기업의 강제적 개인정보 수집에 대한 제도 개선권고

Ⅰ. 권고 배경 최근 기업에서 개인에 대한 타겟마케팅(Target Marketing)을 위하여 웹과 모바일 어플리케이션을 이용한 과도한 개인정보를 수집하고도 기술적. 관리적 보호조치 미흡으로 일련된 개인정보 유출 사고가 발생하고 있다. 그럼에도 불구하고 (주) 카카오가 2011년 8월 23일 개인정보 취급방침을 변경하고 2011년 9월 8일 푸시알림(PNS, Push Notification System)을 통해 서비스 이용자에게 이메일 수집에 동의하지 아니할 경우 계정이 삭제될 수 있다는 메시지를 보내 기업의 강제적 개인정보 수집 논란을 확대한 바 있다. 또한 기업의 서비스 확장을 이유로 이용자들에게 수집된 개인정보를 활용하여 강제적 광고 마케팅을 유도하여 이에 대한 논란이 발생하였다. 이에 국가인권위원회(이하 "위원회"라 한다)는 「국가인권위원회법」 제25조 제1항에 따라 (주)카카오의 카카오톡 서비스 확대를 위한 개인정보의 강제적 수집 및 기업의 강제적 개인정보 수집 관행이 「헌법」과 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률(이하 "정보통신망법"이라 한다)」및 국제 인권 기준이 보장하고 있는 사생활 침해 등의 기본권을 침해할 우려가 있는지 여부에 대하여 검토하여 주문과 같이 권고하기로 하였다. Ⅱ. 판단기준 「헌법」제17조, 「헌법」제37조, 「정보통신망법」제22조, 제23조, 제24조의2, 제26조의2, 제50조, 제71조 제1호, 제71조 제1항 제1호 및 제7호, 「정보 통신망법 시행령」 제12조 Ⅲ. 판단 개인정보 자기결정권은 자신의 개인정보를 타인에게 제공할 것인지, 제공할 경우 어느 범위에서 제공할 것인지를 스스로 정할 수 있는 권리로서 헌법 재판소 판결(헌법재판소 2005.5.26. 99헌마513) 등을 통해 확인된 정보통신 기술의 발달에 따라 보호되어야 할 기본권이며「헌법」뿐만 아니라 UN 개인 정보파일 규율에 관한 지침, OECD 프라이버시 8원칙, APEC 프라이버시 원칙 등 국제기준에서도 정보주체의 동의권과 개인정보의 최소 수집 원칙을 포함한 권리이다. 다음에서는 (주)카카오가 개인정보를 수집하는 과정에서 개인정보자기 결정권을 침해하여 관련 법률을 위반하였는지에 대하여 검토하되, (주)카카오의 강제적 개인정보취급방침 변경 푸시 알림을 보낸 시점이 개인정보보호법 시행 이전이고, 정보통신망법이 개인정보보호법의 특별법에 해당하므로 정보통신망법에 의한 위반 여부를 검토하면 다음과 같다. 2. 「정보통신망법」 위반 여부 가. 정보통신망법 제22조 제1항, 제26조의2 및 동법 시행령 12조의 위반 여부 정보통신망법 제22조 제1항에서는 이용자의 개인정보를 이용하려고 수집하는 경우에는 수집.이용의 목적, 수집하는 개인정보의 항목 및 보유.이용 기간을 고지한 후 동의를 받도록 하고 있다. 하지만 (주)카카오가 동의를 받는 과정에서 보낸 푸시 알림은 동의하지 않으면 개인정보 추가 수집 항목, 목적 및 이용 기간을 표기하지 않고 있다는 점에 있어서 동 조항을 위반할 소지가 있다고 판단된다. 또한 동의를 받는 방법과 관련하여 정보통신망법 제26조의2 및 정보 통신망법 시행령 제12조는 동의 내용을 이용자가 명확하게 인지하고 확인 할 수 있도록 표시하도록 하고 있으며, UN 개인정보파일 규율에 관한 지침, OECD 프라이버시 8원칙, APEC 프라이버시 원칙 등 개인정보 보호와 관련한 국제기준에서도 적법하고 공정한 방법을 통한 이용목적의 명시에 따른 정보주체의 인지를 그 기준으로 하고 있다. 하지만 (주)카카오가 보낸 푸시 알림은 추가 수집되는 항목과 목적이 분명하게 드러나 있지 않으면서 동의하지 않을 경우 서비스를 이용할 수도 없고, 계정이 삭제될 수도 있다는 문구를 삽입하여 서비스 이용자가 동의 내용을 명확하게 인지하지 못한 상태에서 푸시 알림에 따라 강제적으로 동의하도록 유도하고 있다. 그러한 점에서 (주)카카오는 위 조항을 위반할 소지가 있다고 판단된다. 나. 정보통신망법 제23조 제2항 위반 여부 정보통신망법 제23조 제2항은 이용자의 개인정보를 수집하는 경우에는 필요한 최소한의 정보 수집과 그 정보를 제공하지 아니한다는 이유로 서비스 제공을 거부해서는 아니된다고 규정하고 있다. 개인정보 최소한의 수집과 관련하여 (주)카카오는 서비스 이용자들의 이메일이 사용자 식별 수단의 목적으로 필요 최소한의 개인정보 수집이라고 주장하고 있으나, 현재 카카오톡 서비스에서 아이디가 인증보조 수단으로 사용되고 있다는 점, 이메일이 아닌 특정 숫자나 기호를 사용하는 방식으로도 인증수단을 사용할 수 있다는 점, 우리나라의 경우 실명에 기반한 이메일이 빈번한 해킹 및 개인정보 유출 사고로 인하여 많은 노출이 되어 있다는 점에 있어서 이는 최소한의 개인정보 수집으로 보기 어렵다고 판단된다. 또한 향후 이메일에 의한 식별 수단으로의 전환은 현재 사용하고 있는 전화번호와 단말기 기기번호 식별 수단의 폐기가 예정되어 있는 경우에 사용자의 동의를 통한 전환이 바람직하다는 점, (주)카카오의 약관 제14조를 비롯하여 2010년 3월 서비스를 제공하는 시점부터 지속적으로 개인정보취급방침의 개인정보 수집 및 이용목적에 마케팅 광고에의 활용을 고지하고 있어 변경된 개인 정보취급 방침에 의하여 수집된 이메일이 제휴 사업체의 마케팅 수단으로 활용될 가능성을 배제할 수 없다는 점에 있어서도 최소한의 개인정보 수집 으로 보기 어렵다고 판단된다. 설사 (주)카카오가 주장하는 바와 같이 이메일 정보가 사용자 식별을 통한 최소한의 개인정보라 할지라도 동 조항에서 규정하고 있는 것처럼 서비스 이용자가 최소한의 정보를 제공하지 않는다는 이유로 서비스 제공을 거부해서는 아니된다고 하고 있으나 푸시 알림에는 서비스 이용제공 거부와 계정삭제를 표시하고 있다는 점에서 위 조항을 위반할 소지가 있다고 판단 된다. 다. 정보통신망법 제24조의2 제3항 위반 여부 알림 메시지를 통해 개인정보 수집 동의 절차를 구하면서 개인정보 취급 위탁과 구분하여 동의를 받지 않고 있다는 점과 이에 동의하지 않는 경우 이용자에게 계정을 삭제한다고 고지하고 있다는 점에 있어서 위 조항을 위반할 소지가 있다고 판단된다. 라. 정보통신망법 제50조 제1항 위반 여부와 관련하여 (주)카카오는 서비스 이용자의 이메일은 사용자의 식별수단으로만 사용 될 뿐 광고에의 활용 목적이 아니라고 주장하고 있으나, 개인정보 취급방침 에는 개인정보에 대한 수집 목록을 추가하면서 수집된 개인정보가 각각 어떠한 목적으로 수집되는지 분리하여 명시하고 있지 않아 개인정보 수집 목적에 포함되어 있는 신규서비스개발 및 마케팅, 광고에의 활용으로 사용 될 가능성도 배제할 수 없다. 또한 신규 서비스를 제공하기 위해서 최신 버전으로 업그레이드 할 경우 제휴 업체와의 친구로 추가해 달라는 메시지가 뜨도록 하고 있다는 점에 있어서 위 조항에서 규정하고 있는 영리목적의 광고성 정보 전송 제한을 위반할 소지가 있다고 판단된다. Ⅳ. 결론 이상과 같은 이유로 「국가인권위원회법」제25조 제1항에 따라 주문과 같이 결정한다.