[KJtimes=김지아 기자] 음식점 예약부터 카페 주문까지, 일상 깊숙이 파고든 식음료 서비스 전반에서 개인정보 관리가 허술했던 것으로 드러났다. 개인정보보호위원회가 주요 플랫폼과 프랜차이즈를 대상으로 실시한 조사에서 동의 없는 개인정보 활용과 아동 정보 수집, 보관기간이 지난 정보의 미파기 등 광범위한 법 위반이 확인되며 대규모 제재가 내려졌다.
개인정보보호위원회(위원장 송경희)는 2월 11일 제3회 전체회의를 열고, 식음료 분야 10개 사업자의 '개인정보 보호법' 위반 행위에 대해 총 15억6,600만 원의 과징금과 1억1,130만 원의 과태료를 부과하고, 시정명령 및 공표명령을 의결했다고 밝혔다.
조사 대상에는 원격 예약·대기 플랫폼과 대형 프랜차이즈가 대거 포함됐다. 플랫폼 사업자로는 캐치테이블, 테이블링, 도도포인트·나우웨이팅 등이, 프랜차이즈로는 스타벅스·버거킹·맥도날드·메가MGC커피·투썸플레이스·이디야·빽다방 등이 이름을 올렸다.
이번 조사는 ICT 기반 예약·대기·키오스크 주문 서비스 확산으로 대규모 개인정보 처리가 일상화된 점을 고려해 진행됐다. 개인정보위는 앱 서비스 이용률과 과거 법 위반 이력 등을 종합해 조사 대상을 선정했다.
◆예약하고 주문하는 사이 새나간 정보… 소비자는 몰랐다
조사 결과, 다수의 사업자가 개인정보 보유기간이 지났거나 처리 목적이 달성된 이후에도 정보를 파기하지 않고 보관한 것으로 나타났다. 일부 사업자는 회원 가입이나 서비스 이용 과정에서 개인정보를 동의 없이 마케팅에 활용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용했다.
플랫폼 사업자들은 온·오프라인에서 수집한 개인정보를 연동하는 과정에서 접근통제와 인증 절차를 제대로 갖추지 않아, 예약·대기 고객의 개인정보가 외부에 노출될 가능성이 있는 구조로 서비스를 운영한 사실이 확인됐다. 프랜차이즈 사업자들 역시 개인정보 처리 업무를 외부에 위탁하면서 수탁자에 대한 관리·감독을 소홀히 하거나, 대규모 개인정보 처리 사실을 정보주체에게 정기적으로 알리지 않는 등 법적 의무를 이행하지 않았다.
사업자별로 보면, 버거킹 운영사 비케이알은 법정대리인 동의 없이 아동 개인정보를 수집해 9억2,400만 원의 과징금을 부과받았다. 메가MGC커피 운영사 엠지씨글로벌은 마케팅 활용에 동의하지 않은 회원에게도 자동으로 동의 처리해 홍보 메시지를 발송한 사실이 적발돼 6억4,200만 원의 과징금이 부과됐다. 이 외에도 주문 과정에서 휴대전화번호 입력을 사실상 강제하거나, 여러 동의 항목을 포괄적으로 묶어 받는 방식 등 위법 사례가 다수 확인됐다.
개인정보위는 이번 조치가 국민 생활과 밀접한 식음료 서비스 전반의 개인정보 관리 체계를 점검해 잠재적 침해 요인을 선제적으로 제거했다는 점에서 의미가 크다고 설명했다. 특히 아동·청소년 개인정보는 보다 강화된 보호가 필요하며, 플랫폼 생태계 전반에 걸쳐 '프라이버시 중심 설계'가 정착돼야 한다고 강조했다.
개인정보위는 앞으로도 국민 실생활과 직결된 분야를 중심으로 상시 점검과 사전 예방 활동을 강화해 나간다는 방침이다.
