::: 디자인맨션 :::

[개인정보] 알아두면 편리한「개인정보분쟁조정사례」

Writer : 디자인맨션 Date : 2003/04/16

최근 DB관리 기술의 비약적인 발전으로 기업마다 방대한 양의 고객DB를 운영하는 사례가 늘고 있다. 이 경우 불가피하게 고객의 개인정보 DB를 다른 기업 또는 개인에게 제공하거나 다른 기업 또는 개인과 공유해야 하는 경우가 많이 생긴다. 주문한 물품을 배달하기 위하여 전문운송회사에 배송업무를 아웃소싱하거나 애프터서비스 업무를 자회사 또는 계열사에 위탁한 경우 또는 고객으로부터 받지 못한 채권을 회수하기 위하여 전문 채권회수기관에 채권회수업무를 의뢰한 경우에는 그와 함께 고객의 개인정보도 이전하여야 한다. 또한 영업규모의 확대·축소 또는 구조조정으로 어쩔 수 없이 영업의 일부를 분할 또는 양도하거나 다른 회사와 합병해야 하는 경우에도 고객 DB의 이전이 발생한다. 특히 최근에는 새로운 사업영역의 개발, 마케팅력의 확대, 비용절감 등 이런 저런 이유로 회사들이 고객 DB를 공유하려는 욕구가 뚜렷해지고 있다.
이와 관련된 개인정보분쟁조정위원회의 조정결정 사례를 소개한다.

이창범 (한국정보보호진흥원 분쟁조정팀장)

- 개인정보의 제3자 제공 및 공유 사례

◆사건의 발단

우리나라의 대표적 기업 중 하나인 A사는 2002년 7월부터 자사 인터넷쇼핑몰을 통해 광고솔루션 프로그램을 설치하도록 배포하였다. 프로그램은 고객이 A사의 인터넷쇼핑몰에 접속하면 홈페이지에 자동적으로 '보안경고' 팝업창을 띄우는 방법으로 보급되었다.

프로그램은 고객이 쇼핑몰을 방문할 때마다 계속해서 뜨도록 되어 있었다. 그러나 A사측은 사전에 이 프로그램이 광고 솔루션 프로그램이라는 사실을 고객에게 알리지 않았다. 이 프로그램을 인터넷 쇼핑몰 등에서 통상적으로 제공되는 전자결제용 보안프로그램으로 착각한 신청인 Z씨는 2002년 8월 20일경 자신의 컴퓨터에 이 프로그램을 설치하게 되었고 이후 계속 웹브라우저가 다운되는 등 컴퓨터에 이상이 생겼다.

그러던 중 친구로부터 A사가 배포한 프로그램에 문제가 있는 것 같다는 이야기를 전해들은 Z씨는 A사의 쇼핑몰 게시판에 클레임을 제기하였다. 깜짝 놀란 A사는 이 프로그램을 하청받아 설계한 P사에 신청인의 성명, 연락처, 클레임 내용을 알려주면서 신청인에게 프로그램 오류발생에 대한 설명과 사과, 오류해결 방법 등을 안내하도록 지시하였다.

◆조정신청사유

신청인은 컴퓨터 프로그래머로서 10여일 동안 컴퓨터를 전혀 사용하지 못하였고 더구나 컴퓨터에 저장된 중요 정보까지 포맷되어 경제적 피해가 막심한데다, 고객의 동의도 없이 자신의 개인정보까지 하청업체(P사)에게 이전한 A사의 행위는 비난받아 마땅하다고 주장하며 이로 인한 정신적 피해의 보상을 요구하였다.

그러나 이에 대하여 피신청인 A사는 자사가 신청인의 개인정보를 P사에 제공한 것은「전자상거래등에서의소비자보호에관한법률」(이하 "전자상거래소비자보호법"이라고 한다) 제21조 및 동법 제26조의 규정에 따른 적법한 행위라고 주장하며 신청인의 보상 요구를 거부하였다.

◆사건의 주요쟁점

이 사건의 쟁점은 피신청인 A사가 프로그램 하청업체 P사에게 신청인의 개인정보를 이전함에 있어서 사전에 신청인 Z의 동의를 구했어야 하는가 하는 점이다.

「정보통신망이용촉진및정보보호등에관한법률」(이하 "정보통신망법"이라고 한다) 제24조 제1항에서는 원칙적으로 '이용자의 사전 동의없는 개인정보의 제3자 제공을 금지'하고 있는 반면, 전자상거래소비자보호법에서는 '재화 등의 설치, 사후 서비스 그밖에 약정한 서비스의 제공을 업으로 하는자로서 당해 서비스의 제공을 위탁받은 자에게 개인정보를 제공하는 경우에는 고객의 허락 없이도 본인의 개인정보를 이용할 수 있도록 예외를 인정' 하고 있기 때문이다. 또 하나의 쟁점은 피신청인이 배포한 프로그램이 고객의 개인 정보를 수집하기 위한 스파이웨어일 가능성이 높다는 것이다.

스파이웨어란 광고효과를 모니터링하기 위하여 프로그램 설치자의 개인정보와 웹서핑 내역을 미리 설정된 특정 서버로 보냄으로써 인터넷을 통해 특정 이용자의 개인 정보 등을 확인할 수 있도록 해주는 소프트웨어를 말한다. 만약 이 프로그램이 스파이웨어라면 이는 그 기업에 도덕적인 비난은 물론 법률적으로 치명적인 영향을 미치게 될 것이다.

◆사실조사결과

피신청인측에서는 신청인이 피신청인의 프로그램 설치에 동의하였다면 피신청인은 프로그램의 제공 및 유지관리를 해주기로 하고 신청인은 프로그램을 피신청인이 제시한 이용 조건에 따라 이용하겠다는 약정을 맺은 것으로 볼 수 있고, 이 약정에 의하여 신청인에게 프로그램의 제공 및 유지 관리 서비스를 제공하는 것은 피신청인이 고객에게 제공하는 재화 등의 공급과는 다른 서비스의 일종으로 볼 수 있는 바, 전자상거래소비자보호법에서 규정하고 있는 '재화 등의 설치, 사후 서비스 그 밖에 약정한 서비스의 제공을 위탁받은 자에게 제공하는 경우'에 해당하므로 고객의 동의는 불필요하다고 주장한다.
그러나 신청인이 당초 문제의 프로그램을 전자결제용 보안 프로그램으로 오해하고 설치했던 것으로 미루어 보아 프로그램 설치에 신청인의 자발적 동의가 있었다고 보기는 어렵다. 보다 근본적인 의문은 문제의 프로그램이 소비자와 사업자간에 이루어진 거래에 따른 재화나 용역이 아니고 거래에 부수한 것도 아니며 당해 쇼핑몰에서 전자거래를 위해 필수적으로 설치가 요구되는 프로그램도 아니라는 사실이다. 즉 피신청인이 순전히 자사의 영리 목적에서 고객의 선호도를 분석하고 광고 효과를 분석하기 위해 배포한 프로그램에 불과하다. 따라서 전자상거래 소비자 보호법의 규정을 근거로 면책을 주장하는 피신청인의 주장은 타당성을 인정받기 어렵다.

전자상거래소비자보호법의 운용을 주관하고 있는 공정거래위원회에서도 이 건과 관련한 위원회의 질의에 대하여 동법의 적용 범위는 소비자와 사업자간에 이루어진 거래에 따른 재화 및 용역과 그에 부수한 것에 한한다는 회신을 보내왔다.

한편, 문제의 프로그램이 스파이웨어인지 여부를 확인하기 위하여 한국정보보호진흥원은 프로그램의 기능 분석을 시도하였으나 이미 피신청인이 자사 웹사이트에서 프로그램과 관련한 시스템을 모두 제거하여 실제 상황에서의 분석은 어려웠다. 결론적으로 테스트 환경에서는 이 프로그램을 통하여 개인 정보가 유출되었는지 여부는 확인할 수 없었다.

◆분쟁조정결과

피신청인은 자사의 개인정보 이전 행위가 고객의 불만을 신속하게 해결하기 위한 순수한 마음에서 이루어진 것이었고 개인정보를 이전하기 전에 자사 고문 변호사 및 정보통신산업협회의 자문을 거치는 등 개인정보피해 예방을 위해 최선의 노력을 다했다고 주장하였다.

그러나 개인정보분쟁조정위원회는 광고솔루션 프로그램을 제작한 하청업체에게 클레임 해결을 목적으로 고객의 개인정보를 이전한 행위는 명백히 동의없는 개인 정보의 이전 금지를 규정하고 있는 정보통신망법에 위반됨을 만장일치로 확인하였다.

◆결 과

사업자가 고객의 개인정보를 제3자에게 제공한 행위가 적법하기 위해서는 현행법상 ①피신청인이 개인정보 제공사실을 미리 고지하고 이를 이용 약관에 명시하였거나 사전에 신청인의 동의를 얻었을 것, ②소비자와의 계약 이행에 불가피한 경우로서 재화 등의 배송 또는 전송을 위하여 당해 배송 업무 등을 위탁받은 사업자에게 개인정보를 제공하는 경우일 것, ③정보통신서비스제공 또는 재화 등의 거래에 따른 요금 정산을 위하여 필요한 경우일 것, ④통계작성 · 학술연구 또는 시장조사를 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 가공하여 제공한 경우일 것, ⑤재화 등의 설치, 사후 서비스 그 밖에 약정한 서비스의 제공을 업으로 하는 자로서 당해 서비스의 제공을 위탁받은 자에게 제공하는 경우일 것 중의 하나에 해당하여야 한다 (정보통신망법 제24조제1항과 전자상거래소비자보호법 제21조제1항 및 동법 시행령 제26조).

그러나 이러한 규정은 사업자의 편의를 위하여 예외적으로 인정되는 것이므로 이를 해석할 때에는 반드시 이용자 또는 소비자의 권리를 염두에 두고 자의적인 확대 해석을 경계하여야 한다. 소비자와 사업자간에 체결된 계약에 따라 제공된 재화나 용역의 A/S를 위해 고객의 개인정보를 A/S사업자에게 이전하는 것은 허용되나, 단지 자사의 영리를 목적으로 설치한 광고 솔루션 프로그램 오류와 관련한 클레임을 처리하기 위해 개인 정보를 무단으로 이전하는 것은 허용되지 않는다.

이러한 결정의 저변에는 개인정보보호라는 근본적인 목적 외에 사업자가 그와 같은 프로그램을 배포함에 있어서 사전에 고객에게 그 프로그램의 기능을 숨긴 것에 대한 질책도 포함되어 있음을 알아야 할 것이다.

정보보호뉴스 2003년 2월호


No	Subject	Date

130	[스팸] 스팸메일 갈수록 지능화 .. 발신자 위장, '광고' 필터링 무사통과	2003/04/02

129	[인터넷쇼핑] 톡톡튀는 전문몰 뜬다	2003/04/03

128	[스팸] 정당한 스팸메일은...	2003/04/05

	[개인정보] 알아두면 편리한「개인정보분쟁조정사례」	2003/04/16

126	[홈페이지] 인터넷 민원서비스 '걸음마 수준'	2003/04/17

125	[인터넷쇼핑] 인터넷 쇼핑시장 年 80% 성장	2003/04/23

124	[인터넷결제] 데이콤 제휴 쇼핑몰 대금결제 연중 무휴..우정사업본부	2003/04/28

123	[개인정보] 정보보호의 모든것 '한눈에'..포털 '보호나라' 오픈	2003/04/28

122	[개인정보] 인터넷 强國 무색 .. 해킹예방사이트 정보보호에 '구멍'	2003/04/29

121	[홈페이지] 증권거래소 홈페이지, 제작가이드라인	2003/04/28

120	[도메인] 도메인 정지 알림 서비스 .. 한국인터넷정보센터	2003/05/06

119	[인터넷광고] 정보검색창 이용 '돈벌이' 논란..포털, 유명브랜드 '키워드광고...	2003/05/06

118	[인터넷광고] 닷컴 황금시대 다시 오나	2003/05/13

117	[휴대폰결제] 다날, 모빌리언스 상대 10억 손배소..휴대폰 결제서비스 특허권...	2003/05/14

116	[인터넷광고] 인터넷 검색광고 '기싸움'	2003/07/01

1 2 3 45→13