한 블로거는 밀크티를 사면서 자신의 개인정보가 얼마나 노출되는지를 공개해 많은 화제를 모았다. 우선 밀크티를 할인 가격으로 마시려면 회원 가입을 해야 한다. 할인뿐 아니라 각종 쿠폰 등을 제공하는 방법으로 회원이 되도록 유도한다.
이 블로거는 “회원 가입은 선택사항이긴 하지만 사실상 강제적이다. 회원 가입을 하지 않으면 주문을 마치기가 상당히 어려웠다. 회원 가입을 통해 받은 코드를 스캔한 뒤 주문을 하라고 계속 공지가 떴기 때문”이라면서 “밀크티 한 잔은 그리 비싸지 않지만, 우리는 값비싼 정보를 업체에 주고 있다”고 했다.
과거엔 주로 전화, 컴퓨터 해킹 등을 통해 개인정보를 직접 빼냈다. 하지만 요즘 들어선 주문번호 스캔, 카드번호 녹화, 주차요금 납부 등을 통해서 개인정보를 수집한다. 이 과정에서 현란한 마케팅 기법이 동원된다.
전문가들은 현대 사회에서의 개인정보를 ‘석유’와 비교한다. 그만큼 값어치가 높다는 것이다. 개인정보를 최대한 많이 확보해서, 이를 수익과 연결시키는 게 기업들의 지상과제다. 고객들의 개인정보가 지나치게 많이, 또 불법적으로 수집되고 거래되는 것도 이 때문이다.
중국의 한 대형 쇼핑몰 관계자는 “대량의 데이터는 매우 큰 가치를 지니고 있다. 이 데이터를 분석하고 통합해서 고객들의 다양한 수요와 이미지를 형성해야 한다”면서 “한마디로 말하면 데이터는 부의 문을 여는 열쇠나 다름없다”고 했다.
사태가 심각하다고 판단한 중국 당국은 적극적인 단속에 나섰다. 상하이시 인터넷 정보국은 올해 7월부터 12월까지 ‘개인정보 보호’를 위한 특별 법 집행 활동을 시작했다. 식당, 주차장, 학원, 쇼핑몰, 부동산, 자동차 등 8가지 소비 분야 업체들의 정보 수집 과정이 그 대상이다.
상하이 정보국은 29개 유명 밀크티 가게, 패스트푸드점 등을 불시에 방문해 여러 문제점들을 발견했다고 밝혔다. 먼저, 회원가입을 강제하거나 범위를 넘어 정보를 요구하는 업체들이 무더기로 적발됐다. 예를 들어 고객이 매장을 직접 방문했는데도, 앱을 무조건 설치해서 업체가 제공한 코드 등을 기입해야 주문을 완료할 수 있는 절차가 지적을 받았다.
정보국 관계자는 “최소한의 필요성 원칙을 넘어섰다. 소비자의 자율적 선택권을 박탈, 소비자권익보호법을 위반했다”고 설명했다. 이 관계자는 “개인정보는 기업들의 경제적 이익을 향상하는 데 도움이 된다. 수집하고 활용하는 걸 무조건 막는 게 아니다. 다만, 수집 과정에서 합법·정당·필요의 3원칙을 따라야 한다”고 했다.
당국 등에 따르면 한 대형 커피 프랜차이즈 업체는 주문을 받을 때마다 87개의 데이터를 생성하는 것으로 나타났다. 지금까지 누적된 개인정보는 100억 개 이상이다. 이 가운데 고객의 이름, 전화번호, 주소 등 민감한 개인정보만 6억여 건에 달했다.
개인정보를 수집하는 기술 플랫폼 구축은 그리 어렵지 않다. 비용도 저렴하다. 많은 업체들이 앞다퉈 기술을 도입하는 것도 이와 무관하지 않다. 개인정보 수집 문턱을 높여야 한다는 주장이 나오는 배경이기도 하다. 사이버 보안 전문가들은 “소규모 사업장에서 코드 스캔으로 주문할 때 주의해야 한다. 출처를 알 수 없는 ‘QR 코드’를 스캔해선 안 된다”고 경고했다.
업체들이 수집한 정보는 네트워크보안법 및 데이터보호법 등에 따라 보관돼야 한다. 하지만 이번에 적발된 업체들은 대부분 이를 따르지 않았다. 개인정보가 무분별하게 관리되고 있었고, 새어나갔다.
상하이시 인터넷 정보국은 단속과는 별개로 일명 ‘프라이버시 정책’도 추진하기로 했다. 핵심은 업체들이 개인정보를 수집할 때 목적과, 용도, 보관 방법 등을 고객들에게 고지하도록 하는 것이다. 정보국 관계자는 “거의 하지 않고 있다. 하는 곳 역시 형식적이었다. 고객들도 간과하는 경우가 대부분”이라고 했다.
상하이 소비자보호위원회는 7월부터 코스 스캔 주문, 주차비, 학원비, 주유소 등 4가지 부문에 대해 정보 수집 고지를 준수하도록 했다. 베이징시 역시 최근 코드를 스캔해서 구매하는 과정에서 벌어지는 개인정보 불법 수집 사례 6가지 유형을 발표하면서 업체들에게 경고했다.
국가인터넷정보국은 8월 초 ‘개인정보 보호 관리방법’을 발표했다. 이에 따르면 100만 명 이상의 개인정보를 취급하는 업체는 1년에 1회 이상 개인정보 보호 감사를 받아야 한다. 기타 개인정보 취급자도 2년에 1회 이상 개인정보 보호 감사를 받아야 한다.
중국=배경화 언론인
