[개인정보보호 이슈] 스타트업의 잘못된 개인정보 수집 사례 3가지 (feat. 개선)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호 이슈] 스타트업의 잘못된 개인정보 수집 사례 3가지 (feat. 개선) 입니다.

각종 이슈 사례와 개선방향을 숙지하고, 개인정보보호 인식제고를 향상하는데 참고하시기 바랍니다.

---

많은 스타트업이 해외 서비스와 경쟁 서비스의 사례를 바탕으로 서비스와 이벤트를 기획합니다.

• 이 과정에서 국내실정에 맞지 않은 방식으로 개인정보를 수집하여 의도하지 않은 위법이 발생하는 경우가 빈번하게 발생하고 있습니다.
• 회사의 서비스가 성장하고 규모가 커질수록 개인정보 관련 부주의와 실수는 고객의 불만과 과태료 부과까지 발생할 수 있으며, 나아가 법적분쟁 및 소송까지 사회적 논란으로 야기될 수 있습니다.
• 오늘은 스타트업이 가장 많이 실수하게 되는 잘못된 개인정보 수집 사례 3가지와 그 개선방안에 대해 설명드리겠습니다.

1. 동의받지 않고 개인정보를 수집하는 경우

• 모 서비스는 인지도와 활성 이용자 수를 늘리기 위해 뉴스레터를 운영하기로 합니다.
• 이를 위해 홈페이지 하단에 이메일 주소 수집란을 추가하였습니다.
• 성명이나, 다른 정보는 수집하지 않기 때문에 별도의 개인정보 동의는 넣지 않았습니다. 자 그럼, 문제가 될까요? 안될까요?
• 이메일 주소를 포털에 검색해보면 이메일 소유자가 누구인지 쉽게 식별할 수 있습니다.
• 따라서, 이메일 주소만 수집하더라도 개인정보를 수집하는 것으로 볼 수 있습니다.
• 이 경우, 동의받지 않고 개인정보를 수집·이용하는 것에 해당하여 최대 5천만원 이하의 과태료를 부과받을 수 있습니다.

개인정보를 수집·이용할 때는 반드시 사전 동의를 받아야 합니다. 동의를 받을 때는 이용자가 동의의 내용과 의미를 명확하게 인지하고 개인정보 동의 여부를 결정할 수 있도록 

• ① 개인정보의 수집·이용 목적
• ② 수집하려는 개인정보의 항목
• ③ 개인정보의 보유 및 이용기간
• ④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익에 대한 내용을 알려야 합니다.

2. 이용자에게 알려야 할 사항을 알리지 않은 경우

모바일 앱 회원가입 기획 시 "회원가입이나 로그인 시 약관 및 개인정보처리방침에 동의하는 것으로 간주합니다."라고 명시하는 방법으로 회원가입 페이지를 구성하였습니다. 과연 문제가 될까요?

• 개인정보처리방침은 이용자의 개인정보에 대한 권리보장을 위하여 다양한 목적으로 수집한 개인정보를 어떻게 이용하고 보호할 것인지 규정한 문서이므로 내용이 매우 길고 많습니다.
• 이는 이용자가 동의 내용을 명확하게 파악하기에 어렵게 만드는 경우가 많기 때문에 동의 시 알아야 하는 사항을 제대로 알리지 않고, 개인정보를 수집하게 됩니다. 이 경우, 최대 3천만원 이하의 과태료를 부과받을 수 있습니다. 
• 일부 국가는 개인정보처리방침에 동의하는 것으로 간주하는 방식이 위법이 아니지만, 국내는 이용자가 개인정보 수집·이용 목적을 명확하게 인지하고 동의할 수 있도록 해야 하므로 개인정보처리방침에 동의받아 개인정보를 수집하면 안됩니다.

이용자에게 반드시 알려야 할 사람은 아래와 같습니다.

• ① 개인정보의 수집·이용 목적
• ② 수집하려는 개인정보의 항목
• ③ 개인정보의 보유 및 이용기간
• ④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익에 대한 내용으로 1번 내용과 동일하게 수집·이용 동의를 득하여야 합니다.

3. 각각의 동의 사항을 구분하지 않은 경우

상담 예약자를 대상으로 광고를 할 생각입니다. 그래서 상담을 위한 개인정보 수집·이용 동의와 광고성 정보 수신 동의를 한번에 받고 있으며, 동의하지 않을 경우, 상담 예약이 불가능하도록 하였습니다. 과연 문제가 될까요?

개인정보 수집·이용 동의 SAMPLE

• 상품 및 서비스 판매 권유, 홍보에 필요한 정보, 고객 성향을 분석하기 위해 필요한 정보 등을 수집·이용하기 위해서는 이용자의 별도 동의가 필요합니다.
• 서비스 이용에 필수적인 동의와 그렇지 않은 동의 사항을 각각 구분하지 않고 포괄 동의를 받는 경우, 최대 1천만원의 과태료를 부과받을 수 있습니다.
• 광고 목적의 개인정보 수집·이용을 위해서는 필수동의 사항과 각각 구분하여 동의를 받아야 합니다.
• 또한, 광고 목적 개인정보 수집·이용 사실을 이용자에게 명확하게 알리고 이용자가 직접 동의 사항에 표시하는 방식으로 동의를 받아야 합니다.
• 광고 목적 개인정보 수집·이용 동의를 기본값으로 하여 동의를 유도하면 안됩니다.
• 또한, 이러한 동의를 하지 않는다는 이유로 상담 예약 서비스 제공을 거부하면 안됩니다.

위 3가지 사례는 주변에서 빈번하게 찾아볼 수 있는 명백히 잘못된 사례입니다.

1. 한국인터넷진흥원과 같은 국내 규제 기관에서는 위 사항에 대해 매년 수천에서 수만건의 서비스를 직접 점검하고 시정조치를 요구하고 있습니다. 이 때 점검에 적극적으로 대응하지 않거나, 시정조치를 이행하지 않는 경우, 과태료를 부과받을 수 있습니다.
2. 과태료를 떠나, 서비스를 이용하는 고객이 당연히 알아야 할 권리인 개인정보 수집·이용 동의서를 잘 만들어 여러분들의 서비스에 더 신뢰를 더 할 수 있기를 기대해봅니다.

더욱 안전한 개인정보보호를 위해 노력해봅시다!