국가정보_필리핀

Cases

1Wefund Lending Corporation 외 3개 온라인 대출업체의 위반사례

가. 개요

필리핀 국가 개인정보위원회(NPC)는 대출자의 개인정보 권리보호 차원에서 4개 온라인 대부업체 Wefund Lending Corporation, Joywin Lending Investor Inc., Cash8 Lending Corporation, Populus Lending Corporation에 대하여 제기된 위법한 개인정보 처리혐의에 관한 조사를 진행하고 2021년 8월 26일에 조사결과를 발표했다.

나. 조사결과 및 결정근거

조사를 담당한 개인정보위원회(NPC) 클레임조사팀(CID)은 해당 업체의 모바일 앱 JuanHand, Pesopop, CashJeep, Lemon Loan을 통한 대출 신청 프로세스와 소스코드를 조사한 끝에 대출업체들이 해당 앱을 통해 차용인의 모바일 장치에 저장된 거의 모든 정보에 무단으로 접근할 수 있었음을 확인하고, 개인정보보호법(DPA)을 위반하였다고 결론을 내렸다. 클레임조사팀(CID)의 보고서는 해당 업체들은 대출신청 과정에서 대출신청인의 동의와 관련한 개인정보 수집목적을 대출과 관련한 정보로 한정하지 않고 사용자의 위치, 사진, 미디어 파일, 이메일, 연락처뿐만 아니라 Facebook, Instagram 및 Google+와 같은 소셜미디어 계정을 포함하여 광범위하고 민감한 개인정보에 대해서도 접근할 수 있다고 기만적으로 범위를 확대하였으며, 또한 일부 앱은 해당 정보에 접근가능기간도 ‘영구적’으로 설정하였다고 공개했다. 특히 개인정보위원회(NPC)는 Wefund Lending Corporation의 모바일 앱 JuanHand는 차용인이 알지 못한 채 대출신청자의 모바일기기에 저장된 일정 정보에 무단으로 접근하여 일정을 추가하거나 수정할 수도 있었으며, 심지어 대출신청자가 모르게 연락처에 있는 주소로 이메일을 발송할 수도 있었다고 언급했다. 개인정보위원회(NPC)는 이러한 수준의 개인정보 접근은 대출신청인이 자신의 모바일 장치에 있는 모든 개인정보에 대한 권리를 완전히 포기하는 수준이라고 평가했다.

이러한 조사결과에 근거하여, 개인정보위원회(NPC)는 해당 온라인 대부업체들이 개인정보보호법(DPA) 및 대출업무와 관련하여 개인정보위원회(NPC)가 요구하는 투명성, 적법한 목적, 비례성의 원칙을 준수하지 못했으며, 개인정보보호법 시행규칙 제20조 제1항을 위반했다고 결론하고 이를 시정하도록 명령했다.

다. 집행내용

개인정보위원회(NPC)는 해당 업체들이 채권회수를 위해 차용인의 모바일 기기에 설치된 앱을 통해 기기에 저장된 연락처 등의 개인정보에 ‘"관련 없고, 불필요하며, 과도하게"’ 접근함으로써 결과적으로 차용인들이 괴로움과 수치심을 초래했으므로 2021년 8월 26일 해당 업체들에게 차용인의 개인정보를 위법하게 처리하는 일체의 행위를 즉시 중단하라고 명령하였다. 한편, 이러한 개인정보위원회(NPC)의 조치에 대해 해당 4개 업체 중 2개 업체는 입장을 표명하지 않고 있으며, 2개 업체는 반박입장을 표명하였으나 본 명령에 대한 충분한 반론을 제시하지 못한 것으로 알려졌다.

또한 개인정보위원회(NPC)는 해당 4개 업체의 대출 앱을 금지하는 명령이 "심각한 개인정보 위험을 방지하고 정보주체의 개인정보 권리를 보호하는 데 중요하다“라고 언급하고, 국가전기통신위원회(NTC, National Telecommunications Commission)에 명령 사본을 전달하고 해당 4개 대출 앱을 삭제할 것을 요청하였다. 한편 개인정보위원회(NPC)는 해당 앱의 추가적인 다운로드를 방지하기 위해, Google Play스토어에도 해당 앱 삭제를 요청하였다.

라. 시사점

개인정보위원회(NPC)는 이상의 4개 업체 외에도 현재 다운로드가 가능한 200개 이상의 온라인 대출 앱을 조사하고 있는 중이며 조사결과에 따라 추가적인 명령과 조치를 취할 것으로 알려지고 있다. 또한 개인정보위원회(NPC)가 온라인 대부업체의 개인정보 처리 관행에 대한 조사와 조치를 취한 것은 이번이 처음이 아니라고 알려져 있다. 이미 2019년 10월에도 개인정보위원회(NPC)는 채권회수를 위해서 연체자의 개인정보를 사용하는 행위에 대해 26개 온라인 대출 앱에 대해 대대적인 조치가 단행된 바 있다.

그럼에도 오늘 날까지도 이러한 개인정보에 대한 위법한 처리가 계속되는 것은 개인정보 취급관행에 대한 적정성 고찰과 이를 구현하는데 필요한 사회 전반의 개인정보에 대한 인식의 부재로 인한 결과로 보인다.

따라서 동 사례를 고찰함으로써 개인정보 보호에 대한 체계의 구현 못지않게 개인정보보호에 관한 사회전반의 인식 제고의 중요성이 결코 작지 않으며, 개인정보보호와 관련된 정책의 방향에 거시적 관점이 필요함을 시사하고 있다.

2정치설문 웹사이트 Pilipinas2022.ph의 위반사례

가. 개요

필리핀 국가 개인정보위원회(NPC)는 2022년 총선을 앞두고 정치설문조사 웹사이트 Pilipinas2022.ph가 개인정보 처리에 관한 적법한 기준을 충족하는지 여부에 대한 조사를 진행하고 2021년 7월 12일에 조사결과를 발표했다.

나. 조사결과 및 결정근거

개인정보위원회(NPC)는 2022년 총선을 앞두고 여론을 가늠하기 위한 설문조사를 이유로 유권자들에게 이름, 주소지 정보, 연락처를 요구하는 설문조사 웹사이트 Pilipinas2022.ph의 개인정보 처리 관행이 적법하지 않다고 결론 내렸다. 또한 해당 사이트가 개인정보 처리에 대한 법적기준을 충족하지 못했으며 투명성, 수집목적 등 일반적인 개인정보 보호원칙을 준수하지 않았고 수집된 개인정보 처리도 적법하지 않다고 판단하였다.

특히 해당 웹사이트는 온라인 정치조사 플랫폼으로 가장하고 있지만 정보 수집목적을 명시하지 않고 있으며, 정보주체가 사전 동의를 제공하는데 필요한 충분한 정보와 개인정보 컨트롤러로서의 정보도 제공하지 않음에 따라 개인정보 수집과정에서 정보주체의 권리를 침해했다고 판단하였다. 그로인해 정보주체가 개인정보 수집의 진정한 목적과 추가적인 처리에 대해 제대로 인지하지 못하고 있을 뿐만 아니라 개인정보가 위법한 처리에 대해 기본적인 권리를 행사할 수 없는 문제가 초래되었다고 평가했다.

다. 집행내용

국가 개인정보위원회(NPC)는 개인정보보호법(DPA)의 여러 규정을 위반한 행위에 대해 웹사이트 Pilipinas2022.ph에 운영중단을 명령하고, 국가전기통신위원회(NTC, National Telecommunications Commission)에 명령서 사본을 전달하고 해당 웹사이트 폐쇄를 내용으로 하는 명령서(CID-CDO-21-003)를 발부했다.

또한 개인정보위원회(NPC)는 Pilipinas2022.ph에 동 명령서 전달 후 10일 이내에 의견을 제출하도록 요구하고 제출된 의견에 대한 최종결정을 내릴 때까지 데이터베이스에 저장된 개인정보의 처리 일체를 중단하라고 명령했다. 한편 필리핀 선거관리위원회(Comelec)는 Pilipinas2022.ph이 등록된 선거단체에 소속되어 있지 않으며 해당 사이트의 실제 소유주가 누구인지 확인되지 않는다고 발표한 바가 있어 개인정보위원회(NPC)는 동 명령서를 Pilipinas2022.ph 사이트에 표기된 이메일 주소로 발송했다고 공개하였다.

라. 시사점

본 Pilipinas2022.ph 사건은 선거와 같은 사회적 이슈에 편승하여 불법적인 방법으로 민감한 개인정보를 침해한 사례로서, 언제든 개인의 정보가 위법행위의 손쉬운 타깃이 될 수 있음을 보여준다. 특히 동 사고사례에서 개인정보 침해에 따른 피해의 내용이 구체적으로 언급되지 않았으나, 개인정보 컨트롤러가 불명확한 상황에서 발생한 침해사고가 초래할 수 있는 잠재적 피해는 지속적임에 주목할 필요가 있다. 동 사고의 발생원인을 여러 측면에서 제시될 수 있으나, 궁극적으로는 설문조사방법과 같은 제도와 기술 환경의 변화 속도에 비하여 각 정보주체의 개인정보에 대한 인식의 변화속도와 개인정보보호를 담당할 시스템의 개발속도가 그에 미치지 못하는데 따른 것을 한 이유로 들 수 있다.

따라서 동 사례를 고찰함으로써 향후 디지털사회에서 개인정보의 침해와 오남용 예방을 위한 정보주체의 인식제고 활동과 개인정보 컨트롤러의 적법성을 보장하기 위한 강화된 모니터링의 필요성을 시사하고 있다.

top