토스의 개인정보 판매 논란이 스타트업에 남긴 교훈
*이 글은 외부 필자인 옥다혜님의 기고입니다. 최근 토스가 보험사에 개인정보를 팔았다는 논란이 불거졌습니다. 개인정보 1건당 6만9000원을 받고 보험설계사에게 팔았다고 하죠. (참조 - "1건당 6만 9천원" 토스, 보험설계사에 개인정보 팔았다.) 토스가 판매한 개인정보는 일반 정보(이름, 휴대폰 번호 등)와 보험 가입정보(보험사, 상품명 등) 크게 2가지입니다. 토스 측은 법으로 정해진 절차에 따라 개인정보 제3자 제공에 대한 동의를 받았다는 입장입니다. 이에 반해 소비자 측은 개인정보 제3자 '제공'에 동의했을 뿐, '판매'에는 동의하지 않았다고 주장합니다. 과연 토스의 개인정보 판매가 위법일지, 그리고 이번 사건을 통해 스타트업이 배울 점은 무엇인지 살펴보도록 하겠습니다. 토스의 개인정보 판매는 위법일까요? 이번 사건의 핵심은 '토스가 정보 주체(이용자)로부터 적법, 유효한 동의를 받았는지' 여부입니다. 정보 주체, 즉 이용자가 개인정보 제3자 '제공'에 동의했다는 사실은 분명합니다. 하지만 개인정보가 제3자에게 '판매'된다는 사실까지 알았다면, 동의하지 않았겠죠. 따라서 적법, 유효한 동의가 아니라는 주장이 가능하긴 한데요.