국내 로봇청소기 1위 로보락 뿐만 아니라 드리미와 나르왈도 한국 사용자의 개인정보 처리·보관과 제3자 제공에 대해 허술하고 두루뭉술한 약관을 적용한 것으로 나타났다.
이들은 위탁운영을 이유로 과도하게 중국 현지 기업에 국내 사용자 개인정보를 전송하거나 아예 전송 대상과 항목 등을 기재하지 않는 등 부실한 개인정보 보호체계를 운영하고 있다. 개인정보 보호 기간과 파기 기한을 구체적으로 명시하지 않고 사용자 약관에 동의하지 않으면 앱 사용 자체를 할 수 없도록 하고 있다.
중국 로봇청소기 제조사인 로보락, 에코백스, 드리미, 나르왈의 개인정보처리방침을 조사한 결과, 다수의 중국 제3자 서비스 제공업체에 국내 사용자 정보를 제공하는 것으로 나타났다.
특히 국내 사용자의 개인정보를 중국으로 전송하는 데 명확하고 구체적 고지가 부족했다.
또, 모든 약관 내용에 동의하지 않으면 앱 서비스를 이용할 수 없는 방식을 적용했다. 약관에 동의하지 않으면 사실상 앱을 사용할 수 없어 로봇청소기 이용에 상당한 제약이 따를 수밖에 없다.
개인정보보호위원회는 국내에 로봇청소기를 유통하는 주요 제조사인 로보락, 에코백스, 샤오미, 삼성전자, LG전자를 대상으로 개인정보보호법 준수 여부 조사에 착수했다. 〈본지 3월 5일자 1면 참조〉
◇정보 저장·활용처, 대부분 '중국'…'깜깜이' 약관도
나르왈 약관에 따르면, 본사인 운경인텔리전스(Yunjing Intelligence)와 계열사인 운경정보서비스, 운경 인텔리전스 테크놀로지, 홍콩에 위치한 나르왈 트레이딩에 연락처, 결제정보, 사진과 비디오, 계정정보 등을 공유하고 있다.
또, 위탁운영을 위해 다수 중국 기업에 국내 사용자 개인정보를 제공하고 있다.
웹사이트와 앱 운영사인 중국 클라우드 관리서비스(MSP) 기업 심천 훠선화구정보기술과 베이징 바이두 왕선기술에 정보를 제공하는 것으로 나타났다. '이미지 문자 탐지와 인식 서비스 활성화'를 목적으로 장치 식별자와 네트워크 정보(IP주소 등)도 제공한다.
구체적으로 어떤 이미지 문자 데이터를 전송하는지, 초기 맵핑 데이터만 해당하는 지 등은 명시하지 않았다. 사실상 로봇청소기 카메라에서 감지하는 다양한 집안 내 영상을 중국으로 보낸다 해도 이상하지 않은 약관인 셈이다.
이외에 고객 서비스와 사후서비스(AS)를 목적으로 중국 프레시웍스에, 주문 이행과 AS를 위해 심천이창기술에 이름, 연락처, 이메일, 주소 등을 제공한다.
나르왈의 국내 AS는 SK네트웍스서비스 서비스엔(N)이 담당한다. 어떤 이유로 중국 기업에 해당 정보를 제공하는지 설명이 부족하다.
나르왈은 사실상 중국 본사가 국내 총판을 앞세워 영업하면서 중국 본사가 직접 국내 사용자 정보를 수집하는 구조로 해석된다.
위탁운영은 개인정보보호법 상 개인정보처리방침에 고지 항목을 공개하면 사용자로부터 별도 동의를 받지 않아도 된다.
그러나 중국 본사로 이전된 국내 사용자 개인정보를 마케팅 등 다른 용도로 활용할 경우 사용자로부터 개인정보 국외이전에 대한 별도 동의를 받아야 한다. 정보 저장·활용이 중국에서 이뤄지고 있어 사실상 정보 이용 행태를 관리하기 어렵다는 지적이다.
특히 중국은 데이터안전법 제35조에 따라 현지 운영 기업은 정부가 국가 안보나 이익을 보호하기 위해 데이터를 요청할 경우 이에 협조해야 한다. 국가 안보나 이익에 대한 정의가 명확하지 않아 국내 사용자 관련 정보도 대상이 될 수 있다는 지적이 끊이지 않는다.
드리미는 어떤 종류의 개인정보를 어떤 목적으로 수집·이용하는지, 보유 기간은 언제까지인지 등에 대한 명확한 고지가 태부족했다. 사실상 약관이라 보기 어려운 충격적 수준이라 해도 과언이 아닐 정도였다.
'지역의 정보보호법에서 명시적으로 허용하는 상황과 범위 내에서 사용자 동의없이 개인정보를 수집, 이용, 혹은 공개할 수 있다'고 명시하면서도 구체적 수집 항목과 이용 목적 등은 고지하지 않았다.
사용자 개인정보 저장 위치도 명확하지 않다.
드리미는 약관에서 '미국, 독일, 싱가포르에서 데이터센터를 운영하고 있다'며 사용자 개인정보는 사용자 거주지역에 따라 서버에 저장된다고만 명시했다. 한국 사용자에 대한 구체적 언급은 없다.
또 서드파티 서비스 제공자에게 비즈니스상 필요한 사용자의 개인정보를 제공할 수 있음을 전제하면서도 어떤 사업자에게 어떤 정보를 제공하는지 고지하지 않았다.
나르왈은 국내 총판 중심으로 영업하면서 물류, AS, 고객 서비스 등에 걸쳐 본사가 개인정보를 직접 수집했다. 이를 감안하면 드리미도 국내 사용자 정보를 계열사나 국내외 협력사와 공유할 가능성이 있지만 구체적 정보를 제공하지 않은 셈이다.
법률 전문가는 “중국은 네트워크안전법에 따라 개인정보와 중요 데이터를 수집·생성한 핵심 정보인프라 운영자에게 중국 내 데이터 저장을 의무화했다”며 “반면, 우리 정부는 해외 기업이 별도 동의 없이도 국내 사용자 정보를 수집하고 해외에 보관해도 문제삼지 않은 것을 놓고 기업들이 아쉬워하는 상황”이라고 전했다.
◇상위 브랜드도 개인정보 체계는 허술
국내 1위 로봇청소기 브랜드인 로보락은 지난달 불거진 개인정보보호와 데이터 처리 문제에 대해 “당사는 한국 법률을 엄격히 준수한다”고 밝혔지만 개인정보보호방침은 허술했다.
로보락은 개인정보보호방침에서 베이징 로보락 이노베이션 테크놀로지(앱의 일상적 작동·유지관리), 항저우 투야 인포메이션 테크놀로지(IoT 서비스 사용 허용) 등을 제3자 파트너사로 명시했다.
또 '사용자가 계열사와 제3자 파트너와의 개인정보 공유를 거부하면 특정 앱 서비스 혜택을 완전히 누리지 못할 수 있다'고 명시했다. 실제로는 모든 약관과 개인정보보호방침에 동의해야만 앱 회원가입이 가능해 개인정보 공유를 원치 않으면 서비스를 이용할 수 없다.
에코백스는 장애물 인식 서비스에 대해서는 중국 알리바바 클라우드 컴퓨팅에 캡처된 사진과 비디오 녹화본을 전송한다고 고지했다. 또, 로컬 소음 감소를 위해 중국 베이징 바이두 넷컴 사이언스 테크놀로지와 중국 AI스피치 테크놀로지에 사용자 음성 메시지 데이터를 전송한다고 고지했다.
중국 센서스 데이터 네트워크 테크놀로지에는 데이터 분석을 위해 사용자 ID와 장치일련번호 등을 제공한다. 개인정보는 싱가포르에 저장되나 다른 관할 구역으로 이전될 수 있다고 언급했다.
글로벌 기업의 한국법인 관계자는 “중국 로봇청소기 제조사들은 약관에서 개인정보 보호 방침이 강력한 미국이나 유럽 기준은 별도 표기해 준수했지만 한국 시장 특징을 반영한 약관은 찾아보기 어려웠다”며 “사실상 중국 현지에서 통용되는 느슨한 개인정보 잣대를 한국에 그대로 적용한 게 아닌가 싶다”고 지적했다.
배옥진 기자 withok@etnews.com
