개인정보법·신용정보법상 '포괄적 동의' 금지돼 있어…관행이라고 봐주더니 뒷북 대책
"포괄적 동의 관행을 개선하겠다."
사상 초유의 신용카드 개인정보 유출 대란 이후 정부가 22일 제시한 종합 방지대책 중 주된 키워드 중 하나다. 불필요한 개인정보 수집과 무차별적인 제3자 공유 관행이 이번 사태를 키웠다는 지적에 따른 대책이다.
여기에는 신용카드 발급이나 회원 가입에 따른 개인정보 수집과 공유 시 이용자들에 포괄적 동의를 요구하는 관행을 개선해야 한다는 문제의식이 자리잡고 있다.
성명, 주민등록번호, 전화번호, 주소 등 꼭 필요한 필수항목 외에 불필요한 선택정보 기재나 제3자 제공 항목에 이용자가 동의하지 않을 경우, 카드발급, 계좌 개설 등 금융거래는 물론 인터넷 회원 가입조차 어려운 경우가 적지 않다는 것. 가령 항공마일리지 제휴 신용카드를 발급받기 위해 항공사 뿐만 아니라 관련 없는 제휴사에까지 정보제공 동의를 요구하고 있다.
정부 대책은 이 같은 관행을 없애겠다는 얘기다. 하지만 실상은 이미 법으로 금지돼 있다. 정부가 그동안 제대로 관리, 감독하지 않고 마치 새로운 대책인 마냥 들고 나왔다는 지적이 나오는 것도 이 때문이다.
실제 개인정보보호법과 정보통신망 이용촉진 등에 관한 법률(정보통신망법), 신용정보의 이용 및 보호에 관한 법률(신용정보법) 등에 따르면, 개인정보보호 관련 법령에 선택정보나 마케팅 등 불필요한 제3자 제공 항목에 대한 이용자 동의가 없어도 서비스 제공을 거부할 수 없도록 명시돼 있다. 이를 어길 경우 과태료나 과징금을 부과할 수 있다.
하지만 정부는 전날 대책 발표에서 "정보제공 대상회사의 개별 리스크가 없이 포괄적으로 동의를 받는 한편 필수식별정보 외에도 사실상 정보제공 양식상 동의를 강요하는 관행이 지속되고 있다"고 밝혔다.
결국 정부의 이번 대책은 그동안 제대로 관리 감독을 하지 않았음을 인정한 것이나 마찬가지라는 비판이 나올 수밖에 없다.
독자들의 PICK!
게다가 금융당국은 수차례 금융회사들의 정보제공 동의 절차에 실태조사를 벌여 같은 문제를 지적한 바 있다.
2012년 4월에 304개 금융회사를 대상으로 조사해 선택사항에 동의하지 않아도 금융거래를 허용해야 한다는 사실에 대해 직원교육을 전혀 실시하지 않거나 고객의 선택사항에 대한 동의 거부를 못하도록 하는 등의 문제점을 발견하고 시정을 지시한 바 있다. 지난해 말에도 카드사, 캐피탈사 등을 상대로 실태조사를 벌여 제도개선 방안을 마련해 왔다.
금융당국 관계자는 이에 대해 "포괄적 동의의 범위를 어떻게 판단하느냐의 문제일 수 있지만 카드사 등 금융회사들의 고객정보 동의 방식이 현행법을 어겼다고 보기는 어렵다"며 "이번 대책은 법에 근거를 명확히 해 과다한 정보제공을 차단하겠다는 것"이라고 설명했다.
금융회사가 앞으로는 '필요 최소한'의 정보만을 수집·보관하도록 하겠다는 것도 마찬가지다. 정부는 이미 지난해 8월 '금융분야 개인정보보호 가이드라인'을 통해 "금융회사는 개인정보의 처리목적에 필요한 범위에서 최소의 개인정보만을 적법하고 정당하게 수집해 이용해야 한다"고 규정한 바 있다. 사고가 터진 후에야 '필요 최소한'의 구체적 내용을 정하겠다는 얘기다.
금융회사의 법규 준수와 함께 이용자들이 이용약관이나 정보제공 동의서를 제대로 확인할 필요가 있다는 지적도 나온다. 실제 개인정보보호위원회 설문 결과에 따르면, 영업점을 통한 카드신청 등을 할 때 69.6%가 약관이나 개인정보처리방침을 확인하지 않는 것으로 조사됐다.
정명태 성균관대 교수는 "이제 정보주체인 이용자들이 권리를 행사해야할 때"라며 "내 정보가 어떤 목적으로 어떻게 쓰이고 있는지 철저하게 관리, 감독할 수 있는 권한을 요구하고, 기업들도 이에 적극적으로 알려나가는 시스템이 마련돼야 한다"고 말했다.
