개인정보보호위원회, 개인정보 보호조치에 대한 개선권고 브리핑

이정은 개인정보보호위원회 조사2과장이 10일 서울 종로구 정부서울청사에서 개인정보 보호조치에 대한 개선권고 브리핑을 하고 있다.사진=연합뉴스

개인정보보호위원회는 대규모 개인정보 유출 사고가 발생한 쿠팡에 제3자 불법 접속 관련 손해배상 면책 조항을 정비하고 회원탈퇴 절차를 간소화할 것을 요구했다.

개인정보위는 10일 전체회의를 열고 쿠팡의 이용약관과 회원탈퇴 운영 방식, 유출 통지 조치 등을 점검한 결과 이같이 의결했다고 밝혔다.

개인정보위에 따르면 쿠팡은 지난해 11월 이용약관에 서버에 대한 제3자 모든 불법적 접속으로 인한 손해에 대해 책임지지 않는다는 면책 조항을 신설했다.

개인정보보호법은 개인정보처리자의 법 위반 행위로 이용자에게 손해가 발생하면 손해배상을 청구할 수 있으며 고의나 과실이 없음을 입증할 책임은 처리자에게 있다고 규정한다.

개인정보위는 이 면책 규정이 고의·과실로 인한 손해에 대한 회사 면책 여부와 입증 책임을 불명확하게 만들어 개인정보보호법 취지와 상충하고 이용자에게 불필요한 혼란을 초래한다고 판단했다.

개인정보위는 쿠팡에 약관 개선을 요구하는 한편 약관 소관 부처인 공정거래위원회에도 관련 의견을 제출할 계획이다.

아울러 개인정보위는 쿠팡이 이용자 권리 행사가 원활하도록 탈퇴 절차를 단순화해야 한다고 지적했다.

개인정보위 "쿠팡, 개인정보 '노출' 아닌 '유출'로"

개인정보보호위원회는 3천만건이 넘는 대규모 개인정보 유출 사태를 일으킨 쿠팡에 개인정보 '노출' 통지를 '유출' 통지로 수정하고, 유출 항목을 빠짐없이 반영해 재통지하라고 요구했다.
사진은 지난 3일 서울 송파구 쿠팡 본사 모습.사진=연합뉴스

쿠팡의 탈퇴 절차가 복잡하고 관련 메뉴 접근성이 떨어진다는 이유에서다.

특히 유료 서비스인 와우 멤버십 가입자는 멤버십 해지를 탈퇴 필수 조건으로 두고 여러 단계를 거치도록 하거나 해지 의사를 재확인하는 방식으로 해지를 어렵게 만든 점이 확인됐다.

멤버십 잔여 기간이 남아 있는 경우 잔여 기간 종료까지 해지가 불가능해 즉각적인 탈퇴가 사실상 어려운 점도 드러났다.

개인정보보호법 제38조 4항은 개인정보 처리정지와 동의 철회 절차가 개인정보 수집 절차보다 어렵지 않아야 한다고 규정한다.

쿠팡이 최근 탈퇴 절차를 일부 간소화한 데 대해 이정은 개인정보위 조사2과장은 현재 기준으로도 부족하다고 판단해 개선을 요구했다고 설명했다.

그는 PC에서만 가능하던 탈퇴가 앱에서도 가능해지고 필수였던 설문조사가 선택으로 바뀐 정도라며 이 정도 조치로는 충분하지 않다고 밝혔다.

개인정보위는 지난 3일 긴급 의결 이후 쿠팡의 이행 조치도 점검했다.

쿠팡은 사고 통지 문구를 노출에서 유출로 수정하고 누락됐던 공동현관 비밀번호를 포함해 재통지했으며 홈페이지와 앱에 공지문을 게시하는 등 의결 사항 일부를 이행했다.

그러나 배송지 명단에 포함돼 정보가 유출됐으나 쿠팡 회원이 아닌 사람들에 대한 통지 계획이 구체적으로 제시되지 않은 점, 홈페이지와 앱 공지문의 접근성과 가시성이 떨어지는 점 등은 미흡하다고 지적됐다.

개인정보위는 법에 따라 30일 이상 공지를 유지하고 2차 피해 예방을 위해 전담 대응팀을 철저히 운영할 것을 주문했다.

이번 조치는 강제성이 없는 개선 권고로 쿠팡은 조치 결과를 7일 이내 제출해야 한다.

이정은 과장은 즉각적인 조치가 필요해 개인정보보호법 제61조에 따라 개선 권고를 했다며 이행되지 않을 경우 시정명령 등 행정 절차를 진행할 수 있다고 강조했다.