2011년 홈플러스가 경품 이벤트를 하면서 이벤트에 참여한 고객들의 개인 정보를 무단으로 제3자인 보험회사에 팔아넘겼다는 이유로 개인정보보호법 위반 혐의에 대해 수사 및 재판을 해 왔는데요.
지난주 대법원 판결을 통해 드디어 9년간의 기나긴 법정 싸움이 최종 마무리가 되었습니다.
결론은 개인정보보호법상 고객들의 개인 정보를 수집할 때 제3자에게 제공하려면 미리 고객들에게 설명하여 동의를 받아야 하고, 고객 동의 여부 및 동의 범위에 대한 설명의무는 대충 형식적으로 해서는 안 되고 고객이 충분한 설명을 받고 이를 토대로 자유롭게 판단하여 동의 여부를 선택할 수 있는 실질적 기회를 보장해 주어야 한다는 취지입니다.
고객 개인 정보 2,400만 건을 보험사에 판매하면서 홈플러스가 경제적 이익도 얻었을 텐데요..
이에 대해 우리 법원은 일단,
홈플러스가 고객 개인 정보를 팔아서 얻은 231억 원은 추징하지 않는다는 입장을 나타내었습니다.
반면, 2011년 당시 홈플러스 법인과 대표, 보험사 담당자 등에 대한 개인정보보호법 위반 등 혐의는 유죄로 판단, 확정하였습니다.
홈플러스 측이 2011년 경품 이벤트 등을 진행하면서 경품 이벤트 응모권에 1미리(㎜) 이하의 깨알 글씨로 ‘개인 정보가 보험회사 영업에 활용될 수 있다’고 기재해 두었었는데요..
이런 정도로는 개인 정보 주체의 동의 여부 및 범위를 결정하기에 필요한 충분하고도 실질적인 정보를 홈플러스 측에서 제공한 것으로 보기 어렵다는 것입니다.
결과적으로 약관 등을 통해 수집된 정보의 제3자 제공 내용이 형식적으로는 기재되어 있었음에도 불구하고, 법상 요구된 정보주체의 동의를 받지 않고서 개인 정보를 제3자에게 제공했다는 것입니다.
이번 판결은 개인정보보호법상 개인 정보주체의 권리 가운데, 자신의 개인 정보 처리와 관련해 개인정보처리자로부터 개인 정보 주체가 정보를 제공받을 권리가 과연 어디까지 보장되는지에 대해 사법부의 판단 기준을 어느 정도 제시한 것으로 보입니다.
대법원은
개인 정보 주체의 동의 여부 및 범위 결정, 선택권 행사에 있어서
"충분할 정도로 필요한 정보를 제공받을 권리가 있음"
을 확인하였고,
그 구체적인 정보 제공 정도 및 수준에 대하여도
“형식적, 외형적인 정보 제공에 그치는 것이 아니라 실질적으로 보장되어야 하고,
이에 근거해
자신의 개인 정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리가 인정
된 것으로 보입니다.
즉, 개인정보처리자는
정보주체로부터 개인 정보의 제3자 제공 여부에 대한 동의를 받기에 앞서,
1. 개인정보를 제공받는 제3자가 누구일지,
2. 개인정보를 제공받는 제3자가 개인정보를 이용하려는 목적은 무엇인지,
3. 개인정보처리자가 제3자에 제공하는 개인정보의 항목에는 어떠한 것들이 포함되는지,
4. 개인정보를 제공받는 제3자가 개인정보를 얼마만큼의 기간 동안 보유하고 이용할지,
5. 개인정보 주체가 이에 대해 동의를 거부함으로써 제3자에게 내 개인정보가 넘어가지 않도록 결정할 권리가 있다는 사실이 있고,
6. 개인정보 주체가 이러한 제3자에의 정보제공에 대해 동의를 거부할 경우 어떠한 불이익을 받을 수 있는지에 대해
확실하게 알려 줄 의묵 있고, 반대로 고객은 이에 대해 정보를 제공받을 권리가 있음을 확인해 준 판결
로 볼 수 있겠습니다.
왜냐하면 위 1. 내지 6. 항의 내용이 바로 개인 정보 주체의 동의 여부 선택 및 권리 행사에 직접 영향을 미칠 수 있는 중요한 내용이기 때문입니다.
따라서 개인정보처리자로서는 정보주체의 ‘완전하고도 자유로운 의사결정권 행사 기회’가 보장되도록 실질적이고도 명확한 방식으로 정보를 제공해야 함을 확인했다고 평가할 수 있겠습니다.
앞으로는 개인정보의 제3자 제공과 관련하여,
이번 1mm 깨알 고지뿐 아니라
보험상품 판매에서 자주 문제 되는 보험사의 약관 설명의무 이행 여부 판단 사례에서 보듯이
"전화 등을 통한 속사포 고지" 역시
"정보주체에 대한 동의 여부 및 범위를 선택할 기회를 주기 위한 전제로서의
실질적인 정보제공으로 보기 어렵다"라는
취지의 판결도 등장할 것으로 예상됩니다..
이러한 흐름의 법원의 입장에 대해서는
제가 줄곧 주장해 온 개인정보의 안전한 활용이라는 관점에서 찬반 여부와는 별개로,
개인 정보를 처리하는 기업을 비롯해 많은 이해관계자들이 관심을 가져야 할 듯 싶습니다.