유의미한 데이터는 기업들이 새로운 부를 창출할 수 있게 한다. 최근 여러 기업이 마이데이터 사업에 열을 올리는 이유도 고객들의 개인 데이터를 신사업 먹거리로 판단했기 때문이다. 하지만 정작 개인 데이터를 공급해주는 고객들도 이득을 보고 있을까. 기업과 달리 정보를 제공한 개인 고객들이 누릴 수 있는 혜택은 제한적이다. 오히려 개인의 데이터가 유출돼 스팸에 시달리거나 각종 피싱 위험에 노출된 사례도 적지 않게 찾아볼 수 있다. [편집자 주]
![[사진=연합뉴스]](/news/photo/202206/127831_111972_830.jpg)
사회 구석구석이 디지털화가 이뤄짐에 따라 데이터의 활용 역시 크게 증가하는 추세다. 데이터의 활용이 늘어날수록 보다 진보된 서비스를 누릴 수 있을 것으로 전망된다. 인공지능(AI)을 이용해 외국어를 번역하거나, 음성을 텍스트화하는 등이 그 예다. 다만 부작용 역시 적지 않다. 보다 많은 곳에서 개인정보를 수집·활용함에 따라 유·노출이나 오·남용에 대한 우려 역시 커지고 있는 추세다. ‘개인정보는 공공재’라는 비아냥 섞인 우스갯소리가 익숙하다.
올해부터 시행되고 있는 금융 마이데이터는 이와 같은 불안과 기대의 한가운데 놓였다. 더 편리한 서비스를 누릴 수 있다는 긍정적인 시각과 기업이 개인정보를 오·남용할 수 있다는 부정적인 시각이 공존하는 중이다.
◇고객정보 판매 합법…부작용 널리 알린 '토스'
마이데이터 사업자가 고객데이터를 오남용할 수도 있다는 우려는 국내 주요 금융플랫폼 토스의 고객 데이터 판매사건으로 현실화됐다.
토스는 최근 보험상담 고객 데이터베이스(DB)를 자사 설계사 중 일부에게 유료로 판매한 것이 드러나 여론의 뭇매를 맞았다. 문제가 된 데이터는 토스 앱 '내 보험' 서비스를 이용한 고객들의 개인정보다. 회원DB 1건당 6만9000원으로 가격이 책정됐으며, 토스 이용객 1700여명의 데이터가 약 600명에 달하는 보험 설계사들에게 제공된 것으로 알려졌다.
사건이 공론화되면서 개인정보가 팔려나갔다는 사실을 알게 된 기존 이용객들은 분노했지만, 토스를 상대로 별다른 조치를 취할 수 없었다. 토스는 동의를 받은 경우, 고객의 금융 개인 정보를 판매할 수 있는 '본인신용정보관리업' 사업자 자격을 이미 획득했기 때문이다.
토스 측도 해당 사건에 대해 문제가 없다는 입장이다. 사업자 자격을 획득했을 뿐만 아니라 고객 전화번호 대신 일회용 안심번호를 제공하거나, 상담을 원치 않을 경우 언제든지 정보제공을 중단하는 등 자체적인 안전장치를 마련해놨다는 이유에서다.
실제 토스 앱에서 보험 상담사에게 문의할 경우 ▲[필수] 개인정보 3자제공 동의 ▲[필수] 민감정보 처리에 관한 동의 등 2건에 대해 동의 과정을 거치게 된다. 현행 정보통신망법·개인정보보호법·신용정보법 상에선 제3자 정보 제공 동의를 하지 않은 경우에만 이용자의 개인정보 매매를 처벌하고 있다. 또 ▲제공 목적 ▲제공받는 곳 ▲제공하는 항목 ▲이용 및 보유기간 ▲거부할 권리 및 불이익 설명 등 개인정보보호법상 정보를 넘길 때 설명해야 할 내용들도 '제3자 정보 제공 동의'를 통해 안내해 법적 규제를 피해갔다.
법적 책임은 피해갔지만, 기업의 신뢰도에는 타격을 입었다. 이번 사건은 토스가 개인정보를 유료로 판매할 수 있다는 사실을 따로 고지하지 않았던 탓에 발생했다.
![[사진=연합뉴스]](/news/photo/202206/127831_111973_1715.jpg)
"팔린 정보 범위·내역, 고객 알 수 없다"
이번 사건은 비단 토스만의 문제가 아니다. 마이데이터가 아직 익숙지 않은 상태에서 기업이 유가로 고객정보를 판매했다고 하니 논란이 됐지만, 토스는 숱한 마이데이터 사업자 중 하나일 뿐이다. 마이데이터가 본격 시행된 만큼 유사한 사례는 앞으로도 이어질 수 있다.
데이터라도 정보의 원천은 나에게 있는 것이고 개인정보 자기결정권이 보장되어야 하는 것이다. 하지만 현재 마이데이터 사업의 경우 단 한 번의 동의로 그 정보가 누구에게 가서 어떻게 쓰이는지 알 수 없다. 고객에게 가치를 주는 서비스를 제공하기 위함이라고 하지만 개인정보 자기결정권 보장 부분은 상당히 미약한 상태다.
실제 마이데이터 사업은 개인의 동의하에 이뤄지는 것이나 제3자에게 넘어갈 때 유료인지 무료인지, 어떻게 쓰이는지 등에 대해 확인하긴 어렵다. 뿐만 아니라 데이터를 취사선별해 제공·통제·삭제할 권리조차 고객에게 주어지지 않는다. 새로운 서비스를 이용하고자 하는 고객들에겐 오로지 'YES'란 선택권만이 존재한다.
이와 같은 행태는 개인정보를 제3자에게 넘기려면 동의받을 때 명시성을 담보해야 한다는 개인정보보호법의 취지와 다르다. 기업들부터 고객에게 수동적인 상황을 강요하는 관행에서 벗어나야 한다.
데이터사업은 신뢰 사업이다. 어렵게 합의를 거쳐 등장한 마이데이터사업이 순항하려면 고객과의 신뢰부터 단단히 뿌리 내리는 게 먼저다.
[위키리크스한국=장은진 기자]
jej0416@wikileaks-kr.org
