최근 금융·통신·유통업계 등에서 발생한 개인정보 유출 사건은 그야 말로 대란이다. 국민의 대다수가 대량의 개인정보유출로 인해 상당한 스트레스를 받고 있는 씁쓸한 현실이다. 이러한 가운데 사업자들은 기존의 거래정보에 SNS(사회 관계망 서비스) 등을 통한 사생활 정보를 수집해 진화된 영업행위를 시도하고 있다. 특히 판촉행위에 가치 있는 정보인 주민등록번호를 중심으로 개인 연락처와 각 분야별 거래정보(교육, 금융·보험, 통신, 문화, 교통·운송) 등이 조합된 개인정보를 더해서 말이다.
사실 사업자에 의한 개인정보의 상업적 이용에 관한 문제는 사업자가 수집할 수 있는 소비자의 개인정보 범위가 어디까지인가에 대한 고민에서부터 출발한다. 개인정보보호법 제16조 제1항에서는 개인정보처리자의 '필요 최소한의 개인정보 수집'을 규정하고 있고, 제2항에서는 "필요 최소한의 정보 외에 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 안 된다"고 규정하고 있다. 원칙적으로는 거래에서 계약이행에 필요한 신원정보 및 결제정보만을 필요로 한다는 것을 뜻한다. 이때 신원정보 역시 소비자가 스스로를 타인과 구분 짓는 정보(ID 정도)를 의미하지 주민등록번호 및 기타 개인식별정보를 의미하지는 않는다.
그러나 우리나라 전자상거래업자는 소비자의 신원확인을 기반으로 영업행위를 한다. 전자상거래 사업자는 소비자의 신원확인 후 소비자로부터 형식적인 개인정보수집 및 활용 동의를 받고 있는데, 이렇게 수집된 개인정보는 특정 소비자 개인의 신원정보, 거래정보, 자동 생성정보(온라인 거래 시 컴퓨터에 생성되는 정보, 예를 들어 쿠키값) 등이 종합된 개인정보로 완성된다.
물론 사업자들은 전자상거래 등에서의 소비자보호에 관한 법률 제6조(거래기록의 보존 등)의 규정으로 거래기록 및 관련 개인정보를 보관해야할 의무가 있긴 하다. 개인정보는 성명․주소․주민등록번호 등 거래주체를 식별할 수 있는 정보로 한정돼 있는데, 이로 인해 사업자들은 전자상거래 시 소비자의 신원확인을 당연하다고 인식한다. 뿐만 아니라 통신 및 금융서비스 사업자는 본인확인기관 사업자로서 법률에 근거해 주민등록번호를 수집할 수 있는 지위에 있다.
그런데 전자상거래를 이용함에 있어 소비자들이 본인인증을 받아야만 하는지 의문이다. 전자상거래가 아닌 일반거래에서는 특별법이 적용되는 특정거래(금융 및 부동산 실명제 등)를 제외하곤 본인인증을 요건으로 하지 않는다. 결국 전자상거래업자는 본인인증 과정을 통해 소비자에게 사실상 개인정보제공의무를 부담시키고 있는 것이다. 하지만 사업자는 소비자의 신원확인 및 형식적인 동의절차를 통해 수집·처리한 많은 개인정보를 올바르게 관리하지 못하고 대량으로 유출시켜버렸다. 그 결과, 전자상거래가 생활의 일부가 된 소비자들은 항상 개인정보 유출의 불안감을 갖게 됐고, 사업자들의 광고 대상이 됐다는 불쾌감을 떨칠 수 없게 됐다.
소비자의 사업자에 대한 정보통제권은 소비자의 익명성에서 출발한다. 소비자 거래에 있어 사업자가 수집할 수 있는 소비자의 개인정보는 사업자의 의무이행을 위해 필요한 최소한의 정보임을 되새길 필요가 있다. 개인정보보호가 사회적 문제가 된 시점에서 전자상거래 사업자의 소비자 본인인증은 재검토 돼야 할 것이다.
