토스 사태로 ‘마이데이터 DB판매’ 도마위

[이데일리 김현아 기자]

토스는 회원DB를 1건당 6만9000원을 받고 보험설계사에게 팔았다는 보도에 대해 △동의한 고객에 한해 △고객 휴대폰 번호가 아닌 안심번호를 제공했다고 해명했다. 또, △고객이 더 이상 상담을 원하지 않으면 제공된 정보는 즉시 삭제되고 △고객에게 좋은 평가를 받은 설계사에게만 매칭 기회가 주어진다고 밝혔다.

토스가 ‘내 보험’ 서비스 이용 고객의 개인정보를 1건당 6만9000원을 받고 보험설계사에게 제공한 것으로 확인되면서 마이데이터 사업자에 허용된 데이터베이스(DB)판매업의 신뢰성 확보가 도마 위에 올랐다.

마이데이터 사업은 고객(개인정보주체)이 동의하면 각 금융사에 흩어져 있는 개인정보를 하나의 플랫폼에서 조회·관리하는 사업이다. 신용정보법은 마이데이터 사업자에게 금융 회사 수준의 신용정보 보호의무를 부여하면서 고객정보의 제3자 제공(데이터 판매)을 부수업무로 허용했다. 이번에 토스가 ‘내 보험’ 서비스에 가입해 보험 상담을 원하는 고객의 개인정보(이름, 보험가입여부, 1회용 안심번호 등)를 보험설계사에게 제공할 수 있었던 것도 이런 법적 근거 덕분이다. 지금까지 1700여 명의 고객 개인정보가 600여 명의 보험설계사에게 전달됐다.

그런데, 이 과정에서 토스는 ‘제3자 정보제공동의’는 거쳤지만 구체적으로 설명하지 않았고, 고객 개인정보를 가지고 무분별하게 장사하는 것 아니냐는 논란에 휩싸였다.

토스는 “설계사 13만 명에게 토스 회원의 개인정보가 판매됐다는 보도는 사실이 아니다”라면서도 “논란을 떠나 현 상황을 책임감 있게 받아들인다. ‘설계사가 유료로 정보를 조회한다’는 점을 동의과정에 명시해 고객이 충분히 고려하고 판단할 수 있게 하겠다”고 밝혔다.

이번 일이 중요한 이유는 토스외에도 수십 여개의 마이데이터 사업자들이 존재하기 때문이다. 마이데이터 사업이란 것이 개인의 동의하에 이뤄지는 것이나, 제3자에게 내 개인정보가 넘어갈 때 유료인지 무료인지, 어떻게 쓰이는지 등에 대해 일반 국민은 언뜻 알기 어렵다. 이는 개인정보를 제3자에게 넘기려면 동의받을 때 명시성을 담보해야 한다는 개인정보보호법의 취지와 다르다.

일단 당장 토스의 행위를 불법이라고 단정하긴 어렵다는 평가다. 다만, 이번 사태가 국회에 제출된 ‘개인정보 이동권(정보전송권)이 담긴 개인정보보호법 개정안과 맞물려’ 마이데이터 시대 개인정보 이동권을 둘러싼 신용정보법과 개인정보보호법간 역할분담 논쟁으로 확대될 소지는 있다. 신용정보법 개정으로 금융정보에 한해 데이터 전송권이 일부 도입됐지만, 개인정보와 관련된 일반법인 개인정보보호법에는 아직 관련 조항이 없기 때문이다. 업계 관계자는 “토스가 발빠르게 (제3자 정보제공) 동의과정을 개인정보보호법 수준에 맞게 보완한 것은 개인정보보호법 개정안에 마이데이터 관련 조문이 들어갈 걸 고려한 것 아니겠나”라고 했다. 자칫 신용정보법으로 개인정보가 제대로 보호되지 않는다는 인식이 퍼지면 마이데이터 사업의 신뢰성이 흔들리는 것은 물론, 지금보다 강화된 규제에 놓일 수 있다.

개인정보보호위 관계자는 “토스 사태 하나로 마이데이터 전반에 대해 들여다 볼 수는 없다”면서도 “개인정보보호법에 개인정보 이동권이 들어가면 일반법적 근거가 생겨 지금보다 더 적극적으로 개인정보주체의 권리 보호에 나설 수 있을 것”이라고 기대했다.