개인정보위 제21회 전체회의 결과

안녕하십니까? 개인정보보호위원회 조사조정국장입니다.

브리핑 시작하도록 하겠습니다.

개인정보보호위원회는 12월 11일 전체회의를 열고 다이렉트 자동차보험 판매 손해보험사에 대한 제재를 의결하였습니다.

먼저, 조사 배경 및 위원회 의결 결과입니다.

개인정보보호위는 자동차 손해보험사들이 불필요하거나 과도한 개인정보를 요구한다는 언론 보도 등에 따라 작년 8월부터 조사를 시작하였습니다.

조사 결과 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험의 4개의 보험사에 대해 과징금 92억 770만 원을 부과하기로 하고 이 과정에서 개인정보 보호책임자의 내부통제 역할도 강화하도록 시정명령하였습니다.

아울러, 조사 대상 12개 보험사 모두 보험료 계산을 중단하거나 보험계약을 체결하지 않은 이용자 정보를 파기하지 않고 보유하고 있어 보유 기간을 개선하도록 시정명령하는 한편, 1년이 넘어도 이용자 정보를 파기하지 않은 롯데손해보험에는 과태료를 부과하였습니다.

구체적인 법 위반 내용에 대해 말씀드리겠습니다.

먼저, 적법한 동의 없이 개인정보를 수집하여 보험 마케팅에 활용한 내용입니다.

현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험의 4개 보험사는 상품 소개를 위한 개인정보 처리 동의에 명백히 미동의 의사를 표시한 이용자를 대상으로 동의 변경을 유도하는 팝업창, 재유도 창을 운영하면서도 이를 통한 동의의 변경은 오인할 수 있는 표현 및 개인정보 자기결정권을 제한함으로써 적법한 동의가 없다고 판단하였습니다.

이러한 재유도 창은 2022년 7월 현대해상화재보험이 종전의 재유도 창에서 확인과 취소 문구를 변경해 정보주체가 오인하도록 유도하고 확인 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 하였는데 이를 다른 사업자들이 벤치마킹하여 도입한 것으로 확인되었습니다.

특히, 이 재유도 창에는 개인정보 처리 동의를 받으면서도 개인정보 관련된 표현이나 동의에 필요한 법정 고지사항이 없어 이용자는 마케팅 활용을 위한 개인정보 처리라는 사실을 알 수 없었습니다.

이렇게 4개의 보험사가 재유도 창을 운영한 기간 동안 이용자의 마케팅 동의율은 최대 30%p 급증한 것으로 나타났으며 4개 보험사는 이렇게 적법하지 않게 동의받은 개인정보를 이용하여 자동차보험뿐만 아니라 해당 보험사에서 운영하는 다른 보험 마케팅에도 활용하였고 이 중 자동차보험에 국한해서 보더라도 문자나 전화 등 약 3,000만 건의 마케팅을 실시한 것으로 확인되었습니다.

그 결과 위반 기간 동안 이와 관련된 스팸 신고 규모도 적지 않았습니다.

다음, 개인정보 보호책임자의 내부통제 미흡 관련입니다.

이렇게 재유도 창을 통해 이루어진 동의 절차는 마케팅 부서에서 기획하였는데 그 과정에서 개인정보 보호책임자 CPO의 검토 등 내부통제가 제대로 작동하지 않은 것이 확인되었으며 이에 따라 개인정보위는 4개의 보험사에 대해 CPO의 내부통제 절차가 적정하게 이루어지고 독립적으로 역할을 수행할 수 있도록 시정명령하였습니다.

끝으로, 처리 목적을 달성한 개인정보를 파기하지 않은 행위 관련입니다.

이번 조사 대상 12개 보험사 모두 다이렉트 자동차보험을 판매하기 위해 보험료 계산 서비스를 제공하고 있는데 이때 이용자의 이름, 주민등록번호, 휴대전화 번호 등을 필수로 수집하게 됩니다.

이들 보험사들은 이렇게 수집한 개인정보를 이용자가 계산을 중단하거나 계산 후 계약을 체결하지 않더라도 1년간 보유하고 있는 사실을 확인하였습니다.

다만, 12개 보험사는 손해보험협회와 협의하여 개선 방안을 마련하고 2025년 초부터 자진 시정할 계획임을 개인정보위에 알려온바 과태료를 시정명령으로 갈음하였습니다.

그러나 롯데손해보험의 경우 동의 유효기간이 1년이 만료되었음에도 32만 명의 개인정보를 파기하지 않아 과태료를 부과하였습니다.

개인정보 처리 관련 이번 자동차보험사에 대한 조사 처분은 보호법상 적법한 동의를 받기 위해서는 정보주체에게 명확히 알리고 자유롭게 결정권을 행사할 수 있도록 해야 된다는 점을 분명히 한 것입니다.

또한, CPO는 개인정보 유출을 방지하기 위한 안전조치뿐만 아니라 적법한 개인정보 처리를 위한 내부통제시스템 구축 등의 역할도 하여야 한다는 점을 강조하였다고 볼 수 있습니다.

아울러, 비록 금융기관의 개인정보 처리라 하더라도 명백히 신용정보법상의 개인 신용정보에 해당하지 않는 경우 개인정보 분야 기본법인 보호법의 적용 대상이 된다는 점을 다시 한번 명확히 했다는 점에 대해서도 의의가 있다고 할 수 있겠습니다.

보험사별 시정조치안은 '붙임' 보시는 바와 같고, 참고로 위반행위 관련 재유도 창에 대해 조금 설명을 드려서 이해하시는 데 좀 더 도움이 될 수 있도록 하겠습니다.

이게 현대해상 같은 경우에 재유도 창, 개인정보 처리에 대한 동의를 받는 창 및 동의하지 않는, 미동의한다는 사람에 대해서, 이거는 변경 전의 경우고요. 미동의하는 경우에 이렇게 다시 한번 동의를 유도하는 재유도 창이 뜹니다.

그런데 기자님도 잘 아시겠지만 미동의한다고 했으면 다음 번에 확인이라고 누르면 당연히 미동의가 확정된다, 라고 생각을 하게 되죠. 이게 변경 전의 경우고요.

그런데 만약에 취소를 해서 동의로 바꾼다고 하더라도 처음에 이용자가 미동의를 눌렀기 때문에 다시 한번 번복한 기회를 주게 됩니다. 그 첫 화면이 다시 뜨게 됩니다. '정말로 미동의했는데 동의로 바꾸겠느냐?' 이게 첫 번째 변경 전의 내용이고요.

그런데 변경 후에는 미동의를 눌렀는데 확인을 누르면 동의로 변경이 되면서 다시 한번 확인하거나 실제로 결정할 수 있는 절차가 생략되었습니다.

그래서 저희는 이러한 사실들이 명백히 오인할 수 있는 문구, 일반의 이용자가 생각하는 것과 그 반대의 문구를 사용하면서 개인정보 자기결정권을 중대하게 침해한 위반이 있다고 판단하였습니다.

아울러, 저 재유도 창을 통해서 개인정보 동의를 어떤 식으로든 받으려고 하는 건데 이 재유도 창에는 기자님도 잘 한번 읽어보시면 아시겠지만 개인정보라는 표현이 나오고 있지 않습니다. 그리고 저희가 개인정보 동의를 받을 때는 법정 고지 항목을 알리고 동의를 받도록 하고 있습니다.

수집 목적이라든지 수집 기간이라든지 수집 항목이라든지 이런 법정 고지사항을 알리도록 하고 있는데 저 재유도 창이 뜨면 저 뒤 화면이 비활성화되면서 이런 법정 고지사항을 확인할 수 없게 되는 이런 상황이 오게 됩니다.

브리핑에서 설명드린 대로 이런 현대해상과 유사한 형태로 나머지 3개 보험사도 따라서 재유도 창을 위반행위 기간 동안 운영한 사실이 있었습니다.

이에 따라서 말씀드린 대로 개인정보보호위는 4개 보험사에 대해서는 과징금을 부과하고 기타 보유 기간이 경과된 개인정보를 파기하지 않은 12개 자동차보험사 모두에 대해서 시정명령 등을 부과하기로 의결하였습니다.

이상 브리핑 마치고 혹시 질의 사항 있으면 질의해 주시면 성실히 답변드리도록 하겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 위반 내용은 4개 보험사가 동일한데 과징금 규모가 현대해상이 월등하게 많은 것 같거든요. 현대해상이 먼저 처음에 도입을 하고 다른 보험사들이 따라서 도입해서 그런 것인지 아니면 건수가 많아서 그런 것인지 경중 판단에 대한 근거가 궁금합니다.

<답변> 저희 과징금 부과 기준이 관련 매출에 따라서 부과하도록 되어 있습니다. 그래서 가장 과징금 규모에 차이가 난 가장 큰 이유는 매출 규모가 다르다는 점 그리고 실제로 과징금 결정하는 단계에서 여러 가지 가중·감경 요소를 반영하게 되는데 그 요소 반영할 때는 기자님이 질의 주신 것처럼 먼저 시작했다든지, 비난 가능성이 더 높다든지 이런 것도 추가적으로 고려되었다는 점을 말씀드리겠습니다.

<질문> 처분을 하신 손보사들 쪽에서 이번 처분에 대해서 어떻게 하겠다거나 그런 회신, 답변을 회신한 게 있었나요?

<답변> 실제로는 조사 과정 내지는 저희가 위원회에 안건 상정 전에 이런 사항들에 대해서는 다 시정이 완료된 상태입니다. 하지만 말씀드린 대로 이런 기획을 하고 재유도 창을 운영하는 과정에서 회사 내부에서 개인정보 보호책임자 등의 역할이 미흡했다고 보기 때문에 그 부분에 대해서는 시정명령을 같이 부과한 건이라고 보시면 되겠습니다.

조사 과정 내지는 위원회 상정 전에 재유도 창에 대해서는 운영을 중지하거나 대부분이 시정을 완료하였습니다.

<질문> 이번 일뿐만 아니라 개인정보위에서 과징금 처분 매길 때 계속 나오는 얘기가 과징금을 매기면 그거는 정보주체 피해 보상이 아니라 어찌 됐던 국가로 귀속되는 이런 쪽이잖아요. 그러면 정보주체가 이런 일로 인해서 피해가 발생했을 때 과징금에 대한 그 금액까지는 아니더라도 피해 보상받을 수 있는 그런 방안은 없는 건가요?

<답변> 기자님 잘 아시겠지만 과징금이라는 그 제도의 원래 취지는 경제적으로 부당한 이득의 환수 그리고 행정 제재적인 성격을 통해서 이런 법 위반이 발생하지 않도록 억제하는 그런 효과에 과징금의 의의가 있다고 봐주시면 될 것 같고요.

저희가 피해구제 관련된 부분은 저희 개인정보 분쟁조정이라든지 아니면 이런 판결을 통해서 위법 사실에 대해서는 이용자들도 많이 알 수 있게 되고 소송이라든지 저희 개인정보보호 분쟁조정 제도 이런 여러 가지 제도 등을 통해서 피해구제를 받으실 수는 있을 것 같습니다.

그리고 말씀드린 대로 이런 제재 처분을 통해서 사업자들한테 경각심을 알려줌으로써 향후에 법 위반을 막는 효과가 있다는 점을 같이 말씀드리겠습니다.

<답변> (사회자) 그러면 더 이상 질문이 없으시면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사합니다.

<답변> 감사합니다.

<끝>