개인정보위, 슈퍼앱 등 5개 주요앱 대상 개인정보 관리 사전 실태점검 실시

 - 개인정보보호 부서(CPO) 통제하에, 개인정보 이전·공유시 접근권한 관리 등 안전조치 강화 권고

 - 정보주체 권리 강화를 위해 동의 절차 정비 및 개별 서비스 탈퇴 기능 제공도 필요

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 7월 23일(수)에 제16회 전체회의를 열고, 슈퍼앱 등 주요 앱 서비스에 대한 사전 실태점검* 결과를 심의·의결하였다. 

   * 사전실태점검: 개인정보 보호의 취약점을 선제적으로 점검하여 침해 위험을 사전에 예방하는 제도로, 법위반사항 발견 시 시정권고, 처리실태 개선필요 판단 시 개선권고 부과

  슈퍼앱이란 하나의 앱에서 검색, 쇼핑, 금융·결제, 기타 생활밀착형 기능 등 다양한 서비스를 제공하는 온라인 플랫폼이다. 슈퍼앱에서는 여러 사업자가 서로 연계되어 있어 이용자의 개인정보가 충분한 설명이나 통제 없이 이전·공유될 우려가 있으며, 이로 인해 이용자가 슈퍼앱 내에서 자신의 개인정보 처리 흐름을 정확히 파악하기 어려울 수 있다는 우려가 제기되어 왔다.

  또한, 슈퍼앱과 같은 다기능 플랫폼에서 축적되는 데이터는 AI 학습 및 관련 서비스 개발에 핵심자원으로 활용될 가능성이 높다. 따라서 슈퍼앱에서 처리되는 개인정보 보호에 대한 안전한 관리의 요구가 커지고 있는 상황이다.

  이에 따라 개인정보위가 카카오톡, 네이버, 쿠팡, 배달의민족, 당근 등 5개 앱 서비스에 대한 사전실태점검을 실시하였고, 주요 점검 결과는 다음과 같다.

< 개선권고❶: 개인정보 이전·연계 지점 관리 강화 >

  슈퍼앱은 응용 프로그램 인터페이스(Application Programming Interface․이하 'API')*와 데이터 분석저장소(Data Warehouse 등, 이하 'DW')** 등 두가지 방식으로 고객 개인정보를 처리자 간에 이전하거나 공유하고 있다.

   * (API) 서로 다른 서버 간 데이터를 주고받기 위해 일방이 호출하고 상대방이 응답하는 전송방식 

     - 예) 슈퍼앱 내 A쇼핑이 사용자 결제요청을 처리할 때 API를 통하여 B페이에 결제정보 전송

 ** (DW) 운영 서버(이용자측과 연동되어 직접 서비스를 제공하는 서버)와 구분되어 별도 구축된 분석용 데이터베이스 

     - 예) 슈퍼앱 내 A쇼핑이 DW에 결제 내역 데이터가 저장되면, 데이터 분석가 등이 접속하여 마케팅 대상 정보 추출 및 분석

  이와 관련, 개인정보위는 ▲API 등 개인정보의 외부 이전 경로 생성·배포, ▲DW 등 개인정보처리시스템에 접근 권한 부여 등 중요사항에 대해서는 소관 사업부서 자체적으로 수행할 것이 아니라 반드시 개인정보 보호담당부서 참여하에 결정될 수 있도록 내부통제를 강화할 것과 보호법에 명시된 대로 DW 접속기록을 2년간 관리·점검할 것을 개선권고 하였다.

< 개선권고❷: 개인정보 처리의 적법성·투명성 및 정보주체 권리보호 강화 >

  사업자들은 계약 이행 등에 필요한 개인정보 수집·이용·제공의 근거를 대부분 '필수 동의' 사항으로 명시하고 있다. 개인정보 보호법 상 이러한 경우는 정보주체 동의가 없어도 수집·이용할 수 있다. 대신, 해당 내용은 반드시 보호법규에 맞추어 개인정보처리방침 등을 통해 고지해야 한다. 사용자가 계약에 따른 서비스를 받기 위해 반드시 필요한 개인정보에 대해 동의를 받는 것은 사실상 불필요한 절차인데다, 동의 항목이 너무 많을 경우 자칫 사용자가 실제 동의가 필요한 항목을 제대로 확인하지 못할 소지가 있기 때문이다.

  이에 개인정보위는 불필요한 동의 관행을 줄임으로써 개인정보 처리의 투명성을 높이고, 사용자의 실질적인 선택권을 보장하기 위해 서비스 가입시 계약 이행 등 필수 사항은 개인정보처리방침 등을 통하여 고지하고, 이용자의 동의가 필요한 항목에 대해서만 동의를 받아 처리하도록 개선권고 하였다.

  아울러, 이용자 본인의 정보가 처리되는 범위를 결정할 수 있는 개인정보자기결정권 보장을 위하여 ▲서비스 이용약관 등에 슈퍼앱의 서비스 목록을 명확히 안내하고, ▲개별 서비스를 탈퇴하는 기능을 마련하며, ▲개인정보 처리정지·삭제요구 절차를 알기 쉬운 방법으로 안내하도록 개선 권고하였다.

< 사전 실태점검의 의의 >

  이번 사전 실태점검은 국민 대다수가 이용하는 슈퍼앱 서비스의 개인정보 처리 과정 전반을 선제적으로 살펴봄으로써, 국민 생활과 밀접한 서비스에서 발생할 수 있는 개인정보자기결정권 침해 위험을 사전에 차단하는 한편, 슈퍼앱 등을 통해 데이터를 활용하는 IT 기업 전반의 책임성 강화를 위한 내부통제 기준을 제시했다는 의의가 있다. 개인정보위는 향후 이행점검 등 절차를 통하여 이번 개선권고 사항이 제대로 준수되는 지를 지속적으로 확인해 나갈 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사3팀 임덕진(02-2100-3154)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”