[개인정보] 영리목적의 광고성 정보 전송

■ 배경

1. "A"기업은 충전식 모바일카드 서비스를 제공하고 있음

2. 모바일카드 서비스 회원가입 시 (필수)동의와 (선택)동의를 수집받고 있으며, (선택)동의는 영리목적의 개인정보 처리 동의와 광고성 정보전송 수신을 동의하겠다는 내용을 포함하고 있음

3. "A"기업은 모바일카드 서비스 이용 고객을 대상으로 새로운 이벤트를 진행하고자 함

4. 이벤트는 전체 고객 중 랜덤 추첨하여 당첨된 이용자에게 모바일 쿠폰을 증정하여 서비스 이용을 촉구하고 홍보하는데 그 목적이 있음

5. 당첨된 이용자에게 모바일 쿠폰을 발송하는 업무는 "B"업체에서 수행(개인정보 제공)

 

■ 검토내용

충전식 모바일카드 서비스 고객 전체를 대상으로 회사 이벤트를 진행하기 전에 고려해야 할 개인정보보호 리스크가 존재하는가?

 

■ 검토의견

(이슈사항)

- 이벤트를 통해 발송되는 모바일 쿠폰 등은 회사에서 제공하는 재화 및 서비스 이용을 촉구하는 홍보 목적을 포함하고 있으므로 원칙적으로 광고성 정보에 해당한다.(정보통신망법 제50조)

- 따라서 이벤트를 통한 모바일 쿠폰 발송 근거는 "A"기업에서 수집받고 있는 (선택)동의에 포함된다.

 

- 충전식 모바일카드 서비스 회원가입 시 (선택)동의를 하지 않은 고객이 존재할 수 있다.

- (선택)동의를 하지 않은 고객은 충전식 모바일카드 서비스 이용간 제공되는 이벤트 행사 관련 일체를 수신하지 않겠다는 의사표시를 한 것으로 간주한다.

- 따라서 전체 고객을 대상으로 이벤트를 진행할 경우 (선택)동의를 수집하지 않은 고객도 포함되므로 이해관계가 충돌한다.(개인정보보호법 제15조, 제18조, 제22조)

 

- 또한 "B"업체를 통해 모바일 쿠폰이 발송됨에 따라 개인정보가 제공되는 현황을 고객에게 고지하고 필요시 동의를 받아야 한다.(개인정보보호법 제17조, 제18조)

 

(개선사항)

- 고객 전체를 대상으로 이벤트를 진행하는 것은 적절치 않으며, 개인정보 수집 (선택)동의 여부에 따라 이벤트 대상을 재식별해야 함.

ex) 이벤트 대상 제외 : (선택)동의를 수집하지 않은 고객

- 전체 고객을 대상으로 이벤트를 진행하고자 할 경우 (선택)동의를 수집하지 않은 고객에게 동의를 수집받아야 함

- 이벤트 진행 시 "B"업체와 개인정보를 제공/처리하는 업무는 개인정보처리 위수탁 관계로 판단되며, 해당 업무가 1회성이 아니라 지속적일 경우 위수탁 계약을 체결하고 "A"기업의 관리ㆍ감독을 받아야 함

- "A"기업은 홈페이지 개인정보 처리방침을 통해 위수탁 현황을 공개해야 함(이용자 동의는 X)

 

 

(추가검토)

정보통신망법 제50조제1항제1호에 따르면 대가를 지불한 거래관계를 통해 직접 연락처를 수집한 사업자가 거래 종료 후 6개월 이내에 자신이 처리하고 수신자와 거래한 것과 같은 종류의 재화등에 대한 영리목적의 광고성 정보를 전송하는 경우 사전동의 의무 예외에 해당한다. (금전적인 대가를 지불한 거래관계가 존재해야 하며, 단순 문의나 회원가입 등은 거래관계의 성립으로 볼 수 없다)

* 불법스팸 방지 안내서 개정안 참조

 

충전식 모바일카드 서비스를 통해 금액을 충전하고 결재를 수행한다면 "A"기업과 이용자간의 거래관계가 성립되며, 마지막 충전일 또는 결재일로부터 6개월 이내라면 기간에 충족하고(모바일카드 서비스를 탈퇴하지 않고 유지하는 이상 거래관계 종료일자는 기산할 수 없다고도 생각함), 충전식 모바일카드 서비스 이용에 사용된 모바일 충전금과 모바일 쿠폰은 종류가 같은 재화라고 볼 수 있다.

 

따라서 (선택)동의를 받지 않아도 사전동의 의무 예외에 해당하는 경우에 속하기 때문에 전체 고객을 대상으로 이벤트를 진행해도 되지 않는가에 대한 의견도 존재하였다.

 

다만, 영리목적의 개인정보 수집 이용동의와 광고성 정보 전송 수신동의는 별개의 동의 항목으로 보아야 할 것이며,

(당신의 개인정보를 영리목적으로 수집하고 이용하겠다는 동의 / 광고성 정보 전송을 수신하겠다는 동의)

정보통신망법 제50조제1항제1호에서 제시하는 사전동의 의무 예외 조항은 광고성 정보 전송 수신동의의 예외조건에만 해당할 것이다.

 

영리목적의 개인정보 수집 이용동의를 별도로 받았다면 위 조건에 한해서만 모바일 쿠폰을 발송할 수 있는 근거가 성립된다. 하지만 "A"기업은 영리목적의 개인정보 수집 이용동의와 광고성 정보 전송 수신동의를 통합하여 하나의 (선택)동의로 수집받고 있기때문에 (선택)동의를 수집받지 않았다면 영리목적의 개인정보 수집 이용동의도 하지 않은 것으로 간주하여 위 예외조항을 적용할 수 없다.

 

결론 : 기업은 개인정보보호법 제22조 제7항에 따라 영리목적의 개인정보 수집 이용동의를 받고, 정보통신망법 제50조제1항에 따라 광고성 정보 전송 수신동의를 받기때문에 별개로 구분하여 판단해야 한다.