스타트업 덮치는 '개인정보보호' 논란…올라케어도 조사
입력
수정
개인정보보호법 준수 여부가 스타트업의 새로운 리스크로 떠오르고 있다. 정부 부처인 개인정보보호위원회(개보위)가 연이은 조사에 나서며 업계에 ‘빨간불’이 켜졌다. 다만 대부분 조사 대상업체가 고의적 위반보단 기존에 없던 비즈니스 모델을 구축하며 마찰을 빚고 있어, 단순 징벌보다 가이드라인 수립이 우선이라는 목소리가 정치권을 중심으로 나오고 있다.
맞춤형 회원 서비스 개발에는 ‘이벤트 등 광고성 정보 개선’ ‘인구 통계학적 특성에 따른 서비스 제공 및 광고 게재’ 등이 포함된다. 업체 측이 민감정보 처리 방침에 ‘행정안전부와 정보통신부가 제정한 민감정보 보호지침을 준수하고 있다’고 기재한 문구도 실제로는 없는 지침이란 것도 문제가 됐다.
올라케어는 지난해 8월부터 비대면 진료 서비스를 시작했다. 보건복지부가 2020년 ‘한시적 비대면 진료 허용방안’을 수립하며 관련 사업에 뛰어들었다. 환자의 의료 정보를 취급하며 업체 측은 민감정보 수집을 위해 ‘회원 관리(개인 식별과 관련된 데이터)’와 ‘서비스 제공에 관한 계약 이행 및 요금 정산(비대면 진료 예약, 약배송 등에 필요한 데이터)’을 필수 동의 항목으로 지정해 서비스 이용 시 고지했다. 이 서비스는 지난 8월 누적 이용자 수가 500만 명을 넘었다.개인정보 이용 동의의 종류엔 필수 동의와 선택 동의가 있다. 필수 동의는 서비스 본연의 목적에서 벗어나지 않는 선에서 반드시 이용자가 동의 의사를 표시해야만 서비스 이용이 가능하다. 서비스 목적과 벗어날 경우에는 선택 동의로 분류돼 다시 이용자 동의를 받아야 한다. 개보위는 현재 필수 동의를 통해 수집한 환자 데이터를 업체가 광고‧마케팅 또는 비대면 진료 이외 사업에 활용했는지, 또 활용 사실이 있었다면 법 위반 소지가 있는지를 살피고 있다.
올라케어는 억울하다는 입장이다. 회사 측은 “비대면 진료를 통해 얻은 환자 데이터를 마케팅에 활용한 적이 없고, 향후 활용할 계획도 없다”며 “문제가 된 부분은 고객 편의를 위에 넣은 항목으로 한국인터넷진흥원(KISA)의 모니터링을 받으며 개선해나가고 있다”고 입장을 밝혔다.
보호지침 준수 문구와 관련해서도 “현재 관련 법규가 명확히 법제화되기 이전이라 생긴 혼선으로, 지난달 31일 ‘법령상의 처리 제한 규정’으로 용어를 변경한 뒤 추후 법제화 동향에 따라 내용을 수정할 예정”이라고 덧붙였다.
개별 스타트업의 책임으로 돌릴 수는 없다는 업계의 볼멘 목소리도 나온다. 법 위반 여부가 확실한 경우엔 재발 방지책을 마련하고 사과해야 하지만, 스타트업의 신규 사업 영역이 기존 법으로 정의할 수 없는 경우가 많아 유권해석에 따라 다르게 해석될 여지가 크다는 것이다.
비대면 진료 스타트업의 한 관계자는 “대부분 업체가 법률 검토를 꼼꼼하게 하려 노력하지만, 인력도 시간도 없는 것은 사실”이라며 “여기에 스타트업 입장에선 참고할 만한 법이나 규정도 모호한 것투성이”라고 말했다. 올라케어가 적시한 ‘민감정보 보호지침 준수’ 문구 역시 ‘정답’이 없다 보니 다른 지침들을 조금씩 섞으며 만들어진 것으로 알려졌다.관련 문제를 제기한 윤주경 국민의힘 의원실 관계자는 “스타트업을 징벌의 대상으로 볼 것이 아니라 개보위 가이드라인 마련을 통한 개인정보보호법 준수 독려가 필요한 상황”이라며 “국회도 입법을 통해 정책적 지원을 해나가야 한다”고 했다.
개보위 비상임위원으로 활동하고 있는 백대용 법무법인 세종 변호사는 “스타트업의 가장 중요한 생산 요소는 데이터가 됐고, 개인정보보호 문제는 피해갈 수 없다”며 “비즈니스 모델을 구축하면서 최소한의 보호 장치와 전담 인력 1인을 두는 기본적 관심은 기울이는 노력이 필요해진 시점”이라고 말했다.
이시은 기자 see@hankyung.com
'필수 동의' 범위 관건…업체는 "데이터 안 썼다"
16일 스타트업계에 따르면 최근 개보위 조사3팀은 비대면 진료 플랫폼 ‘올라케어’ 운영사인 블루앤트의 개인정보보호법 위반 여부를 조사하고 있다. 조사3팀은 지난해 말 개보위가 조직 개편을 하며 신설한 6명 규모의 온라인 플랫폼 전담팀이다.조사는 지난달 말 국정감사에서 윤주경 국민의힘 의원실이 올라케어 개인정보 수집 방식의 문제점을 지적하며 시작됐다. 핵심은 올라케어가 사용자의 필수 동의를 받는 ‘개인 민감정보의 수집 및 이용 목적’에 ‘맞춤형 회원 서비스 개발’ 항목을 포함했다는 것이다.맞춤형 회원 서비스 개발에는 ‘이벤트 등 광고성 정보 개선’ ‘인구 통계학적 특성에 따른 서비스 제공 및 광고 게재’ 등이 포함된다. 업체 측이 민감정보 처리 방침에 ‘행정안전부와 정보통신부가 제정한 민감정보 보호지침을 준수하고 있다’고 기재한 문구도 실제로는 없는 지침이란 것도 문제가 됐다.
올라케어는 지난해 8월부터 비대면 진료 서비스를 시작했다. 보건복지부가 2020년 ‘한시적 비대면 진료 허용방안’을 수립하며 관련 사업에 뛰어들었다. 환자의 의료 정보를 취급하며 업체 측은 민감정보 수집을 위해 ‘회원 관리(개인 식별과 관련된 데이터)’와 ‘서비스 제공에 관한 계약 이행 및 요금 정산(비대면 진료 예약, 약배송 등에 필요한 데이터)’을 필수 동의 항목으로 지정해 서비스 이용 시 고지했다. 이 서비스는 지난 8월 누적 이용자 수가 500만 명을 넘었다.개인정보 이용 동의의 종류엔 필수 동의와 선택 동의가 있다. 필수 동의는 서비스 본연의 목적에서 벗어나지 않는 선에서 반드시 이용자가 동의 의사를 표시해야만 서비스 이용이 가능하다. 서비스 목적과 벗어날 경우에는 선택 동의로 분류돼 다시 이용자 동의를 받아야 한다. 개보위는 현재 필수 동의를 통해 수집한 환자 데이터를 업체가 광고‧마케팅 또는 비대면 진료 이외 사업에 활용했는지, 또 활용 사실이 있었다면 법 위반 소지가 있는지를 살피고 있다.
올라케어는 억울하다는 입장이다. 회사 측은 “비대면 진료를 통해 얻은 환자 데이터를 마케팅에 활용한 적이 없고, 향후 활용할 계획도 없다”며 “문제가 된 부분은 고객 편의를 위에 넣은 항목으로 한국인터넷진흥원(KISA)의 모니터링을 받으며 개선해나가고 있다”고 입장을 밝혔다.
보호지침 준수 문구와 관련해서도 “현재 관련 법규가 명확히 법제화되기 이전이라 생긴 혼선으로, 지난달 31일 ‘법령상의 처리 제한 규정’으로 용어를 변경한 뒤 추후 법제화 동향에 따라 내용을 수정할 예정”이라고 덧붙였다.
"개보위 가이드라인‧정책 지원 병행 필요"
지난해 초 ‘이루다 사태’로 부각됐던 스타트업의 개인정보보호법 준수 여부 논란은 최근 들어 동시다발적으로 터져 나오는 추세다. 지난 8월엔 명품 거래 플랫폼 발란이 해킹으로 인한 개인정보 유출 건으로 5억 1259만원의 과징금을 부과받았다. 세금 환급 플랫폼 ‘삼쩜삼’ 운영사 자비스앤빌런즈는 회원 가입 시 주민등록번호를 요구했던 사안과 관련해 개보위 조사 2과의 조사가 진행 중이다.개별 스타트업의 책임으로 돌릴 수는 없다는 업계의 볼멘 목소리도 나온다. 법 위반 여부가 확실한 경우엔 재발 방지책을 마련하고 사과해야 하지만, 스타트업의 신규 사업 영역이 기존 법으로 정의할 수 없는 경우가 많아 유권해석에 따라 다르게 해석될 여지가 크다는 것이다.
비대면 진료 스타트업의 한 관계자는 “대부분 업체가 법률 검토를 꼼꼼하게 하려 노력하지만, 인력도 시간도 없는 것은 사실”이라며 “여기에 스타트업 입장에선 참고할 만한 법이나 규정도 모호한 것투성이”라고 말했다. 올라케어가 적시한 ‘민감정보 보호지침 준수’ 문구 역시 ‘정답’이 없다 보니 다른 지침들을 조금씩 섞으며 만들어진 것으로 알려졌다.관련 문제를 제기한 윤주경 국민의힘 의원실 관계자는 “스타트업을 징벌의 대상으로 볼 것이 아니라 개보위 가이드라인 마련을 통한 개인정보보호법 준수 독려가 필요한 상황”이라며 “국회도 입법을 통해 정책적 지원을 해나가야 한다”고 했다.
개보위 비상임위원으로 활동하고 있는 백대용 법무법인 세종 변호사는 “스타트업의 가장 중요한 생산 요소는 데이터가 됐고, 개인정보보호 문제는 피해갈 수 없다”며 “비즈니스 모델을 구축하면서 최소한의 보호 장치와 전담 인력 1인을 두는 기본적 관심은 기울이는 노력이 필요해진 시점”이라고 말했다.
이시은 기자 see@hankyung.com