요즘 정책에 관련하여 많은 자료를 수집하고 있습니다.
과도한 회원정보 수집 및 요구에 대한 관련자료를 스크랩 해 봤습니다.
사실조사결과
가. 피신고인의 회원탈퇴 정책
피신고인의 개인정보보호정책에 따르면, 회원은 개인정보 삭제를 요청할 수 있으며, 삭제는 회원탈퇴를 통하여 할 수 있다고 고지하고 있다. 피신고 웹사이트의 회원탈퇴시 요청하고 있는 자료는 이용자의 주민등록번호, 가입시 기재했던 질문과 답, 그리고 탈퇴사유였으며, 만일 이용자가 질문에 대한 답변을 기억하지 못하는 경우에는 본인확인을 위해 주민등록초본을 우편 또는 팩스로 송부하도록 요구하고 있다.
나. 기타 피신고인이 주민등록초본을 요구하고 있는 사유
피신고인은 회원가입시에 주민등록번호를 통한 실명인증 외에도 핸드폰인증 및 신용카드인증 절차를 구현하고 있고, 핸드폰이 없거나 핸드폰 명의가 가입자 명의와 다른 경우, 신용카드가 없는 경우에 주민등록초본을 요구하고 있다.
기타 회원탈퇴시에는 가입 당시 기재했던 질문에 대한 답을 기억하지 못할 경우, 질문과 답 변경 신청시, 계정도용 신고시, 주민등록번호도용 신고시, 회원탈퇴 신청시, 불량회원의 올바른 이용다짐서 제출시 주민등록초본을 요구하고 있다.
다. 피신고인이 수집하는 개인정보의 범위 및 회원탈퇴시 요구하는 초본상의 개인정보 항목
피신고인이 회원가입시에 수집하는 이용자의 개인정보는 성명, 주민등록번호, 생년월일, 연락처, 핸드폰 번호, E-Mail, 직업, 주소, 컴퓨터 사용환경 등이며, 회원탈퇴시 요구하는 주민등록초본에는 성명, 주민등록번호, 호주성명, 호주와의 관계, 전·현재의 주소, 전입변동사항 및 사유, 병역정보 등이다.
따라서 주민등록초본의 제출로 인해 이용자는 회원가입시 제공하지 않았던 호주에 관한 정보, 주소변동사항 및 병역정보 등 개인에게 민감할 수 있는 정보까지 제공하게 된다.
법률위반 여부
가. 동의철회를 수집방법보다 쉽게 해야 할 조항 위반여부
회원탈퇴나 주민등록번호도용으로 인한 신고시 선의의 피해를 예방하기 위하여 본인확인 절차의 구현 필요성은 인정되나, 본인확인을 하는 방법에는 여러 가지 다른 방법이 있을 수 있다. 서비스제공자는 이용자들이 본인임을 입증할 수 있는 보다 간편하고 안전한 방법을 강구하여야 하고, 그러한 방법이 있다면 이용자에게 편리한 방법을 택하여 시행하여야 할 것으로 판단된다.
또한 회원탈퇴시 본인확인을 위한 방법에는 가입시 입력했던 질문에 대한 답을 확인하는 방법 외에 회원정보란에 기재되어 있는 다른 정보로 확인하는 방법이 있을 수 있고, 주민등록번호 및 발급일자를 통해 본인임을 확인할 수 있는 전자정부사이트(www.egov.go.kr)의 주민등록증진위확인서비스를 통해 확인하는 방법을 이용할 수도 있다.
그럼에도 불구하고 피신고업체의 경우 주민등록초본 한 가지만을 본인확인의 방법으로 고수하고 이용자들에게 회원탈퇴를 어렵게 한 것은 정보통신망이용촉진및정보보호등에관한법률(이하'정보보호법') 제30조 제6항에 위반된다고 본다.
| ※ 정보보호법 제30조(이용자의 권리 등)⑥ 정보통신서비스제공자등은 이용자로부터 제1항 및 제2항의 규정에 의한 동의의 철회, 개인정보의 열람 또는 정정의 요구를 받은 경우에는 제22조 및 제23조의 규정에 의하여 개인정보를 수집하는 방법보다 쉽게 할 수 있도록 필요한 조치를 취하여야 한다. |
나. 과도한 개인정보 수집금지 조항 위반여부
위에서 살펴본 바와 같이 주민등록초본에는 이용자가 가입시 제공했던 정보 외 이용자의 주소변동사항 및 병역정보, 그리고 주민등록등본의 경우 본인 외 가족의 주민등록번호 등 민감한 정보를 포함하고 있어 이용자가 원치 않는 정보까지 서비스 제공자에게 제공하게 된다.
정보보호법 제23조 개인정보 수집제한 규정은 정보통신서비스제공자가 이용자의 개인정보를 수집하는 시점에서 필요한 최소한의 정보를 수집하도록 규정하고 있어 회원탈퇴시 제공하는 정보는 수집으로 볼 수 없지 않는가 하는 반론을 제기할 소지가 있으나, 회원가입시 제공하는 정보나 회원탈퇴시 본인임을 입증하기 위해 제공하는 정보는 동일하게 업체가 이용자의 개인정보를 수집하는 것으로 볼 수 있다고 생각되며, 따라서 동 사안의 경우 정보보호법 제23조에도 위반된다고 본다.
| ※ 정보보호법 제23조(개인정보의 수집의 제한 등)① 정보통신서비스제공자는 사상·신념·과거의 병력 등 개인의 권리·이익 및 사생활을 현저하게 침해할 우려가 있는 개인정보를 수집하여서는 아니된다. 다만, 이용자의 동의가 있거나 다른 법률에 수집대상 개인정보가 명시되어 있는 경우에는 그러하지 아니하다. ② 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우 정보통신 서비스의 제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 당해 서비스의 제공을 거부하여서는 아니된다. |
결론
동 사례의 경우 회원탈퇴시 본인확인을 위한 여러 가지 방법이 있을 수 있고 이용자의 개인정보침해를 보다 적게 하는 방법이 있을 수 있음에도 불구하고 피신고인이 이용자의 개인정보 침해의 우려가 큰 주민등록초본을 요구하는 것은 정보보호법상 동의철회, 열람·정정을 수집방법보다 쉽게 해야 할 조치 미이행으로 정보보호법 제30조 제6항에 위반되며, 과도한 개인정보의 수집을 금지하고 있는 정보보호법 제23조에도 위반된다고 본다.
