간편 세금·환급서비스 제공 어플 ‘삼쩜삼’ 운영 사업자 대상 과징금·과태료 처분 결정
[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 28일에 진행된 전체회의에서 개인정보보호 법규를 위반한 ‘삼쩜삼’ 앱 운영 사업자(자비스앤빌런즈)를 대상으로 ‘주민등록번호 단순 전달 후 파기 및 보유 금지’ 시정 명령과 함께 총 8억 5,410만 원의 과징금과 1,200만 원의 과태료 부과를 결정했다.
‘삼쩜삼’은 간편 세금·환급서비스를 제공하는 앱(어플리케이션)으로 국세청 홈텍스에서 이용자의 소득정보 등을 수집해 이용자의 종합소득세 신고 및 환급 등의 서비스를 지원해왔다.
개인정보위는 한국소비자연맹 등의 공익·민원 신고에 따라 지난해 5월부터 자비스앤빌런즈(이하, ‘삼쩜삼’)에 대한 조사에 착수해 △주민등록번호 처리 근거 및 과정 △개인정보 수집·이용 △제3자 제공 관련 적법 동의 여부 등을 중점적으로 조사했다.
[이미지=보안뉴스]
그 결과, 그동안 삼쩜삼은 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인 및 소득 관련 정보의 수집, 세무대리인 수임 동의, 환급신고 대행을 한 사실이 있으며, 조사 과정 중에 절차를 개선해 현재는 환급신고 대행시에만 주민등록번호를 수집·이용한 후 회원 탈퇴시까지 저장·보유하고 있는 상황이다. 이는 법령 근거 없이 무단으로 주민등록번호를 수집·보관한 행위로 개인정보 보호법(이하, 보호법) 제24조의2를 위반한 것이다.
▲개인정보보호법 제24조의2 내용[자료=보안뉴스]
다만, 주민등록번호가 포함된 신고·신청(종합소득세 신고 등)을 대행하는 사업자가 법령에 따라 주민등록번호 처리 권한을 기 보유한 행정기관(국세청)에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우는 보호법상 제한된 행위로 보지 않아, ‘주민등록번호 단순 전달 후 파기, 파일 등으로 저장·보유 금지’ 내용의 시정조치를 명령하고, 향후 이행 여부를 확인할 예정이다.
아울러 삼쩜삼이 △소득정보 등 개인정보 수집 과정 중 처리방침을 통해 포괄 동의를 받으면서 수집 항목 누락과 수집 목적·보유기간 등을 불명확하게 고지한 사실 △근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등의 정보를 수집하며 민감정보에 해당하는 건강정보에 대한 별도 동의를 받지 않은 사실 △추가 검토가 필요한 경우 세무대리인이 대신 신고토록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않은 사실 등을 확인해 보호법에 근거해 과징금 및 과태료를 부과했다.
▲삼쩜삼(자비스앤빌런즈) 개인정보보호 법규 위반사항에 따른 행정처분 내용[표=개인정보위]
남석 조사조정국장은 “데이터 경제 시대에 개인정보위는 법 위반행위에 대해서는 엄격한 제재를 하겠지만, 새싹기업 등이 신규 서비스를 설계할 때 개인정보보호 관점에서 서비스를 기획·개선하도록 유도함으로써 국민들이 다양한 서비스를 안전하게 이용할 수 있는 환경 조성을 위해 노력해 나갈 계획”이라고 밝혔다.
[이소미 기자(boan4@boannews.com)]
[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 28일에 진행된 전체회의에서 개인정보보호 법규를 위반한 ‘삼쩜삼’ 앱 운영 사업자(자비스앤빌런즈)를 대상으로 ‘주민등록번호 단순 전달 후 파기 및 보유 금지’ 시정 명령과 함께 총 8억 5,410만 원의 과징금과 1,200만 원의 과태료 부과를 결정했다.
‘삼쩜삼’은 간편 세금·환급서비스를 제공하는 앱(어플리케이션)으로 국세청 홈텍스에서 이용자의 소득정보 등을 수집해 이용자의 종합소득세 신고 및 환급 등의 서비스를 지원해왔다.
개인정보위는 한국소비자연맹 등의 공익·민원 신고에 따라 지난해 5월부터 자비스앤빌런즈(이하, ‘삼쩜삼’)에 대한 조사에 착수해 △주민등록번호 처리 근거 및 과정 △개인정보 수집·이용 △제3자 제공 관련 적법 동의 여부 등을 중점적으로 조사했다.
[이미지=보안뉴스]
그 결과, 그동안 삼쩜삼은 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인 및 소득 관련 정보의 수집, 세무대리인 수임 동의, 환급신고 대행을 한 사실이 있으며, 조사 과정 중에 절차를 개선해 현재는 환급신고 대행시에만 주민등록번호를 수집·이용한 후 회원 탈퇴시까지 저장·보유하고 있는 상황이다. 이는 법령 근거 없이 무단으로 주민등록번호를 수집·보관한 행위로 개인정보 보호법(이하, 보호법) 제24조의2를 위반한 것이다.
▲개인정보보호법 제24조의2 내용[자료=보안뉴스]
다만, 주민등록번호가 포함된 신고·신청(종합소득세 신고 등)을 대행하는 사업자가 법령에 따라 주민등록번호 처리 권한을 기 보유한 행정기관(국세청)에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우는 보호법상 제한된 행위로 보지 않아, ‘주민등록번호 단순 전달 후 파기, 파일 등으로 저장·보유 금지’ 내용의 시정조치를 명령하고, 향후 이행 여부를 확인할 예정이다.
아울러 삼쩜삼이 △소득정보 등 개인정보 수집 과정 중 처리방침을 통해 포괄 동의를 받으면서 수집 항목 누락과 수집 목적·보유기간 등을 불명확하게 고지한 사실 △근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등의 정보를 수집하며 민감정보에 해당하는 건강정보에 대한 별도 동의를 받지 않은 사실 △추가 검토가 필요한 경우 세무대리인이 대신 신고토록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않은 사실 등을 확인해 보호법에 근거해 과징금 및 과태료를 부과했다.
▲삼쩜삼(자비스앤빌런즈) 개인정보보호 법규 위반사항에 따른 행정처분 내용[표=개인정보위]
남석 조사조정국장은 “데이터 경제 시대에 개인정보위는 법 위반행위에 대해서는 엄격한 제재를 하겠지만, 새싹기업 등이 신규 서비스를 설계할 때 개인정보보호 관점에서 서비스를 기획·개선하도록 유도함으로써 국민들이 다양한 서비스를 안전하게 이용할 수 있는 환경 조성을 위해 노력해 나갈 계획”이라고 밝혔다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
