토스가 촉발한 '고객 정보 판매' 논란 [김효숙의 쑥덕쑥덕]

토스 보험파트너 관련 포스터 ⓒ토스

30대 직장인 A씨는 최근 황당한 일을 겪었다. 보험 상담을 받으려고 한 금융사의 '내보험' 상담 서비스를 이용했는데, 이 과정에서 금융사에 제공한 자신의 개인정보를 6만9000원에 보험설계사에게 판매한 것이다. '금융사가 무책임하게 내 정보를 돈 받고 팔아먹다니.' 개인정보 유출이라 판단한 A씨가 자초지종을 알아봤더니 불법이 아니라는 답변을 들었다.

최근 벌어진 토스의 '개인정보 판매'가 논란이다. 다만 토스는 개인정보를 유출한 것이 아니라 '판매'했다. 그리고 이같은 행위는 불법도 아니며 금지된 것도 아니다. 신용정보법(11조의 2)은 마이데이터 사업자에 데이터베이스 판매 행위를 부수 업무로 허용하고 있기 때문이다. 마이데이터 사업자인 토스가 보험 상담을 원하는 고객들의 개인정보를 판 것은 불법 소지가 없다.

개인정보보호법상 개인 정보를 넘기려면 ▲제공 목적 ▲제공받는 곳 ▲제공하는 항목 ▲이용 및 보유기간 ▲거부할 권리 및 불이익 설명을 명시해야 한다. 토스는 '제3자 정보 제공 동의'를 받으면서 이같은 원칙도 지켰다는 입장이다.

동의한 고객에 한해서 정보 전송이 이뤄졌으며, 고객 전화번호는 1회성 안심번호로 제공했고 고객이 상담을 중단하면 설계사가 조회한 정보 등은 자동 파기하는 등 개인정보 무분별 유통을 방지했다는 설명이다.

문제는 일반 국민은 자신의 개인정보가 판매됐다는 사실, 애초 돈을 주고 자신의 정보가 판매될 수 있다는 사실도 몰랐다는 점이다. 보통 금융 서비스를 이용하는 고객은 정보제공 관련 내역을 제대로 읽지 않고 동의를 누르는 것을 으레 당연하게 여긴다. 토스의 제3자에게 정보제공 동의 항목도 무심결에 누른 고객들이 많았을 테다.

토스가 개인정보를 유료로 판매할 수 있다는 사실을 따로 고지하지 않았던 탓도 크다. 내 정보가 어디로, 어떻게 이용되는 것인지 상세히 알리라는 개인정보보법 취지와 어긋날 수 있는 부분이다. 다만, 앞으로 토스도 보험 상담서비스 신청 동의 과정에서 '매칭된 설계사가 본인의 정보를 유료로 조회한다'는 사실을 명시해 보완하겠다고 밝혔다.

이같은 논란은 데이터판매가 '합법'이라 할지라도 개인정보 '유상 판매'에 대한 사회적 합의가 설익었다는 방증이다. 일반 국민은 내 정보가 팔릴 수 있는 것인지, 그 과정에서 제대로 보호될 수 있는지 잘 몰라서다. 금융사들도 접근법 고민이 부족했다.

마이데이터 사업이 이제 막 돛을 달았다. 금융사들이 더 친절하게 고객에 설명하고 설득할 방법을 고민해야 하는 이유다. 금융당국도 시행령과 감독규정을 세밀히 살펴 금융소비자들의 알 권리, 개인정보보호권이 침해될 제도 공백은 없는지 점검하고 보완해야 한다. 기존 금융업권의 고질 문제였던 개인정보 유출 사고를 막아 신뢰성을 해결하는 것도 잊지 말아야 한다.

데이터사업은 신뢰 사업이다. 어렵게 합의를 거쳐 등장한 마이데이터사업이 순항하려면 고객 보호라는 신뢰의 닻을 단단히 내리는 게 먼저다.