과징금, 이젠 '조' 단위로 때려요

프라이버시 이슈를 보다, 프리-뷰

2023. 5. 25.

과징금, 이젠 '조' 단위로 때려요

2023/05/25 THU

웹에서 보기 | 구독하기

안녕하세요. 오늘의 프리-뷰는 역대 최대 과징금을 부과받은 메타(Meta) 소식과 어제 발표된 개인정보위 제재 내용, 그리고 이번달 국내 이슈까지 싹 정리해서 가져왔어요😊

메타, EU에서 1조 7100억 과징금 부과

아일랜드 데이터보호위원회(DPC)가 일반개인정보 보호법(GDPR) 위반으로 페이스북에 12억 유로(약 1조 7100억 원)의 벌금을 부과했어요. 이는 지난 2021년 8월 아마존이 받았던 7억 4,600만 유로를 훌쩍 뛰어넘는, 지금까지 GDPR 위반 혐의로 부과된 벌금 중 최대 규모입니다. 메타가 운영하는 왓츠앱과 인스타그램은 제외한 오직 페이스북에만 해당되는 벌금이란 걸 생각하면 더욱 어마무시한 액수에요.

이번 조치는 DPC가 2020년 메타에게 EU 내의 이용자들의 정보를 미국으로의 전송하는 행위를 중단하라는 명령에 불복한 것에 대한 제재에요. 기존에는 2000년에 미국과 EU가 맺은 ‘세이프 하버(Safe Harbor)’와 2016년 체결한 ‘프라이버시 실드(Privacy Shield)’ 협정이 있었기에 유럽 이용자의 데이터를 미국으로 자유롭게 보낼 수 있었지만, 각 협정을 2015년과 2020년에 유럽사법재판소가 무효로 판단하며 불가능해졌거든요. 본사로 데이터 전송을 중단하라는 행위는 메타에겐 사실상 EU에서 서비스 종료와 마찬가지에요. DPC는 12억 유로 벌금을 부과하며 유럽인 데이터의 미국 본사 전송을 올해 10월까지 중단할 것을 함께 명령했어요. 이미 전송된 이용자들의 데이터는 6개월 안에 삭제해야 하고요. 메타는 즉각 항소할 것을 밝혔지만, 10월까지 기간이 촉박해보이긴 하네요. 이 기간 안에 현재 논의 중인 EU-미국 간 ‘대서양 횡단 데이터 프라이버시 프레임워크’가 실행된다면 이번 제재는 무효화될 수도 있어요.

더불어 미국과 유럽 간의 데이터 전송과 개인정보에 관련된 기나긴 이야기가 있는데요. 이건 궁금한 구독자님들이 많으면 특집 기사로 소개해드릴게요! 보고싶다면 클릭! 👉 기대돼요👀

이번 달 개인정보위 행정처분

바로 어제 발표된, 11개 사업자에 대한 개인정보보호위원회의 행정처분 소식 전해드려요.

이번 처분은 모두 신고에 따라 조사가 시작된 경우예요.(*단위: 만 원)

동의를 받는 방법 위반

인티그레이션(과태료 360) - 홍보 목적의 개인정보 처리에 동의하지 않을 시 회원가입이 불가하도록 설정

개인정보 유출

[내부 요인]

티맵모빌리티(과징금 5,162 과태료 600)- 4,000명 개인정보 유출, 안전조치의무 위반(소스코드 설정 오류), 유출 통지·신고 위반
한국필립모리스(과태료 300) - 안전조치의무 위반(접근통제)
그린카(과태료 300) - 안전조치의무 위반(접근통제)

[외부 요인(해킹) - 안전조치의무 위반]

창마루(과태료 420) - 안전조치의무 위반(접근통제, 개인정보의 암호화)
펫박스(과태료 780) - 안전조치의무 위반(접근통제, 개인정보의 암호화), 파기 특례 위반
시크먼트(과태료 780) - 안전조치의무 위반(접속기록의 위·변조방지), 유출 통지·신고 위반
라라잡(과태료 780) - 안전조치의무 위반(접근통제, 접속기록의 위·변조방지), 파기 특례 위반
마케팅이즈 - 안전조치의무 위반(접근통제)

기타

Qoo10 Pte. Ltd.(과태료 360) - 안전조치의무 위반(접근통제)
제이티통신 - 안전조치의무 위반(접근통제, 개인정보의 암호화)

요즘 계속 오던 대출전화, 이유 있었네 📞

온라인 대부중개플랫폼 업체가 불법사채업자들에게 돈을 받고 고객 개인정보를 판매한 사실이 드러났습니다. 금융감독원 조사 결과, 플랫폼 업체 7곳이 고객의 동의 없이 약 20만 명의 정보를 건별로 1천 원~5천 원을 받고 판매해 왔다고 해요. 판매한 정보에는 생년월일, 연락처, 직장, 가족관계, 주소, 부동산 현황, 대출 이력, 신용점수와 같은 민감한 신용정보가 포함되어 있어 2차 피해가 클 것으로 보여요.

출처: 금융감독원

7곳에는 영업정지 3개월 및 과태료 200만 원 처분 예정이라고 해요.(이들이 개인정보를 팔아 최소 2억 원의 이익을 얻은 걸 생각하면 과태료가 매우 약소해 보이긴 하네요🤔) 금융위원회는 지난 2월부터 대부중개플랫폼의 이용자 개인정보 표시 방식을 개선하기도 했죠. 대부업체의 개인정보 유출행위와 사이트 내 불법행위 단속이 지속적으로 이뤄질 것으로 보입니다.

최근에 현대카드 만드셨나요? 💳

현대카드에서 마케팅 수신 동의를 하지 않은 사용자의 정보를 다른 기업에 제공한 사실이 드러나 논란이에요. 한 기사 보도에 따르면, A씨는 코스트코 이용을 위해 현대카드 신규 발급을 받았는데, 이때 개인정보 마케팅 활용에 거부했음에도 불구하고 현대카드가 A씨 개인정보를 마케팅업체에 넘겨 광고문자 폭탄을 받았다고 해요. 현대카드 측은 첫 출근한 신입 사원의 단순 실수라고 밝혔지만, 이미 A씨의 개인정보는 50여 곳에 제공된 후였어요. A씨는 다른 업체에 전달된 개인정보를 모두 회수해달라고 요청했지만, 현재까지 회수된 곳은 현대 계열사의 4개 사뿐이에요. 나머지 개인정보도 회수해달라는 요청에 현대카드 측은 “과도한 요구는 들어줄 수 없다”고 답변했다고 해요.

기본적인 서비스 제공 목적이 아닌 마케팅과 같은 홍보 목적으로 이용자의 개인정보를 이용하기 위해서는 이용자로부터 “선택” 동의를 받아야 하죠. 이렇게 수집된 정보는 기업의 데이터 자산이기도 하지만, 원칙적으로 개인정보에 대한 권리는 정보주체 자신에게 있어요. 정보주체는 자신의 개인정보가 어떻게 처리되었는지 열람, 삭제 ,처리 정지, 동의 철회를 요청할 법적 권리가 있습니다. A씨의 개인정보를 회수해달라는 요청은 정당한 정보주체의 권리에요. 이용자가 동의하지 않았는데 개인정보를 제3자에게 제공한 것은 아무리 신입사원의 실수라 하더라도 분명한 위법이고요.

한 번 개인정보가 제3자에게 제공이 되고 나면 제공된 정보에 대한 관리가 쉽지 않은 것이 현실입니다. 그만큼 개인정보 제3자 제공은 신중히 이뤄져야 하므로 개인정보 보호법에서도 기본 동의와 구분하여 별도로 동의받도록 명시하고 있죠. 이 사건에 대한 사실판단은 개인정보보호위원회의 조사가 나와봐야 알겠지만, 이번 사례를 통해 마케팅 활용, 제3자제공 동의는 반드시 별도로 받아야 한다는 점, 한 번 더 기억하고 가세요🙂

엄마, 내 사진 인스타에 올리지 마 👦🏻🧒🏻

귀여운 내 아이들의 모습, 기록용으로 SNS에 자주 올리신다고요? 근데 잠깐, 아이의 허락은 받고 올리는 건가요?

이른바 셰어런팅(Sharenting)이라고 하는데요, 공유(share)와 양육(parenting)의 합성어로 자녀의 사진을 SNS에 올리는 행위를 말해요. 실제로 11살 이하 자녀를 둔 부모의 84%가 월 1회 이상 자녀의 사진이나 영상을 SNS에 주기적으로 업로드한다고 밝힐 정도로(자료: 세이브더칠드런) SNS를 통해 아이들의 일상을 공유하는 건 너무나 자연스러운 현실이죠. 다른 부모와 공감하고 육아 팁을 나눈다는 긍정적인 측면도 있지만, 아이에겐 사생활과 개인정보 자기결정권을 침해당하는 일일 수 있어요.

빠르게 정보가 확산되는 특성상 한 번 SNS에 업로드된 사진을 완전히 지우기란 쉽지 않죠. 부모가 어린 시절 귀엽다고 별생각 없이 올린 사진이 아이에겐 숨기고 싶은 순간일 수 있어요. 기이한 행동들, 병력과 같은 정보가 나중에 자녀의 입시, 취업, 결혼에도 영향을 끼칠 수도 있고요. 다른 사람이 아이의 사진을 마음대로 보는 것은 물론, 멋대로 도용하고, 사진·영상 속 정보를 이용해 범죄에 악용할 가능성도 무시할 수 없죠. 실제로 🇦🇺호주 사이버안전위원회가 호주 소아성도착증 범죄 사이트에서 발견한 사진의 절반 가량이 SNS사진이라고 해요.

🇫🇷프랑스에서는 자녀의 동의 없이 이미지를 공개할 경우 징역 1년 혹은 4만 500유로의 벌금을 받을 수 있으며, 🇬🇧영국은 셰어런팅한 부모를 상대로 자녀가 소송 제기도 가능해요. 실제로 🇨🇦캐나다와 🇦🇹오스트리아에서는 10대 자녀가 페이스북에 자신의 사진을 올린 부모를 상대로 소송을 제기하기도 했어요. 🇰🇷우리나라에서는 아직 셰어런팅에 대해 법제화되지 않았지만, 개인정보보호위원회에서 아동·청소년의 개인정보 보호법 제정을 위해 노력하고 있어요. 만 24세 이하라면 만 18세 미만에 작성한 게시물 중 개인정보가 포함된 글을 삭제해주는 ‘지우개(잊힐 권리)’ 서비스는 이미 시범 운영 중이며, 올해는 학부모와 지도교사 1,000명을 대상으로 셰어런팅 주의점과 아동·청소년의 디지털 잊힐권리 보장 방법에 대해 교육을 진행할 예정이라고 해요.

게시물 하나에 담긴 정보는 작더라도, 모이면 상세한 정보가 될 수 있어요. 아이에게 결정권을 준다는 것, 부모입장에서는 어려운 일일 수 있어요. 하지만, SNS에 올리기 전 아이에게 충분히 설명하고 의사를 물어봐 준다면, 셰어런팅의 부작용으로부터 아이를 보호할 수 있지 않을까요?(셰어런팅 가이드라인 보러가기)

챗GPT 활용 방법 및 주의사항 안내서 발간

행정안전부에서 공공부문에서 챗GPT를 올바르게 활용할 수 있도록 ‘챗GPT 활용 방법 및 주의사항 안내서’를 발간했다는 소식입니다. 정보탐색능력, 언어능력, 컴퓨터능력 3개 분야로 나누어 검색, 자료 초안 작성, 논문 요약, 코딩 등 자세한 활용 방법을 예시로 설명해 주고 있어요. 약 300개의 중앙행정기관과 지방자치단체를 위한 배포용 문서이지만 정부 부처에서 공식으로 발행한 문서인만큼, 챗GPT 사용자분들은 한 번쯤 읽어보시길 추천드려요(분량도 짧은 편!😉)