네이버 "법적으로 문제없다"
네이버가 개인의 민감정보를 대량 수집해 홍콩 데이터센터 서버에 저장했다는 지적이 논란이다.
네이버 측은 민감정보가 아닌 일반 개인정보로, 수집에 문제가 없다는 입장이다. 해외 무단 반출이 아니며 데이터 역외 보관이 업계 관행이라는주장이다. 홍콩 서버에 저장한 데이터도 모두 삭제한 상태라고 설명했다.
김 의원에 따르면 네이버는 필수 개인정보를 포함해 쇼핑 서비스 이용자의 상·하의 서비스, 어린이 서비스 이용자의 애칭·가족사진, 인물 검색 서비스의 재직·졸업·경력증명서, 스마트폰에 저장된 연락처 등의 민감정보를 수집·저장했다. 이때 사용자 동의를 구하는 대신 통보를 해 문제를 키웠다는 게 그의 주장이다.
김 의원은 "현행 법령은 정보 수집과 이용에 관한 변동 사항이 있을 때 사후 고지가 아닌 동의를 필수로 한다"며 "네이버는 동의가 아닌 통보로 개인정보 등을 수집했다"고 밝혔다. 이용자가 ‘해당 약관에 동의'해야만 서비스 이용이 가능하도록 유도해 통보에 가깝다는 설명이다. 이 과정에서 깨알 같은 글씨로 설명을 덧붙여 이용자가 수집·저장 여부를 제대로 파악하지 못했다는 지적도 더했다.
그는 또 네이버가 이같은 방식으로 수집한 3200만명 이용자의 데이터를 동의 없이 2016년부터 홍콩에 위치한 해외 법인에 이전해왔다는 사실도 밝혔다. 최근 중국발 홍콩 국가보안법이 제정되면서 홍콩 역내 한국 이용자의 개인정보 등을 중국 정부가 검열하거나 확보할 수도 있다는 주장도 함께다.
김 의원은 이같은 이유로 네이버의 개인정보보호법과 정보통신망법 위반 여부를 방송통신위원회 등에서 조사해야 한다는 입장을 밝혔다.
네이버 "수집한 정보, 법적 민감정보 아니다"
네이버는 김 의원 주장에 조목조목 반박했다. 김 의원이 주장한 민감정보가 법적 민감정보에 해당하지 않기에 동의 의무가 없다는 해명이다. 그럼에도 프라이버시 측면임을 고려해 이용자의 선택적 동의 후 수집, 이용해왔다는 설명도 더했다.
네이버는 자사 블로그에서 "네이버는 회원 가입시 아이디와 비밀번호, 생년월일, 성별, 휴대폰 번호 등 최소한의 정보만 받는다"며 "서비스 이용 과정에서 필요한 경우 서비스별로 필요한 최소한의 정보를 ‘선택적으로 동의' 받아 이용하고 있다"고 밝혔다.
이어 "각 서비스에서 선택적 동의를 받아 활용하는 정보는 개인정보보호법상 ‘민감정보’에 해당하지 않는다"며 "아울러 기타, 개인정보 이용 내역 서비스를 통해 네이버 개별 서비스마다 어떤 정보가 수집, 이용, 제공되는지 확인할 수 있고 자유로운 의사에 따라 언제라도 개별 철회할 수 있다"고 덧붙였다.
개인정보보호법을 전문으로 하는 한 변호사도 네이버가 수집한 개인정보가 법적 민감정보에 해당하지 않는다고 설명했다. 그는 "법적 민감정보는 우리 법제상 명확하다"며 "그외 개인정보를 민감정보로 무한히 확대해서 보기는 어렵다"고 말했다.
실제 법적 민감정보는 개인정보보호법 제23조와 관련 시행령에 명시돼 있다. 생체 정보 등의 건강 관련 정보나 범죄 경력 여부, 성적 취향, 종교, 정치적 견해, 인종이나 민족과 관련한 정보 등이다. 법적 민감정보에 해당하면 별도의 추가 동의와 함께 일부 정보는 암호화 등의 안정성 확보 조치가 요구된다.
네이버는 깨알 같은 글씨로 개인정보 활용을 안내하는 등 충분한 전달을 하지 않았다는 지적에도 해명했다. 네이버 관계자는 "개인정보 수집 관련 약관 내용이 방대하다 보니 한곳에서 정보를 제공하는 과정에서 이런 일이 발생했다"며 "네이버뿐 아니라 일반적인 플랫폼에서 모두 같은 방식으로 약관을 안내한다"고 말했다.
이어 "네이버는 어린이 대상 서비스인 쥬니버에서 아이들도 약관을 이해하도록 쉬운 버전의 약관 설명을 안내하고 있다"며 "개인정보보호를 위해 노력하고 있음을 보이는 증거다"고 덧붙였다.
"홍콩 논란 감안해 역내 서버 데이터 삭제했다"
네이버는 사용자 데이터를 홍콩에 무단 이전했다는 의혹에 대해서도 해명했다. 홍콩 데이터센터는 원본 데이터가 아닌 백업용이 보관돼 있었다는 설명이다.
네이버는 블로그를 통해 "제한된 지리적 영역에 한정해 데이터를 보관하면 원본과 백업 데이터가 모두 유실될 수 있다"며 "글로벌 정보기술(IT) 기업이 자국뿐 아니라 해외에 백업하는 것도 이런 이유 때문이다"고 밝혔다.
네이버는 또 2016년 9월 개인정보 처리방침 개정을 통해 이용자에 백업 데이터 이전을 공지했기에 문제 될 것이 없다는 입장이다. 해당 데이터를 전송하는 과정에서 가상사설망(VPN)으로 암호화해 백업했기에 보안성도 높였다는 설명을 더했다.
최근 중국발 홍콩 국가보안법 제정과 관련해 떠오른 우려에 대해서는 이미 싱가포르로 홍콩 백업 데이터 이전을 진행하고 있다는 입장을 밝혔다. 네이버 관계자는 "이달 6일에서 10일 사이에 홍콩 서버에 있는 백업 데이터를 물리적으로 파쇄한 상태다"며 "백업 서버는 싱가포르로 이전하고 있다"고 설명했다.
네이버는 자회사인 네이버비즈니스플랫폼(NBP)을 통해 해외 백업 서버를 관리한다. VPN을 통해 암호화한 형태로 백업에 필요한 최소 데이터를 내보낸다. 모든 절차는 한국의 개인정보보호 관련 법규를 준수한다는 게 회사 설명이다.
업계 "김 의원 주장은 데이터 시대 역행하는 처사"
장기적 관점에서 ‘프라이버시 바이 디자인’ 필요하다는 대안도 나와
IT 업계는 네이버 논란과 관련해 김 의원 주장에 반대 입장을 밝혔다. 개인정보 활용 때마다 명시적인 동의를 받는 것이 현실적으로 불가능할뿐더러 데이터 경제 흐름에 역행한다는 주장이다.
인터넷 업계 관계자는 "한국이 개인정보 수집과 동의에 있어 해외보다 규제가 더 심하다"며 "개인정보 보호 강도가 높은 유럽에서도 합법적인 범위 안에서는 개인정보 활용을 허락하는 만큼 개별적인 항목마다 사용자 동의를 받으라고 하는 것은 데이터 시대를 열지 말자고 하는 것과 같다"고 말했다.
이어 "개인정보 활용은 하되 잘못 활용하지 않도록 사후 대책을 마련하는 게 더 나은 대안이다"며 "개인정보를 잘못 활용했을 때 징벌적 손해배상을 한다든지 등의 사후 규제를 해야 개인정보를 지키면서 데이터 경제도 살 수 있다"고 덧붙였다.
IT 업계가 개인정보 활용과 관련해 우려를 극복하기 위해 장기적으로는 ‘프라이버시 바이 디자인(Privacy by Design)’ 개념을 도입해야 한다는 조언도 나왔다. 기업이 서비스 기획과 설계 단계에서부터 프라이버시를 고려해 서비스에 내재화하는 것이 좋다는 설명이다.
개인정보보호 전문가는 "프라이버시 바이 디자인이 EU에서 논의가 나오는 만큼 법 개정 논의로 건설적인 대안을 마련해야지 누가 법을 위반했다, 아니다 소모적인 논쟁을 할 필요가 없다"며 "이 경우 플랫폼 사업자가 좀 더 개인정보를 적정하게 법에 따라 수집, 이용하는 데 도움이 되지 않을까 생각한다"고 말했다.
김평화 기자 peaceit@chsounbiz.com