개인정보보호위원회(이하 개인정보위)가 해킹 피해 면책 조항, 불필요하게 복잡한 탈퇴 절차 등 이용자 불편이 누적된 쿠팡의 문제점을 점검하고 개선을 촉구했다.
개인정보위는 제26회 전체회의를 개최해 쿠팡의 개인정보 유출사고 대응상황 및 개인정보 처리실태를 점검했다고 10일 밝혔다. 개인정보위는 쿠팡이 지난해 11월 이용약관에 "서버에 대한 제3자의 모든 불법적 접속 등으로부터 발생하는 손해에 관해 책임지지 않는다"는 내용의 면책 규정을 추가한 사실을 확인하고 개선을 요구했다.
개인정보보호법(이하 보호법)에 따르면 개인정보처리자(이하 처리자)는 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 해야 한다. 처리자가 보호법을 위반해 이용자(정보주체)가 손해를 입으면 이용자는 손해배상을 청구할 수 있고 처리자가 고의·과실이 없음을 입증해야 한다.
개인정보위는 쿠팡의 이용약관이 보호법의 취지와 상충하고 이용자에게 불필요한 혼란을 초래한다는 의견을 냈다. 개인정보위는 쿠팡에 관련 내용 개선을 요구하고 약관 소관 부처인 공정거래위원회에도 의견을 제시할 계획이다.
또 개인정보위는 쿠팡이 회원 탈퇴 절차를 복잡하게 구성했다는 사실을 확인했다. 특히 유료 서비스인 와우 멤버십의 경우 멤버십 해지를 회원 탈퇴의 필수 조건으로 제시해 여러 단계의 멤버십 해지 절차를 거치게 하고 해지 의사를 재확인하도록 구성했다. 일부 회원은 멤버십 잔여기간이 종료될 때까지 멤버십 해지를 불가능하게 해 실질적으로 즉각적인 회원 탈퇴를 할 수 없도록 했다.
이에 개인정보위는 개인정보 처리정지·동의철회 요구 방법과 절차가 개인정보 수집 방법과 절차보다 어렵지 않게 해야 한다는 보호법 제38조 제4항 위반 소지가 있는 것으로 판단하고 쿠팡에 탈퇴 절차를 간소화하고 정보주체가 쉽게 알 수 있도록 공개할 것을 촉구했다.
아울러 개인정보위는 지난 3일 긴급의결에 대한 쿠팡 측 조치 결과를 점검했다. 당시 긴급의결은 쿠팡의 유출통지 및 2차 피해 방지 대응 조치에 관한 것이었다. 점검 결과 쿠팡은 개인정보 '노출'을 '유출'로 수정하고 공동현관 비밀번호 등 누락된 유출항목과 2차 피해 예방조치를 재통지했다. 홈페이지와 앱에도 공지문을 게시해 개인정보 의결사항을 일부 이행했다.
개인정보위는 쿠팡 회원이 아니지만, 배송지 명단에 포함돼 개인정보가 유출된 정보주체(사람)에 대한 구체적인 통지계획을 제출하지 않은 점, 홈페이지·앱 공지문의 접근성 및 가시성이 부족한 점 등을 확인해 개선을 요구했다. 개인정보위는 보호법에 따라 30일 이상 공지하도록 했고 2차 피해 예방을 위해 쿠팡 측에 사고 전담 대응팀을 철저히 운영할 것을 요구했다.
또 최근 쿠팡 계정 정보의 인터넷 및 다크웹 상 유통 의심 정황 등에 대한 언론보도나 신고가 잇따르고 있어 쿠팡 측에 자체 모니터링 및 즉각적인 대응 체계 강화를 촉구했다. 개인정보위는 이러한 요구사항에 대하여 7일 이내 조치결과를 제출하도록 했다.