[더피엔엘(퍼스트모바일)] ‘전광훈 알뜰폰社’ 개인정보보호법 위반 과태료 1,200만원 부과_2025년 5월

필수동의로 마케팅 활용 · 주민등록번호 암호화 미이행 등 법 위반 적발

 

 

□  개요  

     2025년 5월 15일, 개인정보보호위원회는 알뜰폰 서비스 ‘퍼스트모바일’을 운영하는 사업자 ㈜더피엔엘에 대해 개인정보보호법 위반으로 과태료 1,200만 원을 부과하고, 사업자 누리집에 처분 사실을 공표하도록 명령했다. 조사 결과, 가입신청서에서 마케팅 광고 항목을 필수 동의로 설정하고, 개인정보 수집·이용 및 제3자 제공 항목을 구분하지 않은 채 포괄 동의를 받은 사실이 확인됐다. 또한, 가입자의 주민등록번호를 암호화해 보관하지 않는 등 기본적인 보안 조치가 미흡했던 것으로 드러났다.

 

□  사고내용 요약  

    1. 회사명 : (주)더피엔엘 (서비스명 : 퍼스트모바일)
    2. 사고유형 : 개인정보보호법 위반
    3. 위반사항(주요)
       - 마케팅 광고 항목을 '필수 동의'로 설정
       - 주민등록번호 암호화 미보관
       - 개인정보 수집·이용 및 제3자 제공 항목 미구분
    4. 개인정보 유출범위 : 개인정보 유출 사고는 발생하지 않음

 

 

□  개인정보 위반 타임라인  

    -  2025.02월 : 정치권 중심으로 퍼스트모바일 관련 개인정보 무단 수집 의혹 제기
    -  2025.03월~04월 : 개인정보위, 더피엔엘 및 관련 단체에 대한 현장 조사 착수
    -  2025.05.14 : 개인정보보호위원회 전체회의에서 과태료 및 시정명령 심의·의결
    -  2025.05.15 : 더피엔엘에 과태료 1,200만 원 부과 및 공표 명령 발표

 

□  '개인정보보호법' 위반사항 주요내용   

    1. 마케팅 광고 항목을 '필수 동의'로 설정
        -> 홈페이지 회원가입 및 서비스 가입 과정에 '마케팅 광고 동의' 항목은 개인정보 수집·이용 동의와 별도로, 명시적인 사전 동의를 받아야 하며, 필수가 아닌 사용자 선택적 판단에 따라 동의를 받도록 하여야 한다.

개인정보보호법 - 제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제22조의2제1항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 이 경우 다음 각 호의 경우에는 동의 사항을 구분하여 각각 동의를 받아야 한다. <개정 2017. 4. 18., 2023. 3. 14.>
1. 제15조제1항제1호에 따라 동의를 받는 경우
2. 제17조제1항제1호에 따라 동의를 받는 경우
3. 제18조제2항제1호에 따라 동의를 받는 경우
4. 제19조제1호에 따라 동의를 받는 경우
5. 제23조제1항제1호에 따라 동의를 받는 경우
6. 제24조제1항제1호에 따라 동의를 받는 경우
7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우
8. 그 밖에 정보주체를 보호하기 위하여 동의 사항을 구분하여 동의를 받아야 할 필요가 있는 경우로서 대통령령으로 정하는 경우
② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다. <신설 2017. 4. 18., 2017. 7. 26., 2020. 2. 4.>
③ 개인정보처리자는 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. <개정 2016. 3. 29., 2017. 4. 18., 2023. 3. 14.>
④ 삭제 <2023. 3. 14.>
⑤ 개인정보처리자는 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제1항제3호 및 제7호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2017. 4. 18., 2023. 3. 14.>
⑥ 삭제 <2023. 3. 14.>
⑦ 제1항부터 제5항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법에 관하여 필요한 사항은 개인정보의 수집매체 등을 고려하여 대통령령으로 정한다. <개정 2017. 4. 18., 2023. 3. 14.>

    2.  주민등록번호 암호화 미보관
        -> 주민등록번호를 전자적으로 보관하는 개인정보처리자는 암호화 조치를 해야 합니다.

개인정보보호법 - 제24조의2(주민등록번호 처리의 제한)
① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다. <개정 2014. 11. 19., 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>
1. 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우
② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다. <신설 2014. 3. 24., 2015. 7. 24.>
③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. <개정 2014. 3. 24.>
④ 보호위원회는 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련ㆍ지원할 수 있다. <개정 2014. 3. 24., 2017. 7. 26., 2020. 2. 4.>

※ '개인정보 동의서' 작성 관련 블로그글 참조

2024.07.21 - [금융 컴플라이언스/개인정보동의서] - 개인정보동의서 각각동의, 별도동의

개인정보동의서 각각동의, 별도동의

 

□  대응방안  

    -  개인정보 수집·이용 항목 구분 표시 및 선택 동의 항목 명확화
    -  주민등록번호 등 고유식별번호 암호화 저장 의무화
    -  접속기록 생성·보관 기능 도입 및 보안 로그 감사 강화
    -  개인정보 처리방침 상시 공개 및 관리시스템 인증절차 고도화

 

□  관련기사(출처)  

• 개인정보위, '전광훈 알뜰폰'에 개인정보법 위반 과태료 1200만원 - 네이트뉴스
• `전광훈 알뜰폰 업체`, 개인정보보호법 위반…마케팅 광고활용을 필수동의로 - 디지털타임즈
• ‘전광훈 알뜰폰’ 업체 과태료 1,200만 원…“개인정보 관리 부실” - KBS뉴스
• `전광훈 알뜰폰 업체`, 개인정보보호법 위반…마케팅 광고활용을 필수동의로 - MSN
• [자막뉴스] "알뜰폰 가입했더니 엉뚱한 곳에"…'전광훈 알뜰폰' 개인정보 줄줄 - SBS 뉴스 

 

감사합니다.