[사설] 삼성전자서비스 판단이 법 위에 있나

삼성전자서비스(이하 서비스)의 고객 개인정보 보호 의식이 이상하다. 서비스는 최근 고객들에게 ‘삼성전자 멤버십 일정 기간 미이용 고객 회원 정보 분리 보관 안내’라는 이메일을 발송했다. 정보통신법에 따른 안내다. 여기서 서비스 측은 개인 정보의 처분 유효 기간을 3년, 5년, 멤버십 탈회의 세 가지로 구분했다. 하지만, 이는 현행법이 정한 기한을 초과하는 위법한 고지다. 고객들의 선택권 박탈이다.

관련 시행령이 정하고 있는 개인정보 파기 기한은 1년이다. ‘최소한 1년에 한 번은 정보 보유 여부를 타진해야 한다’는 의미다. 개인 정보 보유 기간이 길어지면서 발생할 수 있는 유출 위험을 최소화하기 위한 규정이다. 입법 취지를 살린다면 기업의 고객의사 확인은 ‘1년’을 넘기면 안 된다. 서비스 측은 “개인 정보 연장에 대해 따로 연락을 취하는 등의 불편을 없애기 위해서”라고 이유를 설명하고 있다.

어불성설이다.

개인 정보 유출로 인한 피해는 이미 우리 사회가 직면한 최대 문제다. 보이스 피싱 피해에서 대부업체 스팸 피해까지 다양하다. 삼성도 이 문제에서 자유롭지 못하다. 삼성카드에서 발생한 개인정보 대량 유출 사건이 있었다. 카드사 직원이 고객 정보 192만건을 조회하고 이 가운데 47만여건을 빼냈다. 이 정보가 대부업체로 넘어갔고 수많은 고객들이 스팸 피해를 당했다. 담당 직원은 사법처리까지 됐다.

불과 4년여 전 일이다. 삼성전자서비스도 삼성전자의 자회사다. 고객들에게는 ‘삼성’이라는 세계적 기업의 한 회사로 인식된다. 그런 회사에서 법이 지키도록 규정한 한계까지 초과하며 개인정보 보호 의무를 무시하고 있는 것이다. ‘고객의 불편함을 덜어주기 위해서였다’는 이유도 궁색하다. 고객의 불편이 아니라 회사의 불편함 때문은 아닌지, 고객의 이익이 아니라 회사의 이익 때문은 아닌지 궁금하다.

유럽연합(EU)은 최초로 잊혀질 권리가 포함된 개인정보보호규정을 입법하기로 했다. 유럽재판소도 이를 인정하는 판결을 내리고 있다. ‘잊혀질 권리’, 즉 개인정보삭제에 대한 권리문제가 이렇게 세계 공통의 숙제가 되고 있다. 만일 우리 기업이 유럽 또는 미국에서 국내 기업이 해당 국가가 정해놓은 개인정보 보호 규정을 위반했다면 어떻게 되겠는가. 틀림없이 새롭게 봉착해야 할 무역 장벽이 되었을 것이다.

다른 기업도 아니고 삼성이고 삼성 자회사다. 개인정보 보호에 대한 사회적 규범에 충실히 따르길 바란다.