중국 온라인 쇼핑몰 업체인 알리익스프레스에 대한 개인정보보호위원회의 조사에 드러난 가장 큰 문제점은 대량의 국내 고객 정보가 해외로 넘어가는 과정에서 이용자에 대한 명확한 고지도, 정보 보호도 부족했다는 사실입니다.
개인정보위는 알리의 모회사 알리바바닷컴에 개인정보위 국외이전 보호조치 위반 등을 이유로 과징금 19억 7천800만 원과 과태료 780만 원을 부과했다고 오늘(25일) 밝혔습니다.
개인정보위 조사에 따르면 알리는 국내 이용자가 구매한 상품의 배송을 위해 이들의 개인정보를 국외 판매자에게 제공해왔습니다.
이 과정에서 알리로부터 한국 고객의 정보를 제공받은 해외 기업은 18만 곳이 넘는 것으로 확인됐습니다.
앱·리테일 분석 서비스 와이즈앱·리테일·굿즈 분석에 따르면 올해 2분기 기준 알리의 국내 이용자 수는 841만여 명에 달합니다.
현재 알리에 판매점으로 등록된 기업 대다수가 중국이라는 사실을 감안한다면 대규모의 국내 개인정보가 중국으로 넘어간 셈입니다.
국내 개인정보보호법에서는 정보주체가 자신의 정보가 국외로 이전한 사실을 명확히 알 수 있도록 동의받고, 안전성 확보 조치와 개인정보 침해에 대한 고충 처리 및 분쟁 해결에 관한 조치를 계약서에 반영하도록 명시했습니다.
그러나 알리는 개인정보가 이전되는 국가나 개인정보를 이전받는 자의 성명(법인명) 및 연락처 등 관련 법에서 정한 고지사항을 이용자에게 알리지 않았고, 판매자 약관에도 개인정보 보호에 필요한 조치를 반영하지 않았습니다.
이 때문에 중국 업체에 넘어간 국내 개인정보가 또다시 제3국으로 이전됐을 가능성도 제기됐습니다.
이에 남석 개인정보위 조사조정국장은 "정해진 보관 기간이 지나면 개인정보는 파기해야 하므로 (제3국 이전 가능성의) 단계까지 확인하기 어렵다"고 설명했습니다.
알리뿐만 아니라 테무와 쉬인 등 국내 시장에서 본격적으로 사업을 확대하고 있는 중국 온라인 쇼핑몰 업체를 둘러싸고 개인정보 침해 우려는 지속해서 제기돼 왔습니다.
지난해 10월 국정감사에서는 '급증하는 해외직구 서비스로 국민의 개인정보 침해 우려가 크다'는 지적이 나왔습니다.
소비자주권시민회의는 알리가 중국의 판매사 18만여 곳에 이용자의 정보를 이전하고도, 이를 넘겨받은 중국의 판매자 정보는 상호와 이메일 정도만 공개했다고 비판했습니다.
이 때문에 국외에 보관된 우리 개인정보에 대한 보호책을 더 강화해야 한다는 의견에 힘이 실렸습니다.
다만 국민 정서에 휩쓸려 국제적인 기준에 걸맞지 않은 과도한 처분이 내려져서는 안 된다는 목소리도 나옵니다.
임종인 고려대 정보보호대학원 교수는 "향후에 아마존 등 세계적인 쇼핑몰 업체들이 속속 국내에 입점할 것으로 예상된다"며 "국내 대리인 지정 여부와 국외로 이전된 개인정보에 대한 통제권 유지 등 각종 안전장치 기준을 알리 처분을 계기로 다시 마련해야 할 것"이라고 강조했습니다.
그는 "국민 정서에 휩쓸려서 과도한 처분을 내릴 경우 역차별 논란이 생길 수 있다"며 "해외에 진출한 국내 기업의 입장이나 국제 기준 등을 고려해 합리적인 근거를 갖춘 규정을 마련해야 한다"고 제언했습니다.
이번 처분에 대해 알리 측은 한국의 개인정보보호법을 준수하며 규제 당국에 적극적으로 협조하겠다는 입장입니다.
알리는 오늘 입장문을 내고 "개인정보위와 협력해 미흡한 사항을 개선하고 개인정보 처리방침을 개정하는 등 자진 시정 조치를 취했다"며 "앞으로도 적극 수렴하여 고객께 최상의 서비스를 제공하겠다"고 밝혔습니다.
그러면서 "모든 개인정보에 대한 이용은 상품 판매 및 배송 등 최소한의 목적에만 허용하고 있다"며 "거래 완료 후 90일이 지나면 고객 정보를 자동 익명 처리하는 등 다양한 보안 조치도 마련했다"고 강조했습니다.