시민행동은 오늘 KT의 개인정보 데이터베이스 판매 사업인 소디스 사업의 개인정보 보호 관련 문제점을 지적하는 질의서를 보냈습니다. 시민행동이 지적한 소디스 사업의 문제점은 다음과 같습니다.
1) 소디스 사업은 수많은 개인정보 제공 대상 업체에 대해 일괄적으로 동의받는 방식을 채택하여, 이용자의 동의권을 무력하게 하고 있다.
2) 이용자가 정보제공을 원하지 않는 기업을 소디스 웹사이트에 등록하는 기능을 제공한다고 밝혔으나, 실제로는 이 기능이 제공되지 않고 있다.
3) 개인정보 제공 대상 기업의 목록이 소디스 웹사이트를 통해 제공되며, 이후 변경되는 내용도 이메일과 웹사이트를 통해서만 제공하므로 웹사이트를 이용하지 않고 콜센터를 통해 가입한 이용자는 이 내용을 확인할 수 없다.
4) 이용자에게만 수시로 약관을 확인할 의무를 부여하고, KT 측에는 약관 변경 시 이용자에게 충분히 고지할 의무를 면제했다.
5) 채권추심, 고용, 인허가 목적인 경우 개인정보를 제공하지 않겠다고 했으나, 채권추심업을 하고 있는 한국신용평가정보가 제공 예정 기업으로 되어 있다.
KT의 소디스 사업은 우리 사회에서 개인정보 보호와 관련하여 중대한 의미를 지니고 있습니다. 이 사업은 기업들과 일반 소비자들 사이의 개인정보 거래를 중개하는 최초의 사업, 즉 대규모의 개인정보 매매를 비즈니스 모델로 채택한 최초의 사업입니다. 때문에 시민행동은 이 사업을 향후에도 관심있게 지켜볼 것입니다. 아래는 KT에 보낸 질의서의 내용입니다.
소디스 사업의 고객 개인정보 보호에 관한 의견서
1. 정보화 사회의 발전을 위한 귀 사의 활동에 감사드립니다.
2. 함께하는 시민행동은 정보화 시대에 걸맞는 시민의 기본권을 확립하기 위해 활동하는 시민단체입니다.
3. 함께하는 시민행동은 귀 사에서 새롭게 시작한 소디스 사업이 개인정보 보호와 관련하여 중대한 의미를 지니고 있다고 생각합니다. 이 사업이 우리 사회에서 최초로 고객과 기업을 중개하는 대규모의 개인정보 매매 사업이기 때문입니다. 시민행동은 이 사업이 개인정보의 올바른 활용이라는 점에서 여러 가지 긍정적인 측면도 있는 서비스라고 생각합니다만, 이용자들의 개인정보 보호와 관련된 몇 가지 문제를 일으킬 수도 있다고 판단하였습니다. 이에 시민행동의 의견을 다음과 같이 알려드리오니 사업에 반영하여 주시면 감사하겠습니다.
3.1. 귀 사는 고객이 소디스 서비스에 가입할 때, 고객 정보의 제3자 제공과 관련하여 개인정보 제공 대상 기업 전체를 공지하고 이 기업 전체에 대해 일괄적으로 동의를 받는 방식을 채택하고 있습니다. 그런데, 현재 귀 사이트가 공지하고 있는 개인정보 제공 예정 업체는 무려 600여개에 달합니다. 이들 업체 전체에 대해 일괄적으로 동의를 받는 방식은 사실상 이용자의 동의권을 무력하게 합니다. 따라서 개별 정보제공 대상 기업별로 정보 제공 여부를 이용자가 선택할 수 있도록 동의 방식을 개선해야 할 것입니다.
3.2. 소디스 웹사이트의 '소디스 프라이버시' 메뉴에 게재된 설명에 따르면, 귀 사는 '정보제공을 원치 않는 특정기업에 대해서는 이의 활용을 금지할 수 있도록 웹사이트에 등록할 수 있'는 기능을 제공한다고 되어 있습니다. 그러나, 시민행동이 소디스 웹사이트를 이용해본 결과 관련 기능을 찾아볼 수 없었습니다. 이 기능을 조속히 마련하고 동의 과정에서 이용자들이 이 기능을 이용할 수 있도록 해야 할 것입니다.
3.3. 귀 사는 제3자 제공 대상 기업을 웹사이트를 통해서만 안내하고 있습니다. 또한, 제3자 제공 대상 기업이 변경될 경우 이에 대한 안내도 홈페이지와 이메일을 통해 하도록 되어 있습니다. 그런데 귀 사는 소디스 웹사이트 외에도 귀 사의 콜센터를 통해서도 서비스 가입 신청을 받고 있습니다. 제3자 제공 대상 기업 관련 내용을 웹사이트 및 이메일로만 안내할 경우 인터넷을 이용하지 않고 콜센터를 통해서 가입하는 회원들은 이에 관해 알 수 없게 됩니다. 이와 관련하여 가입자가 원하는 경우 오프라인 우편물을 통해 안내하는 등 별도의 안내 절차를 마련해야 할 것입니다.
3.4. 소디스 이용 약관 제2조 제2항은 "본 약관에 동의하는 것은 정기적으로 웹을 방문하여 약관의 변경사항을 확인하는 것에 동의함을 의미합니다. 따라서 변경된 약관에 대한 정보를 알지 못해 발생하는 고객의 피해는 KT에서 책임을 지지 않습니다."라고 되어 있습니다. 이는 이용자가 예상치 못한 불이익을 겪지 않도록 이용자의 권익과 관련된 사항에 대해 사전에 충분하게 고지해야 할 귀 사의 의무를 회피하는 것입니다.
개인정보 판매 사업의 경우 약관은 이용자의 개인정보 자기통제권과 밀접한 관련이 있습니다. 따라서 약관 변경 이전에 이용자가 해당 내용을 확인하고 서비스의 계속 이용 여부를 판단할 수 있도록, 귀 사의 합리적인 노력이 선행되어야 할 것입니다. 따라서, 변경된 약관이 시행되기 전에 일반 우편물이나 전자우편 등을 통해 약관 변경 사항을 안내해야 할 것입니다. 또한 안내 우편물 등을 발송하는 시점은 약관 시행일 이전에 대다수의 이용자들이 내용을 확인할 수 있도록 합리적 기간을 보장하여야 할 것입니다.
3.5. 소디스 웹사이트의 '소디스 프라이버시' 메뉴에 게재된 설명에 따르면, 채권추심, 고용, 인허가의 목적인 경우 정보의 제공을 제한할 것이라고 밝히고 있습니다. 그러나 제공 예정 업체 목록에는 한국신용평가정보가 포함되어 있습니다. 이 업체의 경우 채권추심 사업을 하는 업체이므로 제공 대상에서 제외해야 할 것입니다.
4. 시민행동의 의견에 대한 귀 사의 입장을 오는 9월 15일(수)까지 통보해주시면 감사하겠습니다. 개인정보 보호를 위한 귀 사의 적극적인 조치를 부탁드리겠습니다.
