개인정보위 제11회 전체회의 결과

<전승재 개인정보보호위원회 조사3팀장>
브리핑을 시작하겠습니다.

개인정보보호위원회는 AI 디지털 교과서, 이하 'AIDT'라고 칭하겠습니다, AIDT에 대한 개인정보보호법 사전 실태점검 결과를 어제 심의·의결하였습니다.

지난 3월부터 운영 중인 AIDT 서비스는 종이 교과서와 다르게 학생별 학습이력을 데이터베이스화하여 저장하고 개인 맞춤형 콘텐츠를 제공하는 등 개인정보 처리가 수반됩니다.

이에 개인정보위는 AIDT의 개인정보 침해 여부를 점검하고자 서비스 제공에 관여하는 기관들을 대상으로 실태점검을 진행하였습니다.

점검 대상 참여기관은 교육부와 한국교육학술정보원, 이하 'KERIS'라 호칭하겠습니다. 그리고 출판사 중 점유율 상위 3개 사입니다.

점검 결과를 설명드리기에 앞서서 자료 6페이지 '참고 1'의 개인정보 처리 흐름을 설명드리겠습니다.

첫째로, 이용자가, 즉 학생 또는 교사가 KERIS가 운영하는 AIDT 통합 포털의 '교육디지털원패스'라는 교육부가 제공하는 인증시스템을 통해서 로그인을 합니다. 그러면 NICE와 연계를 통해서 인적 정보 또는 학적 정보를 수집합니다.

둘째로, AIDT 페이지에 학습화한 교과목 링크가 제공되는데 이용자가 이것을 클릭하면 해당 학습 콘텐츠를 제공하는 개발사 웹페이지로 이동하게 됩니다. 이용자는 개발자 웹페이지에서는 개별적으로 회원가입을 할 수 없고, 개발사는 AIDT 포털에서 넘겨받은 개인별 고유식별값인 36자리 숫자 유효 아이디를 가지고 이용자에게 서비스를 제공하고, 서비스란 학습 교육 콘텐츠, 학습 콘텐츠입니다. 그 결과로서 학습이력을 저장하게 됩니다.

셋째로, 개발사는 축적한 학습이력 데이터를 '국가수준학습데이터셋'이라는 KERIS가 정해놓은 포맷으로 가공을 해서 다시 KERIS에게 되돌려주게 됩니다. 그러면 이용자는 KERIS 포털에서 과목별 진도 상황 등을 통합 조회할 수 있게 됩니다.

다시 자료 2페이지로 이동해서 설명드리겠습니다.

실태점검 주요 사항입니다.

먼저, 시정권고 관련 사항을 말씀드리겠습니다.

첫째, AIDT의 경우 개인정보 처리에 관한 명확한 근거 법령이 없습니다. 따라서 보호법상 정보주체 동의 또는 계약이행을 위한 처리 등의 사유를 근거로 개인정보를 처리하고 있습니다. 동의를 받는 경우 개인정보처리동의서에, 동의가 아닌 계약이행 등을 근거로 처리하는 경우 처리방침 등에 각각 처리하는 개인정보의 항목, 목적, 보유기간 등을 정보주체가 알 수 있도록 기재를 하여야 하는데 일부 사항 기재가 누락된 사실이 발견되었습니다.

미흡했던 예시 중 하나가 민원처리 관련입니다.

일상적으로 개발사는 유효 아이디라는 32자리 숫자값만 알고 학생의 인적사항을 알지 못하는 구조입니다. 그런데 예외적으로 학생이 '무슨 콘텐츠가 접속이 안 돼요.', '잘 진행이 안 돼요.'라고 민원을 넣으면, 그러면서 학생의 학교 반, 이름 등의 인적사항을 이야기를 하면 개발사로서는 그 업무를 처리하기 위해서 학생의 인적사항을 다시 유효 아이디 36자리 숫자로 변환을 해야 합니다.

이 과정에서 개발사는 유효 아이디뿐만 아니라 학생의 인적사항까지 취득을 하게 되고, 민원 처리의 경우에 이런 개인정보 처리 흐름이 발생한다는 정책이 처리방침 등에 고지가 되어 있어야 하는데 그 부분이 누락되었습니다.

둘째로, AIDT 통합포털 내부에는 학습데이터 저장소 또는 학습데이터 허브가 구축되어 있습니다. 여기에는 각 개발사로부터 제공받은 학생별 상세한 학습 콘텐츠 이용내역 데이터, 즉 국가수준학습데이터셋이 저장되어 있습니다.

이 데이터는 현재는 통합 대시보드 구성을 비롯한 통계 목적으로 활용되고 있고, 향후에는 인공지능 기반 학습 분석 등의 목적으로 활용될 예정입니다.

이와 같이 학생 개개인의 상세한 학습 활동에 대한 정보가 전국적으로 통합된 데이터베이스에 쌓일 경우 일정 부분 개인정보 자기결정권 침해 우려가 발생하게 됩니다.

이 경우 우리 개인정보보호법에 따라 처리하고자 하는 필요 최소한의 정보를 선정하여 처리되는 개인정보 항목별 명확한 목적과 정당한 처리이익을 제시해야 하는데 이 부분이 다소 미흡한 것으로 확인되었습니다.

이에 개인정보위는 AIDT 통합포털을 운영하는 KERIS에게 개인정보 항목, 목적, 보유기간 등을 동의서 또는 처리방침을 통해 정보주체에게 누락 없이 고지하도록 시정권고하였습니다.

또한, 통합 DB에서 관리되는 국가수준학습데이터셋에 대해서는 처리 항목 및 목적을 보다 명확히 할 것을 시정권고하였습니다.

3쪽입니다.

안전조치 의무 관련 개선권고 사항에 대해서 말씀드리겠습니다.

첫째, AIDT는 개발사에 의해 학생의 인적사항이 처리되는 상황을 최소화하고, 즉 유효 아이디 체계를 갖추고 있습니다. 그리고 국가정보원 보안점검 및 클라우드 보안인증(CSAP) 인증을 획득하는 등 기본적 보안 조치는 구비하고 있었습니다.

다만, 개인정보 안전성 확보를 위한 검정 심사 기준과 개발사용 개발 가이드라인이 클라우드 보안 측면에 다소 치우쳐 있었고 상대적으로 개인정보보호법상 안전 조치에 대한 고려가 일부 미흡한 부분이 있었습니다.

둘째로, 참여기관 간 시스템 연동, 예컨대 API 연계 등 과정에서 연결고리에서의 보안이 취약할 가능성이 있어서 이 부분에 대한 지속적 관리와 점검이 필요한 것으로 확인되었습니다.

이에 개인정보위는 KERIS와 각 개발사가 개인정보보호 인증, 즉 ISMS-P 인증을 취득하여 개인정보 안전성 확보 조치 수준을 제고하되, 통합 포털과 개발자 웹사이트 간 연동 구조를 고려해서 양 기관이 공동으로 인증을 신청·취득·유지할 방안을 마련하도록 개선권고하였습니다.

아울러, AIDT 통합포털의 경우 보호법상 공공시스템, 즉 집중관리시스템으로 추후 지정될 수 있으므로 이에 대해 요구되는 강화된 안전성 확보 조치 의무를 준수하도록 개선권고하였습니다.

세 번째로, 제도 정비 등에 관한 개선권고 사항을 말씀드리겠습니다.

AIDT의 전반적인 개인정보보호 체계 강화를 위해 교육부에 AIDT 자격심사... 검정 심사 기준 및 가이드라인에 보호법 준수사항을 구체적으로 반영하도록 하고 이에 대한 사후 점검체계도 함께 마련하도록 하였습니다.

또한, AIDT 서비스 운영 시 처리되는 개인정보가 보다 명확한 적법 근거에 의해서 안전하게 처리될 수 있도록 하고 정보주체 권리도 실질적으로 보호될 수 있도록 하며, 각 개발사 즉 KERIS와 각 참여자, KERIS와 개발사 등에게 역할과 책임, 특히 침해 사고나 유출 사고 발생 시 사고 수습에 필요한 역할과 책임까지 부여하는 체계를 마련하도록 개선권고하였습니다.

각 기관이 개인정보위의 시정권고를 10일 내에 수락하면 시정명령을 받은 것으로 간주되며, 시정권고 및 개선권고에 대한 이행 결과를 60일 이내 개인정보위에 알려야 합니다.

향후 개인정보위는 시정권고 및 개선권고 사항에 대한 이행 여부를 계속 점검하고 그 과정에서 교육부 등 관계기관과 협의를 통해 보다 안전한 데이터 환경에서 AI 디지털교과서를 포함한 양질의 공교육 서비스가 제공될 수 있도록 계속 노력할 예정입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 작년에 AI 교과서 나올 때 주로 우려했던 부분이 정보주체 대부분이 아동이라는 점이었었는데 혹시 이번 권고에서는 이런 미성년자 개인정보 수집 동의나 이런 보호 조치 여부 같은 거는 없는 것 같은데 혹시 별도 조치가 있었는지.

<답변> (전승재 조사3팀장) 잘 아시다시피 아동에 대해서는 법정대리인 동의를 받아서 개인정보 처리 동의를 획득하도록 하고 있는데 그 부분은 현장에서 이미 조치가 되어서 이행이 되고 있었기 때문에 이번 시정권고 및 개선권고 사항에는 포함돼 있지 않습니다.

<질문> 이번 AI 교과서가 사실 이게 활성화 지금 되지 않은 상황에서 실태점검을 어떻게 하게 됐는지, AI 교과서 활성화에 방해가 될 수 있다, 라는 지적도 있는데 그거 어떤 입장이신지 궁금하고요.

두 번째로, 학술정보원에 지금 ISMS-P까지 받으라고 권고하신 건데 이게 지금 ISMS는 받은 거지 않습니까, 그 기관이? 그런데 이 P까지 받으라고 하면 부담이 될 수 있지 않으냐는 우려가 있는데 그거에 대해서도 말씀 부탁드립니다.

<답변> (전승재 조사3팀장) 말씀드리겠습니다. 작년부터 저희 개인정보위에서 교육부와 부처 간 협업을 통해서 비공식적으로 협의 또는 컨설팅 절차를 진행해 왔었습니다. 그러다가 올해 3월에 출시하고 개인정보 처리가 개시되면서 정식 사전 실태점검 절차를 진행했는데 잘 아시겠지만 사전 실태점검은 사고가 터지기 전에 침해 위험을 사전에 점검하는 제도라서 이것을, 이것이 활성화에 장애가 될 요소라는 생각하지 않았고, 오히려 개인정보 측면에서 취약한 부분을 초기에, 서비스 초기에 발견해서 보완할 수 있는 계기로 삼을 수 있도록 교육부와 긴밀하게 협조를 하고 있습니다.

그리고 ISMS와 ISMS-P의 관계는 기자님께서도 잘 아시다시피 포함 관계입니다. ISMS는 보안 측면의 인증이고 거기서 개인정보 보호 측면의 체크리스트가 추가된 인증이 ISMS-P 인증인데, ISMS를 보유, 기보유한 기관이 P 인증을 따려고 하면 중복되는 체크리스트는 갈음해 주는 형태로 신청 기관의 부담을 최소화해 주는 장치가 현장에서 운영이 되고 있고요.

오히려 이 인증이 저희가 추가적인 부담을 지우는 것이 아니라 이 인증이 없다고 하면 교육부가 교과서 검정 과정에서 학습 콘텐츠가 적절한지 뿐만 아니라 개인정보 처리도 적절하게 이루어지는지를 교육부가 사실은 직접 점검을 해야 되는 지위에 있습니다.

그런데 ISMS-P 인증을 땀으로써 인증심사원들이 그 부분을 일정 부분 미리 대신 봐주게 되면 그만큼 전체적인 부담이 경감되는 효과도 있을 것으로 기대하고 있습니다.

<질문> KERIS나 교과서 개발 업체가 ISMS 의무 대상은 아니지 않나요?

<답변> (전승재 조사3팀장) 예, 의무 대상이 아니기 때문에 저희가 개선권고를 하고 있습니다. 현재로서는 그렇습... 그런 거로 알고 있습니다, 현재로서는 의무 대상 아닌 거로.

<질문> 점검 대상 중에 개발사 12개 사 중에 3개 사를 대표 사례로 점검했다, 라고 지금 보도자료에 나와 있는데 이 3개 사가 어디인지 그리고 여기에 이 3개 사에 대한 따로 점검 결과나 권고가 들어간 내용들이 있는지 궁금합니다.

<답변> 저희 개발사에 대해서는 이번에는 초기 단계 점검인 점을 고려해서 개발사에 대해서 저희가 직접 시정권고 또는 개선권고를 하지는 않고 개발사들의 실질적 관리·감독을 할 주체인 교육부와 KERIS 쪽에 시정·개선권고를 하고 있습니다. 그 개발사는 상호를 언급하기보다는 그냥 점유율 순으로 상위 3개 사업자라고 말씀드리겠습니다.


<김해숙 개인정보보호위원회 조사1과장>
안녕하십니까? 개인정보위 조사1과의 김해숙이라고 합니다.

제가 말씀드릴 내용은 어제 전체회의에서 의결했던 중국 해외직구 사업자인 테무 서비스에 대해서 국외이전 규정 위반 등에 대해서 저희가 13억 6,900만 원의 과징금을 부과하고 과태료와 시정명령을 처분한 내용에 대해서 보고... 말씀드리겠습니다.

일단 테무 서비스는 잘 아시겠지만 저희가 지난해 알리익스프레스를 처분하면서 그때도 보도자료에 배포했듯이 테무에 대해서는 추가적인 사실관계 확인 이후에 처분을 하겠다, 라고 말씀드렸었고 그 결과가 어제 정리가 된 내용입니다.

그래서 저희가 작년부터 테무와 이런 해외직구 서비스에 대해서 조사를 진행했었고 최근에 아마 기억하시는 분들도 계실 텐데 지난 2월, 3월에 어떤 일이 있었냐면 한국 판매자의 신분증 정보를 과도하게 수집하고 있다, 라는 언론 보도도 있어서 이 2개 내용을 같이 처분하게 되었습니다.

테무 서비스는 알리익스프레스나 우리 국내의 네이버 스마트스토어 같은 이런 오픈마켓하고 거의 유사한 형식이지만 실제 운영 방식은 조금 차이가 있습니다. 알리익스프레스나 네이버 스토어 같은 경우는 판매자가 상품을 플랫폼에 올려두면 구매자가 구매했을 때 구매자 정보를 판매자한테 직접 다 제공해 주고 판매자가 직접 배송하는 방식인데 여기는 쿠팡의 로켓배송하고 비슷하게 물류창고를 구성해서 물류창고에 제품을 다 가져다 둔 다음에 구매가 이루어지면 테무에서 직접 배송하는 방식으로 서비스가 진행되고 있어서 판매자한테 개인정보가 전달되고 있지는 않습니다.

그런데 이렇게 서비스를 운영하는 과정에서 저희가 확인한 내용은 중국뿐만 아니라 일본, 싱가포르 또는 국내에 여러 물류창고들이 있고 이 서비스를 제공하기 위해서 배송하는 업체들도 있고 그런데 이 업체들한테 개인정보가 국외이전, 국외이전이라고 하면 정확하게 표현하면 개인정보 처리를 위탁하는 것입니다.

처리 위탁이라는 것은 '이 정보가 필요하니 너한테 부여된 업무 범위에 해당하는 만큼만 개인정보를 이용해 줬으면 좋겠다.'라는 형식의 위탁을 하고 있는데, 이 위탁하고 있는 사실에 대해서 명확하게 처리방침에 공개하거나 또는 이용자에게 알리지 않은 점에 대해서 저희가 개인정보 국외이전에 대한 위반이 있다, 라고 판단을 했고요.

또 이렇게 위탁을 할 때는 저희 보호법상에서 '수탁자에 대한 관리·감독을 철저히 하라.'라는 규정이 있습니다. 그런데 그럼에도 불구하고 그간 수탁자에 대한 관리를 제대로 못 한 점이 있어서 이 두 가지를 기준으로 해서 저희가 테무를 처분하게 되었습니다.

또 테무는 갑자기 급증하면서 실제 서비스 이용자가, 1일 이용자 수가 2023년 말 기준으로 했을 때 290만 명 정도 됐었는데 저희 보호법상 기준으로 1일 이용자 수가 100만 명이 넘어가는 사업자에 대해서는 국내 대리인을 지정해서 우리 보호법에서 요구하는 개인정보보호책임자의 업무를 수행하도록 하고, 또는 피해 구제나 이런 절차들 또는 민원에 대한 대응을 잘 할 수 있도록 우리 보호법을 잘 준수해 달라, 라고 하고 있는데 국내대리인이 지정되어 있지 않았고요.

또 하나는 여기가, 회원가입 혹시 해보신 분들 계실지 모르겠는데 회원가입을 할 때 이메일 주소나 휴대전화번호를 입력하면 바로 가입이 가능할 정도로 굉장히 가입을 쉽게 해놨습니다. 그런데 여기가 탈퇴를 하려면 최소 7단계 이상의 절차를 거쳐서 중간에 탈퇴, 왜 탈퇴해야 되는지 탈퇴 이유와 탈퇴 의사에 대한 확인 과정을 거치는 등 복잡한 설계를 하고 있어서 저희 법상에서는 '수집하는 방법보다 이렇게 탈퇴든 아니면 서비스 처리 중지든 이런 열람 요구 등에 대해서 보다 쉽게 제공해야 된다.'라는 규정이 있는데 그 규정도 지키지 않았기 때문에 이런 위반 사실들에 대해서 저희가 처분을 하게 되었습니다.

그리고 또 하나는 한국 판매자 정보, 올해 2월하고 3월 사이에 한국 판매자의... 한국 판매자가 직접 이 테무 서비스에 입점해서 국내에서 직접 배송할 수 있도록 이용자한테 배송할 수 있는 서비스를 여기서 로컬 투 로컬 서비스라고 표현하고 있는데 이런 서비스를 제공하기 위해서 우리 판매자의 개인정보를 수집했었습니다.

그래서 이 수집하는 단계에서 문제가 됐던 부분은 신원 확인을 비대면으로 하다 보니까 신분증, 저희가 가지고 있는 신분증을 이미지로 촬영하고 사람의 얼굴 영상을 촬영해서 이 두 정보를 비교해서 그 사람이 맞는지 확인하는 신분 확인 절차를 거쳤었는데 이 과정에서 주민등록번호 등이 수집됐기 때문에 이 부분은 저희 보호법상에, 법령상에 근거가 없는 주민등록번호 처리 제한을 한 것으로 보고서 이 부분을 같이 처분하게 되었습니다.

그래서 실제 처분 내용은 국외이전에 대한 규정 위반과 주민등록번호 처리 제한에 대한 위반으로 해서 13억 6,900만 원의 과징금이 부과됐고요. 아까 말씀드렸던 개인정보 처리 위탁에 대한 수탁자 관리·감독을 제대로 하지 못한 점, 국내대리인을 지정하지 못한 점에 대해서는 저희가 1,760만 원의 과태료를 부과하게 되었습니다.

또 아울러서 국내대리인이 제대로 역할을 할 수 있도록 한국법인, 국내에 테무 법인이 있는데 국내 법인을 국내대리인으로 지정해 줄 것을 개선권고하고, 그 외에도 '수탁자에 대한 관리·감독이나 정보주체의 권리 보장을 제대로 하라.'라는 내용의 시정명령과 개선권고를 같이 하게 되었습니다.

그래서 이렇게 개선권고를 하고 시정명령을 하면서 저희가 기대하는 것은 그동안 저희가 해외 사업자를 처분할 때 누누이 얘기하는 것처럼 '해외 사업자도 우리 국민의 개인정보를 처리하거나 또는 우리 국민을 대상으로 뭔가 서비스를 제공할 수 있을 경우에는 우리 보호법을 준수해야 된다.'라는 점을 다시 한번 강조하고 싶고, 또 하나는 '이렇게 우리 법을 준수할 경우에는 국내 사업자와 동등한 수준의 보호 관리를 잘해 달라.'라는 점을 말씀드리고 싶습니다.

그리고 또 저희가 최근에 중국 사업자에 대해서 이슈가 조금 많은 부분도 있고 해서 작년에 저희가 해외 사업자를 대상으로 해서 안내서를 한 번 발간을 했었습니다. 그런데 그거에 이어서, 작년에 영문본으로 나왔고요. 올해는 중문본으로 만들어서 해외 사업자가 우리 보호법을 준수할 때 또는 국내에 진출하기 위해서 우리 보호법을 확인할 때 확인할 수 있는 안내서를 같이 발간해서 배포할 예정입니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 알리... 테무는 왜 이렇게 오래 걸렸나요? 알리에 비해서.

<답변> 작년에도 저희가 처분을 하면서, 알리 처분을 하면서 그때도 말씀드렸듯이 자료 제출, 자료가 조금 불충분한 부분이 있어서 그 부분에 대한 추가 확인에 시간이 조금 걸렸고, 그래서 시간이 조금 걸리다 보니까 저희가 조사에 대한 협조가 충분치 않다는 점에 대해서는 조금 가중처벌을 하게 된 부분이 있습니다.

<질문> ***

<답변> 맞습니다. 그 과정에서 아까 저희가 거의 준비는 다 되고 있어서 마무리하려고 했던 시점에 올해 판매자 입점 정... 입점 판매자 정보에 대한 이슈가 또 한 번 발생을 하면서 2개를 같이 처분을 하려고 하다 보니 시간이 조금 더 걸렸습니다.

<질문> 그러면 이번 과징금에 이런 자료 부실 제출 이런 것도 가중돼서 붙은 건가요?

<답변> 예, 아까 말씀드렸듯이 가중 반영이 됐습니다.

<질문> 자료 3페이지에 1일 평균 이용자 수가, 한국 이용자 수가 2023년 말 기준 290만 명으로 지금 나와 있는데요. 이게 지금 이번 처분 의결 당시, 처분 의결 때도 이 기준으로 아마 의결이 됐는지, 아마 이게 이용자 수가 변할 걸로 예상이 되는데 최근에 파악하신 건 없는지 궁금합니다.

<답변> 일단 1일 평균 100만 명이 넘어가면 국내대리인을 지정하도록 되어 있기 때문에 그 기준에서는 저희가 따로 하지는 않았고, 2024년 말 기준으로는 800만 명 정도 됐던 것으로 일단 기억은 하고 있습니다. 정확한 수치는 제가 확인을 하면 다시 말씀드리겠습니다.

<질문> 가중처벌에 따른 중과분이 얼마나 되는지 구체적으로 금액이 궁금하고요. 그리고 테무 같은 경우에 케이맨 제도나 아일랜드 이렇게 분산돼서 운영하는 걸로 알고 있어요. 그래서 이게 전체 매출을 사실 정확히 파악한 거라고 할 수 있는지 그것도 궁금합니다.

<답변> 일단 가중 기준은 저희가 조사 방해에 대해서는 30% 가중을 할 수가 있습니다. 그래서 여기는 30%, 과징금 산정할 때 30% 가중 반영에 대해서 산정했고요.

매출액 부분은 여기가 지금 사업자, 여기도 사업자가 지금 실은 2개 사업자입니다. 앞에 저희 보도자료 1페이지에 써놓은 것처럼 Whaleco Technology라고 해서 여기가 실제 플랫폼 서비스를 제공하고 있고 거기서 개인정보 처리를 담당하고 있는 사업자이고, 그다음에 Elementary Innovation이라고 해서 여기는 싱가포르 사업자인데 여기가 한국 입점판매자의 개인정보를 처리하고 있어서 입점판매자에 대한 관리를 하고 있는 부분이고요.

그래서 양쪽에서 매출은 각각 계산을 했습니다. WTL은 WTL의, 테무 실제 저희하고 매출, 한국 이용자가 실제 구매하고 있는 매출과 전 세계 매출을, 그 WTL의 전체 매출액을 기준으로 저희가 계산을 하게 됐고, 아까 입점판매자의 개인정보를 처리했던 Elementary Innovation 같은 경우는 한국 판매자의 시범서비스로 모집은 했지만 실제 그 판매자에 대한 서비스가 제공되고 있지 않았기 때문에 그 부분에 대해서는 저희가 매출액이 있다고 보지 않아서 정액과징금을 부과를 하게 됐습니다.

<질문> 판매자 정보 수집 부분에서요. 신분증과 얼굴 동영... 얼굴 영상 수집은 동의가 있었던 건가요?

<답변> 예, 판매자가 직접 올리기도 하고 동의도 받았습니다.

<질문> 그러면 거기에서 주민등록번호를 사용하겠다는 이야기는 없었던 거고요?

<답변> 주민등록번호 사용에 대한 얘기... 그냥 신분증을 올리도록 했고 주민번호는 동의를 한다, 라고 해서 쓸 수 있는 것이 아니고 저희 법에서는 고유식별정보 중에서도 주민번호는 특별히 제한을 하고 있습니다. 그래서 법령상의 근거나 공공 이익을 위해서 특별히 뭔가 긴급한 상황이, 이렇게 해서 제한적으로만 사용할 수 있는데 여기는 주민등록번호 처리에 대한 근거가 없었기 때문에 그 부분을 처리한 것입니다.

<질문> 국내 판매자 신원 확인 형태를 아예 바꾸기로 한 건가요?

<답변> 예, 신원 확인 형태를 지금은 전부 바꿔서 다른 방식으로 신원 확인을 하고 있습니다.

<질문> 그리고 국내... 수탁사 관리·감독 관련해서 이번에 이야기가 있긴 한데 일단은 해외로 간다는 고지를 하고 나서 수탁사가 어떻게 관리·감독을 하는지, 안전하게 하는지 그 기준도 확인이 된 건가요?

<답변> 일단, 수탁사 관리·감독에 대해서는 여기가 교육이나 아니면 실제 개인정보 처리 현황에 대한 점검 등이 이루어지지 않았기 때문에 그 부분을 저희가 시정명령을 한 것이고, 이거는 나중에 저희가 이행점검 과정에서 확인하게 될 것 같습니다.

<질문> 그리고 저희 이번에 이전이 된 개인정보는 어떤 종류들이 있었는지 설명 부탁드립니다.

<답변> 여기는 아까 말씀드렸듯이 직배송을 하고 있기 때문에 실제 물류창고를 여러 국가에 배치하고 있습니다. 그래서 이 물류창고들이 결국은 가야 되는 정보는 '누가 어떤 정보를 구매했고 여기로 배송을 해 줘라.'라는 정보가 가야 되는데 결국은 저희가 알고 있는 이름, 주소 그다음에 구매 내역 그다음에 거기에 필요한, 통관 절차에 필요한 통관 정보들까지 같이 전달이 됐습니다.

<질문> 방금 나온 질문에 추가적으로 한 가지만 여쭙고 싶은데 통관 정보라고 하면 통관부호 말씀하시는 거죠?

<답변> 예, 맞습니다.

<질문> 알겠습니다.

<질문> 과징금 산정 기준 매출액이 국내 기준인 거예요, 글로벌 기준인 거예요?

<답변> 저희가 이번 케이스 같은 경우는 한국 매출액에다가 실제 확인하는 과정에서 일부 글로벌 매출에 한국 비율을 반영해서 같이 반영했습니다.

<질문> (온라인 질의 대독) 먼저, SBS Biz의 기자님의 질문인데요. 테무가 한국 판매자 신원 확인을 진행할 때 판매자의 신분증과 얼굴 영상을 수집했다고 나와 있는데 두 정보를 무단 또는 불법으로 수집한 것으로 볼 수 있는지와 이에 대해서는 어떤, 보호법상의 어떤 사항들을 위반했다고 봐야 하는지가 궁금합니다, 라는 질의입니다.

<답변> 아까 한 번 말씀드렸던 것 같은데 무단 수집은 아니고 이용자... 그 판매자의 동의를 얻어서 수집했고 실제 판매자가 직접 두 정보를 올리고 있고 한 사항이라서 그 부분은 저희가 불법이라고 보지 않았고요.

그런데 아까 말씀드렸듯이 우리나라 법상에서는 주민등록번호 처리를 굉장히 제한하고 있는데 이거에 대한 법령 근거가, 적법한 근거가 없이 주민번호를 처리한 부분에 대해서 위반으로 본 것입니다.

<질문> (온라인 질의 대독) 다음은 KBS 기자의 질의인데요. 두 가지입니다. 일부 내용은 중복이 돼 있는 것 같습니다. 먼저, 첫 번째입니다. 테무의 법 위반 사실 가운데 회원 탈퇴 절차를 7단계로 복잡하게 구현해서 이용자의 권리 행사를 어렵게 한 사실이 확인됐다는 부분, 두 번째로, 판매자의 얼굴 동영상을 수집했다는 부분 관련해서 보호법상의 어떤 항목 위반한 것인지 설명을 부탁드리는 내용이 있고요.

두 번째 질의입니다. 과징금 13억 원을 책정할 때 테무의 여러 위반 사항 중에 특히 중하게 보신 부분은 무엇이고, 감경 혹은 정상 참작해 준 부분은 또 어떤 부분이 있는지 궁금합니다, 라는 질의입니다.

<답변> 일단 첫 번째, 권리 행사 관련해서는 저희 보호법 38조에 개인정보 수집이나 권리적... 권리 행사에 대한 부분을 정리하고 있습니다. 권리 행사라고 하면 열람 요구를 할 때 개인정보 처리에 대해서 어떤 정보가 처리되고 있는지 열람 요구를 할 수 있고 '내 정보를 더 이상 처리하지 말아 달라.' 처리 중지를 할 수도 있고 '그걸 삭제해 달라.'라고 요구할 수도 있고 여러 가지 권리 행사에 대한 내용을 정리하고 있는데, 이게 규정 중에 어떤 내용이 있냐면 개인정보를 수집하는 절차보다 열람을 요구하거나 이런 처리 정지를 요구하거나 이런 권리를 요구하는 것에 대해서 그 방법이나 절차를 훨씬 더 쉽게 해야 된다, 라는 규정이 있습니다.

그런데 여기는 아까 말씀드렸듯이 수집을 할 때는, 가입을 할 때는 휴대전화번호나 이메일 주소만 있으면 바로 가입이 될 수 있게 간단하게 구성한 반면에 탈퇴는 절차가 7가지 단계로 거쳐서 탈퇴를 하고 있어서 이 2개가 대비했을 때 훨씬 더 어렵게 했다, 라는 점을 저희가 지적한 것이고요.

동영상은 아까 말씀드렸듯이 동영상을 수집한 자체를 문제 삼은 것이 아니라 그 과정에서 신분증에 있었던 주민번호 처리를 문제 삼은 것입니다.

그다음에, 두 번째 질문하신 내용이 어떤 걸 더 중하게 봤느냐, 라고 말씀하셨는데 위반 사항이 지금 국외이전에 대한 위반과 주민등록번호 처리에 대한 위반을 둘 다 과징금을 부과하게 되는데 2개를 다 비슷하게 보고 처분했다, 라고 봐주시면 될 것 같고요.

감경이나 정상 참작한 부분은 판매자의 개인정보, 아까 판매자의 주민번호 취급에 있어서 여기는 2월에 수집을 시작해서 3월 초까지 수집하다가 바로 언론 보도 등을 통해서 논란이 되니까 바로 수집을 중지하고 그사이에, 지금 5월입니다. 두 달 사이에 이 절차를 완전히 바꾸고 그 부분을 다 시정을 완료했기 때문에 이거에 대해서는 저희가 감경 요소로 반영했습니다.

<답변> (사회자) 그럼 이상으로 오늘 브리핑을 마치도록 하겠습니다. 참석해 주셔서 대단히 감사드립니다.

<끝>