ISMS-P 결함사례 고찰 #3.1. 개인정보 수집 시 보호조치

3.1.1 개인정보 수집·이용

인증기준: 개인정보는 적법하고 정당하게 수집·이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다.

 

결함사례#1

개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우가 있다. 불이익이 있을 경우에 불이익의 내용을 기재하는 것은 법적 내용에 명시되어 있다. 보통 내 경험상 불이익이 없는 경우는 거의 없었던 것 같다. 특정 서비스나 혜택이 제한되는 경우가 분명 있었기 때문이다. 다만, 그 불이익의 내용이라는 게 보통은 그다지 중요하지 않은 것이다 보니 사람들이 그냥 넘어갈 뿐이고 말이다. 비록 불이익의 내용이 보통은 협소하고, 이용자들도 그렇게 중요시 여기지는 않지만, 법으로 명시되어 있는 내용인 만큼 이것에 대한 공지를 분명히 해야 한다.

 

결함사례#2

개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하는 경우가 있다. 개인정보라는 게 알고 보면 참 다양하다. 이름, 휴대전화번호, 주소, 이메일, 쿠키, 성향, 병역 정보, 신용 정보, 소득 정보, 통신 정보, 위치 정보, 건강 정보 등 말이다. 그렇기에 그럴 경우 '등'으로 퉁을 치는 경우가 있는 것으로 보이는데, 이에 대해 구체적으로 명시하는 것도 법에 성문화되어 있는 내용이다. 특히 고객이 민감하게 여기는 정보가 그 '등'에 포함되어 있을지 누가 알겠는가? 그렇기에 법의 내용을 차치하더라도 고객의 제대로 된 동의를 받기 위해서는 수집하고자 하는 항목을 상세하게 밝혀야 할 것이다.

 

결함사례#3

쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제·배송 정보를 미리 필수 항목으로 수집하는 경우가 있다. 정보주체의 동의를 받는다고 해서 모두 수집이 가능한 것이 아니다. 수집 동의는 해당 정보가 필요한 시점에 수집하는 것을 원칙으로 삼아야 한다. 물론 쇼핑몰에 단순 방문한 것도 아니고, 가입까지 할 정도면 결제, 배송 정보가 필요한 행위를 할 가능성이 높기야 하다만, 그렇다고 해서 회원가입의 단계에서 결제와 배송에 관한 정보가 필요한 것은 아니기 때문이다. 각 시점에 적합한 정보에 한해서만 수집을 원칙으로 삼아야 한다.

 

결함사례#4

게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우가 있다. 개인정보를 수집하는 데 있어서 회원과 비회원의 차이를 두는 것은 정말이지 말이 안 된다고 생각한다. 비회원은 개인정보 가치가 없는 존재인가? 결국 회원이건, 비회원이건 대한민국 법의 영향에 있는 사람들인데 이에 대한 차별적 조치를 시행한다는 것은.. 솔직히 회사가 정말 이상한 것 같다...

 

결함사례#5

만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우가 있다. 법으로 상세하게 정말 설명이 되어있고, 법정대리인의 개념은 국민 상당수가 알 정도로 친숙한 것인데도 누락이 된다는 것은 상식적으로 이해하기 어렵다. 법정대리인의 동의를 받을 수 있게 조치를 당연히 치하는 것은 물론이거니와, 정말 제대로 법정대리인이 동의한 것인지 확인하는 방법도 더해야 한다. 절차를 너무 단순하게 만들어서 만 14세 미만의 아동이 스스로 법정대리인 동의를 쉽게 해버리면 안 되니 말이다. 최소 대리인의 휴대폰 인증이나 카드 인증 등의 수단을 강구해야 할 것이다.

 

결함사례#6

만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우가 있다. 보통 회원 가입을 누르면 처음 단계부터 14세 미만인지 아닌지를 확인하는 창이 뜨는 것이 일반적이다. 기업 입장에서 이를 시행하지 않고 만 14세 미만이 자의적으로 가입을 하게 된다면 낭패를 겪을 수 있다. 굳이 만 14세 미만으로 설정을 하는 것은 법에서 14세 미만의 아동에게는 판단을 내리는 여러 능력이 다소 부족하다고 여기고 있기 때문이다. 그렇기에 특정 법률이나 법적 행위에 대해서는 14세 미만은 무적이 되는 상황도 생긴다. 괜히 뉴스에서 매번 촉법 소년으로 난리는 치는 것이 아니니 말이다. 기업 입장에서는 괜히 큰 일을 겪을 가능성을 만들어 놓는 것보다는 확실히 14세 미만의 가입에 대해서 법적으로 문제가 없도록 하는 것이 위험을 방지하는 일일 것이다. 결코 기술적으로 어려운 일도 아니니 말이다. 그리고 한 가지 주의할 일이 있다면, 14세 미만의 회원이 가입하는 창은 어린 아이 입장에서 이해가 가도록 더 쉽게 만들어야 한다는 것이다. 반드시 법정대리인이 대신 가입해준다거나, 뒤에서 보면서 가르쳐준다는 보장이 없으니 말이다.

 

결함사례#7

법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우가 있다. 법정대리인을 학교 친구로 삼아서 인증을 해버린다면, 그건 정말 그것대로 큰 일이다. 과거 민법을 공부했을 때가 기억나는데, 민법에서 미성년자의 법정대리인은 부모를 비롯한 친권자, 친권자가 없거나 그 권한을 행사할 수 없을 때는, 후견인이 있고, 그 이후 순서도 있기야 한데, 보통은 이 정도 단계에서 끝나는 것이 대다수이다. 뭐 대리인의 범위가 굉장히 포괄적인 것이 아니기 때문에 이에 대한 진위 여부를 확인하는 것은 결코 어렵지 않을 것이다.

 

결함사례#8

만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우가 있다. 회원가입을 하는 경우는 보통 회원탈퇴를 하기 전까지 개인정보를 완전히 파기하지는 않는다. 그리고 이때 문제가 되는 게 이런 법정대리인이 동의를 했을 때 쓰인 개인정보가 되는데, 사실 이 정보는 굳이 서비스 제공자 측이 보유하고 있을 이유가 없다. 만약 추후에 추가적인 법정대리인의 동의가 필요한 사항이 있다면, 그때 또 요구하면 되지, 보관하고 있을 이유가 없다는 것이다. 그렇기에 이에 대한 파기 사항에 대해서도 명확한 지침을 갖고 있어야 할 것이다. 절대 이 개인정보를 활용헤서는 아니 된다.

 

결함사례#9

법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우가 있다. 개인정보 수집 및 이용에 따른 적법한 근거를 입증할 수 있도록 동의를 받은 기록 자체는 보존하여야 한다. 만약 14세 미만 아동 회원의 법정대리인이 동의한 적 없다고 소송을 건다고 난리를 칠 경우도 있지 않은가? 따라서 동의 일시, 동의 항목, 동의자, 동의 방법 등 동의 기록에 대해 보존하여야 한다. 그리고 #8과 연계하여 이에 법정대리인의 개인정보가 포함되어 있는 경우에는 그것을 법정대리인의 동의를 받을 수 있도록 처리해야 할 것이다. 1년에 1번씩 동의를 받는다던가 하는 것으로 말이다.

 

3.1.2 개인정보 수집 제한

인증기준: 개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다.

 

결함사례#1

계약의 체결 및 이행을 근거로 정보주체 동의 없이 개인정보를 수집하면서 계약의 체결 및 이행을 위해 반드시 필요하지 않은 개인정보 항목까지 과도하게 수집하는 경우가 있다. 개인정보를 수집할 때는 '최소한으로' 필요한 정보만을 수집하여야 한다. 이것은 수집제한의 원칙에 의거한 것으로 법에도 분명하게 명시되어 있는 내용이다. 이게 없다면, 혈액형, MBTI, 빚, 소득, 부동산까지 수집할 수 있게 되는 것이다. 수집하는 항목에 대해 제대로 살피지 않는 사람들은 분명히 꽤나 존재할 테고 말이다.

 

결함사례#2

정보주체로부터 선택사항에 대한 동의를 받으면서 해당 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리지 않은 경우가 있다. 개인정보 수집은 꼭 동의하여야만 하는 것은 아니다. 당연히 본인이 특정 개인정보를 수집하는 것을 원치 않다면 동의하지 않을 수 있는 것이다. 이것도 역시나 법에 명시되어 있으니 따르기 쉬운 항목이고, 이를 쉽게 알아볼 수 있도록 제대로 고지해야 할 것이다.

 

결함사례#3

회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)가 있다. 보통은 위쪽에 (필수) 항목을 넣고, 아래쪽에 (선택) 항목을 넣는 것이 보편적이다. 살면서 이런 규칙을 깨는 사이트, 기업 등은 보지를 못했다. 굳이 사회적으로 이미 모두가 지키는 암묵적인 틀이 존재함에도 불구하고, 굳이 그 틀을 깬다는 것은 불순한 의도가 있지 않을까 하는 의심이 따를 수밖에 없다고 생각한다. 더군다나 틀을 깨면서 더 좋은 양식으로 만드는 것이 아닌 후진의 형태이니 말이다.

 

결함사례#4

홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우가 있다. 이런 경우는 정말이지 황당할 것 같은데.. '선택' 정보는 보통 서비스를 이용함에 있어서 필수적으로 요구되는 정보가 아니다. 그렇기에 선택 정보로 남아있는 것인데, 이런 경우는 실수가 아닌 이상.. '나 너의 추가적인 정보로 다른 무언가를 하고 싶어요'라는 말로 밖에 해석되지 않을 것이다.

 

결함사례#5

채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 등 과도한 개인정보를 수집하는 경우가 있다. 언제나 개인정보는 '최소한의' 정보만을 수집하는 것을 원칙으로 삼아야 한다. '채용', '가족사항 수집' 이 두 개가 합치면 결국 채용비리라는 답 외에는 나오는 것이 없지 않을까? 나는 가족사항을 수집하는 회사에 대해서는 그렇게 생각할 것 같다. 물론 20년 전에는 그런 경우가 종종 있었겠지만, 그런 것들이 사라진지가 오래인데 여전히 남아있는 상황이라면 더더욱 그렇다.

 

3.1.3 주민등록번호 처리 제한

인증기준: 주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집·이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다.

 

결함사례#1

홈페이지 가입과 관련하여 실명확인 등 단순 회원관리 목적을 위하여 정보주체의 동의에 근거하여 주민등록번호를 수집한 경우가 있다. 개인정보 자체를 신중하게 다뤄야 하는 것은 맞지만, 그중에서도 주민등록번호는 특별하다. 주민등록번호는 법에서 명시한 근거에 해당이 되어야 수집이 가능하다. 또한 수집 이후 처리 과정에서도 구체적으로 법적으로 입증이 가능해야 한다. 법 내용을 보면 알겠지만, 일반적인 사이트에서 그런 경우는 사실상 없다고 봐야한다.

 

결함사례#2

정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우가 있다. 법에는 단계라는 것이 있으며, 시행규칙이나 조례는 결코 민법과 특수법보다 우선할 수 없다. 더 낮은 수준의 근거를 가지고서 상위 수준의 법에 대항하는 것은 상식적으로 말이 안 되는 행위일 것이다. 그런 식이면 매번 지자체에서 입맛대로 하면 그만이니 말이다.

 

결함사례#3

비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒤 6자리를 수집하지만, 관련된 법적 근거가 없는 경우가 있다. 보통은 근거가 없을 가능성이 클 것이다. 따라서 굳이 본인확인 단계를 제대로 거치고 싶다면, 주민등록번호 뒷자리가 아닌 다른 대체수단으로 인증하는 것을 강구해야 할 것이다. 보통은 아이핀이나 휴대전화로 그것을 대체하고 있다.

 

결함사례#4

채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우가 있다. 이것도 마찬가지로 채용 단계에서 수집이 필요한 정보도 아니고, 법적 근거도 존재하지 않는다. POOL을 위한 것이라고 하더라도 이를 다른 방법을 통해 저장하고 관리하여야 할 것이다.

 

결함사례#5

콜센터에 상품, 서비스 관련 문의 시 본인확인을 위하여 주민등록번호를 수집한 경우가 있다. 이 경우에도 마찬가지로 다른 수단으로 본인확인을 위한 인증을 대체하여야 할 것이다.

 

결함사례#6

주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체가입수단을 제공하지 않고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우가 있다. 법적 근거가 있는 경우에도 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 않더라도 회원으로 가입할 수 있는 방법을 제공하여야 한다. 법적 근거가 있다고 해서 무조건 그걸로만 강제해서는 안 된다는 것이다. 근거가 있건 없건, 일반적인 인증 수단인 아이핀, 휴대전화 인증을 한다고 생각하면 편할 것이다.

 

3.1.4 민감정보 및 고유식별정보의 처리 제한

인증기준: 민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체의 별도 동의를 받아야 한다.

 

결함사례#1

장애인에 대한 요금감면 등 혜택 부여를 위하여 장애 여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우가 있다. 이게 이해가 가지 않을 수도 있다. 어차피 동의를 할 건데 왜 일괄적으로 동의를 하면 안 되지? 하고 말이다. 그래서 보안기사 시험을 준비할 때 이것과 관련된 기출이 꽤 나오기도 했다. 그런데 어쩌겠는가, 일괄 동의를 해서는 아니 된다. 민감정보나 고유식별정보는 따로 분류하여 동의를 받아야 한다. 그것이 법에 명시되어 있고, 그것을 따라야 하는 수밖에..

 

결함사례#2

회원가입 시 외국인에 한하여 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우가 있다. 역시 #1과 마찬가지의 영역이다. 일괄 동의는 금지되어 있다. 항목을 길게 만드는 게 비효율적이긴 해도 그렇게 해야 한다.

 

결함사례#3

민감정보 또는 고유식별정보의 수집에 대해 별도의 동의를 받으면서 고지하여야 할 4가지 사항 중에 일부를 누락하거나 잘못된 내용으로 고지하는 경우(동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등)가 있다. 개인정보 보호법 23조와 24조의 내용을 따르면 되는 일인데, 간혹 법 개정이 있을 수도 있으니 항상 법 개정에 관해서는 귀를 기울이며 개정된 내용을 바로 반영하여야 한다. 특히 ISMS-P의 경우는 100여개의 항목 전체에 관련 법규가 기재되어 있으니 이에 대해 미리 인지하고 있으면 개정을 하더라도 바로 반영하기 수월할 것이다.

 

3.1.5 개인정보 간접수집

인증기준: 정보주체 이외로부터 개인정보를 수집하거나 제3자로부터 제공받는 경우에는 업무에 필요한 최소한의 개인정보를 수집하거나 제공받아야 하며, 법령에 근거하거나 정보주체의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.

 

결함사례#1

인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체의 수집 출처 요구에 대한 처리절차가 존재하지 않은 경우가 있다. 정보주체가 요구할 경우 수집 출처를 알리는 것은 법적으로 명시된 사항이고, 따라서 이에 대한 절차를 만들어야 할 것이다. 수집 출처, 처리 목적을 알 권리, 동의 철회에 관한 권한 권리는 정보주체가 갖는 합당한 권리이다.

 

결함사례#2

개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나, 이에 대하여 해당 정보주체에게 3개월 내에 통지하지 않은 경우(다만 제공받은 자가 5만 명 이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만 명 이상 정보주체의 개인정보를 처리하는 경우)가 있다. 개인정보 보호법에 따라 제공을 받았는데, 통지에 관해서는 법을 무시한 경우가 되겠다. 통지 시기와 방법도 법에 친절하게 기재되어 있으니 이를 따르면 될 것이다.

 

결함사례#3

법적 의무 대상자에 해당되어 개인정보 수집 출처를 정보주체에게 통지하면서 개인정보의 처리목적 또는 동의를 철회할 권리가 있다는 사실 등 필수 통지사항을 일부 누락한 경우가 있다. 이는 정보주체의 필수적인 권리를 없앤 경우라 할 수 있겠다. 개인정보를 가볍게 여기며 타인의 개인정보에 관한 자유이용권을 끊고 싶은 기업이 아니라면 법적 근거에 따라 정보주체의 권리를 존중해야 할 것이다.

 

결함사례#4

법적 의무 대상자에 해당되어 개인정보 수집 출처를 정보주체에게 통지하였으나, 수집 출처 통지에 관한 기록을 해당 개인정보의 파기 시까지 보관하지 않은 경우가 있다. 해당 기록을 파기 시까지 보관 및 관리하는 것도 개인정보 보호법에 명시되어 있는 내용이며, 정보주체에게 알린 사실, 알린 시기, 알린 방법에 대해서 명확한 기록을 보관해야 할 것이다.

 

3.1.6 영상정보처리기기 설치·운영

인증기준: 고정형 영상정보처리기기를 공개된 장소에 설치·운영하거나 이동형 영상정보처리기기를 공개된 장소에서 업무를 목적으로 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항을 준수하고, 적절한 보호대책을 수립·이행하여야 한다.

 

결함사례#1

영상정보처리기기 안내판의 고지 문구가 일부 누락되어 운영되고 있거나, 영상정보처리기기 운영· 관리 방침을 수립·운영하고 있지 않은 경우가 있다. 안내판의 고지 문구 같은 경우는 작년 하반기에 개정된 적이 있다. 따라서 해당 개정 이후 고지 문구를 수정하지 않은 것에 대해서는 즉시 개정 내용을 적용해야 할 것이다.

 

결함사례#2

영상정보처리기기 운영·관리 방침을 수립 운영하고 있으나, 방침 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수되지 않는 등 관리가 미흡한 경우가 있다. 보통 형법상 범법행위에 관한 사례를 볼 때 CCTV의 최대 보관기간 제한으로 인해 최대한 증거를 빨리 확보하는 것이 중요하다는 말을 쉽게 접할 수 있다. 보관기간은 법적에 기한이 명시되어 있으며, 이를 따로 보관해서는 아니 된다. 또한 접근통제 및 로깅에 관한 수준이 너무 낮게 되면 공격자의 타깃이 될 수 있다. 그런데 그 타깃이 되는 게 보통 담당자, 책임자가 아닌 일반 시민이 될 가능성이 높다. 또한, 이 사례와 별개로 적어도 영상정보처리기기에 대해서 최초 비밀번호를 수정하는 것은 당연히 해야 하는 일로 여겨야 한다.

 

결함사례#3

영상정보처리기기의 설치·운영 사무를 외부업체에 위탁하고 있으나, 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보처리기기 업무 위탁 계약서에 명시하지 않은 경우가 있다. 해당 내용을 위탁 계약서에 명시하지 않게 된다면 결국 손해를 보는 것은 본인이다. 위탁하는 사무의 목적과 범위, 재위탁 제한에 관한 내용, 접근 제한을 비롯한 안전성 확보 조치에 관한 사항, 관리 현황 점검에 관한 사항, 준수하여야 하는 의무를 위반할 시의 손해배상에 대한 내용을 명확하게 계약서에 명시해야 한다. 이것이 위탁업체의 일탈(?)로부터 본인을 지키기 위한 일이기도 하다.

 

결함사례#4

영상정보처리기기의 설치·운영 사무를 외부업체에 위탁하고 있으나, 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우가 있다. 이것도 법으로 명시되어 있는 만큼 바로 안내판을 수정하여 법적 안내 내용을 반영해야 할 것이다.

 

3.1.7 마케팅 목적의 개인정보 수집·이용

인증기준: 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집· 이용하는 경우 그 목적을 정보주체가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다.

 

결함사례#1

ʻ홍보 및 마케팅ʼ 목적으로 개인정보를 수집하면서 ʻ부가서비스 제공ʼ, ʻ제휴 서비스 제공ʼ 등과 같이 목적을 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분하지 않고 포괄 동의를 받는 경우가 있다. 위에서도 한 번 나온 내용이기는 한데, '포괄 동의', '일괄 동의'라는 개념은 있어서는 아니 된다.

 

결함사례#2

모바일 앱에서 광고성 정보전송(앱 푸시)에 대하여 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성 앱 푸시가 이루어지는 경우가 있다. 보통 이런 광고는 100이면 100 영리목적의 광고이다. 거부 의사를 밝혔음에도 무슨 이유로건 광고가 이루어졌다는 것은 이용자의 의견을 무시하고 영리 행위를 했다고 볼 수 있다. 이는 소비자 기망행위로 해석할 여지도 분명히 남아 있으며, 이에 대해서는 추후에 문제가 커질 가능성도 있다. 보통은 그렇게 일이 키워지는 경우야 없긴 하겠다만 말이다.

 

결함사례#3

온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대하여 디폴트로 체크되어 있는 경우가 있다. 이거는 정말이지.. 양아치라는 말 밖에 달리 할 말이 없다. 젊은 사람들이나 발견할 법한 문제고, 나이가 있으신 분들은 잘 모르고 확인 확인 확인 단계를 거치는 경우가 있다. 그런 분을 상대로 이것은 명백히 소비자 기망 행위라고 자신있게 말할 수 있을 것 같다. 애초에 기술적 단계에서 체크를 디폴트로 할 수 있다는 변명 자체가 말이 안되기 때문에 이런 기업이 있을 경우 그 기업은 반드시 이용을 피해야 할 것이다.

 

결함사례#4

광고성 정보 수신동의 여부에 대하여 2년마다 확인하지 않은 경우가 있다. 굳이 재동의를 받을 필요까지는 없다. 그런데 2년마다 확인해야 하는 것은 필수이므로 이에 대한 기능을 설정해놓으면 그만인 일이다. 수신자가 아무런 의사표시를 하지 않으면 동의했던 의사가 그대로 유지되는 것으로 보며, 이때 전송자의 명칭, 수신 동의 날짜 및 수신에 동의한 사실, 수신동의에 관한 유지 또는 철회 의사를 표시하는 방법에 대해서 고지를 해야 한다.

 

결함사례#5

영리목적의 광고성 정보를 전자우편으로 전송하면서 제목이 시작되는 부분에 ʻ(광고)ʼ 표시를 하지 않은 경우가 있다. 영리목적의 광고성 정보를 전송할 때는 제약 조건이 있다. 전자우편이 아닌 영리목적의 광고는 야간시간을 제한하기도 한다. 그리고 이렇게 (광고)를 기재해야 수신자 입장에서 명확하게 알 수 있고, 이를 스팸으로 취급할지 정할 수 있기 때문에 반드시 설정해서 전송해야 할 것이다.