|
개인정보위는 한국소비자연맹 등 공익·민원 신고에 따라 지난해 5월부터 삼쩜삼에 대한 조사에 착수했다. ‘주민등록번호 처리 근거 및 과정과 개인정보 수집·이용, 제3자 제공과 관련한 적법 동의 여부에 중점을 두고 조사를 진행했다.
그 결과 삼쩜삼은 주민등록번호 처리 제한 의무와 개인정보 수집·이용, 민감정보처리, 제3자 제공에서 이용자 동의를 받지 않을 것으로 나타났다.
먼저 삼쩜삼은 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인 및 소득 관련 정보 수집, 세무대리인 수임 동의, 환급신고 대행 사업을 영위해왔다.
이처럼 법령 근거 없이 주민등록번호를 수집·보관한 행위는 개인정보 보호법 제24조의2 위반이다. 보호법 제24조제1항에 따라 주민등록번호는 ’법령 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우‘ 등에 한해 처리할 수 있다.
다만 주민등록번호가 포함된 신고·신청(종합소득세 신고 등)을 대행하는 사업자가 법령에 따라 주민등록번호 처리 권한을 보유한 행정기관(국세청)에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우는 보호법상 제한된 행위로 보지 않는다. 이에 따라 ’주민등록번호 단순 전달 후 파기, 파일 등으로 저장·보유 금지‘ 내용에 대한 시정조치를 명령하고, 향후 이행 여부를 확인하기로 했다.
아울러 삼쩜삼이 소득정보 등 개인정보를 수집하는 과정에서 처리방침을 통해 포괄 동의를 받으면서, 수집 항목을 누락하고 수집 목적·보유기간 등을 불명확하게 고지한 사실도 드러났다. 뿐만 아니라 근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등에 대한 정보를 수집하면서 민감정보인 건강정보에 대한 별도 동의도 받지 않았다.
뿐만 아니라 추가 검토가 필요한 경우 세무대리인이 대신 신고하도록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않은 사실 등이 있음을 확인했다.
남석 조사조정국장은 “데이터 경제 시대에 개인정보위는 법 위반행위에 대해서는 엄격한 제재를 하겠다”며 “새싹기업 등이 신규 서비스를 설계할 때 개인정보보호 관점에서 서비스를 기획·개선하도록 유도함으로써 국민들이 다양한 서비스를 안전하게 이용할 수 있는 환경 조성을 위해 노력해 나갈 계획”이라고 말했다.
