목동스포츠센터 vs. 스포짐 목동점 - 개인정보 유출 사건

평화로운 주말, 난데 없이 스포짐 목동점으로부터 광고 문자가 한 통 날아왔다. 

그로부터 2시간 후 목동스포츠센터에서 다급한 문자가 한 통 날아들었다.

그리고 월요일, 스포짐 목동짐에서 다시 사과 문자가 날아들었다.

자, 그럼 이제 위 문자를 토대로 사실관계를 정리해보자. 깔끔하게 다음 2가지 문장으로 정리가 가능하다.

1. 목동스포츠센터의 모 코치가 스포짐 목동점 관계자에게 목동스포츠센터 회원의 휴대전화번호를 전달하였다.

2. 스포짐 목동점은 전달받은 휴대전화번호를 이용하여 목동스포츠센터 회원에게 광고문자를 발송하였다.

 

우선 2항의 스포짐 목동점의 행위는 명백한 개인정보 보호법 위반이다.

개인정보 보호법 제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.  1. 정보주체의 동의를 받은 경우 동법 제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자 동법 제74조(양벌규정) ② 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.

자, 스포짐 목동점의 누군가(이하 "A")가 목동스포츠센터의 모 코치(이하 "B")로부터 회원의 휴대전화번호를 전달 받았다. 휴대전화번호는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(개인정보 보호법 제2조 제1항 나목)에 해당하므로 개인정보에 해당한다.

즉, 회원 개인정보를 넘겨준 목동스포츠센터의 모 코치(B)와 이를 넘겨받은 스포짐 목동점 직원(A) 모두 정보주체인 회원의 동의 없이 개인정보를 제공하고 제공받았으므로, 개인정보 보호법 제71조에 따라 처벌되어야 한다. 양벌규정에 따라 목동스포츠센터와 스포짐도 함께 벌금을 때려 맞아야 함은 물론이다.

목동스포츠센터는 한 가지 더 혼이 나야 한다. 자, 다음을 보자.

개인정보 보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. 시행령 제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다. 1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치 5. 개인정보에 대한 보안프로그램의 설치 및 갱신 6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치 ③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.  제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다. 1. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자 제75조(과태료)  ② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.  6. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

이번 개인정보 유출 사태가 목동 스포츠센터 모 코치(B)의 독단적인 행위에서 기인한 것일 뿐만 아니라, 개인정보처리자로서 목동스포츠센터가 평소 개인정보의 분실, 유출을 방지하기 위한 안전조치의무를 다하지 않은 결과라면, 이 부분에서도 형사처벌과 행정처분을 피해갈 수 없다. 이 경우, 안전조치의무 미준수라는 부분이 추가적으로 입증되어야 하겠지만, 주먹구구식 영업을 하는 센터이기 때문에 제대로 관리가 안 되었으리라 믿어 의심치 않는다.

자, 정리하면 다음과 같다.

1) 개인정보를 무단으로 제공받은 스포짐 목동점 직원 및 스포짐에 대한 형사처벌

2) 개인정보를 무단으로 제공한 목동스포츠센터 모 코치에 대한 형사처벌

3) 이 모든 사태에 안전관리의무 소홀이 있었다면, 목동스포츠센터에 대한 형사처벌 및 행정처분

 

개인정보 침해 신고는 다음 사이트에서 가능하다. 전화 신고도 가능하지만, 글을 써서 접수하는 방식도 가능하다. 나는 후자를 택했고, 다음과 같이 안내 받았다. 법정 민원이니까 14일 정도 기다리면 답신이 올 것이다. 개인정보와 관련된 법규가 상당히 빡세니 다들 주의하도록 하자. 참고로 사이트에서 신고할 경우, 글자 수 제한이 있다. 과연 어떻게 처리가 될지 귀추가 주목된다.

https://privacy.kisa.or.kr/main.do

KISA 개인정보침해 신고센터

 

정보주체의 동의 없이 수집한 개인정보를 제3자에게 제공하고, 제공받은 개인정보를 이용한 사건을 신고합니다. I. 사건의 경위 사건의 경위는 다음과 같습니다. 1. 목동스포츠센터(주소: 서울 양천구 목동서로 130 목동신시가지아파트4단지, 우편번호: 07989, 전화번호: 02-2061-4561)는 리모델링을 이유로 2022. 4. 1.부터 휴업에 돌입하기로 예정함. 2. 스포짐 목동점(주소: 서울 양천구 오목로 299 트라팰리스 상가 이스턴에비뉴 B1층, B2층, 우편번호: 08001, 전화번호: 02-2647-5670)는 위 목동스포츠센터 소속 직원을 통하여 목동스포츠센터에 회원으로 등록한 고객의 휴대전화번호를 제공받음. 3. 스포짐 목동점은 위 제공받은 고객 휴대전화번호로 2022. 3. 26. 마케팅 목적으로 홍보 문자를 발송함. 4. 스포짐 목동점은 2022. 3. 28. 고객 휴대전화번호로 개인정보의 무단 이용에 대한 사과 문자를 발송함. II. 신고사항 다음과 같은 사항의 처리를 원합니다. 1. 회원의 개인정보를 무단으로 유출한 목동스포츠센터 소속 직원에 대한 형사처벌 2. 회원의 개인정보에 대한 안전관리의무를 소홀히한 목동스포츠센터에 대한 행정처분 3. 정보주체의 동의 없이 개인정보를 무단 이용한 스포짐 목동점 및 그 실제 행위자에 대한 형사처벌 및 행정처분