[리포트+] 내 개인정보로 돈벌이?…'3자 제공 동의' 덫

“만삭사진, 아기 사진 예쁘게 찍어 드려요. 지금 촬영하시면 30% 할인 혜택까지!”

모 포털 게시판에 올라온 사연입니다. 최근 30대 여성 A씨는 아기 사진을 전문으로 찍는다는 스튜디오로부터 광고 문자를 받았습니다.

A씨는 스팸 문자라고 여기고 수신 거부했지만, 연락은 이후에도 계속됐습니다. 심지어 부재중 전화까지 남겨져 있었습니다. 사실 A씨는 몇 달 전 임신 도중 유산했던 아픈 과거가 있었습니다. 

유산은 물론, 임신했던 사실까지도 주변에 꽁꽁 숨겨두고 있던 터였죠. 그런데도 해당 사진관이 어떻게 개인정보를 알고 집요하게 연락하는 건지, 그 배경이 무척 궁금했습니다.

직접 해당 사진관에 전화해서 확인해봤더니 답변은 놀라웠습니다.

A씨가 임신 중에 들렀던 산부인과에서 초음파를 찍으면 출산 예정일과 연락처 등의 개인 정보가 넘어온다는 것이었습니다. 산부인과와 개인정보를 넘겨받을 수 있는 ‘제휴 관계’가 돼 있다는 설명이었죠.

아연한 A씨는 “더는 연락하지 말아달라”고 말한 뒤 전화를 끊었습니다. 그러나 당시 산부인과에서 개인 정보를 제3자에게 줘도 된다고 스스로 동의했는지는 아무리 생각해도 기억나지 않았습니다.

● 제3자 제공 동의 ‘필수’는 아냐 

웹사이트 회원가입을 할 때면 무심코 ‘동의’ 버튼을 누르게 됩니다. 하지만, 그렇게 쓱쓱 동의하고 넘어가는 조항 중에는 내 개인정보를 제3자가 쓸 수 있다는 내용이 포함됐을 가능성이 큽니다.

대체 어떤 경우 내 개인정보를 제3자가 사용할 수 있는 걸까요?

두 가지 경우가 있습니다. 현행법상 ‘업무위탁’일 때와 ‘제3자 제공’일 때로 구분됩니다. 구분 기준은 개인정보를 넘겨받은 제3자가 자신의 이익을 위해 사용하느냐입니다.

앞서 산부인과로부터 개인정보를 받은 사진관은 오로지 사진관의 이익을 위해서 정보를 활용했으므로 제3자 제공에 해당합니다. 반면, 배송 대행업체처럼 오로지 개인정보를 준 업체를 위해서만 사용한다면 업무위탁입니다.

업무위탁은 개인의 동의가 필요 없지만, 제3자 제공일 경우는 반드시 동의가 필요합니다.

제3자 제공할 때는 동의를 얻기 전에 미리 개인정보를 누구에게, 어떤 정보를, 언제까지, 왜 제공하는지 명확하게 알려줘야 합니다. 만약 이를 지키지 않았거나, 동의 없이 개인정보를 제3자에게 제공했다면 5년 이하의 징역이나 5천만 원 이하의 벌금을 받게 됩니다.
제3자 제공 동의는 강제사항이나 ‘필수’가 아닙니다.

업체 측은 만약 동의 안 했을 때 받을 수 있는 불이익에 대해서 설명할 수는 있지만, 최종적으로 동의하고 말고는 개인의 자유인 것이죠. 특히 웹사이트의 경우 회원 가입하는 과정에서 제3자 제공에 동의 안 했다고 가입을 못 하도록 막았다면 그건 불법입니다.

정보통신망법은 온라인 사업자가 서비스 제공에 필수적이지 않은 개인정보의 제3자 제공(위탁)에 동의하지 않더라도 서비스 제공을 거부해선 안 된다고 규정하고 있습니다. 그런데도 3자 제공에 동의하지 않으면 가입조차 안 되도록 ‘꼼수’를 부리는 온라인 사이트는 여전히 많습니다. 

● 동의하면 멋대로 팔아도 된다?

가장 큰 문제는 제3자 제공에 동의한 내 개인정보가 업체에 ‘돈벌이’가 되는 것이죠.

앞서 법에서 정한 공시 의무만 지킨다면 동의받은 개인정보를 돈 받고 제3자에게 팔아도 마땅히 제재할 근거가 없습니다. 현재 운영 중인 웹사이트 가운데는 개인정보를 제공할 수 있다고 밝힌 제3자 업체 수가 70곳이 넘는 곳도 있습니다.

개인정보 한 사람당 3천 원꼴로 거래되는 현실을 고려하면, 내가 제3자 제공에 동의한 순간 업체는 이를 70군데에 팔아서 합법적으로 21만 원을 벌 수 있는 것이죠.

그 대표적인 사례가 홈플러스입니다.

2011년부터 2014년까지 11번의 경품행사로 모은 개인정보 2,400만여 건을 보험사에 231억 7천만 원에 팔았습니다. 개인정보 무단 유출 혐의를 받아 최근 2심 법원까지 갔지만, 연달아 무죄를 받았습니다.

개인정보를 제3자에 유상 판매할 수 있다는 사항을 1㎜ 크기의 글자로 기재해 소비자를 기만했다는 검찰 주장은 받아들여지지 않았던 것이죠.
이런 불편한 진실은 지난 11일 공개된 방송통신위원회의 롯데홈쇼핑 조사 결과에서 다시 확인됐습니다.

롯데홈쇼핑은 2009년 2월부터 2014년 3월 사이에 인터넷 회원으로 이름을 올린 고객 정보 324만여 건을 3개 손해보험사에 팔아 37억 3,600만 원의 매출을 올렸습니다.

고객 정보를 팔아 큰돈을 벌었지만, 방통위는 ‘제3자 동의’를 하지 않은 부분만 문제 삼았습니다. 이에 대해 일각에선 개인정보를 유상 판매하는 행위에 대해 명확한 규제가 필요하다는 의견이 나오고 있습니다.

[ 법조계 관계자 ]
“애초 개인정보를 사고판다는 상황까지 생각하지 못하고 관련 법을 만들다 보니 이런 결과가 빚어진 것으로 보입니다. 현재로선 소비자들이 ‘개인정보의 판매 계획을 미리 밝히지 않고 제공 동의를 받아갔다’라며 기업을 상대로 부당이득 반환 청구를 하는 방법 외에 없습니다.”

개인정보가 갈수록 중요해지는 시대. 먼저 스스로 약관을 꼼꼼히 확인하는 습관을 길러야겠지만, 꼼수를 써서 개인정보를 돈벌이 수단으로 이용하는 기업 행태에 대해서는 훨씬 단호한 규제가 필요해 보입니다. (기획·구성: 임태우/ 디자인: 임수연)