생기부까지 달라니…데이식스 팬미팅의 황당한 본인확인, 법적으로 따져봤다
생기부까지 달라니…데이식스 팬미팅의 황당한 본인확인, 법적으로 따져봤다
'최소 수집 원칙' 위반한 과도한 정보 요구
밴드 데이식스의 팬미팅 행사에서 터져 나온 개인정보 침해 논란에 소속사가 공식 사과했다. /데이식스 공식 인스타그램
아이돌 밴드 데이식스(DAY6)의 팬미팅 현장에서 벌어진 황당한 본인 확인 절차에 팬들의 분노가 들끓고 있다. 소속사 JYP엔터테인먼트가 부랴부랴 사과했지만, 팬심을 악용한 과도한 개인정보 수집 행태에 대한 법적 책임을 묻는 목소리가 커지고 있다.
학교생활기록부까지 소환당한 팬들
사건은 지난 18일부터 20일까지 열린 데이식스 팬미팅 현장에서 터져 나왔다. 암표 거래를 막겠다며 운영 업체가 칼을 빼 들었지만, 방향이 한참 어긋났다. 신분증 확인은 기본, 일부 팬들에겐 부모님 신분증, 가족관계증명서, 심지어 초등학교 생활기록부와 금융인증서까지 요구했다.
한 팬은 SNS를 통해 "초등학교 담임 선생님 이름까지 대며 인증했지만, 직원이 '코는 안 변했는데 눈도 똑같다'며 끝까지 인정하지 않았다"고 토로했다. 서류를 미처 챙기지 못한 팬들은 공연장에 들어가지 못하거나 입장이 15분 이상 지연되는 피해를 봤다.
논란이 커지자 JYP 측은 "운영 업체 관리 과정에서 불필요한 개인정보를 요구하는 등 불편을 유발했다"며 공식 사과하고 환불을 약속했다.
본인 확인에 집문서 요구한 격…'최소 수집 원칙' 위반
이번 사태는 명백한 '개인정보 보호법' 위반에 해당할 수 있다. 본인 확인이라는 자물쇠를 열기 위해 집문서까지 요구한 셈이다.
개인정보 보호법(제16조)은 서비스 제공 목적에 필요한 '최소한의 정보'만 수집하도록 규정하고 있다. 본인 확인을 위해 신분증 외에 금융 정보나 학창 시절 기록까지 요구한 것은 이 '최소 수집 원칙'을 정면으로 위반했을 가능성이 크다.
특히 생활기록부에는 성적, 행동 발달 사항 등 민감정보가 포함될 수 있다. 이는 법적으로 정보 주체에게 별도의 동의를 받아야만 수집할 수 있는 정보다. 티켓 예매 시 이런 수준의 정보 수집에 동의했을 리 만무하다.
JYP가 "운영 업체에 위탁했다"고 책임을 돌릴 수도 없는 문제다. 법은 개인정보 처리를 위탁한 JYP에게 운영 업체를 제대로 관리·감독할 의무를 지우고 있기 때문이다.
팬들이 법적 대응 나선다면?
피해를 본 팬들이 법적 대응에 나설 경우, 크게 3가지 절차를 밟을 수 있다.
첫째, 개인정보 보호위원회에 침해 사실 신고
위원회는 사실 조사를 거쳐 JYP와 운영 업체에 시정명령을 내리거나 관련 매출액의 3%에 달하는 과징금, 최대 5천만 원의 과태료를 부과할 수 있다.
둘째, 민사상 손해배상 청구 소송
티켓값, 교통비 등 실제 손해는 물론 정신적 고통에 대한 위자료를 청구할 수 있다. 특히 개인정보 보호법에는 실제 손해액을 입증하지 않아도 법원이 300만 원 이하의 배상액을 정할 수 있는 '법정손해배상' 제도도 마련돼 있다. 피해자가 다수인 만큼 '집단소송'으로 번질 가능성도 있다.
셋째, 형사고발
가장 강력한 대응 수단으로, 정보 주체의 동의 없이 민감정보를 처리한 책임자는 '5년 이하의 징역 또는 5천만 원 이하의 벌금'에 처해질 수 있다. 거짓이나 부정한 방법으로 개인정보 수집 동의를 받은 경우에도 3년 이하의 징역형이 가능하다.
암표 근절이라는 명분이 팬들의 민감한 개인정보를 무차별적으로 수집할 면죄부가 될 수는 없다. 팬심을 인질로 한 과도한 정보 요구는 법의 엄중한 심판을 피하기 어렵다.
