SBS Biz

개인정보보호위원회가 정보 주체의 개인정보를 '꼼수'로 수집해 마케팅에 활용한 현대해상화재보험, 악사손해보험 등 자동차 손해보험사 4곳에 과징금 92억770만원의 철퇴를 내렸다고 오늘(12일) 밝혔습니다.

개인정보보호위원회는 어제(11일) 제21회 전체회의를 열고 개인정보 보호법을 위반한 현대해상화재보험 등 다이렉트 자동차보험 판매 12개 손해보험사에 대해 제재처분을 의결했습니다.

앞서 개인정보위는 지난해 8월부터 12개 자동차 손해보험사에 대한 조사를 실시했습니다.

12개 보험사 중 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 보험사는 과징금 92억770만원을 부과하기로 했습니다. 

현대해상화재보험이 61억9천800만원, 악사손해보험이 27억1천500만원, 하나손해보험이 2억7천300만원, 엠지손해보험이 2천170만원씩 과징금을 부과받았습니다.

또, 이 과정에서 개인정보 보호책임자(CPO)가 동의절차 개선 내용 등에 대해 검토·통제하지 못한 사실도 확인해 CPO의 내부통제 역할도 강화하도록 시정명령했습니다.

아울러, 조사 대상 12개 보험사 모두 보험료 계산을 중단하거나 보험 계약을 체결하지 않은 이용자 정보를 파기하지 않고 1년간 보유하고 있어, 보유기간을 개선하도록 시정명령하는 한편, 1년이 넘어도 이용자 정보를 파기하지 않은 롯데손해보험에는 과태료 540만원도 부과했습니다.

과징금 처분을 받은 4개 보험사는 상품소개에 미동의 의사를 표시한 이용자에게 동의를 유도하는 팝업창을 운영하였으나 모호한 표현 등을 사용한 것으로 드러났습니다.

구체적으로 팝업창으로 개인정보 수집·이용과 제공에 동의를 받으면서도 '상품 소개 항목에 동의'라는 문구 외에 '개인정보 수집·이용, 제공'등의 표현이나 동의에 필요한 법정 고지사항이 없었습니다.

또, 팝업창이 실행된 상태에서는 '개인정보 동의' 화면이 비활성화돼 동의받은 개인정보, 처리 유형(수집, 제공 등)과 법정 고지사항을 확인할 수 없었고 이용자가 팝업창에서 '확인(또는 '동의')' 버튼을 누르면 마케팅에 '동의'하는 것으로 처리했습니다.

동시에 이렇게 동의가 된 경우에는 개인정보 수집·이용뿐 아니라 개인정보 제3자 제공, 광고성 정보수신 등을 모두 한꺼번에 동의한 것으로 처리됐습니다.

지난 2022년 현대해상화재보험이 종전의 팝업창에서 '확인'과 '취소' 버튼의 효과를 변경하여 정보주체가 오인하도록 유도하고 이를 다른 사업자들이 벤치마킹하여 도입한 것으로 확인됐습니다.

4개 보험사가 팝업창을 운영한 기간 동안 이용자의 마케팅 동의율은 최대 30%p(31.42%→61.71%) 급증하였고, 반면 팝업창을 삭제한 후에는 최대 35%p(62.91%→27.62%)나 동의율이 감소했습니다. 

적법하지 않게 동의받은 개인정보를 이용해서 자동차보험뿐 아니라 운전자보험, 건강보험, 치아보험 등 해당 보험사에서 운영하는 다른 보험 마케팅에도 활용하였으며, 이중 자동차보험에만 국한해도 문자, 전화 등 약 3천만 건의 마케팅을 실시한 것으로 확인됐습니다. 

통상 보험사들이 자동차 보험료 계산 과정에서 상품소개 동의 시 1건당 5천원∼1만원 상당의 상품권이나 쿠폰을 지급하는 이벤트를 실시하는 것을 고려하면, 팝업창을 통해 해당 기업들은 상당한 마케팅 비용 절감 이익을 얻은 것으로 보인다고 개인정보위는 설명했습니다.

과징금이 부과된 4개 보험사의 경우, 개인정보 수집·이용 및 제공에 대한 표현뿐만 아니라 법정 고지사항도 확인할 수 없어, 이용자가 개인정보 처리 사실을 충분히 인지하기 어려웠습니다. 

개인정보위는 4개 보험사의 이러한 팝업창 운영을 정보주체의 자기결정권을 중대하게 침해한 행위로 판단해, 적법한 동의를 받지 않은 '동의 의무(舊 보호법 제39조의3, 보호법 제15조)' 위반으로 보고, 과징금을 부과했습니다. 

팝업창을 통해 이루어진 동의 절차는 마케팅 부서에서 기획하였고 그 과정에서 CPO의 검토 등 내부통제가 제대로 작동하지 않은 것이 확인됐습니다.

개인정보위는 4개 보험사에 대해 CPO의 내부통제 절차가 적정하게 이루어지고 독립적으로 역할을 수행할 수 있도록 시정명령했습니다.

이번 조사 대상 12개 보험사는 다이렉트 자동차 보험을 판매하기 위해 보험료 계산서비스를 제공하고 있는데, 이때 이용자의 이름, 주민등록번호, 휴대전화번호를 필수로 수집합니다. 

이들 보험사들은 이렇게 수집한 개인정보를 이용자가 계산을 중단하거나 계산 후 계약을 체결하지 않더라도 1년간 보유하고 있는 사실이 드러났습니다. 

보호법에서는 수집·이용 목적이 달성된 개인정보를 지체 없이 파기하도록 규정하고 있습니다. 

개인정보위는 다이렉트 자동차 보험료를 계산만 하고 계약하지 않은 이용자의 개인정보를 1년간 보유해야 할 근거가 명확하지 않고, 1년이 개인정보를 보유해야 할 최소 기간이라고 보기 어렵다고 판단했습니다.

12개 보험사는 손배보험협회와 합의해 자진시정을 진행했으나 롯데손해보험의 경우 가입설계 동의 유효기간인 1년이 만료되었음에도 32만 명의 개인정보를 파기하지 않아 과태료 540만원이 부과됐습니다.