내 개인정보에 대한 중요성은 시간이 지날수록 더욱 높아지고 있는데요. 이전에 있던 사례를 통해 실제 개인정보 동의할 때 알아야 할 상식을 알려드리고자 합니다. 국내 한 대형마트에서 실제 일어난 사건인데 내 개인정보가 이동하는 도중에 어떤 일이 일어날지 아무도 모르겠죠.
이제 실제 판례에 대해서 상세하게 알아볼 것이며 이 내용을 준비하기 위해 많은 매체와 공식홈페이지 등을 확인 후 최신 정보만을 담았습니다. 아래에서 바로 확인하세요.
개인정보 동의 사례(*플러스 깨알고지 사건)
| [요약] 개인정보를 판매할 목적으로 이벤트를 개최하였으나, 실제 개인정보를 수집 및 제3자 제공에 대한 내용은 잘 안보이는 곳에 고지를 하거나 읽을 수 없는 크기(1mm)로만 고지하였음 |
국내 대형마트에서‘창립 14주년 고객감사 대축제’, ‘그룹 탄생 5주년 기념’, ‘브라질 월드컵 승리 기원’, ‘피고인 9 회사가 올해도 10대를 쏩니다’와 같은 광고 문구를 써가면서 벤츠, 다이아몬드 반지 등을 경품으로 내걸었고 모객행위를 하였으나 실제는 개인정보를 수집하여 판매할 목적으로 경품 행사를 진행하였음
해당 행사는 개인정보 수집 등에 동의하지 않으면 추첨에서 제외되는 경품행사였고, 행사 참여자들은 개인정보 수집에 쉽게 동의하였음
이렇게 대형마트는 고객 712만명의 주민등록번호, 휴대폰 번호 등 개인정보를 수집했고, 그중 700만건을 7개 국내 보험사들에게 148억여 원을 받고 팔아넘겼음
문제는 동의를 받는 방법이었는데…실제 개인정보 수집 및 제3자 제공에 관한 내용은 응모권 뒷면이나 응모 화면에 읽기 어려운 약 1mm 크기의 글씨로만 고지함
해당 대형 매트는 그 고객들의 개인정보 데이터베이스를 보험회사에 제공하고, 보험회사가 그 중 자신과이미 보험계약을 체결하였거나 자신의 블랙리스트에 올라 있는 고객을 걸러내면(이른바 사전필터링), 홈플러스가 필터링 되고 남은 고객들에게 전화를 걸어 위 보험회사에 개인정보를 제공하는 것에 동의하는지 여부를 확인하여 그에 동의한 고객들의 개인정보를 다시 보험회사에 제공함
판결 결과
대법원 2017. 4. 7. 선고 2016도13263 판결
1ㆍ2심은 전부 무죄를 선고했다.
개인정보를 취득할 때 제3자에게 유상으로 판매한다는 사실을 법적으로 고지할 의무가 법에 규정돼 있지 않다는 이유였다.
또 동의 관련 사항을 1mm 크기로 적어 사실상 읽을 수 없게 한 점에 대해서는 ”그 정도의 글자 크기가 사람이 읽을 수 없는 정도라고 단정할 수 없다.“고 봤다.
또 홈플러스측이 응모함 옆에 실제 응모권의 4배 크기의 확대 사진을 붙이기도 했다며 글자 크기를 1mm로 작게 한 행위가 ”거짓이나 그 밖의 부정한 수단이나 방법으로 볼 수 없다.“고 판결했다.
이 판결에 시민단체 등은 “판사님은 이 글씨가 보이십니까”라며 항의하기도 했다.
2017년 열린 첫 번째 대법원 판결은 이를 받아들이지 않았다.
당시 대법원은 ”응모권 용지에 적힌 1mm 크기 글씨로 기재돼 있어 소비자 입장에서 그 내용을 읽기 쉽지 않다“고 원심판결을 뒤집었다.
대법원은 “단순 사은 행사로 알고 경품행사에 응모한 고객들은 짧은 시간에 그 내용을 정확히 파악하기 어려웠을 것”이라며 홈플러스측의 조치가 개인정보 제공 동의를 명확하게 인지할 수 있도록 해야 한다는 법적 의무를 위반했다고 봤다.
대법원을 사건을 서울중앙지법 합의부로 파기환송했다.
파기환송심은 대법원 판결에 따라 벌금 7500만원을, 도성환 대표에게 징역 10월과 집행유예 2년을 선고했다. 나머지 담당자들도 징역 6월~1년과 집행유예를, 벌금 700만원을 선고받았다.
대법원 2부(주심 김상환 대법관)는 상고를 기각하고 파기환송심을 확정했다고 6일 밝혔다.
판결요지
| [요약] 개인정보를 제공하지 않으면 경품행사에 참여하지 못한다고 응모권에 크게 써놓고 개인정보수집 동의 관련 사항은 1mm 크기의 작은 글씨로 기재해 소비자가 인식하기 어렵게 했다. |
[1] 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다.
그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지를 판단할 때에는 개인정보처리자가 그에 관한 동의를 받는 행위 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.
[2] 개인정보 보호법 제17조 제1항 제1호, 제26조, 제71조 제1호, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다) 제24조의2 제1항, 제25조, 제71조 제3호의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다.
개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.
한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.
마무리
많이 공부가 되셨나요? 분명히 말씀드릴 것은 본 글은 양질의 포스팅을 목적으로 포스팅 되었으며, 여러분들의 궁금증을 100% 해결될 수 있도록 모든 매체(뉴스, 공식홈페이지, 블로그, SNS 등)에서 정보를 수집했습니다.
이 정보가 불필요한 정보가 되지 않도록 여러분들의 일상에 큰 도움이 되었으면 하는 바램입니다. 감사합니다.