경품행사를 빌미로 읽기 힘든 1mm 크기의 글씨로 동의를 구한 다음 개인정보를 보험사에 팔아 넘겼다. 패밀리 카드 가입자들의 정보를 무단으로 보험사에 넘기기도 했다. 홈플러스가 이렇게 팔아넘긴 개인정보만 2400만건에 달하며 231억 원의 돈을 벌었다. 그런데 아무런 죄가 없었다. 지난 12일 2심 재판부는 홈플러스에 무죄를 선고했다.

경제정의실천시민연합, 참여연대, 진보네트워크센터 등 시민사회단체는 이번 판결이 문제가 심각하다고 지적하고 나섰다. 더욱이 최근 롯데홈쇼핑도 이용자 개인정보를 무단으로 보험사에 팔아넘긴 것으로 밝혀졌고, '비식별화 가이드라인'등 빅데이터에 대한 위협이 커지고 있는 상황에서 법원이 제 역할을 하지 못했다는 지적이 나온다. 22일 기자간담회에서 시민사회단체가 지적한 이번 판결의 문제는 다음과 같다.

개인정보보호법의 핵심은 ‘개인정보를 동의 없이 제3자에게 제공해선 안 된다’는 것이다. 여기서 ‘동의가 있었는지 여부’가 첫 번째 쟁점이다. 재판부는 홈플러스가 무단으로 제공한 게 아니기 때문에 문제 없다고 판단했다. 

홈플러스가 경품행사 응모권에 ‘개인정보가 보험사에 제공될 수 있다’고 적시한 건 맞다. 그런데 문제는 응모권에 1mm 크기로 약관을 썼다는 점이다. 재판부는 “1mm 크기의 약관이 사람이 읽을 수 없는 정도라고 단정하기 어렵다”면서 “개인정보보호법이 요구하는 고지 의무를 다했다”는 입장이다. 실제 이 글씨를 읽고 개인정보 제공을 거부한 사람들이 있다는 점도 재판부는 감안했다.

그러나 개인정보보호법 22조는 “정보주체가 명확하게 인지할 수 있도록 알려야 한다”고 명시하고 있다. 1mm크기의 약관 내용을 알아본 사람들이 있다고 하더라도, 누구나 명확하게 인지할 수 있는 크기는 아니다. 경품행사 특성상 약관을 꼼꼼하게 읽을 만한 상황도 아니다. 무엇보다 홈플러스의 행사 목적이 ‘경품행사’였기 때문에 소비자가 개인정보가 팔린다는 사실을 인지하는 것은 힘들다.

좌혜선 한국소비자단체협의회 사무국장은 “결국 정보주체는 개인정보가 수집될 수 있는상황을 함상 염두에 두고 샅샅이 주변을 살피라는 것”이라며 “잘못은 홈플러스가 했는데 소비자에게 책임을 전가하는 판결”이라고 지적했다.

홈플러스는 패밀리카드를 발급하면서 수집한 개인정보를 보험회사에 제공해 보험사 블랙리스트 명단을 제외하는 등 마케팅에 필요한 정보만 필터링한 후 다시 받기도 했다. 

이번에는 형식적 동의절차도 거치지 않는 등 무단으로 보험사에 정보를 제공했지만 재판부는 홈플러스가 보험사에 정보를 넘긴 게 아니라 ‘처리위탁’을 한 것이라고 판단했다. 개인정보보호법은 제3자에게 정보를 넘기면 안 되지만 처리위탁은 할 수 있다고 규정하고 있다. 예를 들어 대형마트에서 배송을 위해 이용자 주소 등의 개인정보를 얻는데, 대행업체가 이 개인정보를 갖게 되면 ‘제3자 제공’이 아니라 ‘처리위탁’으로 본다. 

‘처리위탁’인지 ‘제3자 제공’인지 판단하는 기준은 개인정보 제공이 누구를 위해 쓰였는지 여부다. 홈플러스의 업무를 위해 쓰였다면 ‘처리위탁’이고, 보험사를 위해 쓰였다면 ‘제3자 제공’이다. 재판부는 홈플러스가 마케팅 비용을 줄이려는 목적으로 보험사에 넘겼기 때문에 처리위탁이라고 봤다. 

그러나 재판부는 필터링 업무를 통해 근본적으로 이익을 보는 쪽이 보험사였다는 점은 감안하지 않았다. 경품행사를 통해 개인정보를 건당 최대 2800원에 판매한 홈플러스 입장에선 블랙리스트를 선별하지 않을수록 판매하는 개인정보 양이 많아진다. 필터링 요청은 오히려 홈플러스에 손해가 된다. 따라서 필터링 요청은 애초에 보험사의 요구였을 가능성도 있다. 

이번 판결의 파장은 클 것으로 보인다. 기업의 대대적인 개인정보 장사에 대한 첫 판결이라는 점에서 선례로 남을 가능성이 크다. 이날 시민사회단체는 2만9000여명에 달하는 이용자 정보를 무단으로 보험사에 팔아넘겨 방통위로부터 최근 과징금을 부과받은 롯데홈쇼핑을 검찰에 고발했는데, 이번 판결이 영향을 미칠 수밖에 없다.

특히, ‘제3자 제공’이 ‘처리위탁’으로 간주돼 기업 입장에선 언제든 빠져나갈 구멍이 생기게 된 건 심각하다. 이은우 변호사(정보인권연구소 이사)는 “이런 논리가 대법원 판결로 굳어지게 되면 제3자에 정보를 제공하는 게 처리위탁으로 둔갑되기 쉽고, 개인정보가 곳곳으로 빠져나가게 될 것”이라고 우려했다.  이은우 변호사의 가정에 따르면 재판부 논리대로라면 은행이 고객정보를 대부업체에 넘겨도, 유아용품을 구입한 고객정보를 유아용품 업체에 전달해도, 그럴 듯한 이유가 만들어지면 제3자 제공이 아니게 된다. 

검찰 수사 및 재판 과정에서 개인정보가 어떻게 활용됐는지에 대해 다뤄지지 않은 게 문제라는 지적도 나온다. 이은우 변호사는 “홈플러스 등 대형마트가 소비자 정보를 건당 2000원 가량의 대가를 받고 팔았다”면서 “통상적으로 개인정보는 건당 수십원에 거래되는데, 매우 큰 금액”이라고 지적했다. 그는 “단순히 고객정보를 파는 데 끝나는 게 아니라 보험사가 고객의 프로파일링을 하고, 기업이 다시 정보를 받아 마케팅을 하고 있는 것은 아닌지 의심이 든다”고 지적했다. 

단순히 기업이 개인정보만 모으는 게 아니라, 다른 개인정보들과 결합해 특정인물에 대한 소비패턴을 파악하고 있을 수 있다는 지적이다. 이은우 변호사는 또 "최근 정부가 비식별화 개인정보를 기업에 넘기는 걸 허용하는 등 빅데이터 관리 문제가 대두되고 있는데, 기존 법조차 느슨하게 적용되는 것은 심각한 일"이라고 말했다.

(관련기사: 이름 빼고 털어간다고? 결국 이름도 알게될 것)

재판부가 홈플러스의 손을 들어준 데는 법 제도 자체의 미비점도 한 몫한 것으로 보인다. 현행 개인정보보호법이 규정하는 법위반에 따른 처벌은 대부분 법적 처벌이 아닌 과태료나 행정제재 수준이 많다. ‘개인정보 판매사실 고지여부’ ‘필요 이상의 과도한 개인정보 수집’모두 과태료 조항에 그친다. 홈플러스 역시 지난해 “개인정보 판매 사실을 고객에게 제대로 알리지 않은 것은 과태료 부과 대상일 뿐 형사처벌 대상이 아니다”라는 입장을 밝힌 바 있다.

개인정보를 제3자에게 유상으로 판매하는 경우와 공짜로 제공하는 건 엄연히 경중을 가려야 하는 문제인데도 개인정보보호법에는 관련 규정이 없다는 점도 문제다. 이번 재판에서 검찰은 홈플러스가 개인정보를 제 3자에게 유상으로 판매한다는 내용을 고지했어야 한다고 밝혔지만 재판부는 “제 3자 제공에 대한 대가 여부까지 고지할 의무는 없다”고 판시했다.

좌혜선 한국소비자단체협의회 사무국장은 “처벌조항 자체가 미흡하다”면서 “현재의 개인정보보호법만으로는 소비자의 개인정보를 지킬 수 없는 문제가 발생한다”고 말했다.