국가정보_독일

  •  유럽
  •  미국
  •  일본
  •  중국
  •  영국
  •  호주
  •  캐나다
  •  싱가포르
  •  베트남
  •  러시아
  •  프랑스
  • 태국
  • 대만
  • 필리핀
  •  말레이시아

Cases

1H&M 함부르크

가. 개요

독일 함부르크 개인정보 감독기구(Hmb BfDI)는 스웨덴 의류회사 H&M 독일 서비스 센터 직원 개인정보 유출 혐의를 언론보로로 알게 되었다. 2019년 독일 서비스 센터 직원 개인정보가 시스템 결함으로 인해 회사 직원에게 유출되었고, 내부고발자 신고로 해당 사건이 언론에 알려진 결과였다.

함부르크 개인정보 감독기구는 조사를 통해 H&M 독일 서비스센터가 해당 직원 개인정보를 불법 수집 및 처리함을 파악 했다. 직원 동의 없이 개인 건강정보, 가족관계 등 사적 정보가 방대하게 수집되었다. 서비스센터 직원 약 600명 개인정보는 전산화되어 저장되었으며 데이터 크기가 약 60GB에 달했다. 감독기구는 해당 정보수집을 “과도한” 개인정보 수집 행위로 판단하고, 사건의 심각성을 감안해 높은 금액 과징금 약 3,525만 유로를 부과했다.

나. 함부르크 개인정보 감독기구의 조사

함부르크 개인정보 감독기구는 H&M이 침해한 GDPR 조항을 언급하지 않지만, 개인정보 침해 행위로 여겨진 H&M의 개인정보 수집 방식을 구체적으로 서술한다. H&M은 자사 직원 개인정보를 수집함에 있어 동의를 구하지 않았으며, 정보 수집의 목적과 무관한 개인 사생활 정보를 수집했다. 예를 들면, H&M은 휴가를 마친 직원 대상으로 “환영대화(Welcome Back Talk)”라는 절차를 운영했으며, 대화 중 오간 직원의 개인정보를 기록하였다. 또한 직원간의 사담을 엿듣고 건강정보, 종교, 성생활 같은 사생활 정보를 수집했다. 이에 더해 불법 수집된 직원 개인정보가 유출됨으로서 정보처리 내 요구되는 기밀성과 시스템의 무결성 역시 보호되지 못했다. 감독기구는 H&M의 이 같은 개인정보 수집을 “과도한” 개인정보 수집으로 여겼으며, 이 같은 개인정보 수집은 개인정보보호법을 심각히 무시하는 행위라고 종합적으로 판단하였다.

다. H&M의 대응

H&M 본사는 해당 개인정보 수집이 자사 가이드라인과 전혀 부합하지 않으며, 독일 뉘른베르크 서비스 센터의 단독 사고라고 발표했다. 뉘른베르크 서비스 센터의 개별적 행위임에도 불구하고 본사는 해당 사건의 문제를 책임지며 해당 사건 처리에 관하여 두 가지 대응 방안을 마련했다. 첫째로 H&M은 해당 사건 피해자에게 사죄 및 보상을 약속하였으며, 둘째로 개인정보 보안 시스템을 개편한다고 발표했다.

H&M 본사는 뉘른베르크 서비스센터 직원들에게 회사의 잘못을 전적으로 인정하고 공식적으로 사죄하며 GDPR이 시행된 2018년 5월 기준 이후의 개인정보 수집에 대한 보상금 지금 계획을 수립했다. 하지만 보상기간 측정에 관한 논란이 있다. H&M은 정보수집을 최소 2014년부터 시작했고, GDPR 시행인 2018 이전 피해 기간에 대한 보상은 약속하지 않았기 때문이다.

H&M은 해당 사건 지사 책임자와 정보보안 관련자 교체 및 보안시스템 강화를 추진한다고 밝혔다. H&M이 강구한 보안 시스템 강화 안건은 다음과 같다. 뉘른베르크 서비스센터 임원진과 DPO를 교체 하며 노동법과 개인정보보호법 관련 책임 임원진을 대상으로 추가 교육을 준비한다. 관리자들이 따라야 하는 가이드라인을 대폭 수정하며, 정보보호 시스템 관리를 다루는 추가 직책을 마련한다. 추가로 개인정보보호 시스템 체계를 전면 검토 및 보완한다.

라. 시사점

함부르크 개인정보 감독기구가 부과한 과징금 3,526만 유로는 독일 내 GDPR 관련 과징금 중 가장 높은 금액이다. 해당 금액이 부과된 2020년 10월 당시 유럽 내 두 번째로 높은 벌금 액수였으며, 2021년 ’10월 기준 네 번째로 높은 벌금액이다. 감독기구는 H&M이 해당 사건의 과실을 인정한 점과 개인정보 보안 시스템을 보완하려는 시도를 긍정적으로 평가하였으나, 개인정보 침해의 심각함을 기업에 고지하기 위해 높은 과징금을 부과했다.

과징금은 기업 전년도 매출 4%를 기준으로 했다. 여기서 매출액의 기준은 독일 H&M 전년도 매출이 아닌, H&M 세계 매출을 말한다. 해당 사건이 H&M 기업 전체 개인정보 처리 결함이 아니라, 오스트리아와 독일을 담당하는 뉘른베르크 서비스센터의 개별적 결함이었음에도 불구하고, 과징금 측정이 H&M 세계 매출을 기준으로 했다는 사실에 주의해야한다. 즉 유럽 내 특정 국가의 사업규모가 작을지라도, 또는 개인정보 처리의 결함이 특정 지사에서 발생 할 지라도, 개인정보보호법과 관련한 과징금이 기업 세계매출과 비례하기 때문에 기업은 이에 막대한 피해를 입을 수 있다.

고객 개인정보가 아닌 직원 개인정보 처리 결함이 개인정보보호법 위반으로 여겨진다는 점 역시 주목해야 한다. 이같이 고객이 아닌 직원의 개인정보 처리 문제로 인해 행정 처분을 받는 사례는 H&M외에도 있다.(2019년 바덴 뷔텐부르크 음식회사, 2021년 전자제품 쇼핑몰 NBB) 유사한 성격의 개인정보 처리 결함으로 인해 빈번히 행정처분이 발생함을 고려했을 때 직원 개인정보 처리에도 주의가 필요하다.

21&1

가. 개요

2019년 9월 독일 연방개인정보감독기구(BfDI)는 고객 개인정보 유출을 이유로 통신사업체 1&1에 개인정보보호 위반 과징금 995만 유로를 부과했다. 문제가 된 고객 개인정보 유출은 전화 상담에서 이루어졌다. 1&1은 전화 상담 시 고객 본인확인으로 성명과 생년월일을 물어보는 이중보안 시스템을 가졌다. 한 사람은 다른 사람을 사칭하여 해당 인물의 성명과 생년원일을 올바르게 답하여 본인확인에 성공하였고, 상담을 통해 고객 휴대폰 전화를 알아냈다. 해당 사건으로 전화번호 유출 피해를 입은 고객이 형사 고소했으며, 해당 사건이 연방 개인정보 감독기구에 전달되었다. 사건에 착수한 BfDI는 1&1이 지시하는 고객 본인인증 가이드라인이 지나치게 간소되었다고 지적하며 이를 개인정보 처리 보안 결함으로 판단하였다. 1&1의 과실은 인정되었으나 지나치게 높은 벌금 995만 유로는 행정처분이 내려진 1년 후 2020년 11월 항소재판에서 90만 유로로 낮아졌다.

나. BfDI 주장

GDPR 제32조 처리의 보안에 따르면 개인정보 보안은 무결하고 기밀을 지킬 수 있어야 한다. 즉 개인정보 처리는 무결한 보안 아래 이루어져야한다. GDPR은 개인정보 보안을 위한 법적 의무로 제32조 제1항 제a)호에 개인정보의 가명처리 및 암호처리를 요구한다. 1&1은 위의 조항이 요구하는 본인확인 인증에 있어 결함을 지녀 고객 개인정보를 유출하였다.

따라서 BfDI는 본인 확인 인증 절차에 결함을 가져 제3자에게 고객 개인정보를 유출 한 1&1이 적절한 기술 관리 보안조치를 마련하지 못했다고 판단했다. 또한 개인정보 유출 위험에 놓인 고객이 일부가 아닌 1&1 통신 서비스 가입자 전체에 달한다는 점 역시 심각한 위험으로 보았다. 2020년 기준 1&1 통신 서비스 가입자는 약 1,400만 명이다. 보안 결함으로 위해 개인정보 유출 피해에 놓인 정보주체의 수가 적지 않다는 점을 고려하여 BfDI는 과징금 995만 유로를 부과하였다.

해당 과징금액은 GDPR 제 83조 제4항 제a)호에 따라 전년도 세계 매출 2%를 기준으로 하였다. 4%가 아닌 2%라는 상대적으로 낮은 비율의 과징금은 1&1의 적극적인 수사 협조와 시스템 개선을 참작한 결과이다.

다. 1&1 주장

위반 사항과 벌금 책정 기준에 관해 1&1의 DPO는 반박 성명 했다. 1&1의 본인확인 인증 절차는 당시 업계 표준이었다고 해당 DPO는 주장했다. 또한 해당 사건이 GDPR이 발효된 해인 2018년 이전에 발생 했다는 점, 해당 콜센터 직원이 당시 자사 개인정보 보안 규정에 따라 대응했다고 주장했다. 무엇보다도, GDPR 제32조에 명시된 “적정한 보안 수준 보장”에 있어 적정한 수준이 구체적으로 제시되지 않았다는 점을 지적했다. 당시 업계 평균 수준의 본인확인 절차가 “적정에” 달하지 못하는 보안 수준이냐고 반문하였다.

행정처분에 항의함과 동시에 1&1은 BfDI와 협력하여 보안시스템을 개편하기도 했다. 적정 보안 수준을 위해 고객 본인확인 인증절차를 기존의 이중 보안 절차를 삼중 보안절차로 개선하였으며, 또한 고객 개인 서비스 식별번호(Service-PIN) 시스템 역시 추가했다.

1&1은 개인정보보호법 전문변호사 하노 팀너(Hanno Timner)와 우베 프레이슈미트(Uwe Freyschmidt)를 선임하여 높은 벌금 금액에 대해 항소했다. 변호사측은 낮은 수준 위반사항에 높은 벌금을 부과한 BfDI 행정처분이 균등대우 원칙과, 과잉조치 금지의 원칙에 충돌한다고 피력했다. 2021본 지방법원은 변호사 측 의견을 수용하여 벌금을 90% 이상 낮추어, 벌금 995만 유로를 90만 유로로 정정했다.

라. 시사점

1&1 사례는 높은 과징금이 항소재판을 통해 대폭 축소될 수 있다는 가능성이 증명된 사례이다. 개인정보보호법 위반 시 부과되는 높은 과태료 수준에 많은 기업이 비판하며 항의 하고 있기 때문에 해당 벌금 축소는 시사 하는 바가 크다. 이를테면 2021년 1월 독일 내 전자정보통신 및 매체 동업조합 비트콤(bitkom) 의장은 감독기구의 높은 과징금 책정을 공식성명으로 비판하였다. 동업조합 비트콤에는 약 2,700개 사업체가 소속되며, 이들의 연간 매출이 1900억 유로임을 고려한다면, 비트콤 의장의 발언은 GDPR 벌금 체계에 의미 있는 비판이라 볼 수 있다. 회사의 개선 의지를 참작하지 않은 높은 벌금은 사업체에 치명적인 재정적 피해를 입힌다는 점을 비트콤은 지적한다. 또한 순수익이 아닌 매출에 비례한 과징금 측정 원칙에 부당함을 주장한다. 기업이 의견을 모아 감독기구를 공식 비판하는 성명을 통해 많은 기업이 감독기구에 대한 불만을 가지고 있음을 알 수 있다.

벌금 축소에 있어 변호인 역할 역시 주목해야한다. 해당 사건을 변호한 팀은 다른 사업체 개인정보보호법 위반도 변호하며 GDPR 전문 변호인으로 활동 하고 있다. 이는 유럽 내 감독기구의 빈번한 행정처분과 높은 과태료 부과가 해당 분야 전문 변호사 성장을 초래했다는 점을 반증한다. GDPR에 특화된 변호사가 시장에 출현하면서 사업체가 항소재판에 승소할 가능성이 더욱이 높아졌다.

top