| [보도자료] | ||||||||
|---|---|---|---|---|---|---|---|---|
| 제목 | 홈플러스 개인정보 유출피해 미조치 관련 방통위 신고 접수 | |||||||
| 수신 | 각 언론사 경제․사회부, 방통위 출입, NGO담당기자 | |||||||
| 발신 | 경실련 소비자정의센터 ․ 진보네트워크센터 | |||||||
| 문의 | 경실련 소비자정의센터 박지호 간사, 진보네트워크센터 장여경 활동가 T. 02-774-455 | |||||||
| 시행일 | 2015년 3월 16일(월) | |||||||
대부분의 홈플러스 회원, 자신의 개인정보가 보험사에게 판매되었는지 여부조차 확인 못해
방통위, 홈플러스 부당이득에 과징금 부과하고 유출사실 피해자들에게 통지·열람토록 즉각 조치해야
1. 지난 10일 홈플러스(주)는 개인정보 유출에 대해 “국민께 심려를 끼쳐 정말 죄송스럽게 생각한다”고 사과하면서 신선식품을 싸게 판매하겠다고 발표하였다. 하지만 2,406만 건에 달하는 개인정보 유출 사건에 대해서는 어떠한 대책도 내놓지 않았다. 이에 경실련 소비자정의센터와 진보넷은 홈플러스가 할인 운운하며 소비자를 기만하는 행위를 강력하게 비판하며, 신속하게 유출 피해자들에게 개인정보 유출 통지할 것을 촉구하는 입장을 발표한 바 있다.
2. 그러나 홈플러스가 피해 당사자에 대한 유출통지 의무를 회피하여, 대부분의 피해자들은 자신들의 개인정보가 보험회사에 건당 1,980원이나 2,800원에 판매되었지 확인조차 하지 못하고 있다. 이로 인해 피해자들이 피해 사실을 인지하고 피해배상을 받는 데 어려움이 있으며, 이용자들의 개인정보에 대한 부당한 침해가 지금도 지속되고 있다.
3. 이에 경실련 소비자정의센터와 진보넷은 16일 온라인 개인정보보호를 주무하는 방송통신위원회에 홈플러스의 정보통신망법 위반 사실에 대하여 조치를 요구하는 신고서를 제출했다. 이들 단체는 신고서를 통해 “빠른 시일 내에 홈플러스등에게 과징금을 부과하고, 홈플러스등에게 개인정보 제공의 대상이 된 피해자들에게 개인정보 제공 사실을 통지하고 개인정보 열람권을 행사할 수 있도록 조치하여 주실 것을 강력히 요구”했다.
4. 한편 지난 2월 10일 개인정보보호법 주무부처인 행정자치부는 진보넷이 제기한 같은 내용의 민원에 대하여, 16일 “한국인터넷진흥원에서 운영하는 개인정보침해신고센터에서 사실 확인 후 처리하도록 의뢰하였다”는 내용의 답변을 보낸 후로 아무런 조치를 하지 않았다
5. 방송통신위원회가 행정자치부와 같이 개인정보 유출 사건에 대한 무책임한 행정처리를 답습한다면, 기업 봐주기라는 시민들의 강한 비판에 직면하게 될 것이다. 고객 개인정보를 돈벌이로만 생각하는 기업에 대해, 방송통신위원회가 유출 피해자들의 정당한 권리구제를 위해 책임감 있는 조치를 취해줄 것을 다시 한 번 요구하는 바이다.
6. 이와 함께 경실련 소비자정의센터와 진보넷은 홈플러스에 책임 있는 자세를 요구하고 소비자의 피해구제를 위해 손해배상청구소송을 준비하고 있다. 소송인단 모집은 3월 31일까지 진행 될 예정이다.
2015년 3월 16일
경실련 소비자정의센터 ․ 진보네트워크센터
별첨자료. 방송통신위원회 신고서
홈플러스 등의 개인정보 불법제공 관련 시정조치 요구 신고서
| 제목 | 홈플러스 등의 개인정보 불법제공 관련 과징금 부과 및 개인정보 유출 통지 및 개인정보 열람과 관련한 시정조치 요구 신고서 |
|---|---|
| 수신 | 방송통신위원회 (경기도 과천시 관문로 47) |
| 발신 | 경제정의실천시민연합 (소비자정의센터 간사 박지호, 서울시 종로구 동숭3길 26-9, 02-765-9732) 진보네트워크센터 (정책활동가 장여경, 서울시 서대문구 충정로 26-9, 02-765-9732) |
지난 2015년 1월 30일 개인정보범죄 정부합동수사단은 홈플러스 주식회사가 회원들의 개인정보와, 경품행사를 미끼로 경품행사에 응모한 사람들로부터 수집한 개인정보를 불법적으로 보험회사들에 판매하고 231억원의 불법적인 수익을 취득한 사실을 적발하고, 임직원, 회사 등을 개인정보보호법과 정보통신망 이용촉진 및 정보보호에 관한 법률 위반죄로 기소하였다고 밝혔습니다.
그러나 그 이후로부터 두달에 이르는 기간동안 홈플러스는 “국민께 심려를 끼쳐 대표이사로서 정말 죄송스럽게 생각한다”고 사과하면서도 정작 피해자가 누구인지는 통지하지 않고 있어 피해자들이 자신의 피해를 인지하는 것은 물론 피해 배상을 어렵게 하고 있습니다.
이에 홈플러스 등에게
(1) 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 ‘정보통신망법’) 제64조의 3, 제4호, 5호에 의한 과징금 부과
(2) 정보통신망법 제64조 제4항에 의하여 시정조치 : 개인정보 불법 제공의 대상이 된 피해자들에게 개인정보보호법 제34조에 의한 유출통지를 하도록 시정조치하고, 정보통신망법 제30조 제2항에 의하여 개인정보 열람권을 행사할 수 있도록 조치하여 주실 것을 요구합니다.
1. 신고 취지
2015년 1월 30일 개인정보범죄 정부합동수사단(전화번호 02-530-4285, 주책임자 단장 이정수, 이하 ‘정부합동수사단’)은 “경품행사 고객정보와 미동의 회원정보 판매로 약 231억원 챙긴 홈플러스 주식회사 임직원 등 기소”라는 제목의 보도자료(갑제1호증, 이하 ‘보도자료’)를 배포했습니다.
보도자료에서 정부합동수사단은 홈플러스가 온라인 회원들의 개인정보와, 경품행사를 미끼로 경품행사에 응모한 사람들로부터 수집한 개인정보를 불법적으로 보험회사 등에 판매하고 231억원의 불법적인 수익을 취득한 사실을 적발하였습니다.
이에 ❶경품이벤트 명목으로 응모고객들의 개인정보(성명․연락처․자녀수 등) 약 712만건을 불법수집하여 보험사에 판매한 홈플러스(주)측 임직원(대표이사 A, 前부사장 B, 본부장 C, 전현직 팀장 D1, D2, D3) 및 ❷홈플러스(주)의 회원정보 약 1,694만건을 회원 동의없이 보험사에 불법제공한 홈플러스(주)의 보험서비스 전현직 팀장 D1, D2, D3 3명 및 이를 알면서 불법취득한 ㉮보험회사 제휴마케팅 차장 E, ㉯보험회사 제휴마케팅팀 차장 F(이하 ‘홈플러스등’)를 개인정보보호법과 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 ‘정보통신망법’) 위반 등으로 불구속 기소하였다고 밝혔습니다.
홀플러스는 오프라인 뿐 아니라 온라인에서도 회원 가입을 받고 영업에 이용하고 있으며, 전기통신역무를 이용하여 회원들의 포인트 관리 등도 하고 있고, 회원들에게 온라인 쇼핑몰을 이용할 수 있게 하고 있으므로, 홈플러스는 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 수집하고, 제공하는 정보통신서비스 제공자이며, 회원들은 그 이용자임에 틀림이 없습니다. 따라서 정보통신망법에서 규정한 바대로 이용자의 개인정보를 보호할 책무를 가지고 있습니다.
그런데 홈플러스등은 (1) 정보통신망법을 위반하여 개인정보를 불법적으로 제3자에게 제공하였을 뿐만 아니라, (2) 정보통신망법의 개인정보 누출 통지제도가 시행되기 전에는 개인정보보호법 제34조에 의하여 개인정보 유출통지를 해 줄 의무를 지고 있었음에도 불구하고, 피해자들에게 개별적으로 당해 사건의 개인정보 불법 제공 사실을 전혀 통지하지 않고 있습니다. (3) 그 뿐만 아니라 정보통신망법 제30조의 규정에도 불구하고, 피해 여부를 확인하기 위해서는 어떻게 할 수 있는지, 추가 피해 방지 및 피해구제를 받기 위해서는 어떻게 해야 하는지에 대해서 어떤 정보도 제공하지 않고 있습니다. 그리고 피해자들에게 손해배상을 해 줄 어떤 계획도 밝히지 않고 있습니다.
홈플러스 홈페이지 공지사항에도 ‘경품행사를 중단하고, 관련사업을 재검토하여 개선하고 있다’는 짤막한 공지문만 올리고 있을 뿐, 정작 위와 같은 사항에 관해서는 아무런 내용도 밝히지 않고, 이를 숨기고 있습니다.
경실련과 진보넷은 고객들의 개인정보를 불법제공한 홈플러스등이 현재는 개인정보 수집, 이용 및 제공을 중단했는지도 불확실하며, 지금도 이용자들의 개인정보에 대한 부당한 침해가 지속되고 있다는 점에서 이 사안을 매우 중대한 정보인권 침해로 보고 있습니다.
따라서 방송통신위원회가 정보통신망법 제27조의3 제1항 및 제5항 혹은 그에 준하는 다음 조치를 취하여 주실 것을 촉구하는 바입니다.
(1) 정보통신망법 제64조의 3, 제4호, 5호에 의한 과징금 부과
정보통신망법은 정보통신서비스제공자가 정보통신망법을 위반하여 이용자의 동의를 받지 않고 개인정보를 제3자에게 제공한 경우, 정보통신망법을 위반하여 개인정보 취급위탁을 하는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 1 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 규정하고 있습니다.
홈플러스등의 정보통신망법 위반행위와 ‘관련한’ 매출액은 개인정보의 불법 제공으로 인해 직접 얻은 이익액으로 국한해서는 안됩니다.
(2) 정보통신망법 제64조 제4항에 의하여 시정조치
(가) 홈플러스가 개인정보 불법 제공의 대상이 된 피해자들에게 개인정보보호법 제34조에 의한 유출통지를 하도록 시정조치하고,
(나) 홈플러스가 당해 사건의 개인정보 불법제공 사실을 휴대전화 문자나 홈페이지 접속 등의 간이한 방법으로 확인할 수 있도록 이용자들에게 개별적인 통지를 실시하도록 시정조치하고
(다) 홈플러스가 당해 사건의 개인정보 제3자 제공 현황을 이용자들이 홈페이지 접속 등 간이한 방법으로 열람할 수 있도록 시정조치할 것을 요구합니다.
2. 법적 근거
(1) 개인정보 누출통지를 하지 않음
정보통신서비스 제공자와 그로부터 정보통신망법 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 ‘정보통신서비스 제공자등’)은 개인정보의 분실·도난·누출 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지·신고해서는 아니 됩니다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있습니다.(정보통신망법 제27조의3 제1항)
1. 누출등이 된 개인정보 항목
2. 누출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
이를 위반하여 이용자에 통지하지 아니하거나 정당한 사유 없이 24시간을 경과하여 통지한 자에게는 3천만원 이하의 과태료가 부과됩니다.(정보통신망법 제76조 제2의2)
또 정보통신서비스 제공자등은 개인정보의 분실·도난·누출에 대한 대책을 마련하고 그 피해를 최소화할 수 있는 조치를 강구하여야 합니다.(정보통신망법 제27조의3 제5항)
이처럼 정보통신망법은 개인정보 누출통지제도를 두고 있는데, 홈플러스등은 개인정보가 누출되었음을 알게 되었음에도 불구하고 해당 이용자들에게 누출사실 등을 알리지 않았습니다.
언제를 개인정보가 누출된 것으로 볼지에 대해서 정보통신망법이나 시행령은 특별한 규정을 두고 있지는 않습니다. 따라서 일반인이 이해하는 ‘누출’의 의미에 따라서 해석해야 합니다.
국립국어원에 의하면 누출은 ‘1. 액체나 기체 따위가 밖으로 새어 나옴. 또는 그렇게 함. 2. 비밀이나 정보 따위가 밖으로 새어 나감.’의 뜻으로 사용된다고 나와 있습니다. 정보통신망법의 누출 역시 2의 뜻으로 쓰인 것입니다. 즉, 정보 따위가 불법적으로 조직 밖으로 (모르는 상태에서) 새어 나가거나, (의도적으로) 새어 나가게 하는 것인데, 당해 사건과 같이 이용자의 동의를 받지 않고 불법적으로 조직의 밖으로 내보내는 것도 누출에 해당함은 두말할 필요도 없습니다.
실제로 정보통신망법의 용어사용의 예를 살펴보아도 이를 확인할 수 있습니다. 위 정보통신망법 제27조의3 제1항 뿐 아니라 여러 조항에서 ‘분실·도난·누출’으로 나누고 있고, 여기서 ‘누출’은 ‘분실, 도난’과 구분되는 행위입니다. 즉, ‘누출’이란 분실이나 도난에 따른 것이 아닌 개인정보 침해가 해당할 것입니다. 개인정보침해의 가장 전형적인 사례인 개인정보의 불법적인 제공은 이 경우 ‘누출’에 해당함이 분명합니다.
결론적으로 당해 사건과 같이 개인정보를 보험사들에게 불법적으로 제공한 경우는 개인정보 침해에 해당하고, 정보통신망법 제27조의3에서 규율하는 개인정보 누출에 해당합니다.
그럼에도 불구하고 홈플러스등은 피해자들에게 어떤 통지도 하지 않고 있습니다. 이는 정보통신망법의 위반행위입니다.
(2) 개인정보의 열람요구를 할 수 있는 구체적 방법과 절차를 공개하지 않음
정보통신망법은 이용자가 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있는 권한을 주고 있습니다(제30조 제2항). 그에 따라 이용자는 정보통신서비스 제공자등에게 다음 중 어느 하나의 사항에 대한 열람을 요구할 수 있습니다.
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황
그리고 정보통신서비스 제공자등은 제2항에 따라 열람을 요구받으면 지체 없이 필요한 조치를 하여야 하고, 이용자가 열람을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 합니다(정보통신망법 제30조 제4항 및 제6항).
그런데 홈플러스는 개인정보 열람청구를 할 수 있는 방법과 절차를 전혀 알리지 않고 있습니다.
3. 결론
이와 같이 홈플러스등의 위법한 정보통신망법 위반행위로 인하여 이용자들은 막대한 손해를 입었으며, 홈플러스등의 위법한 행위가 지속되고 있어서 이용자들은 손해의 배상과 위법한 개인정보침해행위의 중단을 구하기 위하여 본인이 당해 사건의 피해자인지 여부를 시급히 확인할 필요가 있습니다.이에 빠른 시일 내에 홈플러스등에게 과징금을 부과하고, 홈플러스등에게 개인정보 제공의 대상이 된 피해자들에게 개인정보 제공 사실을 통지하고 개인정보 열람권을 행사할 수 있도록 조치하여 주실 것을 강력히 요구합니다.
