[뉴스토마토 배덕훈 기자] 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 손해보험사가 개인정보보호법을 위반해 92억770만원의 과징금을 부과받았습니다.

 

개인정보보호위원회는 12일 정부서울청사에서 브리핑을 열고 전날 열린 전체회의에서 다이렉트 자동차보험 판매 12개 손해보험사에 대해 제재를 의결했다고 밝혔습니다.

 

남석 개인정보위 조사조정국장이 12일 오전 정부서울청사에서 브리핑을 열고 있다.

(사진=배덕훈 기자)

 

 

개인정보위는 자동차 손해보험사들이 불필요하거나 과도한 고객 개인정보를 요구한다는 보도 등에 따라 지난해 8월부터 조사를 실시했는데요. 조사 결과 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상화재보험(61억9800만원), 악사손해보험(27억1500만원), 하나손해보험(2억7300만원), 엠지손해보험(2170만원) 등 4개 보험사에 과징금 92억770만원을 부과하기로 했습니다.

또한 조사 과정에서 개인정보보호책임자(CPO)의 내부통제 역할도 강화하도록 시정명령도 내렸습니다.

 

이들 4개 보험사는 상품 소개를 위한 동의에 명백히 미동의 의사를 표시한 이용자에게 동의의 변경을 유도하는 팝업창(재유도 창)을 운영했는데요. 개인정보위는 이러한 동의의 변경은 오인할 수 있는 표현 및 개인정보 자기결정권을 제한하는 행위로 이용자의 의사에 따른 것이라 볼 수 없다고 판단했습니다.

 

특히 재유도 창으로 개인정보 수집·이용과 제공에 동의를 받으면서도 ‘개인정보 처리’ 표현이나 동의에 필요한 법정 고지사항이 없어 이용자는 마케팅 활용을 위한 개인정보 처리라는 사실은 알 수 없었는데요. 현대해상화재보험은 지난 2022년 7월 재유도 창의 ‘확인’과 ‘취소’ 버튼의 효과를 변경해 정보주체가 오인하도록 유도하고 ‘확인’ 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 했습니다.

종전에는 ‘확인’ 버튼을 누르는 경우 ‘미동의’ 상태로 다음 절차로 넘어가고 ‘취소’ 버튼을 누르면 재유도 창 이전 화면으로 돌아가 정보주체가 직접 ‘상품 소개 항목에 동의’할 수 있도록 했습니다.

현대해상의 이러한 재유도 창 변경은 다른 사업자들도 벤치마킹해 도입한 것으로 확인됐습니다.

 

남석 조사조정국장은 브리핑에서 “이러한 사실들이 명백히 오인할 수 있는 문구, 일반의 이용자가 생각하는 것과 그 반대의 문구를 사용하면서 개인정보 자기결정권을 중대하게 침해한 위반이 있다고 판단했다”라고 밝혔습니다.

 

4개 보험사가 이런 식의 재유도 창을 운영한 기간 이용자의 마케팅 동의율은 최대 30%p 급증한 것으로 나타났는데요. 이들 보험사는 적법하지 않게 동의받은 개인정보를 이용해서 자동차보험뿐 아니라 운전자보험, 건강보험, 치아보험 등 다른 보험 서비스 마케팅에도 활용한 것으로 드러났습니다.

이중 자동차보험만 문자, 전화 등 약 3000만건의 마케팅을 실시했는데요. 그 결과 위반 기간 동안 이와 관련한 스팸 신고 규모도 1만5000건에 달했습니다.

이와 관련 개인정보위는 “재유도 창을 이용한 적법하지 않은 동의 절차를 통해 해당 기업들은 상당한 마케팅 비용 절감 이익을 얻은 것으로 보인다”라고 설명했습니다.

 

이들 보험사는 이러한 절차를 마케팅 부서에서 기획했는데요. 그 과정에서 CPO의 검토 등 내부통제가 제대로 작동하지 않은 것이 확인됐습니다.

이에 개인정보위는 CPO의 내부통제 절차가 적정하게 이뤄지고 독립적으로 역할을 수행할 수 있도록 시정명령을 내렸습니다.

 

또한 이번 조사 대상이 된 12개 보험사는 다이렉트 자동차 보험을 판매하기 위해 보험료 계산서비스를 제공하고 있는데, 이때 수집한 개인정보를 이용자가 계산을 중단하거나 계산 후 계약을 체결하지 않더라도 1년간 보유하고 있었다는 사실도 확인됐습니다.

다만, 이들 보험사는 손해보험협회와 협의해 개선 방안을 개인정보위에 공식 의견으로 제출하고 내년 초부터 자진 시정할 계획임을 밝혀 보유기간 개선 이행에 대한 시정명령이 내려졌습니다.

그러나 롯데손해보험의 경우 동의 유효기간인 1년이 만료됐음에도 32만명의 개인정보를 파기하지 않아 과태료 540만원이 부과됐습니다.

 

남 국장은 “이번 조사 처분은 보호법상 적법한 동의를 받기 위해서는 정보주체에게 명확히 알리고 자유롭게 결정권을 행사할 수 있도록 해야 된다는 점을 분명히 한 것”이라며 “금융기관의 개인정보 처리라 하더라도 명백히 신용정보법상의 개인신용정보에 해당하지 않는 경우 개인정보 분야 기본법인 보호법의 적용 대상이 된다는 점을 다시 한 번 명확히 했다는 점에 대해서 의의가 있다”라고 말했습니다.

 

배덕훈 기자 paladin703@etomato.com