‘(주)인터파크가 4개 회사로 분할되면 개인정보 데이터베이스의 총량은 4배로 증가하는가? 혹은 똑같은가? 또는 줄어드는가?’ 약 1천만 개의 개인정보기록 사본(인터파크 회원수는 2006년 7월 1천만명을 돌파했다고 알려져 있다.) 이 4천만 개로 증가되는 것은 그다지 좋은 일은 아닙니다. 그러나 그것이 불가피한 일이라면 바람직한 선례를 만들기 위한 문제제기는 꼭 필요했습니다. 특히, 11월 6-7일 인터파크 개인정보 담당자들과의 전화통화에서 ‘개인정보 이전에 일괄 동의를 하지 않으면 회원 탈퇴를 하는 방법 밖에 없다’라는 입장을 알고 나서는 신속한 대응이 필요했습니다.
개인정보보호를 위해서는 관련 규범을 잘 만들어 나가는 것은 중요한 일입니다. 이는 함께하는시민행동 정보인권국이 미력하지만 할 수 있는 역할 중에 하나이죠.
시민행동의 주장은 크게 3가지 였습니다. ①필요 목적에 따른 최소한의 개인정보 이전 ②개별적인 동의 후 이전 ③이전과 관련된 포인트 차별 금지 였습니다. 인터파크는 시민행동의 주장에 유연하게 대처 했으며 적어도 ②항과 ③항 주장에는 확실히 긍정적인 답변을 했습니다. 그러나, ①항에 관해서는 답변이 모호했습니다.
①필요 목적에 따른 최소한의 개인정보 이전 | |
시민행동 주장 | 인터파크 답변 |
㈜인터파크 도서, ㈜인터파크 투어 등에서 TV를 샀던 구매정보나 영화 티켓을 샀던 구매정보를 가져갈 이유가 없다는 것입니다. 필요목적에 따라 최소한으로 개인정보가 이전되어야 합니다. 부연하다면 전자상거래 등에서의 소비자보호에 관한 법률 제6조(거래기록의 보존 등) 2항에 따라 기존의 거래내역은 보존을 목적으로 이전될 수는 있습니다. 이 경우를 제외한 다른 정보의 추가적인 이전은 없어야 된다는 것입니다. | 회원의 개인정보 이전은 원칙적으로 정통망법상 규정된 통지절차로 가능한 것이고, 이전되는 정보의 범위는 회원의 신상정보와 분할되는 회사의 영업과 관련된 거래정보입니다. 그럼에도 불구하고 인터파크는 분할되는 12월1일부터 분할회사별로 개별 동의창을 띄워 또한번 고객의 동의를 구할 계획이었습니다. 특히 현재도 분할되는 각사업부문별로 거래정보는 공유되지 않고 있으며 공유할 이유도 없습니다. 향후 분할이후에도 각 사업별 거래내역은 당연히 공유되지 않음을 알려드립니다. |
해석상의 문제점: 인터파크는 "어떤 DB의 이전 이냐"라는 질문에 '공유'에 대한 답변을 했습니다. 결국 '공유' 하지 않기 때문에 전체 정보가 '이전' 되도(동의 절차도 다시 밟으니) 아무런 문제가 없다 의미로 해석될 수 있었습니다. | |
이 문제에 대하여 시민행동은 12월 1일 개인정보이전 절차가 시행되는 것을 지켜보기로 했고, 12월 1일과 4일 최종적으로 인터파크 관계자들을 통해 확인 한 바에 의하면 우리의 주장이 모두 수용되었다고 판단하고 있습니다. 즉, 동의 절차에 따라 개별 개인정보만(회원정보와 관련 구매정보)이 이전된다고 구두 답변을 들었습니다. 이에 관하여 인터파크 관계자들이 거짓말을 했다고 생각하지는 않습니다.
결과적으로 보면 시민행동의 주장이 다 반영되었다고 여겨집니다. 한 개의 회사가 네 개(세개던 그 이상 이던), 로 분할 될 때, 개인정보이전은 어떤 원칙을 갖아야 하는가에 대한 나쁘지 않은 선례가 마련되었다고 볼 수 있겠죠.
그러나, 1천만개의 개인정보 데이터베이스가 최대 4천만개로 증가하는 과정을 막을 수는 없었습니다. 이러한 부분은 우리가 감당할 수 없는 영역의 문제인 듯 보입니다. 공공기관과 다르게(이 부분은 전자주민카드, NEIS의 이슈처럼 다른 원칙이 있습니다.) 민간영역의 디지털 정보의 확장은 합리성을 갖춘다면 막을 수 있는 논리는 그다지 많지 않을 듯합니다.
그러한 이유로, 마음이 약간 불편합니다. 더구나 이 이슈와 무관하게 인터파크를 포함한 수많은 상업사이트의 개인정보 제3자 제공에 관한 이용약관은 엉망입니다. 언제인가 이 부분을 조사해 볼 기회가 있을 것입니다.
시민행동 정보인권국
