세무대리 플랫폼인 ‘삼쩜삼(㈜자비스앤빌런즈)’이 개인정보보호법 위반으로 8억5400여만원의 과징금과 1200만원의 과태료 등을 부과받았다.

개인정보보호위원회(위원장 고학수)는 지난 28일 전체회의를 열고 삼쩜삼 앱 운영 사업자에 대해 ‘주민등록번호 단순 전달 후 파기 및 보유 금지’ 등의 시정명령과 함께, 과징금 8억5410만 원과 과태료 1200만 원을 부과하기로 의결했다고 밝혔다.

개인정보위는 한국소비자연맹 등의 공익·민원 신고에 따라 지난해 5월부터 ㈜자비스앤빌런즈에 대한 조사에 착수해 △주민등록번호 처리 근거 및 과정과 △개인정보 수집·이용, 제3자 제공과 관련한 적법한 동의 여부에 중점을 두고 조사했다.

◆ 주민등록번호 처리 제한 의무 관련

그동안 삼쩜삼은 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인 및 소득 관련 정보의 수집, 세무대리인 수임 동의, 환급신고 대행을 한 사실이 있으며, 조사 과정 중에 절차를 개선해 현재는 환급신고 대행시에만 주민등록번호를 수집·이용한 후 회원 탈퇴시까지 저장·보유하고 있는 상황이다.

이처럼 삼쩜삼이 법령에 근거 없이 주민등록번호를 수집·보관한 행위 등은 개인정보보호법 제24조의2를 위반한 것이다. 개인정보보호법 제24조제1항에 따라 주민등록번호는 ‘법령 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우’ 등에 한해 처리할 수 있다.

다만, 주민등록번호가 포함된 신고·신청(종합소득세 신고 등)을 대행하는 사업자가 법령에 따라 주민등록번호 처리 권한을 기 보유한 행정기관(국세청)에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우는 보호법상 제한된 행위로 보지 않아, ‘주민등록번호 단순 전달 후 파기, 파일 등으로 저장·보유 금지’ 내용의 시정조치를 명령하고, 향후 이행 여부를 확인하기로 했다.

◆ 이용자 동의 없이, 개인정보 수집·이용, 민감정보 처리, 제3자 제공 관련

아울러 삼쩜삼이 소득정보 등 개인정보를 수집하는 과정에서 처리방침을 통해 포괄 동의를 받으면서, 수집 항목을 누락하고 수집 목적·보유기간 등을 불명확하게 고지한 사실, 근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등에 대한 정보를 수집하면서 민감정보인 건강정보에 대한 별도 동의를 받지 않은 사실, 추가 검토가 필요한 경우 세무대리인이 대신 신고토록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않은 사실 등이 있음을 확인했고, 보호법에 따라 과징금 및 과태료를 부과하기로 했다.

남석 개인정보보호위 조사조정국장은 “데이터 경제 시대에 개인정보위는 법 위반행위에 대해서는 엄격한 제재를 하겠지만, 새싹기업 등이 신규 서비스를 설계할 때 개인정보보호 관점에서 서비스를 기획·개선하도록 유도함으로써 국민들이 다양한 서비스를 안전하게 이용할 수 있는 환경 조성을 위해 노력해 나갈 계획”이라고 밝혔다.