박종민 기자SK텔레콤, KT, 쿠팡 등 대형 플랫폼에서 연이어 해킹 사고가 발생한 가운데, 국회가 오히려 개인정보 수집 범위를 넓히는 전자상거래법 개정안을 추진하면서 역행 논란이 커지고 있다.
연이은 해킹 사고로 이용자 불안이 커진 가운데 플랫폼이 수집할 수 있는 개인정보 범위까지 확대될 가능성이 커지면서, 그간 확립돼 온 '최소수집 원칙'과는 거꾸로 가는 조치라는 비판이 제기된다.
국회 정무위원회는 지난달 27일 온라인 플랫폼이 개인 판매자의 성명·전화번호 외에도 주소 등 대통령령으로 정하는 정보를 확인하도록 한 전자상거래법 개정안을 의결했다. 법사위와 본회의를 거치면 6개월 내 시행될 가능성이 크다.
문제는 개인정보 항목을 법률로 한정하지 않고 대통령령에 위임해 둔 구조 때문에, 정부가 하위 규정만 고치면 이메일·생년월일 등 더 많은 정보를 추가로 수집하도록 요구할 수 있다는 점이다. 이용자는 어떤 정보가 더 요구될지 예측하기 어렵고, 플랫폼은 법에 따라 더 많은 정보를 확인·보관해야 하는 상황에 놓이게 된다.
국회사무처 전문위원도 △개인정보보호법의 '목적 명확성·최소수집 원칙'과 충돌 가능성 △수집 항목의 확대 가능성 △이용자 통제권 약화 등을 지적했다.
전문위원 검토보고서는 "현행 시행령에는 주소·전자우편주소 등 다양한 정보가 포함돼 있어 개정안이 오히려 개인정보 제공 범위를 확대하는 결과를 초래할 수 있다"며 "개인판매자의 정보 제공 범위는 불필요하게 넓어질 우려가 있어 추가 검토가 필요하다"고 밝혔다
개인정보보호위원회 역시 앞선 심사에서 유사한 우려를 제기했다. 플랫폼에 불필요한 정보까지 수집·확인하도록 강제하고, 분쟁 시 개인판매자의 동의 없이 소비자에게 정보 제공이 가능한 현행 조항은 "개인정보 자기결정권을 과도하게 제한한다"고 판단했다.
업계에서는 해킹 사고가 이어지는 상황에서 개인정보 수집만 늘리는 접근이 맞는지 의문을 제기한다. 한 업계 관계자는 "전문가들은 해킹·유출 사고가 계속되는 현 상황에서는 서비스 제공에 필수적이지 않은 정보는 처음부터 수집하지 않는 것이 최선의 보호 조치"라며 "수집 정보가 많을수록 유출 시 피해 규모가 커질 수 있다"고 말했다.
또 다른 관계자도 "대형 사고가 이어지는 시점에 개인정보 수집 범위를 넓힐 수 있는 제도 개정이 추진되는 것이 적절한지에 대한 논의가 필요하다"고 지적했다.