가. 개요

2021년 9월 ICO는 스팸 메시지, 이메일 등 불법 다이렉트 마케팅과 관련해 영국 자동차 구매 서비스 업체인 We Buy Any Car, 보험 업체인 Saga Services Ltd와 Saga Personal Finance, 스포츠용품 소매업체인 Sports Direct 등 3개 기업에 총 49만 5,000 파운드(약 8억 98만원)의 과징금을 부과했다.

나. ICO의 주장

We Buy Any Car는 취급하는 자동차에 대한 온라인 평가를 요청한 사람들에게 이메일을 발송했다. ICO는 평가 요청 후 발송된 최초의 이메일은 법률 상 위법이 아니나, 동사의 서비스를 홍보한 후속 이메일은 마케팅을 포함하고 있으며 동의 없이 발송되었기 때문에 불법이라는 결정을 내렸다. We Buy Any Car는 2019년 4월부터 2020년 4월 사이 1억 9,100만 건 이상의 불법 이메일 전송 및 360만 통의 스팸 문자 전송으로 20만 파운드(약 3억 2,363만원)의 벌금이 부과되었다.

보험업체인 Saga Services Ltd와 Saga Personal Finance는 파트너 기업과 자회사를 통해 이메일을 발송했다. 양사는 이메일 및 문자 수신에 동의하지 않은 사람들의 목록을 사용했다. Saga Services Ltd는 2018년 11월부터 2019년 5월 사이 1억 2,800만 건 이상의 이메일을 발송했으며, Saga Personal Finance는 동 기간 2,800만 건 이상을 발송했다. 이에 따라 Saga Services Ltd에는 15만 파운드(약 2억 4,272만원), Saga Personal Finance에는 7만 5,000 파운드(약 1억 2,136만원)의 벌금이 부과되었다. 또한 양사 모두 30일 이내에 불법 다이렉트 마케팅을 중단하거나 법적 조치를 받도록 시행 통지(Enforcement Notices)가 발행되었다.

Sports Direct는 2019년 12월부터 2020년 2월 사이 한동안 연락을 취하지 않던 고객들을 대상으로 재계약 캠페인의 일환으로 250만 건의 이메일을 보냈다. ICO는 수신자 동의와 관련한 증거가 없어 불법으로 판단하고, 7만 파운드(약 1억 1,327만원)의 벌금을 부과했다.

다. 기업들의 주장

해당 기업들은 고객들의 간접 동의에 의거한 이메일 또는 문자라고 주장했으나, 관련 법상 이러한 형태의 동의는 적절하지 않기 때문에 전자 메시지와 관련해서는 더욱 엄격한 기준이 적용된다.

라. 시사점

CO는 다이렉트 마케팅 관련 법 위반으로 2021년 1월~9월까지 총 17건에 대해 벌금을 부과했으며, 벌금 총액은 170만 파운드(약 27억 5,085만원)에 달한다. ICO는 관할 권한에 속하는 2003년 프라이버시 전자통신 규정에 따라 소비자를 귀찮게 하는 불법 마케팅에 대해 최대 50만 파운드(약 8억 907만원)의 벌금을 부과할 수 있다. 2021년 시행된 ICO의 과징금 부과 조치의 상당수가 다이렉트 마케팅 관련 법 위반에 속한다. 고객들의 불만 접수로 조사가 시작되어 불법으로 판단되는 경우가 많아, 마케팅 진행 이전에 위반 여부 검토와 기업 마케팅 모델 재검토가 요구되고 있다.

가. 개요

2021년 5월 ICO는 American Express Services Europe Limited(AMEX)가 마케팅 이메일 수신을 원하지 않는 고객들을 대상으로 400만 건 이상의 불법 이메일을 발송한 것과 관련해 9만 파운드(약 1억 4,563만원)의 벌금을 부과했다.

나. ICO의 주장

ICO는 AMEX 고객들로부터 마케팅 수신에 동의하지 않았음에도 마케팅 이메일을 수신하고 있다는 불만을 접수하면서 조사에 착수했다. 해당 이메일은 온라인 쇼핑 이용 시 AMEX 카드 사용 혜택 및 AMEX 앱 다운로드 추천 등을 포함하고 있는 것으로 조사되었다. 조사 중 ICO는 AMEX가 고객들에게 5,000만 건 이상의 이메일을 전송했다는 것을 발견했다. ICO는 그 중 2018년 6월 1일부터 2019년 5월 21일까지 약 12개월 동안 409만 8,841건이 마케팅 수신 동의가 없는 고객들에게 보낸 마케팅 이메일로, AMEX 카드 구매를 유도하여 동사가 재정적인 이익을 얻을 수 있었다는 점을 밝혀냈고, 이는 동사의 금전적 이익을 위한 의도적인 조치였다고 판단했다. AMEX는 고객 불만에 대응해 마케팅 모델에 대한 검토를 진행하지 않았다.

다. AMEX의 주장

AMEX는 해당 이메일이 마케팅이 아닌 자사의 이메일 서비스이며, 고객들과의 신용 협정을 위한 요구 사항에 포함되어 있다고 주장하며 고객 불만 처리를 거부했다.

라. 시사점

ICO는 지침서를 통해 마케팅과 이메일 서비스의 차이점을 명확하게 정의하고 있으며, 2003년의 프라이버시 전자통신 규정 제22조는 동의하지 않은 고객들에게 마케팅 이메일을 보내는 것은 불법이라고 언급하고 있다. ICO는 해당 이메일이 분명히 마케팅 요소를 포함하고 있다는 점에서 이메일 서비스의 일부라는 AMEX 주장에 근거가 없다고 판단했다. 동 사례는 기업들이 이메일 서비스와 마케팅 이메일의 차이점을 명확히 숙지하여 마케팅 절차와 내용을 재검토하고, 프라이버시 전자통신 규정 준수 여부를 재확인할 것을 권장하는 사례로 꼽을 수 있다.

가. 개요

2020년 10월 ICO는 수백 만 명의 고객 개인정보를 안전하게 보관하지 못한 책임을 물어 Marriott International Inc에 1,840만 파운드(약 297억 7,396만원)의 벌금을 부과했다.

동 사건의 시작은 2014년으로 거슬러 올라간다. Marriott는 2014년 발생한 Starwood Hotels and Resorts Worldwide Inc.에 대한 사이버 공격으로 전 세계적으로 3억 3,900만 건의 투숙객 기록이 영향을 받은 것으로 추산하고 있다. 공격자가 불분명한 이 사이버 공격은 2018년 9월까지 발견되지 않았다. 그 사이 Marriott는 Starwood Hotels and Resorts Worldwide Inc.를 인수했으며, 인수 후 사이버 공격에 노출되었다.

사이버 공격으로 유출된 개인정보는 개인마다 차이가 있으나 이름, 이메일 주소, 전화번호, 암호화되지 않은 여권번호, 출입국 정보, 투숙객 VIP 여부 및 로열티 프로그램 멤버십 번호 등을 포함하고 있다. 개별 투숙객에 대한 기록이 여러 건 존재할 가능성도 있기 때문에 정확한 피해 인원은 불분명하나, EEA(European Economic Area) 거주자 관련 기록 3,100만 건, 영국인 관련 기록이 700만 건에 달하는 것으로 추정된다.

나. ICO의 주장

ICO 조사 결과, Marriott가 Starwood Hotels and Resorts Worldwide Inc. 인수 후 충분한 실사를 진행하지 않았으며, 자사 시스템에서 처리되는 개인정보보호를 위한 적절한 기술적·조직적 조치를 취하지 못한 것으로 판명되었다.

ICO는 2014년까지 거슬러 올라가 사이버 공격을 추적했으나, 관련 처벌은 GDPR에 따른 새로운 규정이 발효된 2018년 5월 25일부터 위반이 적용된다. 이는 영국이 EU를 탈퇴하기 전에 발생했기 때문에 ICO는 GDPR 산하 감독 책임자로서 EU를 대신하여 이를 조사했다. 처벌과 조치는 GDPR 협력 과정을 통해 EU의 다른 개인정보보호기관에 의해 승인되었다.

2019년 7월 ICO는 Marriott에 9,900만 파운드(약 1,601억 9,685만원)의 벌금을 부과하겠다는 의향서를 발표했다. 이후 1년여가 지난 뒤 ICO는 해당 조사에 대한 결론을 내리고, 2020년 10월 30일 최종적으로 과징금 통지를 발행했다. 이에 따라 최종 벌금액은 1,840만 파운드(약 297억 7,396만원)로 결정되었다. 규제 절차의 일환으로 ICO는 최종 벌금액을 정하기 전에 사건 피해를 완화하기 위한 Marriott의 조처와 코로나19가 사업에 미치는 경제적 영향 등을 고려했다.

다. Marriott의 주장

Marriott는 대응 조처를 위해 고객과 ICO에 신속하게 접촉했고, ICO도 이를 인정하고 있다. Marriott 측은 고객의 피해 위험을 줄이기 위해 신속한 대처와 더불어 사건 이후 시스템 보안 개선을 위해 다방면에서 조치를 취했다. Marriott는 공식 웹사이트를 통해 '해당 사건에 깊이 반성하고 있다'며, '고객 정보의 프라이버시 보호와 보안에 전념하고 있으며, ICO가 인정하는 바와 같이 시스템 보안 조치에 상당한 투자를 지속하고 있다'고 설명했다.

라. 시사점

GDPR은 조직이 개인정보를 처리할 때 준수해야 하는 기본 원칙을 제시하고 있다. 여기에는 ① 합법성, 공정성 및 투명성 원칙, ② 목적 제한 원칙, ③ 정보 최소화 원칙, ④ 정확성 원칙, ⑤ 보관 제한 원칙, ⑥ 보안 유지 원칙, ⑦ 책임 원칙 등이 포함된다. 이번 과징금은 보안 유지 원칙 면에서 Marriott가 실패했음을 보여주고 있다. ICO의 조사는 Marriott와의 원활한 교류를 통해 제출된 상세 내역과 증거를 고려하여 진행되었다. 이번 사건처럼 문제가 되는 처리가 국경을 넘나드는 경우 GDPR 제56조는 주 감독기관의 지정을 규정하고 있다. 이번 경우 ICO가 감독기관 역할을 했으며, ICO는 과징금 통지 발행에 앞서 GDPR 제60조의 절차를 밟았다. GDPR 제60조는 합의 도달을 위해 선임 감독기관이 다른 감독당국과 협력해야 한다고 규정하고 있다.

한편, 2020년 3월 31일 Marriott는 약 520만 명으로 추정되는 투숙객의 이름, 이메일, 멤버십 번호 등 기타 개인정보가 데이터 침해 사건으로 누출되었음을 밝힌 바 있다. Marriott는 공식 성명을 통해 동 사건이 Marriott 브랜드의 호텔이 투숙객들에게 서비스를 제공하기 위해 사용하는 애플리케이션과 관련이 있다고 언급했다. 2020년 2월 말 프랜차이즈 직원 두 명의 ID를 이용해 투숙객 정보에 로그인했을 수도 있다는 사실이 확인되었다. Marriott에 대한 최근의 조처는 과징금 규모에 있어서도 ICO가 광범위한 보안 위협과 개인정보 유출에 대한 대처를 중시하고 있음을 보여준다.