정부가 가상자산 사업자 ‘코빗’에 480만 원의 과태료를 부과하고 시정 명령 처분을 내렸다. 개인정보 최소 수집의 원칙을 위반했단 판단에서다.
개인정보보호위원회(개인정보위)는 14일 정부서울청사에서 열린 제12회 전체회의에서 이같이 의결했다고 밝혔다.
개인정보위는 코빗이 개인정보 보호법상 ‘개인정보 최소 수집의 원칙’을 위반했다고 판단했다. 개인정보 보호법에 따르면 개인정보를 처리할 경우, 그 처리 목적과 비례하여 적절한 범위에서 개인정보를 최소한으로 수집해야 한다.
이와 관련해 개인정보위는 휴면계정을 해제해도 ‘회원 들어가기(로그인)와 조회 서비스’만 가능함에도 신분증 사진정보를 요구하고, 이를 미제공할 경우 휴면계정 해제를 거부한 코빗의 행위가 해당 원칙을 위반했다고 봤다.
개인정보위가 코빗에 대해 조사에 나선 것은 지난해 5월부터다. 이용자의 침해신고가 계기였다. 코빗은 회원가입을 할 때는 이메일 인증만으로 가입도록 했지만, 장기 미접속으로 휴면 전환한 이용자에게는 이를 해제하기 위해 신분증 사진 및 신분증을 들고 있는 사진을 요구했다. 또한, 이를 제공하지 않으면 휴면계정 해제 서비스 제공을 거부한 사실도 확인됐다.
이에 대해 코빗 측은 휴면 계정을 해제할 경우 즉시 매매 거래가 가능하므로 보이스피싱 등 금융범죄를 예방하기 위해 신분증 사진정보를 수집했다고 주장했다. 코빗은 지난해 11월부터 해당 확인 제도를 폐지한 상태다.
반면 개인정보위는 이날 “코빗 측 주장을 확인한 결과 이용자가 휴면계정을 해제해도 거래와 입출금을 위해서는 휴대전화를 통한 인증을 추가로 요구하고 있다”며 신분증 사진정보가 반드시 필요한 정보는 아니라는 판단을 내렸다.
코빗 측은 개인정보 수집이 과도하지 않았다고 해명하기도 했다. 앞서 열린 제11차 전체회의에서 코빗 관계자는 신분증 사진에서 주민등록번호를 가림 처리해 성명과 생년월일, 주소 등만 파악할 수 있었다고 설명했다. 은행 등 다른 금융사업자와 비교해도 그 수준이 과하지 않았으며 다른 가상자산 거래소도 같은 방식을 요구했다고 언급하기도 했다.
이와 관련해 개인정보위는 이날 “추가 확인한 업비트, 빗썸, 코인원 등 국내 3대 가상자산 사업자는 ‘휴면계정 해제’ 시 신분증 사진정보를 요구하지 않는 것으로 확인됐다”고 설명했다.
송상훈 개인정보위 조사조정국장은 “앞으로도 개인정보위는 개인정보 최소수집 원칙이 잘 지켜질 수 있도록 엄정한 법 집행과 함께 사업자들의 인식 제고를 위해서도 노력해 나가겠다”고 말했다.
이번 처분과 관련해 코빗 관계자는 “코빗은 지난해 3분기 이상거래탐지시스템(FDS) 구축 이후 해당 제도를 폐지한 상태”라며 “이용자 보호 측면에서 해당 제도를 운용했고 이제는 더는 운영하지 않고 있다”고 강조했다.