- 개인정보보호법 제정과 개인정보침해 집단소송제를 도입하라 -
- GS칼텍스의 고객정보 수집에 대한 위법성을 조사하라 -

  GS칼텍스가 보유한 1,125만 명의 고객정보가 유출되고, 유출자가 자회사인 GS넥스테이션 직원으로 밝혀져 사회적 충격을 주고 있다. 최근 옥션, 하나로텔레콤, 다음, KT, LG파워콤 등의 개인정보침해 및 불법행위가 꼬리를 물고 있는 상황에서 GS칼텍스에서 유출된 개인정보가 사상최대 규모라는 사실이 국민들에게 불안과 우려를 증폭시키고 있다.

  더욱이 이번 GS칼텍스의 개인정보 유출 사건은 그 동안 우리사회에서 제기되었던 개인정보보호에 대한 문제점이 총체적으로 드러났다는 점에서 더욱 큰 문제라 하지 않을 수 없다. 기업의 개인정보호보에 대한 인식결여 및 기술적․관리적 대책 미흡, 개인정보보호를 위한 법적․제도적 장치 미흡, 개인정보의 과다 수집 및 관리, 고객동의 없는 개인정보의 제3자 제공 및 상업적 활용, 개인정보침해 피해자의 집단적 손해배상청구와 이에 대한 비판 등이 그것이다.

  경실련은 그 동안 대규모적인 개인정보침해 및 불법행위가 발생하고 그에 대한 대책이 논의되어 왔음에도 근본적이고 실효적인 면에서의 한계가 있었음을 지적하고, 현재 진행 중인 GS칼텍스의 개인정보 유출에 대한 보다 철저한 조사를 통해 개인정보보호를 위한 제도적 장치를 마련하는 실질적인 계기로 삼을 것을 강력히 촉구하며, 다음과 같이 입장을 밝힌다.

1. GS칼텍스 고객정보 수집의 위법성 여부에 대한 철저한 수사를 촉구한다. 

  - 동의 없이 고객정보를 제3자에게 제공․상업적 활용

  GS칼텍스는 포인트 카드 회원가입 시 보너스카드 포인트 공유를 이유로 GS홈쇼핑과 GS리테일의 고객정보를 제공․공유하고 있으며, 취급위탁 명목으로 GS넥스테이션에 고객정보를 제공․공유하고 있다. 현행 정보통신망법에는 계열사나 자회사를 제3자로 명확히 규정하고 개인정보의 제3자 제공 시 고객에게 이용약관이나 개인정보취급방침과 별도로 명확히 알리고 동의를 얻도록 하고 있다.

  그러나 GS칼텍스는 보너스카드 신청이나 회원 가입 시 제3자(GS홈쇼핑과 GS리테일)의 개인정보 제공과 활용에 대해 명확히 별도의 동의 절차를 마련하지 않고 있다. 단지, 이용약관이나 개인정보취급방침에 대한 동의만으로 개인정보를 제3자에게 제공․공유해 온 것이다. 또한 마케팅 이용을 위한 취급위탁의 경우에도 별도의 동의를 얻어야 함에도 불구하고 고객 동의 없이 GS넥스테이션에 개인정보를 제공․공유해 왔다. 하지만 이 역시 업무와의 직•간접 연관성이 있는 취급위탁인지 여부가 불분명하다.

  특히 사업자들이 개인정보 수집․이용․제공에 대한 규제가 강화되면서 제3자가 제휴하여 ‘패밀리사이트’ 또는 ‘제휴 사이트’란 명목으로 강제적으로 개인정보를 수집하고 이를 마케팅에 활용하고 있다. 이는 개인정보의 제3자 제공에 대한 법적 규제를 회피하기 위한 방편에 불과하다는 점에서 현재 진행되고 있는 개인정보의 불법적보 유출이나 GS칼텍스의 기술적․관리적 책임여부에 대한 조사와 더불어 GS칼텍스가 고객정보를 수집하는 과정에서의 불법성은 없었는지 그리고 GS홈쇼핑․GS리테일․GS넥스테이션 간의 고객정보 공유와 상업적 활용에 대한 불법성 여부에 대해서도 반드시 철저한 조사가 이뤄져야 한다.

2. 제대로 된 개인정보보호법의 제정이 시급히 이뤄져야 한다.

  현재 개인정보보호를 위한 법적용은 공공기관 및 정보통신망사업자에 한정되어 있다. 그러다보니 GS칼텍스의 대규모 개인정보 유출에도 불구하고 법의 사각지대에 놓이는 결과가 초래되었다. 행정안전부는 개인정보보호법을 입법예고하였으나, 개인정보보호를 위한 제도적 장치는 엉성하고 행정안전부 장관의 권한 확대에만 초점이 맞춰져 있다. 개인정보보호 정책수립, 조사, 시정 등 모든 권한이 행정안전부 장관에게 있어 개인정보를 수집․관리하고 있는 행정안전부가 스스로를 관리․감독해야 하는 모순이 발생하고 사업자가 마케팅 활용을 제3자에게 제공할 경우에도 고객의 동의 없이 개인정보를 이용하도록 보장하는 문제가 있다. 따라서 부처 이기주의를 떠나 개인정보보호위원회의 독립성을 보장하고 공공부문과 민간부문을 포괄할 수 있는 실질적인 개인정보보호법이 시급히 제정되어야 한다.

3. 개인정보침해에 대한 집단소송제를 도입하라.

  소비자들의 개인정보침해에 대한 집단소송제도를 도입해 대표성을 가진 집단이나 대표가 승소하면 관련 피해자 모두가 피해 보상을 받을 수 있도록 해야 한다.  개인정보침해로 인한 피해의 경우 피해규모나 피해정도가 커서 지금과 같은 방식으로는 개별소송의 어려움과 개별소송으로 인한 불필요한 사회적 비용을 유발하고 다수의 피해에 대한 일괄권리구제가 가능하지 않다. 이에 정보화시대에 개인정보침해로 인한 피해자의 권리구제 및 피해예방을 위해서는 개인정보침해 집단소송제의 도입이 절실히 요구된다.

4. 근본적으로 개인정보의 수집이 제한되어야 한다.

  무엇보다 중요한 것은 무분별한 개인정보의 수집을 제한하는 것이다. 기업은 개인정보를 사유재산처럼 인식하고 무분별하게 개인정보를 수집하고 기업의 이익을 위하여 이용하여 왔다. 그러는 사이 개인정보의 제공이 당연시 되어 왔고, 광고 메일이나 텔레마케팅 전화를 받는 것도 일상이 되어 버렸다. 하지만 회원 가입과 개인정보 수집, 고객 마케팅이 당연시 되고 개인정보침해가 어쩔 수 없는 정보화시대의 부작용이라는 인식을 가지고 있다면, 앞으로 제2의 옥션․ 하나로텔레콤․GS칼텍스와 같이 대규모적인 개인정보 침해 문제는 반복될 수밖에 없다. 이를 근본적으로 방지하기 위해서는 개인정보 수집을 원천적으로 제한하는 방법뿐이다. 따라서 공공과 민간 모두 과도한 개인정보 수집을 금지하고 개인정보 수집의 범위를 최소화하도록 법제화하여야 한다.

  다시 한 번, 경실련은 앞으로 개인정보보호를 위한 법제화 운동과 개인정보 침해에 대한 감시활동을 지속적으로 전개해 나갈 것임을 밝힌다.

[문의 : 시민권익센터 02-3673-2146]