토스가 보험 상담 서비스를 통해 고객 개인 정보를 판매한 사실이 드러나면서 논란이 지속되고 있다.
토스 애플리케이션(앱)서 제공하는 보험 상담 서비스는 보험설계사와 보험 관련 고민을 갖고 있는 토스 고객을 연결해주는 서비스다. 서비스를 쓰기 위해 개인 정보 일부를 제3자인 보험설계사에게 제공해야 하는데, 토스는 일부 설계사에게 개인 정보 한 건을 6만9천원에 판매했다.
토스는 개인정보보호법과 신용정보법에 따라 적법하게 데이터를 판매해 법리상 문제는 없다는 입장이다. 하지만 고객들은 자신의 개인 정보가 인지없이 '판매'됐다는 점에서 문제를 제기하고 있는 상황이다.
추후 관건은 토스가 개인 정보를 판매한 목적이 제공자의 편익을 위한 것인지 단순히 토스가 데이터 판매 수익을 올리기 위한 차원이었는지에 따라 사안이 달라질 것으로 관측된다.
개인 정보 판매된 서비스 뭐길래
이번 건과 연관된 서비스는 토스의 '내 보험' 내 '5분 상담하기'이다. 이 상담 과정서 토스에게 돈을 지불한 설계사는 고객들의 개인 정보를 토스로부터 받았다. 유료로 거래된 개인 정보는 이름·생년월일·성별과 같은 개인 식별 정보 외에도 가입한 보험 상품과 회사·피보험자의 성명 등이다.
토스 내부에서는 이를 '유료 매칭'이라고 부른다. 토스가 보험설계사를 대상으로 운영하는 정보 제공 앱 '토스 보험 파트너'에 가입한 130만명의 설계사 중 3만명만 가입할 수 있도록 제한했다. 유료 매칭을 이용한 설계사에게는 무조건적으로 5분 상담하기를 신청한 토스 고객을 연결해주며, 개인 정보를 확인할 수 있도록 구성됐다.
데이트 앱서 돈을 내면 자신이 원하는 파트너와 무조건적으로 채팅할 수 있도록 기회를 제공하는 것과 비슷한 서비스다.
토스 측은 "지난 6월부터 유료 매칭 서비스를 시작했으며 이마저도 시범 서비스"라며 "유료 매칭은 설계사와 고객을 잇는 중개로 개인 데이터베이스(DB)를 판매하는 것이 아닌 중개에 대한 수수료를 받는 격이라고 봐달라"고 해명했다. 현재 토스에 따르면 3만명 중 유료 매칭으로 돈을 낸 설계사는 600명 수준이다.
개인 정보 판매됐다는 점 왜 알리지 않았나
보험 상담을 받기 위해 필수적으로 개인 정보를 제3자인 설계사에게 제공해야 한다는 점을 알리기 때문에 토스 측은 법리상 문제는 없다고 보고 있다. 개인 정보를 제3자에게 제공할 경우 개인정보보호법에 따라 ▲제공 목적 ▲제공받는 곳 ▲제공하는 항목 ▲이용 및 보유기간 등을 명시해야 하는데 이를 잘 준수했다는 것이다.
그런데 개인 정보가 설계사에게 '단순' 제공만 됐다는 점은 알 수 있지만, 설계사에게 돈을 받고 거래된다는 점은 알 수 없다. 이 지점서 고객들은 '한 번 팔린 개인 정보가 또 팔릴 수 있다'며 개인 정보 유출 가능성을 거론하고 있는 것이다.
토스 측은 "통상 보험업계의 DB 판매상들과 다르게 고객의 전화번호는 설계사에게 제공하지 않고 있으며, 안심번호를 통해 전화번호가 재유통되는 것을 막고 있다"며 "다만 유료 매칭 서비스에 대해 명확히 알리지 못한 점에 대해서 회사 측에서는 수정을 검토하고 있다"고 답했다.
금융감독당국 "데이터 판매만 집중했는지 살펴보는 중"
금융감독당국도 이 사안을 들여다 보고 있다. 토스 측으로부터 이번 사안이 왜 일어났는지 등에 대해 소명 자료를 받은 상태다.
금융감독원은 일단 토스가 '마이데이터(본인 신용정보관리업)' 라이선스를 취득한 만큼 데이터 판매·가공이 부수업무로 신용정보법상 허용된 만큼, 정보 판매는 문제가 없을 것으로 보고 있다. 앞서 토스는 마이데이터 라이선스 신청 때, 이 같은 데이터 판매를 하겠다는 내용을 금감원에 보고했다.
금감원 금융데이터실 관계자는 "마이데이터 인허가 때 보험 관련 데이터 판매를 유료화하겠다고 했으며 6월부터 진행했다"고 말했다.
관련기사
- [금융 D-택트] 토스뱅크는 IT 기업입니까?2022.05.28
- [금융 D-택트] 해외 소수점 거래, 카카오페이증권 vs 토스증권2022.05.14
- 토스 2021년 2160억 당기순손실…적자폭 전년比 137% 확대2022.03.31
- 핀테크는 득될 게 없어보이는 후불결제 서비스를 왜 할까2022.03.31
판매한 사실보다는 금감원에서는 데이터 판매 목적이 법상 어긋난 점이 있는지를 주목하고 있다. 신용정보법 상 제18조 6에 따르면 마이데이터는 정보 주체에 대해서만 전송 요구를 하도록 강요하거나 부당하게 유도하는 행위를 금지하고 있다.
금감원 관계자는 "데이터 제공 주체에게 편익이 있어야 하는데 이것이 우선이었는지 데이터 판매를 통해 회사가 수익을 올리려고만 한 것인지 등을 따져볼 것"이라며 "마이데이터 초기인만큼 규제 미비 사항이 없는지, 토스가 개인 정보를 어떤 목적으로 제공하고, 보유 및 이용 기한에는 문제가 없는지를 살펴보고 있다"고 말했다.
