이 글은 최앤리 법률사무소 윤현수 변호사의 기고문입니다. 스타트업을 위한 양질의 콘텐츠를 기고문 형태로 공유하고자 하는 분이 있다면 벤처스퀘어 에디터 팀 editor@venturesquare.net으로 연락 주시기 바랍니다.
사업을 운영하다 보면 새로운 서비스나 프로모션을 홍보하고, 이용약관이나 중요 정책의 개정을 알리거나, 꼭 그런 것이 아니더라도 고객과의 접점을 늘리는 차원에서 고객들에게 단체로 메일을 보내게 됩니다. 그런데 이렇게 단체 메일을 보낼 때 무심코 개인정보보호법을 위반할 수 있다고요?
이번 칼럼에서는 개인정보처리자가 단체 메일을 보낼 때 주의할 점에 대해 알아 보겠습니다.
1. 고객의 ‘메일 주소’도 개인정보에 해당
개인정보보호법 제2조에서는 개인정보를 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”로 넓게 규정하고 있습니다. 개인정보의 이와 같은 넓은 정의에 따르면 메일 주소는 위 법에 따른 개인정보에 해당하고, 법원 역시 같은 취지로 이메일 주소가 개인정보에 해당한다고 보고 있습니다.
즉, 고객의 메일 주소는 그 자체만으로도 개인정보에 해당합니다. 많은 사람들이 메일 주소(아이디)에 자신의 이름, 생년월일 등 스스로를 식별할 수 있는 문구를 사용하기 때문에 더욱 그렇습니다.
2. 단체 메일을 보낼 때는 반드시 수신자를 숨은 참조로
별 생각 없이 메일을 보내다 보면, 고객의 메일 주소를 전부 수신인에 포함하여 보내는 경우가 있습니다. 이렇게 되면 메일을 받는 수신인은 나 말고 또 어떤 사람들이 수신인인지 알 수 있게 됩니다. 다시 말해 회사의 고객 명단을 확보하게 되는 것입니다.
그런데 위와 같이 고객의 메일 주소가 개인정보에 해당하는 이상 이것은 개인정보보호법 위반입니다. 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 할 안전조치의무가 있기 때문입니다(개인정보보호법 제29조).
이런 상황을 막기 위해서는 단체 메일을 보낼 때 반드시 수신자들을 ‘숨은 참조’로 하거나, 일부 메일 서비스에서 제공하는 ‘개별 발송’ 기능을 사용하여 각 수신자가 다른 수신자들의 메일 주소를 볼 수 없도록 해야 합니다.
3. 실수로 메일 주소를 노출했더라도 너무 걱정하지 말자
이처럼 단체 메일을 보내면서 수신자 목록에 메일 주소를 포함하는 일은 대기업에서도 상당히 빈번하게 일어나는 사고입니다. 얼마나 흔히 일어날 수 있는 일이냐면, 심지어 개인정보 유출에 대한 신고를 처리하는 기관인 한국인터넷진흥원도 단체 메일을 보내면서 이러한 사고를 저질러 이슈가 된 적이 있습니다.
이처럼 메일 주소를 유출하는 사고는 개인정보보호법에 위반되는 행위이고, 이런 사고를 일으킨 경우 이론상 과징금, 과태료, 민사상 손해배상 책임을 부담할 수는 있습니다. 다만, 아직까지 이로 인하여 실질적인 책임을 부담한 사례를 찾아보기는 어렵습니다. 고객의 개인정보 유출에 대한 기업의 손해배상책임을 인정한 대표적인 판결로 과거 국민은행의 개인정보 유출에 대하여 피해자 1인당 7만원~10만원의 배상을 인정한 것이 있기는 한데(서울중앙지방법원 2007. 2. 8. 선고 2006가합33062,53332 판결), 이는 메일 주소와 더불어 이름, 주민등록번호까지 유출되어 사회적으로 큰 논란이 되었던 사고이므로 단순히 메일 수신자 목록을 공개한 것과는 결이 다릅니다.
다만, 별 일 아니겠지 하고 그냥 넘어갈 일은 아닙니다. 개인정보처리자가 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 1. 유출된 개인정보의 항목, 2. 유출된 시점과 그 경위, 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 4. 개인정보처리자의 대응조치 및 피해 구제절차, 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 알려야 하며(개인정보보호법 제34조 제1항), 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 해야 하고(동법 제34조 제2항), 1천명 이상의 개인정보가 유출된 경우 위 통지 및 조치 결과를 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고하여야 합니다(동법 제34조 제3항, 동법 시행령 제39조).
따라서, 실수로 단체 메일을 보내면서 수신자 목록을 공개했다면 해당 메일을 받은 고객들에게 이러한 사실과 함께 피해 신고를 접수할 수 있는 연락처를 알리는 메일을 보내야 합니다. 만약 메일을 보낸 사람이 1천명 이상이라면 위와 같은 조치를 취한 이후 개인정보보호위원회나 한국인터넷진흥원에 자진 신고를 할 필요도 있습니다. 참고로 이러한 메일 주소 노출로 인하여 과징금이나 과태료가 부과된 사례는 거의 없으니, 적절한 조치만 취한다면 너무 걱정할 필요는 없습니다.
- 관련 칼럼 더보기
You must be logged in to post a comment.