국가정보_호주

Cases

1아마존 오스트레일리아 서비스 (Amazon Australia Services Inc.)

가. 개요

2017년 6월 17일, 청구인(저자)은 피청구인(아마존 오스트레일리아 서비스, Amazon Australia Services Inc.) 소유의 출판서비스업체 CreateSpace Services Inc.를 통해 'Accidental Refugee: Cheating Wife'라는 ​​제하의 단행본을 출판했으며, 이후 CreateSpace Services Inc.는 KDP(Kindle Direct Publishing Service)와 합병되는 과정에서 피청구인의 e-book 플랫폼을 통해 ’Accidental Refugee‘이라는 제하의 eBook으로 재출판되었다. 그리고 재출판 과정에서 청구인(저자)은 KDP에 본인의 개인정보(이름과 이메일 주소 등)를 제공하였으나, 청구인(저자)은 출판과 관련하여 신원을 노출하기를 원하지 않았으므로 저자명을 ’익명(Anonymous)’으로 표기하기로 요청하였고 실제로 단행본과 e-book으로 출판된 도서에도 저자명을 가명으로 출판할 수 있었다.

그러나, 2017년 12월 15일경 한 개인(이하 ‘제3자’)이 피청구인(아마존)에 연락하여 해당 출판물이 타인의 명예를 훼손하고 법원을 모독하는 자료를 포함하고 있으며 해당 사건이 호주 연방정부에 제소되었다고 알려왔으며, 이어 연방의 경찰 당국도 해당 출판물의 향후 사본에서 해당 부분들을 삭제할 것을 요청하였다.

이러한 요청에 따라, 2018년 1월 9일과 2018년 3월 8일 사이에 피청구인(아마존)은 자체적인 콘텐츠 지침에 따라 해당 출판물을 검토한 결과, 해당 출판물이 지침을 위반했다고 판단하고, 2018년 3월 8일 해당 출판물의 판매를 중단하고 문제를 제기한 제3자에게 해당 도서가 피청구인(아마존)의 모든 판매 채널에서 삭제되고 있음을 통지하였다. 그러나 그 과정에서 피청구인(아마존)은 문제를 제기했던 제3자에게 청구인(저자)의 이름과 이메일 주소를 유출하였다.

그리고 2018년 3월 9일, 피청구인(아마존)은 청구인이 출판한 도서에 타인의 명예를 훼손하는 자료가 포함되어 있다고 주장하는 제3자로부터 통지를 받았으며 피청구인의 조치사항을 전달하는 과정에서 문제를 제기한 제3자에게 저자의 개인정보(이름과 이메일 주소)를 제공한 사실을 통지하였다. 그에 따라, 청구인은 피청구인(아마존)에 문제를 제기하였으나 만족스러운 해결에 도달하지 못함에 따라 2018년 5월 25일에 개인정보 감독기구에 민원을 제기하였고, 2019년 11월 26일 법원의 명령에 따라 진행된 조사의 결과와 결정사항을 Australian Information Commissioner 웹사이트를 통해 2021년 8월 30일에 공개하였다.

나. 청구인 주장

청구인(저자)은 피청구인(아마존)이 본인의 동의나 사전 통보 없이 자신의 개인정보를 제3자에게 공개했다고 주장하였으며, 이러한 행위가 피고가 호주 프라이버시 원칙(APPS)의 제6원칙 개인정보 활용과 공개규정을 위반한 것이라고 주장했다. 또한, 청구인(저자)은 그 결과로 본인의 사생활이 심각하게 침해되었으며, 우울증과 불안으로 인한 치료를 받고 있으며 심지어 생명의 위협도 받았다고 주장하고, 다음과 같은 구제책을 요구하였다.

피청구인(아마존)의 개인정보 유출로 인한 청구인(저자)의 사생활이 침해되었다는 사실에 대한 인정하고 사과할 것

피청구인(아마존)의 판매 채널에서 본인의 저작물이 제외된 것에 대한 보상을 지급할 것

청구인(저자)의 사생활이 침해받은 것에 대한 보상을 제공하고 사과할 것

다. 피고인 주장

피청구인(아마존)은 청구인(저자)의 프라이버시법 위반 주장에 대해 아래와 같이 반박하였다.

해당 정보의 공개는 프라이버시법 제16장이 규정하고 있는 ‘허용되는 일반적인 상황(permitted general situation)’에서 “불법적인 활동이나 심각한 위법 행위로 의심되는 상황에 대해 취하는 적절한 행위”에 해당하므로 이는 호주 프라이버시 원칙(APPS)의 제6원칙 개인정보 활용과 공개규정을 위반한 것 아니다.

또한, 해당 정보가 제3자의 명예훼손에 관한 법적 청구를 이행하는데 필요한 범위 내에서 합리적인 수준에서 최소한의 정보만을 제공한 것이므로, 프라이버시법 제16장의 ‘허용되는 일반적인 상황(permitted general situation)’의 또 다른 예외규정인 “법적 또는 합당한 주장을 하는 행위”에 해당하는 조치이었으므로, 이는 호주 프라이버시 원칙(APPS)의 제6원칙 개인정보 활용과 공개규정을 위반한 것이 아니다.

청구인(저자)은 KDP 서비스에 가입하는 시점에서 KDP 약관과 피청구인(아마존)의 개인 정보 보호 약관에서 언급한 제3자에 대한 정보제공요건을 포함하여 동의하였으므로, 피청구인(아마존)은 이미 청구인(저자)의 개인정보 공개에 관한 법적 권한을 보유하고 있다.

라. 집행내용

감독기구는 조사를 통하여, 피청구인(아마존)은 청구인(저자)의 호주 프라이버시 원칙(APPS)의 제6원칙 개인정보 활용과 공개규정을 위반하였으며, 정보 주체의 동의가 없는 상태에서 제3자에게 개인정보를 공개함으로써 청구인(저자)의 사생활을 침해하였다고 판단하였다. 특히, 피청구인(아마존)이 주장하는 제6원칙 개인정보 활용과 공개에 관한 예외규정과 관련하여, 감독기구는 호주 프라이버시법(Privacy Act)이 예외상황이 언급하는 '불법 행위'에 대해 따로 명시적인 정의를 두지 않더라도 불법 행위에 대한 사법기관의 판단에 앞서 개인정보처리 주체(APP Entity)의 자의적 판단에 따라서 정보 주체의 동의 없이 개인정보를 제3자에게 제공한 것은 개인정보 유출에 해당한다고 판단하고, 프라이버시법 52장 규정에 따라, 피청구인(아마존)은 청구인(저자)에게 배상액 3천 호주 달러를 지급하라고 최종결정하였다.

마. 시사점

본 아마존의 사례는 개인정보 보호 법규뿐만 아니라 개인정보처리 주체의 내부 관행과 지침의 중요성을 예시하고 있으며, 그러한 내부적인 역량이 갖추어지지 않은 상황에서 발생할 수 있는 위험요소를 예시하고 있다. 본 사례에서 살펴본 것과 같이, 법령이 규정하는 예외적인 상황의 해석에 있어 필요한 내부지침과 관행이 사전에 확립되어있지 않으면, 어떠한 형태로든 잠재적인 개인정보 침해위험에서 벗어날 수 없다는 점을 시사하고 있다.

27-Eleven Stores Pty Ltd

가. 개요

세븐일레븐(이하, ‘피청구조직’)은 호주 수도 특별 준주(ACT), 빅토리아주, 뉴사우스웨일스주, 퀸즐랜드주, 웨스턴오스트레일리아주에 700개 이상의 편의점 매장을 운영하는 회사로서, 2020년 6월 15일부터 2021년 8월 24일까지(이하, ‘관련 기간’) 내점고객의 경험을 조사하는 고객피드백 메커니즘(이하, ‘메커니즘’)의 목적으로 안면인식기술을 전국에서 운용 중인 700여 매장에 도입했다. 해당 메커니즘에 사용된 안면인식 장비는 타사 공급업체(서비스 공급자)에 의해 공급되었으며, 아래와 같은 기능을 갖추고 있다.

내점고객(응답자) 매장에 비치된 태블릿 장치를 이용하여 고객의 매장 내 경험에 대한 자발적인 설문 조사를 완료할 수 있다.

각 태블릿에는 설문 조사를 완료할 때 고객의 얼굴 이미지를 촬영할 수 있는 카메라가 내장되어 있다.

고객의 얼굴 이미지는 개인이 태블릿을 처음 사용했을 때와 설문 조사를 완료한 직후 두 번에 걸쳐 캡처되었다.

태블릿으로 캡처된 고객의 얼굴 이미지는 Microsoft Azure 인프라(서버) 내에서 호주에서 호스팅 되는 보안 서버에 보안 연결을 통해 업로드되기 전에 약 20초 동안 얼굴 이미지가 태블릿에 저장되었다가 업로드가 완료되면 태블릿에서 삭제되었다.

서비스 공급자는 애플리케이션 프로그래밍 인터페이스를 사용하여 응답자의 얼굴 이미지를 암호화된 알고리즘 표현으로 변환하고, 응답자의 대략적인 연령대와 성별에 대한 평가 및 기록된 고객의 경험 정보와 함께 처리하였다.

처리가 끝난 얼굴 이미지는 다른 저장소로 전송되며, 지난 20시간 동안 같은 태블릿에 입력된 응답자의 얼굴 이미지 및 정보와 함께 전송되고, 이미지와 정보를 전송받은 저장소에서는 유사성 API를 통해 전송된 얼굴 이미지를 비교하며 같은 인물로 추정되는 이미지를 찾아내고, 동일인일 가능성이 큰 경우, 해당 이미지들에 ‘동일함’으로 분석결과 플래그를 부여했다.

이러한 처리 과정을 거친 이미지와 정보는 해당 서버에 7일 동안 보관되었으며, 응답자가 제출한 고객서비스 경험에 대하여 서비스 제공자는 문제를 식별하여 수정하거나 필요한 경우 고객피드백의 응답 내용을 재처리하였다.

응답자의 얼굴 이미지와 마찬가지로 고객이 제공한 설문 조사의 답변도 암호화된 전용 데이터베이스에 저장되었으며, 모든 설문 조사의 응답에 타임스탬프를 통해 시간을 기록하고 관련 태블릿이 위치한 매장에 연결된 저장소로 전송되었다.

피청구조직은 이러한 메커니즘을 통해 2021년 3월까지 약 160만 건의 응답자 얼굴 이미지를 확보했으며, 서비스 제공자는 이러한 데이터를 통해서 고객의 서비스 경험에 대한 데이터베이스를 확보하고자 했다고 회신하였다.
호주 정보위원회(OAIC)는 2020년 7월 13일부터 프라이버시법 제42(2)항에 따라 응답자들에게 사전 조사를 시작할 계획을 전달하고, 본 조사를 통해 동 피청구조직(세븐일레븐)이 호주 프라이버시 원칙(APPS)의 제3원칙 요청된(solicited) 개인정보의 수집과 제5원칙 개인정보 수집에 대한 통지요건을 충족하는지 검토하겠다고 통보하고 조사를 진행했다.

나. 피청구조직의 주장

피청구조직(세븐일레븐)은 정보위원회(OAIC) 조사에 대하여 아래와 같은 내용을 근거로 얼굴 이미지와 수집된 정보는 개인의 신원을 확인하거나 감시 또는 추적에 사용되지 않기 때문에 개인정보가 아니었다는 취지로 의견을 제출했다.

서비스 제공자의 시스템은 응답자의 다른 시스템과 독립적으로 운영되었으며, 안면인식 장비 때문에 수집된 정보 중 어떤 것도 개인정보 또는 그와 연관되거나 매치한 바가 없다.

소수의 제한된 서비스 공급자의 직원들만이 시스템 오류 및 기타 문제를 식별하기 위해 서버에 저장된 이미지에 액세스할 수 있으며, 저장된 이미지들은 API 처리를 거친 후 얼굴을 식별할 수 없다.

저장된 모든 이미지는 고유한 정보로서 분류되므로, 같은 응답자가 여러 차례 캡처된 이미지를 올리더라도 각각의 이미지로 처리되었으므로 해당 이미지들을 이용하여 특정한 개인을 식별하는 용도로 사용되지 않았으므로 개인정보로 볼 수 없다.

다. 조사결과 및 결정근거

정보위원회(OAIC)는 조사를 통하여 피청구 조직(세븐일레븐 스토어즈 Pty Ltd.)가 고객피드백 메커니즘을 통해 수집한 얼굴 이미지와 정보는 개인을 식별하는 ‘민감한 개인정보’라고 판단하고, 피청구조직의 정보활동이 프라이버시법의 규정과 호주 프라이버시 원칙(APPS)의 제3원칙 요청된(solicited) 개인정보의 수집과 제5원칙 개인정보 수집에 대한 통지요건을 위반한 것으로 판단하고, 2021년 9월 29일 조사결과를 정보위원회(OAIC) 웹사이트를 통해 2021년 8월 30일에 공개하였다.
정보위원회(OAIC)는 해당 정보가 개인정보에 해당하는지에 주목했다고 언급하며, 응답자들이 매장에 비치된 태블릿을 통해 제공한 것은 비록 암호화된 알고리즘으로 변환되었다고는 하나 원칙적으로 특정 개인의 얼굴을 디지털로 표현한 것이며, 피청구조직은 각 응답자의 얼굴을 '식별자'로 활용하여 같은 응답자가 여러 차례 설문에 응답을 남기는지를 감지함으로써 응답의 적합성과도 연결했다. 따라서 이것은 응답자의 얼굴을 이용하여 각 개인을 합리적으로 식별할 수 있었다는 사실을 적시한다고 판단하였다.

라. 집행내용

이러한 조사결과에 따라, 정보위원회(OAIC)는 피청구조직(세븐일레븐 스토어즈 Pty Ltd.)에 다음과 같이 명령했다.

2020년 6월 15일부터 2021년 8월 24일까지의 관련 기간, 피청구조직은 언급된 고객피드백 메커니즘을 통해 얼굴 이미지와 정보를 과도하게 수집함으로써 개인의 프라이버시를 침해했으므로 피청구조직은 이러한 행위를 즉시 중지하고 반복하지 말 것.

호주 프라이버시 원칙(APPS)의 제3원칙 요청된(solicited) 개인정보의 수집과 제5원칙 개인정보 수집에 대한 통지요건을 위반하여 고객피드백 메커니즘을 통해 수집한 모든 얼굴 이미지를 삭제할 것.

해당 이미지 삭제를 완료하고 정보위원회(OAIC)에 서면 확인서를 제출할 것.

정보위원회(OAIC)는 피청구조직(세븐일레븐 스토어즈 Pty Ltd.)에 프라이버시법 52장 규정에 따라 본 결정일로부터 90일 이내에 주문사항을 완수하라고 명령했다.

마. 시사점

본 세븐일레븐의 사례는 목적보다 과도한 개인정보 수집이 초래할 수 있는 개인정보 침해위험을 예시하고 있다. 본 사례를 통해 개인정보 활동의 설계에 있어 처리방법뿐만 아니라 목적에 부합하는 적정한 정보의 범주와 분량에 대한 고려의 중요함을 시사하고 있다.

top