개인정보위, '사기피해 조회 서비스' 및 '세무앱' 사업자에 시정조치 및 개선권고

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 7월 9일(수) 제15회 전체회의를 열고, 더치트㈜* 및 세무대행앱 사업자 3개 사**에 대한 조사·처분 결과를 심의·의결하였다.

   * 더치트㈜ : 온라인 사기 피해 등록·조회 서비스 제공 

  ** 토스인컴(주), 지앤터프라이즈(주), 자비스앤빌런즈는 각각 '세이브잇', '1분', '삼쩜삼'이라는 종합소득세 환급 대행 서비스 제공

  개인정보위는 민원신고에 따라 관련 조사에 착수하였으며, 각 사업자에 대한 구체적인 처분 결과는 다음과 같다.

  < 더치트㈜ : 과태료, 시정명령, 결과공표, 개선권고 >

  더치트㈜는 중고거래 사기 및 보이스피싱 등 온라인 사기 피해 사례를 등록·조회할 수 있는 서비스를 운영하면서, 온라인 사기 피해자가 피해 사례를 등록하는 과정에서 사기 행위를 의심받는 자(사기 의심자)의 개인정보(계좌번호, 휴대전화번호 등)를 피해자(등록자)로부터 수집·처리하고 있었다. 개인정보위는 이에 대해 제3자의 급박한 재산상 이익을 위해 필요한 것으로 보고, 개인정보 보호법(이하 '보호법')상 제한된 행위로 판단하지 않았다. 

   ※ 보호법 제15조제1항제5호에 따라 "명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우" 개인정보의 수집·이용이 가능함 

  다만, 더치트㈜에서 수집한 개인정보를 사기 피해 방지 목적으로만 제한적으로 이용·제공하고, 개인정보의 보유 및 공개기간을 필요 최소한으로 설정하며, 사기 의심자가 실제 사기 피해가 없는 것을 소명한 이후 자신의 개인정보 삭제를 요청하면 등록 정보 삭제 등 필요한 조치를 마련하도록 개선권고하여, 정보주체의 개인정보자기결정권 보호를 강화하도록 하였다. 

  아울러, 더치트㈜가 회원가입 및 피해사례 등록 시 이용자로부터 동의를 구분해서 받아야 하는데 이를 개인정보처리방침 및 피해사례 등록 약관으로 포괄 동의를 받고 있던 점과 개인정보 처리방침의 일부 항목이 누락된 사실이 확인되어, 개인정보위는 과태료 480만 원 부과 및 시정조치를 명령하고, 향후 이행 여부를 확인하기로 하였다. 

  < 세무대행앱(토스인컴(주), 지앤터프라이즈(주), 자비스앤빌런즈) : 개선권고 >

  세무앱을 운영하는 3개사는 이용자로부터 환급 관련 정보 조회를 위해 주민등록번호를 입력받아 공공서비스(홈택스, 정부24)에 로그인하여 정보 수집 후 환급액을 조회하고, 이용자가 환급신청시 환급신청서 작성을 위해 다시 주민등록번호를 입력받아 홈택스에서 환급신청을 대행해 주는 서비스를 제공하고 있다.

  조사 결과, 3개사는 이용자로부터 '주민등록번호 입력 관련 동의'를 받아 주민등록번호 처리 권한을 보유한 공공기관(홈택스, 정부24)에 전달하는 것에 명시적 위임을 받고, 입력받은 주민등록번호를 단순 전달 후 저장하지 않는다는 점이 확인되어, 보호법 상 제한된 행위로 판단하지 않았다.

   ※ 주민등록번호가 포함된 신고·신청을 대행하는 사업자가 법령에 따라 주민등록번호 처리 권한을 기 보유한 행정기관에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우는 보호법상 제한된 행위로 보지 않는 것으로 심의·의결함(자비스앤빌런즈 처분('23.6.28.) 등)

  다만, 보호법상 주민등록번호의 이용을 엄격히 제한하고 있는 취지를 고려하여 주민등록번호 입력 최소화 방안 마련을 검토할 것을 개선 권고하였다.

   ※ 예시) 환급세액 정보조회만 할 경우, 공공사이트(정부24, 홈택스) 회원에 가입한 이용자의 주민등록번호 입력 불필요

  아울러 토스인컴(주)·지앤터프라이즈(주)는 개인정보 처리방침 상 개인정보 보유기간을 명시하면서, 보유 근거가 되는 법률명만을 기재하고 있는데, 개인정보 처리에 관한 절차와 기준을 정보주체에게 투명하게 공개하기 위해 구체적인 법률 조항을 기재하도록 개선 권고하였다.

  < 이번 조사·처분의 의의 >

  이번 조사·처분은 국민이 널리 이용하는 서비스에 대해 개인정보 처리근거를 명확히 해석함으로써 사업자가 법적 리스크 없이 사업을 지속할 수 있도록 하되, 보호법 위반행위는 처분하고, 정보주체의 개인정보 자기결정권을 강화하는 방향으로 서비스 개선을 유도한 데 의의가 있다.

  개인정보위는 이번 조사·처분 관련 시정명령 및 개선권고 이행 여부를 철저히 점검하여 사업자들이 서비스 운영과정에서 개인정보 보호를 지속적으로 강화할 수 있도록 조치할 계획이다. 

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 채리(02-2100-3159), 조근환(02-2100-3124)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”