소비자/현장스케치

보다 정의롭고 모두가 행복한 미래사회를 위해 달리는 경실련의 최근 이야기를 한자리에 모았습니다.
[소비자/현장스케치] [현장스케치] 29개 주요 인터넷 기업, 개인정보 열람실태 조사결과

29개 주요 인터넷 기업 개인정보 열람실태 조사결과 기자간담회 개최

1. 실태조사 배경 및 목적

○ 빅데이터 시대에 서비스 이용 과정에서 자동으로 생성되는 개인정보와, 기업 간 업무 위탁이나 제휴에 따른 개인정보 제공이 증가하고 있음. 온라인 업체가 자신에 관해 어떠한 개인정보를 보유하고 있고, 이를 어떻게 활용하고 있으며, 어떠한 제3자에게 제공하는지 이용자가 인지하고 이를 통제하는 것이 점점 힘들어지고 있음.

○ 개인정보의 열람은 정보주체인 이용자가 자신이 제공한 개인정보가 목적에 맞게 제대로 처리되고 있는지 확인할 수 있는 중요한 권리임. 개인정보보호법 및 정보통신망법에 따라 부여된 개인정보 열람에 대한 권리를 제대로 행사할 수 있는지 주요 온라인 업체를 대상으로 열람고지 및 열람 실태조사를 통해 문제점을 파악하고자 함. 나아가 실태조사를 통해 주요 온라인 업체의 개인정보 열람에 대한 인식을 개선해 올바른 열람권 보장을 위한 시스템을 마련하는 동시에, 법에서 부여된 개인정보 자기결정권이 제대로 행사될 수 있는 제도개선 방안을 제시하고자 함.

2. 실태조사 개요

○ 실태조사 대상 : 이용자들이 실생활에서 자주 이용하는 이동통신사 3곳, 온라인서점 3곳, 온라인쇼핑몰 3곳, 오픈마켓 3곳, 소셜커머스 3곳, 온라인마트 3곳, 영화사이트 3곳, 음악사이트 2곳. 온라인캐쉬 3곳, 모바일메신저 1곳과 내비게이션서비스 2곳 등 분야별 온라인 업체 29개를 선정해 개인정보 열람 실태조사를 진행함.

○ 실태조사 기간 : 개인정보 열람 실태조사는 2017년 4월 24일부터 6월 23일까지 약 2개월간 진행되었음. 실태조사 결과를 토대로 업체 간담회(2017.07.14.)를 개최하였으며, 실태조사 결과에 대한 설명과 업체의 소명, 개선내용과 개선계획을 회신 받아 실태조사 결과에 반영하였음.

3. 실태조사 방법 및 내용

○ 개인정보 열람권 고지 실태조사 : 홈페이지의 개인정보처리방침의 ①개인정보 열람권에 대해 정보주체인 이용자가 쉽게 알 수 있도록 공개하고 있는지 ②열람할 수 있는 개인정보를 구체적으로 설명하고 있는지 ③열람을 신청할 수 있는 구체적인 방법과 절차를 명시하고 있는지를 조사했음

○ 홈페이지 개인정보 열람 실태조사 : 각 업체 홈페이지에서 ①정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보 ②정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황 ③정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황에 대해 쉽게 확인할 수 있는지 조사했음

○ 개인정보 열람 실태조사 : ①업체가 보유하고 개인정보 세부내역 ②개인정보 수집·이용에 대한 동의 세부내역 ③개인정보 취급위탁에 대한 동의 세부내역 ④개인정보 제3자 제공에 대한 동의 세부내역 ⑤개인정보를 이용한 세부내역 ⑥취급위탁을 위해 개인정보를 제공 및 이용한 세부내역 ⑦개인정보를 제3자에게 제공한 세부내역의 개인정보 열람을 신청하고 답변 내용을 분석해 조사했음

4. 실태조사 결과

1) 열람고지 실태조사

○ 쿠팡을 제외한 28개 업체가 정보주체인 이용자의 개인정보 열람에 대한 권리를 설명하고 있는 것으로 조사되었음. 쿠팡은 개인정보의 열람에 대한 아무런 설명 없이 단순히 수집 정보에 대한 수정, 동의철회, 삭제 등을 요청할 수 있다고만 명시하고 있음.

○ 메가박스와 롯데마트는 정보통신망법에 따라 이용자의 ①정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보 ②정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황 ③정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황 등 개인정보 열람에 대한 권리를 자세히 설명하고 있음. 나머지 26개 업체는 개인정보를 열람하거나 정정할 수 있다는 원론적으로 설명에 그치거나, 보유한 고객정보를 열람하거나 정정할 수 있는 방법만을 안내하고 있음

○ 다수의 업체들이 개인정보 열람신청 방법과 절차를 설명하고 있지만, 구체적인 전화번호나 이메일․팩스번호․서면 요청방법을 자세히 안내하지 않고 있음. 또한 개인정보 열람 접수․처리 부서를 명시한 업체는 없었음

2) 홈페이지 열람 실태조사

170906_보고서_개인정보열람실태조사(최종) 170906_기자간담회_개인정보열람실태조사

○ 홈페이지에서 정보통신망법에 따른 개인정보 열람에 대한 ①가지고 있는 이용자의 개인정보 ②이용자의 개인정보를 이용하거나 제3자에게 제공한 현황 ③개인정보 수집·이용·제공 등의 동의현황을 모두 보장하고 있는 업체는 없었음

○ 29개 주요 온라인업체 모두 보유한 회원가입정보를 열람하고 정정할 수 있었으며, 쿠팡과 티몬 등 2개 업체는 홈페이지 내에서 개인정보 이용이나 제공 내역에 대한 구체적인 세부내역까지 열람이 가능했음

○ 예스24, 교보문고, 알라딘, 옥션, 메가박스 등 5개 업체는 개인정보 수집 및 이용․제공 동의내역 열람이 가능했음. 이들 업체는 동의한 개인정보 항목, 동의일, 동의방법, 동의목적, 업체명 등 세부 동의내역을 열람할 수 있도록 제공하고 있었음.

○ 다수의 업체가 개인정보 이용 및 제공내역 및 동의 내역의 열람은 가능했지만, 단순히 개인정보처리방침의 내용을 열거하는 수준으로 개인정보 항목, 날짜, 방법, 목적, 업체명 등 세부 내역 열람은 불가능했음

3) 열람 회신내용 조사

① 회신기간

○ 개인정보 열람신청 후 개인정보의 열람내역을 대부분의 업체는 개인정보보호법에서 규정한 10일 이내에 회신하였으나, SKT, KT, 롯데마트, 홈플러스, 카카오톡, T맵 등 6개 업체는 기준일을 초과해 정당한 사유 없이 개인정보보호법에서 정한 열람요구에 대한 회신을 지체했음

② 회신내용

○ KT, 예스24, 교보문고, GS shop, 롯데닷컴, 11번가, 티몬, 위메프, 이마트, 롯데마트, 홈플러스, CGV, 메가박스, OK캐쉬백, 티머니, 해피포인트, 카카오톡, 카카오내비, T맵 등 19개 업체는 신청한 열람 세부내역을 제공해 개인정보 열람권을 보장하고 있음

○ 반면 SKT, 알라딘, SSG닷컴, 네이버쇼핑, 옥션, 쿠팡, 멜론, 지니뮤직 등 8개 업체는 신청한 세부 열람내용 중 세부 내역만 제공하거나, 개인정보처리방침을 복사하는 형식적 제공에 그쳤음

○ LG U+와 롯데시네마는 정당한 사유나 설명 없이 개인정보 열람신청에 대해 제공하지 않음. 다만 LG U+는 업체간담회 이후인 7월 26일 메일로 열람내용을 보내옴

5. 실태조사 문제점

○ 부실한 개인정보 열람 고지 : 대부분의 업체가 단지 보유한 개인정보를 열람하거나 정정할 수 있다고 설명하고 있어, 개인정보 열람범위를 축소시켜 설명하고 있음

○ 추상적인 개인정보 열람 방법과 절차 : 대부분의 업체가 개인정보의 열람 방법과 절차를 구체적으로 설명하지 않고 있음. 고객센터나 이메일, 전화, 개인정보 담당자에게 개인정보의 열람을 요청하라는 식으로 간략하게 설명되어 있음

○ 부재한 담당부서 및 담당자 : 개인정보의 열람 신청을 접수·처리하는 부서를 개인정보처리방침의 이용자의 열람에 대한 권리를 설명하는 조항에 명시한 업체는 전혀 없었음. 개인정보처리방침의 하단에 개인정보보호책임자 및 담당자의 이름과 연락처를 안내하고 있지만, 이는 개인정보 열람의 권리를 안내한 부분과 떨어져 있어, 이용자가 쉽게 인지하기 힘들게 되어 있음

○ 불편한 개인정보 열람신청 : 다수 업체들이 회원가입 시 제공한 개인정보의 열람 및 정정, 철회(회원탈퇴)만 쉽게 가능하도록 하고 있을 뿐, 서비스 이용 과정에서 생성된 정보, 동의 내역, 제3자 제공 내역 등에 대한 열람을 제공하고 있지 않거나, 열람 신청하기가 쉽지 않도록 되어 있음

○ 오래 걸리는 개인정보 열람신청 회신 기간 : 많은 업체들에서 실제 답변을 받기 까지 더 많은 시간이 소요됨. 또한, 답변이 충실하지 않아 여러 번 요청해야 하는 경우도 있었음

○ 부실한 개인정보 열람 회신 : 많은 업체들이 개인정보처리방침의 내용을 그대로 복사해 형식적으로 답변하거나, 요청한 일부 내용만 회신하는 성의 없는 모습을 보임. 또한, 회원 가입 시 제공한 개인정보만을 제공할 뿐, 서비스 이용과정에서 생성된 개인정보까지 제공하는 경우는 드물었음

○ 홈페이지에서 제공된 개인정보열람과 열람 청구한 내용의 불일치 : 일부 업체의 경우 홈페이지에서 열람할 수 있는 개인정보 내용과 열람 청구해서 받은 내용이 일치하지 않음

6. 정책제언

1) 개인정보 열람고지 단계
○ 기업은 개인정보처리방침에 열람권 등 이용자의 권리에 대하여 구체적이고 쉬운 설명을 기재할 것
○ 기업은 개인정보처리방침에 열람권 등 이용자의 권리 대상에 대하여 구체적이고 명확한 설명을 기재할 것
○ 기업은 개인정보처리방침에 열람권 등 이용자의 권리에 대한 청구를 접수·처리하는 부서에 관한 사항은 필수적 기재사항으로 포함할 것
○ 정부는 빅데이터 시대 열람권 등 정보주체의 권리를 보호하고 행사할 수 있는 방안에 대한 정책을 개발, 시행할 것
○ 정부는 법률에 따른 정보주체의 열람권 행사에 응하지 않는 개인정보처리자 혹은 정보통신서비스 제공자에 대한 실효적인 제재 방안을 마련할 것

2) 개인정보 열람신청 단계
○ 기업은 개인정보 열람권 등 이용자의 권리에 대한 요청절차를 회원 가입 절차보다 쉽게 할 것
○ 기업은 가입정보 뿐 아니라 서비스 이용 과정에서 생성된 정보, 동의 내역, 제3자 제공 내역에 대해서도 손쉬운 열람 방법을 제공할 것
○ 정부는 열람 대상을 임의적으로 제한하고 있는 열람 요구 법정 서식을 개선할 것
○ 정부는 이용자의 열람권 행사의 방법과 절차를 명확히 규정하고 사업자의 부담을 경감시키기 위한 열람권 행사 가이드라인을 마련할 것

3) 개인정보 열람 단계
○ 기업은 개인정보 열람요청에 대해 법정 회신 기간을 준수할 것
○ 기업은 개인정보 처리위탁에 대한 동의현황에 대하여 개인정보 처리방침으로 대체하는 것이 아니라 자세한 현황을 개인별로 제공할 것
○ 기업은 열람권 등 이용자의 권리 행사 대상에 가입정보 등 보유하고 있는 개인정보 뿐 아니라 서비스 이용 과정에서 생성된 모든 이용내역 및 제공내역을 포함할 것
○ 기업은 홈페이지에서 확인 가능한 열람 내용과 열람요청을 통해 확인 할 수 있는 새로운 내용은 미리 구분하고 고지하여 이용자 열람권을 내실화 할 것
○ 정부는 개인정보 열람요청에 대해 법정 회신 기간의 준수를 위한 대책을 마련할 것
○ 정부는 개인정보 처리위탁에 대한 동의현황에 대하여 개인정보 처리방침으로 대체하는 것이 아니라 자세한 현황을 개인별로 제공하도록 해설서를 개선할 것
○ 정부는 누가 요청하건, 어디에서 요청하건, 정보주체의 열람요청에 대해서는 기업들이 실제 보유하고 이용·제공한 개인정보 내역에 대하여 성실하게 회신할 수 있도록 정책을 마련할 것
○ 정부는 서비스 이용 과정에서 생성된 정보 등 빅데이터 시대 이용자의 열람 대상을 보장하기 위한 조치를 취할 것

자세한 실태조사 내용 및 업체별 개인정보 열람실태조사 평가는 첨부된 보고서를 참조해 주시기 바랍니다.

문의 : 윤철한 경실련 국장 02-766-5624