이용자의 동의를 받지 않고 개인을 식별할 수 있는 얼굴인식 정보를 생성‧이용하는 등 개인정보보호 법규를 위반한 해외 온라인 플랫폼 사업자들에게 약 66억 원의 과징금 부과 등 시정조치가 내려졌다.

개인정보보호위원회(위원장 윤종인, 이하 개인정보위)는 8월 25일(수) 제14회 전체회의를 개최해 페이스북과 넷플릭스, 구글 등 3개 사업자에게 총 66억 6천만 원의 과징금과 2천 9백만 원의 과태료를 부과하고, 시정명령‧개선권고‧공표 등 시정조치를 의결했다.

이번 조사는 지난해 국정감사 과정에서 “해외 사업자의 개인정보 수집 동의방식에 문제가 있다.”라는 민병덕 의원(국회 정무위)의 지적에 따른 후속 조치로 시작되었다.

개인정보위는 한국인터넷진흥원(위원장 이원태)과 함께 그간의 언론보도, 시민단체 신고, 민원 등을 토대로 이들 사업자의 동의방식이 적법한 지에 대해 집중적으로 분석․점검․조사하였다.

그 결과, 페이스북‧넷플릭스‧구글 등 3개 사업자의 법 위반 사항을 적발하고, 개인정보보호 실태가 미흡한 사실을 확인하였다.

먼저, 법 위반 항목이 6개로 가장 많은 페이스북의 경우, 2018년 4월부터 2019년 9월까지 약 1년 5개월간 이용자의 동의 없이 얼굴인식 서식(템플릿)을 생성․수집하였으며, 이러한 위반행위에 대해 64억 4천만원의 과징금을 부과하였다.

또한, ①위법한 주민등록번호 수집, ②개인정보 처리주체 변경 미고지, ③개인정보 처리위탁 및 ④국외이전 관련 내용 미공개, ⑤자료 미제출에 대해서는 총 2천 6백만 원의 과태료를 부과했다.

개인정보위는 동의 없는 얼굴정보 수집 등 위반 사항에 대해 시정명령*을 내리고, 개인정보 추가 수집 시 법정 고지사항이 불명확해 개인정보 처리실태가 미흡한 점은 개선하도록 권고했다.

시정명령 사항은 동의 없이 수집된 얼굴정보를 파기하거나 동의를 받을 것, 법적 근거 없는 주민등록번호 처리를 금지하고 수집된 자료는 파기할 것, 개인정보 국외이전 관련 내용과 개인정보 처리위탁 내용을 공개할 것 등이다.

개선권고 사항은 개인정보 추가 수집 시 법정 고지사항을 이용자가 쉽게 확인할 수 있도록 할 것이다.

넷플릭스의 경우 2가지 법 위반 사항이 적발됐다.

먼저 서비스 가입 시 절차가 완료되기 전에 동의 없이 개인정보를 수집한 행위에 대해 2억 2천만 원의 과징금 부과와 함께 시정명령을 하였으며, 개인정보 국외이전 관련 내용을 공개하지 않은 행위에 대해서는 320만 원의 과태료를 부과하였다.

마지막으로, 구글의 경우에는 법 위반으로 볼 수 있는 사항은 발견되지 않았지만, 개인정보 추가 수집시(결제정보, 직업‧경력‧학력, 이메일, 전화번호, 주소 등)법정사항의 고지 불명확, 국외이전 개인정보 항목의 구체적 명시 부족 등 개인정보 처리실태가 미흡한 사항이 확인되어 이를 개선토록 권고하였다.

송상훈 개인정보위 조사조정국장은 “사업자가 이용자의 명시적인 동의를 받고 개인정보를 수집‧이용하는 것이 개인정보 보호에 있어 가장 중요한 기본원칙”이라고 강조하면서 “이번 처분을 통해 해외사업자들도 국내법 실정에 맞게 이용자의 동의를 받고 개인정보를 수집‧이용하고, 법정 의무사항을 충실히 이행하는 계기가 되길 바란다”라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★