서울 YMCA 시민중계실이 국민은행(KB)의 알뜰폰 가입자 모집 시 발생한 개인정보보호법 위반 행위에 대해 개인정보보호위원회가 솜방망이 처벌을 했다고 비판하는 성명을 16일 냈다.
개인정보위는 KB에 대해 아이피 주소(IP, 도메인, URL) 등 개인정보 수집에 관해 정보주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 사실을 확인해, 과태료 120만원을 부과하고 개선권고(’23. 4월 필수·선택 동의 구분 등 시정을 완료하여 개선권고 부과)를 명했다.
이번 사건은 서울YMCA 시민중계실이 조사를 요청하면서 이뤄진 것이다.
어떤 논란인데? ..120만원 vs 3천만원
KB는 알뜰폰 서비스 이용에 필수적이지 않은 URL 정보를 ‘필수동의’ 항목에 포함시켜, 이에 동의하지 않을 경우 사실상 서비스 제공을 거부했다.
그러나 서울YMCA는 개인정보보호법 제16조제3항 및 제22조제5항을 위반한 것으로 간주해야 한다고 주장했다. 이리 되면 3천만원 이하의 과태료 처분 대상에 해당한다.
즉 ‘최소한의 정보 외의 개인정보 수집에 동의하지 않았다는 이유로 서비스 제공을 거부하면 안되는 조항(제16조제3항)’과 ‘정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 않았다는 이유로 서비스 제공을 거부해선 안된다(제22조제5항)’을 위반했다는 것이다.
IP주소는 그대로 필수정보로 포함
서울YMCA는 “올해 4월 KB가 ‘필수·선택 동의 구분’ 등 시정을 완료해 개선권고를 한다고 했지만, KB 리브엠의 변경된 개인정보처리방침에는 ‘필수정보’에서 URL은 제외됐으나, ‘IP주소’가 그대로 포함돼 있다”며 미흡하다고 지적했다.
이에 대해 KB는 “타 통신사들도 ‘IP주소’를 필수 항목에 포함시키고 있다”고 해명하고 있다.
불법 수집한 개인정보 파기여부도 확인해야
서울YMCA는 아울러 6억 6천만건 이상의 URL정보가 파기됐는지 개인정보보호위는 확인하지 않았다고 밝혔다.
그러면서 “KB가 알뜰폰 가입자 40만명 이상, 불법 수집된 정보 6억 6천만건을 통해 KB 알뜰폰 매출액 1천억원 이상을 벌었음에도 개인정보위는 깊이 있는 사실조사를 하지 않고 처벌 조항도 허술하게 해서 개인정보 주체들의 피해 구제와 절한 처벌을 하지 못했다”고 비판했다.
이어 “결국 120만원 과태료는 KB가 알뜰폰 사업을 하며 불법적인 개인정보 수집에 가입자 1인당 3원의 비용을 쓴 셈 밖에 안된다”며 “개인정보보호위원회는 KB 처분에 대한 의결을 전면 재검토하고, KB의 위법행위를 제대로 시정해야 한다. 사안의 심각성에 부합하는 과태료/과징금을 제대로 부과해야 할 것”이라고 재조사를 촉구했다.