법령 근거 없이 주민등록번호 수집·보관
개인정보 수집목적·보유기간 불명확하게 고지
'건강정보' 별도 동의 안 받고, 제3자 제공사항도 안 알려
개인정보보호위원회가 28일 전체회의를 열고 종합소득세 환급플랫폼 ‘삼쩜삼’을 운영하고 있는 자비스앤빌런즈에 시정명령과 함께 과징금 8억5천410만원, 과태료 1천200만원을 부과했다.
개인정보위에 따르면 자비스앤빌런즈는 개인정보보호법상 ▲개인정보 제공 위반(§17①·②) ▲민감정보 처리 제한 위반(§23①) ▲주민등록번호 처리의 제한 위반(§24의2①) ▲개인정보 처리방침 수립 및 공개 위반(§30①) ▲개인정보의 수집·이용 동의에 대한 특례 위반(§39의3①) ▲개인정보의 파기에 대한 특례 위반(§39의6①) 등 6개 조항을 위반했다.
삼쩜삼은 법령에 근거 없이 주민등록번호를 수집·보관하며 개인정보보호법 제24조의2를 위반했다.
이와 관련, 삼쩜삼은 그동안 이용자로부터 수집한 주민등록번호를 통해 홈택스 로그인 및 소득 관련 정보의 수집, 세무대리인 수임 동의, 환급신고 대행 등을 했다.
삼쩜삼은 조사 과정 중에 절차를 개선해 현재는 환급신고 대행시에만 주민등록번호를 수집·이용한 후 회원 탈퇴시까지 저장·보유하고 있다.
개인정보위는 다만 종합소득세 신고 등을 대행하는 사업자가 법령에 따라 국세청에 주민등록번호를 단순 전달한 후 즉시 파기하는 경우는 보호법상 제한된 행위가 아니라고 보고 ‘주민등록번호 단순 전달 후 파기, 파일 등으로 저장·보유 금지’ 내용의 시정조치를 명령했다.
삼쩜삼은 또한 소득정보 등 개인정보를 수집하는 과정에서 처리방침을 통해 포괄 동의를 받으면서 수집 항목을 누락하고 수집 목적·보유기간 등을 불명확하게 고지했다.
또한 근로소득 지급명세서에 포함된 이용자(부양가족 포함) 장애 여부 등에 대한 정보를 수집하면서 민감정보인 건강정보에 대한 별도 동의를 받지 않았다.
추가 검토가 필요한 경우 세무대리인이 대신 신고토록 하면서 이용자에게 세무대리인(제3자)에 제공하는 사항을 명시적으로 알리지 않기도 했다.