사표시 가 적힌 전자우편을 전송받는 방법
4. 전화를 통하여 동의 내용을 이용자에게 알리고 동의를 얻거나 인터넷 주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화 를 통하여 동의를 얻는 방법
② 정보통신서비스 제공자 등은 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우 이용자에게 동의 내용을 확인할 수 있는 방법(인터넷주소․사업장 전화번호 등)을 안내하고 동의를 얻을 수 있다.
위 정본입니다.
2011. 12. 2.
국 가 인 권 위 원 회
의사담당 임 경 숙 (인)
2011-12-01
