네이버가 개인정보보호법 위반 논란에 휩싸였다. 이용자의 신체 사이즈, 얼굴 사진 등 민감한 개인정보를 이용자의 제대로 된 동의 없이 저장했고 이를 외국으로 이전했다는 주장이다. 김영배 더불어민주당 의원은 20일 네이버가 ‘개인정보 관련 법률(정보통신망법·개인정보보호법)’을 위반했다고 주장했다.
김의원의 주장은 이렇다. 네이버가 쇼핑 서비스를 이용할 때 기입하는 신체 사이즈, 어린이 서비스 쥬니버를 이용할 때 올리는 가족 사진 등 민감한 개인정보를 이용자 동의 없이 수집해 활용하고 있다는 것인데, 약관에 필수 및 선택적 개인정보 데이터의 수집에 동의하게 돼 있지만 글씨가 깨알같이 작아 이용자가 폭넓은 개인정보가 네이버에 저장된다는 사실을 인지하기 어렵다는 주장이다. 또 네이버가 2016년 10월부터 수집한 개인정보를 홍콩으로 이전한 점도 문제 삼았다. 홍콩보안법으로 인해 중국 정부가 네이버가 저장한 한국 이용자들의 개인정보를 들여다볼 수 있으며 이런 위험성이 있는데도 네이버는 이용자들에게 사전 동의 없이 정보를 이전했다는 게 김의원의 주장이다.
현행 정보통신망법 제23조 2항은 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우 정보통신서비스의 제공을 위해 필요 범위에서 최소한의 개인정보만 수집할 것을 강제규정으로 두고 있다.
김의원 주장에 대한 네이버의 해명
네이버는 회원들의 개인 정보를 수집한 뒤, 국외 지역인 홍콩으로 내보냈다는 주장에 대해 공식 부인했다. 데이터 소실을 막기 위한 '다중 백업' 조치 일환으로 개인정보 이전 또는 유출과는 무관하며 글로벌 IT 기업들 역시 이 같은 해외 백업을 하고 있다는 설명이다.
백업 국가 역시 이달 초 홍콩에서 싱가포르로 변경한 상태다. 홍콩보안법 시행으로 중국 정부가 우리 국민의 데이터를 들여다볼 가능성은 '제로'라는 입장이다. 아울러 개인정보에 대해서는 사전 동의를 받고 있다는 점도 분명히 했다.
네이버에 따르면 네이버비즈니스플랫폼(NBP)은 지난 2016년 10월부터 국내 이용자 데이터의 국외 백업을 진행해왔다. 또 이용자 데이터는 사설 전용 네트워크(VPN)를 통해 암호화된 상태로 저장돼 보안성이 높다는 게 네이버 측 설명이다.
또 이달 초 데이터 관리 향상 및 데이터 보호 강화 등을 고려해 데이터 백업 국가를 기존 홍콩에서 싱가포르로 변경했다. 이달부터 시행된 '홍콩보안법'으로 중국 정부가 영장 없이 우리 국민의 개인정보를 가져갈 수 있다는 우려는 사실과 다르다는 입장이다.
네이버는 "국내·외에 백업한 데이터 중 외부의 제3자가 이를 들여다볼 가능성은 전혀 없다"며 "기존 홍콩 지역에 저장된 백업 데이터는 이달 초 모두 삭제했고 서버 포맷까지 마친 상황"이라고 강조했다.
네이버 “국내 개인정보보호법은 갈라파고스 규제”
이와 관련해 네이버가 국내 개인정보보호법이 여전히 세계적인 추세와 동떨어진 ‘갈라파고스’ 규제라고 지적해 관심을 끌고 있다.
정부가 데이터 경제 시대를 대비하기 위해 다음달 데이터 3법을 시행하지만, 민간에선 이 법이 오히려 데이터 활성화를 막고 있다고 비판하고 있는 상황이다. 데이터 3법 중 개인정보보호법 시행령 제14조 2항에 제시된 ‘개인정보 추가 이용’을 위한 네 가지 조항들은 의미가 명확하지 않고 엄격한 규제라는 지적이 있으며, 통합 개인정보보호법의 경우 정보통신망법의 기능이 이관됐을 뿐, 규제 개선 효과가 크지 않다는 것이란 주장이다.
이진규 네이버 개인정보보호최고책임자(CPO)는 9일 ‘데이터경제 활성화를 위한 개인정보보호법제도 개선방안’ 좌담회에서 국내 개인정보보호법의 글로벌 경쟁력이 낮다고 비판했다.
이 CPO는 “개인정보 유효기간제, 모바일앱 접근권한 동의제, 이용내역 통지제, 정보 주체 이외의 출처로부터의 수집 고지제, 국내 대리인 제도 등은 한국에만 한정된 갈라파고스 규제”라며 “여러 법이 있어 뭔가 개인정보가 보호되는 것처럼 보이지만 실제로는 그렇지 않은 ‘보안극장’ 현상이 나타나고, 낮은 상호 운영성, 규제 비용 증가로 인한 글로벌 경쟁력 약화 등의 원인이 되고 있다”고 말했다.
그는 정부의 가이드라인이 뒤처진 기술과 제도에서 제정된 내용이 그대로 남아있고, 한국의 경우 개인정보에 대한 자기결정권이 다른 기본권 보다 최우선적인 가치로 인식되는 경향이 있다는 점도 개선해야 할 과제로 꼽았다.
그는 이러한 문제의 해결책으로 미국과 유럽, 일본과 같은 선진국 제도의 적극적인 수용을 제안했다. 이 CPO는 “일본의 ‘개인정보 공동 수집 및 이용제도’는 개인정보 사용 목적 범위 내에서 한 번에 정보를 이용할 수 있고, 개인정보 위반 행위가 발생했다고 해서 바로 처벌하지 않고 개인정보보호위원회가 시정명령을 내린다”며 “미국은 모든 개인정보가 아닌 금융정보 유출에 대해서만 통제한다. 전 세계적으로 좋은 제도를 적극 수용하고, 갈라파고스적 제도를 일몰하는 방안에 대해 사회적 논의를 시작해야 한다”고 말했다.
