[한국공제보험신문=이재홍 기자] 비바리퍼블리카(이하 토스)의 개인신용정보 판매 논란이 다시 대두됐다. 지난 6월 토스가 앱 이용자의 개인정보를 보험설계사에게 판매한 것을 두고 합법적인 마이데이터사업의 일환이라는 주장과 소비자 피해가 우려된다는 지적이 부딪히는 것이다. 이번 논란의 핵심 쟁점사안들을 짚어봤다. 

쟁점 1. 제3자 제공 동의

이 사안은 올해 6월 토스가 앱 이용자의 개인정보를 건당 6만9000원에 판매한다는 문제 제기에서 비롯됐다. 당시 토스 측은 “1월부터 본인신용정보관리업(마이데이터)사업자 자격을 획득, 데이터 판매 및 중개업무 수행이 가능해졌기 때문에 법적으로 문제가 없다”고 밝혔다. 

개인정보보호법 제17조에서는 정보 주체의 동의를 받으면 제3자에게 제공할 수 있다고 명시하고 있다. 토스 역시 이러한 절차를 거쳤다. 앱에서 보험상담 서비스를 신청하는 고객에게 필수 동의 항목으로 제3자 정보 제공을 넣었다. 

여기에는 제공 목적으로 ‘기존 가입된 보험 분석에 대한 상담’, ‘상품 홍보 및 보험 신규 가입 권유’가 명시됐으며 제공받는 곳을 ‘토스보험파트너에 등록된 설계사’라고 언급하고 있다. 또 이용 및 보유기간에 대해서는 ‘제3자 제공 동의 시점부터 목적 달성(상담 및 계약 체결 서비스)를 위한 기간 동안 보유 후 파기’라고 안내했다. 

이로 인해 토스의 개인정보 판매행위가 합법하다고 보는 시각이 우세하다. 제공 목적과 제공처, 제공항목, 이용 및 보유기간 등 법에서 규정한 사안은 준수했기 때문이다. 그러나 세부적으로는 논란의 여지가 있다. 제공받는 곳의 모호성이다. 

우선 토스보험파트너에 등록된 설계사라는 설명으로는 개인정보를 제공받는 곳이 명확하게 특정되지 않는다. 소비자는 보험상담을 받기 위해 정보 제공에 동의했더라도 자신의 개인정보가 어디로 제공되는지 알 수 없는 것이다. 

토스보험파트너는 보험영업지원 플랫폼으로 생명, 손해보험협회에 등록된 보험설계사라면 누구나 자유롭게 가입할 수 있다. 개인정보 판매 논란이 불거졌던 당시 토스보험파트너에 가입된 보험설계사는 13만명 수준이었던 것으로 알려졌다. 

토스는 이에 대해 파트너십을 맺은 보험설계사 중 평가를 통해 검증된 이들에게만 개인정보 구매의 기회를 줬다고 했지만, 이 역시 3만여명에 달한다. 

쟁점 2. 유상 판매

제3자 정보 제공 동의를 받았다고 해서 정보 주체가 유상 판매까지 용인한 것으로 보긴 어렵다는 의견도 있다. 토스가 마이데이터사업 허가를 획득한 상황과 이전부터 같은 기준으로 수집해온 정보를 판매하는 것은 별개라는 이유다. 특히 개인정보 제공에 동의한 소비자들이 판매 여부까지 알기는 쉽지 않았을 것이란 지적이다. 

더불어민주당 황운하 의원은 “현행 법령상 제3자 제공 동의만 받으면 유상 판매 여부를 고지하지 않아도 된다는 것이 토스 측의 입장”이라며 “법률상으로 문제가 없다는 것은 일면 타당성이 있는 주장이지만 일반 소비자로서는 자신의 개인정보를 판매하는지 인식조차 쉽지 않다”고 설명했다. 

또 “돈을 주고 개인정보를 산 보험설계사들은 판매수수료가 높은 상품 가입을 유도하게 되고 이 비용은 고스란히 소비자에게 전가될 수밖에 없다”며 “토스의 개인정보 판매와 관련해 약관과 업무제휴 계약서 등을 분석해 위법사항이 없는지 면밀히 살펴보고 있다”고 덧붙였다. 

쟁점 3. 마이데이터사업 안정성
 
지난 2019년 대법원은 경품행사를 통해 수집한 고객정보를 보험사에 판매한 모 대형마트에 대해 유죄를 확정했다. 해당 마트는 2011년부터 2014년 7월까지 경품행사를 진행하면서 고객의 개인정보 약 2400만건을 수집하고 건당 1980원에 판매, 231억7000만원 상당의 수익을 올린 혐의로 기소됐다. 

당시 마트 측은 경품행사 응모용지에 ‘개인정보는 보험상품 안내 등을 위한 마케팅 자료로 활용된다’, ‘개인정보 이용 동의를 하지 않으면 경품 추첨에서 제외된다’라는 문구가 삽입됐다고 항변했다.

그러나 대법원은 해당 글귀가 응모용지 뒷면에 1mm 크기로 명기된 점을 들어 “부정한 수단으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받은 행위에 해당한다”고 판단했다.

또 이보다 앞선 2016년에는 행정안전부(당시 행정자치부)는 모 서점이 영업 특성상 제휴업체가 빈번히 변경된다는 이유로 개인정보를 제공받는 자(업체명)를 고지하지 않았던 것을 법 위반으로 판단했던 전례도 있었다.

위 사례들은 마이데이터사업이 법적으로 허용되기 전의 일이다. 현재 마이데이터사업과 관련된 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)에서는 제3자 정보 제공에 동의하지 않은 경우에만 개인정보 매매행위를 처벌하도록 하고 있다. 

또 정보주체가 개인정보처리자에게 자신의 개인정보에 관한 열람을 요구할 수 있도록 규정하고 있지만 어떤 식으로 활용했는지에 대한 요구 권한이나 답변 의무는 강제하지 않고 있다. 제3자 정보 제공에 동의한 소비자에게는 자신의 개인정보가 유상으로 판매됐는지 확인할 방법도 없는 셈이다. 

이는 장기적으로 범정부 차원에서 독려하는 마이데이터사업에도 악재가 될 것이라는 우려로 이어진다. 개인정보의 거래가 가능해지면서 오히려 혼동의 여지가 없이 상세히 안내해야 할 의무를 약화시키고 있다는 것이다. 

금융당국도 이같은 문제점을 인지하고 있다. 최근 금융위원회는 마이데이터사업과 관련해 개인정보의 제3자 제공 동의 프로세스를 강화하는 것을 골자로 제도 개선 검토에 들어갔다. 그간 국회와 언론에서 제기한 지적들의 타당성을 분석하고 유상 판매 여부 등 수집한 개인정보가 어떻게 이용되는지 등을 보다 명확하게 안내하도록 한다는 방침이다.

이재홍 기자 다른기사 보기