개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 6월 28일 전체회의를 열고 삼쩜삼 앱 운영 사업자 ㈜자비스앤빌런즈에 대해 ‘주민등록번호 단순 전달 후 파기 및 보유 금지’ 등의 시정명령과 함께, 과징금 8억 5,410만 원과 과태료 1,200만 원을 부과하기로 의결하였다.

삼쩜삼 앱은 국세청 홈택스(Hometax)에서 이용자의 소득정보 등을 수집하여 이용자의 종합소득세 신고 및 환급을 지원하는 서비스다. 

개인정보위는 한국소비자연맹 등의 공익·민원 신고에 따라 지난해 5월부터 ㈜자비스앤빌런즈(이하, ‘삼쩜삼’)에 대한 조사에 착수하여, △주민등록번호 처리 근거 및 과정과 △개인정보 수집·이용, 제3자 제공과 관련한 적법한 동의 여부에 중점을 두고 조사하였으며, 그 결과는 다음과 같다.

그동안 삼쩜삼은 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인 및 소득 관련 정보의 수집, 세무대리인 수임 동의, 환급신고 대행을 한 사실이 있으며, 조사 과정 중에 절차를 개선하여 현재는 환급신고 대행시에만 주민등록번호를 수집·이용한 후 회원 탈퇴시까지 저장·보유하고 있는 상황이다.

이처럼 삼쩜삼이 법령에 근거 없이 주민등록번호를 수집·보관한 행위 등은 개인정보 보호법(이하, ‘보호법’) 제24조의2 위반이다.

다만, 주민등록번호가 포함된 신고·신청(여기서는 종합소득세 신고 등)을 대행하는 사업자가 법령에 따라 주민등록번호 처리 권한을 기 보유한 행정기관(여기서는 국세청)에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우는 보호법상 제한된 행위로 보지 않아, ‘주민등록번호 단순 전달 후 파기, 파일 등으로 저장·보유 금지’ 내용의 시정조치를 명령하고, 향후 이행 여부를 확인하기로 하였다.

아울러 삼쩜삼이 (1)소득정보 등 개인정보를 수집하는 과정에서 처리방침을 통해 포괄 동의를 받으면서, 수집 항목을 누락하고 수집 목적·보유기간 등을 불명확하게 고지한 사실, (2)근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등에 대한 정보를 수집하면서 민감정보인 건강정보에 대한 별도 동의를 받지 않은 사실, (3)추가 검토가 필요한 경우 세무대리인이 대신 신고토록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않은 사실 등이 있음을 확인하였고, 보호법에 따라 과징금 및 과태료를 부과하기로 하였다.

남석 조사조정국장은 “데이터 경제 시대에 개인정보위는 법 위반행위에 대해서는 엄격한 제재를 하겠지만, 새싹기업 등이 신규 서비스를 설계할 때 개인정보보호 관점에서 서비스를 기획·개선하도록 유도함으로써 국민들이 다양한 서비스를 안전하게 이용할 수 있는 환경 조성을 위해 노력해 나갈 계획”이라고 밝혔다.

★대한민국 시큐리티 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★