프라이버시 이슈를 모아, 프리-뷰. 1. 국정감사 기간동안 언급된 개인정보 이슈 중 중요한 것들만 쏙쏙 골라 정리했고,
- 삼쩜삼 개인정보 논란
- 구글메타 행태정보 불법 수집
- NHN, 중국 개인정보 보관 이슈
2. 바뀐 국내 개인정보 정책들을 살펴봤어요. |
|
|
지난 10월 4일부터 24일까지 국정감사 기간이었는데요. 국정감사에서 언급되었던 핫하고 중요한 개인정보 이슈, 무엇이 있었는지 알려드릴게요😉 |
|
|
나도 모르는 대리인이 내 개인정보를 다 보고있다? - 삼쩜삼 개인정보 논란
갑자기 17만 원이 공짜로 생긴다면? - 개인 종합소득세 환급 도움 서비스 ‘삼쩜삼’을 이용해서 돌려받은 평균 환급액이에요. 5년간 잠자고 있던 내 세금을 편하게 돌려받을 수 있어서 1200만 명이나 이용했던 이 서비스, 갑자기 욕을 하며 탈퇴하는 사람이 우수수 늘어났는데요. 올해 개인정보 관련 국정감사에서도 가장 핫했던 이슈, 무슨 일인지 자세히 살펴볼게요.
삼쩜삼 조회라도 해보신 분들 필독
삼쩜삼에 대한 사람들의 분노는 트위터의 한 게시글이 화제가 되며 시작되었어요. 그 이유는 나도 모르게 세무대리인이 등록되어 있었기 때문. 환급금 ‘신청’이 아닌 단순 ‘조회’만 했던 사람들도 모조리 세무대리인이 등록되어 있었던 거예요. 기존에 세무대리인이 있던 사람들은 삼쩜삼 관련 세무대리인으로 변경되었고요. 나의 소득 내역 조회부터 서류 발급까지 모두 할 수 있는 세무대리인이 나도 모르는 사이에 지정된 것을 그 글이 알려준 거죠.
이게 어떻게 된 일이냐. 세금 환급을 받기 위해서는 세금을 냈던 기록, 소득을 받았던 기록 등을 확인하고 세금과 환급액을 계산해야 해요. 근데 세금에 대해 잘 알지 못하는 일반인에게는 어렵다 보니, 삼쩜삼에서 편리한 서비스를 제공하기 위해 국세청 홈택스에 세무 대리인을 등록했던 거죠. |
|
|
뭐가 문제인거야?
이번 논란에서 여러 측면의 문제점이 언급되었지만, 개인정보와 관련하여 문제 여부가 되는 점을 살펴보면:
- 제공 동의 과정의 적법성: 이용자들 중에선 세무대리인이 등록되는 것을 몰랐다는 사람이 대다수예요. 즉, 개인정보 제3자 제공에 대한 사실을 이용자가 인지하지 못했다는 거죠. 개인정보를 제3자에게 제공하기 위해서는 정보주체의 동의를 받아야 하는데요. 정보가 제공된다는 사실 자체도 몰랐는데, 어떻게 동의가 제대로 이루어졌겠냐는 거죠.
- 제공 사항에 대한 안내 부족: 삼쩜삼 개인정보 처리방침에서도 제3자 제공 사항에 대한 안내가 친절하지 않아요. 제공받는 자가 정확히 어떤 세무사/세무법인인지 알 수 없으며, 제공되는 개인정보 항목도 ‘서비스 이용 과정에서 수집하는 개인정보의 항목’으로 두루뭉술하게 적혀 있어요. 이것만 봐서는 내 정보가 누구에게 얼마나 넘어갔는지 확인할 수 없는 거죠.
- 정보 과다 수집: 세무대리인은 규정상 홈택스에서 납세자의 모든 정보를 조회할 수 있어요. 본인 및 부양가족의 개인정보, 주민등록번호까지 모두 확인할 수 있는데, 세무대리인이 이러한 모든 정보를 가져가는 것이 맞냐는 거예요.
*제3자 제공: 개인정보 처리자 외의 제3자에게 개인정보의 지배·관리권이 이전되는 것(쉽게 말해, 우리 회사가 가진 개인정보를 다른 회사가 쓸 수 있게 주는 것. 공유도 포함돼요) |
|
|
누가 어떤 입장이야?
이를 둘러싼 여러 입장을 살펴보면:
- 삼쩜삼 운영사 자비스앤빌런즈: 서비스 이용약관에 공지를 했으니 문제없어. 환급 신청을 대신해 주기 위해 세무대리인이 개입하는 건 정상적인 절차야.
- 서비스 이용 고객: 세무대리인이 등록되어 내 개인정보를 본다는 사실을 알았다면 애초에 삼쩜삼을 이용하지도 않았을 거야. 나는 환급 신청을 하지도 않았는데도(조회만 했는데) 세무대리인이 왜 필요해?
- 세무 관계자: 삼쩜삼이 제공하는 서비스는 불법 세무대리야. 세무대리인 수임동의가 제대로 이루어지지 않았어.
- 소비자연맹: 소비자는 구체적인 사전 안내나 선택적인 동의 절차도 제공받지 못했어. 홈택스 로그인을 했다고 세무대리인 선정에 동의한 건 아니야.
|
|
|
그래서 앞으로 어떻게 되는거야
결국 잘못이 있는지 없는지는 정부기관의 조사 결과를 기다려보는 수밖에 없어요. 개인정보보호위원회는 5월부터 조사를 시작했다고 밝혔어요. 국세청도 개인정보위의 조사가 끝나는대로 조사를 진행하고, 삼쩜삼을 이용할 필요 없이 홈택스에서 편리하게 세금 환급을 할 수 있는 방법을 마련하겠다고 했어요. 한국세무사회의 경찰 고발, 한국소비자연맹의 신고 등 삼쩜삼의 이러한 행위에 대한 싸움도 아직 진행중이에요. |
|
|
온라인 플랫폼 본격 제재 시작
지난 레터에서 메타가 개인정보 처리방침 동의를 강제했던 얘기, 기억하시나요? 메타가 서비스를 제공함에 있어 타사의 행태정보가 꼭 필요한 정보인지에 대해서는 아직 조사 중이에요. 메타가 사용자로부터 수집하는 정보의 종류와 양이 적절한가에 대한 조사인 거예요.
그런데 이번엔 동의 방식이 또 문제가 됐어요. 지난 9월 14일, 개인정보보호위원회가 구글과 메타에 총 1000억 원의 과징금을 부과한 거예요. 이에 대해 구글코리아 대표와 메타코리아 대표가 이번 국정감사에 증인으로 출석해 입장을 밝혔다는데, 자세히 알아볼까요?
개인정보 불법 수집
구글이 692억, 메타가 308억의 과징금을 부과 받은 이유는 이용자의 타 사이트 행태정보를 동의 없이 수집했기 때문이에요. 구글의 ‘구글 애널리틱스’, ‘파이어베이스 애널리틱스’ 혹은 메타의 ‘픽셀’ 과 같은 행태정보 수집 도구가 설치된 사이트를 방문할 때, 이용자가 누구인지, 그 사람이 어떤 행동을 했고, 무엇을 보았고, 어떤 걸 좋아하는지와 같은 행태정보가 구글과 메타로 자동으로 전송되도록 설정해놓았어요. 이용자가 애써 찾아서 설정을 변경하지 않는 이상 모든 정보가 나도 모르게 수집되고 있었던 거죠.
실제 조사 결과 구글 82%, 메타 98%의 사용자가 타사 행태정보 수집을 허용하고 있었어요. 행태정보는 한 사람을 특정 짓기에는 사소한 정보지만 계정 정보와 연결되어 몇 년 동안 축적되었다면 한 개인을 특정 짓기에는 충분함을 넘어 정보주체의 권리와 사생활 침해로까지 볼 수 있어요.
*행태정보: 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동 정보
구글과 메타의 입장은
- 구글: 맞춤광고가 꼭 나쁜 건 아니야. 우린 기업들이 마케팅 할 수 있도록 돕는 거라고. 많은 기업들이 효과적인 마케팅을 통해 성장하고 있잖아.
- 메타: 광고를 포함한 맞춤형 콘텐츠를 제공하는 게 우리 비즈니스 모델이니 문제없어. 이용자도 자기가 관심 있는 상품에 대한 광고만 볼 수 있으니 좋잖아.
구글과 메타는 과징금 제재 직후 이의를 제기하겠다는 입장이었지만, 이번 국정감사에서는 소송은 고려하지 않고 있다고 말했어요.
전 세계적인 행태정보 수집 제재 물결
구글과 메타는 맞춤형 광고를 쉽게 포기하지 않겠지만, 이번 개인정보위의 제재로 행태정보를 이용한 맞춤형 광고 비즈니스 모델이 위축될 것이란 의견이 많아요. 이미 다른 국가에서는 2년 전에 같은 이유로 제재를 가한 적도 있고요.
- 프랑스 CNIL 2020.10 사용자 동의 없이 쿠키를 설치해 광고에 활용한 구글에 1억 유로 벌금 부과
- 독일 FCO 2019.02 페이스북에게 사이트 외부에서 수집한 이용자 데이터와 이용자 프로필 병합 금지 및 동의 방식 개선 명령
우리나라가 다른 나라에 비해 빠르게 움직이지는 않지만, 결국 전 세계 흐름에 맞춰 행태정보에도 개인정보 규제를 적용하는 방향으로 가고 있는 건 확실해요. 이번 개인정보위의 제재는 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이자 기업에게 부과된 역대 최대 과징금이에요. 개인정보위는 이번 제재를 발표하며 앞으로 국내 온라인 플랫폼들의 개인정보 처리 동의 방식에 대해 조사를 이어가겠다고 발표했어요.
|
|
|
내 정보를 중국정부가 마음대로 볼 수 있다고?!
가임기 여성이라면 매달 하는 월경, 날짜 계산하기 귀찮아서 앱으로 관리하신 적 있으신가요? 여자라면 한 번쯤 써봤을, 대한산부인과의사회에서도 공식으로 채택한 여성 건강 관리 앱 ‘핑크 다이어리’가 국정감사에서 언급되었어요. 이용자들의 개인정보가 중국으로 유출될 수 있다는 보도 때문이에요. 핑크 다이어리를 운영하는 NHN의 다른 서비스 ‘PAYCO’, ‘아이엠스쿨’의 사용자 정보 유출 우려도 함께요.
그게 왜 문제야?
‘핑크 다이어리’의 개인정보 처리를 위탁한 회사 중에 중국에 위치한 회사가 있다는 게 문제에요. 중국에서 운영되는 회사는 중국 정부가 정보를 내놓으라고 하면 무조건 줘야 하도록 법에 적혀있거든요. 우리나라 사용자의 개인정보가 언제든 중국 정부에 넘어갈 수 있다니. 심지어 ‘핑크 다이어리’에는 여성들의 민감한 월경 주기, 임신 확률, 병력, 성생활 정보까지 모두 담겨있다 보니 유출에 대한 우려가 더더욱 큰 거죠.
좀 더 자세히 알아보자면 - 중국의 개인정보 보호법
중국의 개인정보 보호 관련 법률은 ‘개인정보보호법’, ‘데이터안전법’, ‘네트워크안전법’으로 총 3개예요. 이들 법을 종합해 보면, 중국 회사에 보관된 정보들은 언제든 중국 정부가 요청하여 열람할 수 있어요. 전자정보의 특성상 열람은 곧 제공이라고 볼 수 있기 때문에 열람 가능 여부가 중요한 거죠. 열람하는 동시에 다른 전자기기로 촬영하여 정보를 유출하는 경우도 무시할 수 없고요.
- 네트워크안전법 제2조: 중화인민공화국 경내에서의 네트워크 건설, 운영, 유지 및 사용과 네트워크 보안의 감독 및 관리에 적용된다.
- 데이터 안전법 제35조: 공안기관과 국가 안보기관이 국가 안보 또는 범죄 수사 목적으로 데이터 확보가 필요한 경우, 관련 규정에 의거해 엄격한 승인절차를 거쳐 진행하며, 관련 조직과 개인은 이에 협조해야 한다.
- 개인정보보호법 제40조: 국가 네트워크정보 부처가 규정한 범위 내에서 개인정보를 처리하는 중요 정보인프라의 운영자와 개인정보처리자는 중국내에서 생성되고 수집된 개인정보는 국내에 저장하여야 한다. 국외에 제공하게 될 경우, 국가 네트워크정보부처 조직의 안정평가를 거쳐야 한다.
다른 기업들은 어떻게 했는데?
대부분의 기업에서는, 중국에서 국내 이용자 개인정보에 접근하는 것은 기술적으로는 불가능하다는 입장이에요. 하지만, 언제 중국 정부가 데이터를 요구할지 모른다는 우려에 다른 기업들도 데이터 센터를 옮겼어요. 핑크다이어리를 운영하는 NHN도 유출 위험을 아예 차단하기 위해 중국 회사가 하던 업무를 국내로 이관하는 방법을 마련하겠다고 했어요. 절대 데이터를 공유하지 않겠다고 단언했던 구글도 홍콩 정부에게 정보를 제공해 이런 우려가 현실로 나타나기도 했고요.
- 네이버 : 2020년 홍콩에 있던 데이터 백업 센터를 싱가포르로 이전
- 쿠팡: 중국 법인에서 개인정보를 처리하다가 국내·호주·미국으로 업무 이관
기업들이 중국에 데이터를 저장한 이유는 운영비용을 줄이기 위해서예요. 물론 비용 절감도 중요하지만, 내 정보를 안전하게 보호해 주지 않는 서비스를 계속 이용할 사용자는 없죠. 기업은 자국민 이용자들의 개인정보를 관리하는 개인정보 처리자로서, 국내 법률뿐만이 아닌 해외 법률이 끼치는 영향까지 항상 고려해야 할 책임이 있다는 것을 잊어서는 안돼요.
|
|
|
코레일 개인정보 감사원 제공 논란
감사원이 근태불량 확인을 위해 공직자 약 7천 명의 이용내역 정보를 요구하였는데, 코레일이 공직자가 민간인 시절의 정보까지 감사원에게 제공해 논란이에요. 위법 여부를 판단해야 할 개인정보보호위원장의 소극적인 태도도 아쉬웠다는 의견도 많았어요. |
|
|
카카오 화재, ISMS-P 인증체계 개선 필요성까지
카카오의 데이터 센터 화재로 인해 전 국민이 불편함을 겪었었죠. 카카오는 이전에 ISMS-P(정보보호 및 개인정보 보호관리체계 인증) 인증을 받았었는데요. 비상 대응 체계를 구축하지 못한 카카오가 인증체계를 받았다는 점에서 ISMS-P의 실효성과 개선의 필요성이 언급되었어요. |
|
|
2022 개인정보보호 연차보고서 발간
개인정보보호위원회에서 발간한 2022년 개인정보보호 연차보고서가 나왔어요. 보고서에서는 지난 1년간의 개인정보보호 정책 추진 현황 및 성과와 개인정보보호와 관련한 국내외 주요 이슈를 다루고 있어요.
|
|
|
중소기업은 개인정보 보호법 위반 시 과징금 깎아줄게
중소기업과 소상공인을 위한 과징금 감경에 관한 고시가 나왔어요. 개인정보 보호법을 위반한 것에 대한 과징금액을 정할 때, 경제 상황 등을 고려해 과징금을 최대 90%까지 깎아준다는 내용이에요. 상황에 따라 과징금을 면제해 주거나 과징금 납부를 연기할 수도 있어요. 이번 고시는 발표된 19일 다음 날인 10월 20일부터 즉시 적용되었어요. 이는 코로나로 힘든 중소기업의 과징금 부담을 줄여주고, 결과적으로 개인정보 위반사항을 개선하여 사업을 유지할 수 있게 하기 위함이에요. 자세한 내용은 여기에서 확인하실 수 있어요. |
|
|
|