개인정보보호위원회(위원장 고학수)는 23일 제16회 전체회의를 열고, 슈퍼앱 등 주요 앱 서비스에 대한 사전 실태점검 결과를 심의, 의결했다.
이번 심의에서 개보위는 내부통제 강화와 보호법에 명시된 대로 '데이터웨어(DW)' 접속기록을 2년간 관리·점검할 것을 개선, 권고했다.
사전실태점검은 개인정보 보호 취약점을 선제적으로 점검해 침해 위험을 사전에 예방하는 제도로, 법위반사항 발견 시 시정권고, 처리실태 개선필요 판단 시 개선권고를 한다.
사전 점검을 한 '슈퍼앱'은 하나의 앱에서 검색, 쇼핑, 금융·결제, 기타 생활밀착형 기능 등 다양한 서비스를 제공하는 온라인 플랫폼이다. 슈퍼앱에서는 여러 사업자가 서로 연계돼있어 이용자의 개인정보가 충분한 설명이나 통제 없이 이전·공유될 우려가 있으며, 이로 인해 이용자가 슈퍼앱 내에서 자신의 개인정보 처리 흐름을 정확히 파악하기 어려울 수 있다는 우려가 제기돼 왔다.
또 슈퍼앱과 같은 다기능 플랫폼에서 축적한 데이터는 AI 학습 및 관련 서비스 개발에 핵심자원으로 활용될 가능성이 높다. 따라서 슈퍼앱에서 처리되는 개인정보 보호에 대한 안전한 관리의 요구가 커지고 있는 상황이다.
이에, 개인정보위는 카카오톡, 네이버, 쿠팡, 배달의민족, 당근 등 5개 앱 서비스에 대한 사전실태점검을 실시했고, 주요 점검 결과는 다음과 같다.
개선권고❶: 개인정보 이전·연계 지점 관리 강화
슈퍼앱은 응용 프로그램 인터페이스(application Programming Interface, API)와 데이터 분석저장소(Data Warehouse, DW) 등 두 방식으로 고객 개인정보를 처리자 간에 이전하거나 공유하고 있다. API는 서로 다른 서버 간 데이터를 주고받기 위해 일방이 호출하고 상대방이 응답하는 전송방식을 말한다. 예컨대, 슈퍼앱 내 A쇼핑이 사용자 결제요청을 처리할 때 API를 통해 B페이에 결제정보를 전송하는 것이다.
또 DW는 운영 서버(이용자측과 연동되어 직접 서비스를 제공하는 서버)와 구분, 별도 구축한 분석용 데이터베이스를 말한다. 예를 들어, 슈퍼앱 내 A쇼핑이 DW에 결제 내역 데이터가 저장되면, 데이터 분석가 등이 접속해 마케팅 대상 정보를 추출 및 분석하는 걸 말한다.
이와 관련, 개인정보위는 ▲API 등 개인정보의 외부 이전 경로 생성 및 배포 ▲DW 등 개인정보처리시스템에 접근 권한 부여 등 중요사항에 대해서는 소관 사업부서 자체적으로 수행할 것이 아니라 반드시 개인정보 보호담당부서 참여하에 결정될 수 있도록 내부통제를 강화할 것과 보호법에 명시된 대로 DW 접속기록을 2년간 관리·점검할 것을 개선권고 했다.
개선권고❷: 개인정보 처리의 적법성·투명성 및 정보주체 권리보호 강화 >
사업자들은 계약 이행 등에 필요한 개인정보 수집·이용·제공의 근거를 대부분 ‘필수 동의’ 사항으로 명시하고 있다. 개인정보 보호법 상 이러한 경우는 정보주체 동의가 없어도 수집·이용할 수 있다. 대신, 해당 내용은 반드시 보호법규에 맞춰 개인정보처리방침 등을 통해 고지해야 한다.
사용자가 계약에 따른 서비스를 받기 위해 반드시 필요한 개인정보에 대해 동의를 받는 것은 사실상 불필요한 절차인데다, 동의 항목이 너무 많을 경우 자칫 사용자가 실제 동의가 필요한 항목을 제대로 확인하지 못할 소지가 있기 때문이다.
이에 개인정보위는 불필요한 동의 관행을 줄임으로써 개인정보 처리의 투명성을 높이고, 사용자의 실질적인 선택권을 보장하기 위해 서비스 가입시 계약 이행 등 필수 사항은 개인정보처리방침 등을 통해 고지하고, 이용자 동의가 필요한 항목에 대해서만 동의를 받아 처리하도록 개선권고했다.
관련기사
- 민주당, 김홍일 방통위원장 탄핵 추진..."6월내 통과 목표"2024.06.27
- 김홍일 위원장 "2인 체제 방통위, 바람직하지 않지만 위법 아니다”2024.06.21
- LG 구광모 6년...AI·바이오·클린테크 키운다2024.06.28
- 화재 막는 배터리 진단기술 뜬다...민테크, 상장 후 존재감 '쑥쑥'2024.06.28
