쇼핑몰 개인정보보호 손해배상책임 제도 안내
쇼핑몰을 운영하다보면, 지켜야 하는 법령이 참 많죠.
구매안전시스템인 에스크로를 비롯하여, 개인정보취급 개별 약관동의 및 마케팅 문자 수신, 휴면회원 처리 등등 법령만 10가지가 넘는 것 같아요.
쇼핑몰 호스팅사를 이용하는 사이트라면, 많은 부분을 쇼핑몰 호스팅사에서 제도를 확인하여 관련 기능을 제공하고, 안내를 진행하지만, 워드프레스의 특성상 개인적으로 사이트를 구축하시는 경우에는 쇼핑몰에서 지켜야하는 필수 의무 제도를 꼼꼼하게 확인하여 사이트에 적용 해 주셔야 합니다.
본 포스트에서는 2019년 계도 기간을 거쳐 2020년 1월부터 시행된 개인정보보호 배상책임관련 의무 제도에 대해 알아보겠습니다.
‘개인정보 손해배상책임 보장제도’ 는 개인정보 유출 시 피해 보상을 의무화 하는 제도 입니다.
수년동안 쇼핑몰 및 은행 등 대형 사이트에서 발생한 개인정보 유출 사건으로 인해 어느 곳에서도 피해보상을 진행 했다고 들어 본 적은 없는 것 같죠?
앞으로는 개인정보 유출 시 무조건 피해 보상을 진행하도록 하는 의무가 법령으로 제정 되었습니다.
1 개인정보보호 손해배상책임 보장제도 추진 배경
빅데이터, IoT, 인공지능 등 4차 산업혁명 시대의 신기술 확산으로 개인정보의 중요성이 높아지는 한편, 사이버 공격의 대상과 규모가 증가하는 등 개인정보 유출로 인한 이용자의 피해 사례도 증가하고 있습니다.
이에 기업의 배상 능력이 부족한 경우 이용자가 손해배상을 청구해도 피해 구제가 어려워 이용자 피해구제 제도의 도입이 필요하게 되었습니다.
기업으로 하여금 손해배상책임의 이행을 보장하도록 보험 또는 공제에 가입하거나 준비금을 적립하도록 의무화 (정보통신망법 제32조3)하여
법률에서 위임한 보험 등 가입 대상 사업자의 범위 및 보험 등에 가입할 때 최저가입금액의 기준 등 마련해야만 합니다.
2 개인정보보호 손해배상책임 보장제도 적용 대상
아래 두가지 요건을 모두 갖춘 정보통신서비스 제공자로 업종에 관계없이 인터넷, 모바일 상에 영리목적으로 웹사이트, 앱, 블로그 등을 운영하며 고객 정보를 보유한 사업자에 해당 합니다.
2-1. 직접 사업연도의 사업자 매출이 5천만원 이상 : 사업자번호의 매출이기 때문에 오프라인 사업장이 있는 경우 온오프라인의 매출 합산 금액을 의미함
2-2. 전년도 말 기준 직전 3개월간 개인정보가 저장, 관리되고 있는 이용자수가 1천명 이상일 것
: 본 이용자수는 일일 방문자, 페이지뷰, 순방문자를 의미하는 것이 아니며, 다른 법령에 의해 탈퇴회원, 휴면계정 등 회사에서 보관하고 있는 이용자 모두를 포함
사업자가 위 2가지를 모두 충족하는 경우 개인정보 손해 배상 제도를 도입해야만 합니다.
따라서 모든 사업장의 위 2가지 조건을 모두 충족하는지 여부를 확인 하시고 충족이 되는 경우 보험가입 또는 적립금 제도를 운영 해야 합니다.
※ 비영리 기관 및 단체, 수탁자의 경우는 아래 링크 개인정보 손해배상책임 보장제도 안내서를 참고 해 주시기 바랍니다.
3 개인정보보호 손해배상책임 보험 최저 가입 금액 안내
3-1. 보험 최저가입 금액
매출액과 이용자 수에 따라 보험 최저가입 한도는 아래와 같습니다.
3-2. 준비금 적립 방법
임의적립금(자본계정)으로 적립하고 주주총회 결의 등을 통해 해당 임의적립금이 정보통신망법 제32조 3의 의무 손해배상의 손해배상액의 의무 이행을 위한 것을 명확하게 해야하며, 관련 법안은 아래 링크 개인정보 손해배상책임 보장제도 안내서를 참고 해 주시기 바랍니다.
그렇다면, 위의 대상자임에도 불구하고 손해배상책임 제도를 도입하지 않는 경우 어떻게 될까요?
4 과태료
보험 (공제) 가입이나 준비금 적립 등 손해배상책임 이행을 위하여 필요한 조치를 하지 않는 경우에는
미이행 시 과태료 : 1회 위반 400만원 / 2회 위반 800만원 / 3회 이상 위반 1,600만원 부과
따라서 손해배상책임 제도 대상자의 경우 가급적 빨리 제도를 마련 하셔야 합니다.
5 시행일
손해배상책임 보장 제도는 2020년 1월 1일부터 정식적으로 시행됩니다.
궁금하신 내용 및 해당 법령과 정보에 대한 상세 안내는 아래 링크 개인정보 손해배상책임 보장제도 안내서를 참고 해 주시기 바랍니다.
자주하는 질문
질문 1: 당사는 오프라인 사업(매장)과 온라인 서비스를 여러 개 운영하고 있습니다. 오프라인 사업과 온라인 사업은 별개의 서비스로 각각 회원 가입을 받고 있습니다, ‘이용자수’ 산정 시에는 ‘온라인 사업의 이용자수’만 포함해도 되는지요?
-> 이용자의 개인정보를 수집한 경로가 온라인·오프라인인지 여부와는 무관하며, 사업자가 저장하고 있는 이용자수 전부가 포함됩니다.
질문 2: ‘이용자수’는 회원수라고 보면 되는지요? 다른 법령에 따라 보관하고 있는 휴면회원, 탈퇴회원도 ‘이용자수’에 포함하나요?
-> ‘이용자수’와 ‘회원 수’는 일치하는 개념은 아닙니다.
회원인지 비회원인지에 관계없이 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자에 해당한다면, ‘이용자수’에 포함됩니다.
탈퇴회원 및 휴면회원의 정보를 DB에 분리·보관하고 있는 경우, ‘저장’하고 있는 개인정보에 해당하여 이용자수 산정 시 포함됩니다.
질문 3: 당사는 B2B서비스를 하면서 거래 상대 기업의 담당자 개인정보 등을 저장하고 있는데, 이 경우 ‘이용자수’에 포함하나요?
-> 원칙적으로 법인 또는 단체에 관한 정보(법인 또는 단체의 이름, 소재지 주소, 대표, 연락처 등)는 개인정보에 해당하지 않으나,
법인 또는 단체에 관한 정보이면서 동시에 개인에 관한 정보인 대표자·임원진·업무 담당자의 이름, 주소, 개인 연락처 등은 개인정보로 취급 될 수 있습니다.
질문 4: 당사는 이벤트 목적으로 이름/전화번호/주소 등 개인정보를 간헐적으로 보관·사용하고 있는데도 ‘이용자수’에 포함하나요?
-> 이벤트성으로 개인정보를 수집한 경우 이벤트가 종료되고 경품 발송 등 개인 정보, 수집 목적이 달성된 경우에는 해당 개인정보는 파기되어야 하므로, 이벤트성 목적으로 수집하였더라도 전년말 기준 직전 3개월 간 파기하지 않고 저장하고 있는 개인정보가 있다면 이용자수 산정 시 포함됩니다.
질문 5: 당사는 이용자를 대상으로 무료서비스를 제공하는데, 이 경우에도 ‘이용자수’ 산정 시 포함하나요?
-> 서비스의 유·무료 여부와 무관하게 ‘영리 목적’의 정보통신서비스 등에 해당된다면 무료서비스의 이용자수 산정에 포함되어야 할 것입니다.
질문 6: 당사는 여러 서비스를 제공하는 회사로, 한사람이 여러 개의 서비스를 구매하는 등 거래건수가 발생할 때마다 개인정보가 수집되는데 이 경우 이용자수는 어떻게 산정해야 하는지요?
-> 동일인은 중복을 제외하여 이용자수를 산정하시면 되고, 동일인 여부에 대해서는 정보통신서비스제공자가 합리적으로 추정하여 구분하면 되지만 입증 책임은 해당 정보통신서비스제공자에게 있습니다.
질문 7: ’이용자수’란 전년도말 기준 직전 3개월간 일일평균 이용자수인데, 이용자수 기준은 어느 해를 기준으로 해야 하는지요?
-> 만일, 직전년도 3개월(10월, 11월, 12월) 간 일일평균 이용자수 산정(이용)이 가능하다면 직전년도를 기준으로 하고,
직전년도 3개월간 일일평균 이용자수 산정(이용)이 불가능하다면 전전년도 기준으로 하는 것도 가능합니다.
질문 8: 당사는 글로벌 기업의 한국 지사로 대부분의 주된 사업(서비스)는 글로벌 본사를 통해 이루어지는데, 본사와 한국지사 간 이용자수나 매출액은 각각 따로 산정해야 하나요?
-> 국내 이용자에게 서비스를 제공하는 주체가 해외 소재 본사인지, 국내 소재 지사인지를 개별적으로 고려해야 합니다.
만일, 국내 이용자에게 본사와 지사가 각각 서비스를 제공하고 있다면,본사와 지사는 각각 이용자수와 매출액을 판단 후 대상자 여부를 확인 합니다.
손해배상 보험가입은 손해배상 보험사를 통해 개별적으로 상담 / 가입을 진행 해 주시기 바랍니다.