CloudPNG

ºC

logo
IT/바이오

“해외본사도 예외 없다”…개인정보위, 스타벅스 제재 파장

이소민 기자
입력

글로벌 IT·플랫폼 기업과 다국적 브랜드를 향한 한국의 개인정보 규제가 한층 강화되고 있다. 개인정보보호위원회가 미국 스타벅스 본사와 홍콩 수탁사에 대해 국내 납품업체 직원의 정보를 과도하게 다룬 책임을 물어 시정명령을 내리고, 국내에서 대형 온라인 백과사전 겸 커뮤니티 역할을 하는 나무위키를 자료 제출 불응으로 수사기관에 고발했다. 국내 이용자를 대상으로 서비스를 제공하는 해외 사업자라면 물리적 서버 위치나 법인 국적과 무관하게 한국법을 따라야 한다는 메시지로 해석된다. 업계에서는 이번 조치가 글로벌 IT와 플랫폼, 유통 기업 전반의 개인정보 관리 체계를 재점검하게 만드는 분기점이 될 수 있다고 본다.

 

개인정보위는 27일 전체회의를 열고 개인정보보호 법규를 위반한 스타벅스 본사와 그 수탁사 엘리베이트 홍콩 홀딩스 리미티드에 대해 시정명령과 개선 권고를 의결했다고 밝혔다. 동시에 루마니아 법인 Umanle S R L이 운영하는 나무위키가 국내법 적용을 부정하고 여러 차례의 자료 제출 요구에 응하지 않았다는 이유로 수사기관 고발을 의결했다.

스타벅스 사례의 발단은 2023년 제기된 언론보도와 민원이었다. 당시 스타벅스가 국내 납품업체 직원들에게 과도한 수준의 개인정보를 요구한다는 지적이 나오자, 개인정보위가 스타벅스 관계사를 상대로 사실관계 조사에 착수했다. 조사 결과 스타벅스 본사가 윤리구매 프로그램과 관련한 개인정보 위탁 업무를 맡긴 엘리베이트에 대한 관리 감독을 충분히 하지 않았고, 엘리베이트가 국내 정보주체의 개인정보를 필요 범위를 넘어 과도하게 처리한 사실이 확인됐다.

 

윤리구매 프로그램은 글로벌 소비재 기업이 공급망 전반에서 노동·환경·인권 기준을 준수하도록 관리하는 ESG 성격의 제도다. 스타벅스 본사는 납품업체와의 동반 성장을 표방하며 윤리적으로 생산된 제품을 조달하기 위해 이 프로그램을 운영해 왔고, 2023년 당시 국내에서의 윤리구매 평가는 스타벅스 본사와 계약한 엘리베이트가 담당했다. 문제는 이 과정에서 공급망 관리라는 목적을 넘어, 인사자료와 임금 내역, 출퇴근 시간 기록표 등 세부 인사정보까지 외부로 전송하며 광범위하게 수집·분석했다는 점이다.

 

개인정보위 조사에 따르면 엘리베이트는 납품업체 직원이 포함된 인사자료 등 여러 종류의 개인정보 파일을 납품업체 밖으로 전송해 평가 자료로 활용했다. 납품업체의 근로조건을 확인한다는 명목이었지만 평가에 불필요한 데이터까지 포함돼 있었고, 국내 개인정보보호법이 요구하는 최소 수집 원칙을 어긴 것으로 판단됐다. 정보주체인 납품업체 직원 입장에서는 자신과 직접 관련 없는 글로벌 공급망 평가 과정에서 동의·인지 범위를 넘어선 정보 활용이 이뤄진 셈이다.

 

스타벅스 본사의 위탁 관리 과정도 도마 위에 올랐다. 본사는 윤리구매 평가를 엘리베이트에 맡기면서 국내법이 규정하는 필수 사항을 충분히 반영하지 않은 채 위탁 계약을 체결했다. 또한 엘리베이트가 평가 과정에서 인사자료, 임금 정보, 출퇴근 기록 등 민감한 성격의 개인정보를 처리하는 상황을 제대로 점검하지 않고 관리 감독을 소홀히 했다. 개인정보위는 해외 본사가 주도하는 글로벌 프로그램이라도 국내에서 이뤄지는 개인정보 처리라면 위탁 계약 구조와 감독 체계에 한국 법규가 반영돼야 한다고 봤다.

 

이에 따라 개인정보위는 스타벅스 본사에 대해 개인정보 처리 업무를 위탁할 때 국내 개인정보보호법을 준수해 계약을 체결하고, 수탁자를 상대로 정기적 점검과 시정 조치를 포함한 관리 감독 절차를 마련할 것을 시정명령했다. 엘리베이트에 대해서는 법적 근거 없이 개인정보를 처리하지 말고, 수집 목적과 범위를 최소화하는 체계를 갖출 것을 명시적으로 요구했다. 사실상 글로벌 공급망 평가 플랫폼도 국내에서 개인정보를 다루는 순간 한국 규제를 회피할 수 없다는 선을 그은 조치다.

 

스타벅스코리아는 이번 사안에 직접 관여하지 않은 것으로 조사됐지만, 개인정보위는 국내 실질 운영 법인으로서 일정 부분 역할을 주문했다. 스타벅스코리아가 스타벅스 본사, 엘리베이트, 국내 납품업체 등 이해관계자에게 한국 개인정보보호법의 주요 의무와 절차를 안내하고, 향후 윤리구매 프로그램과 관련한 개인정보 처리에서 국내법 준수가 이뤄지도록 협력하라는 권고가 이뤄졌다. 글로벌 프랜차이즈 구조에서 국내 법인이 해외 본사와 수탁사의 규제 준수 가교 역할을 해야 한다는 의미도 담겼다.

 

한편 온라인 커뮤니티형 위키 서비스인 나무위키에 대해서는 보다 강경한 조치가 내려졌다. 나무위키는 국내 이용자를 대상으로 콘텐츠 접근과 편집 서비스를 제공하고 있으며, 서버와 운영 법인은 해외에 있는 구조다. 개인정보위에 따르면 나무위키 운영사 Umanle S R L은 국내 이용자를 대상으로 하는 서비스 제공 실태를 고려해 국내법 적용 대상임이 명백함에도, 특정 국가의 법률만 적용된다고 주장하며 한국 당국의 관할을 부정해 왔다.

 

개인정보위가 나무위키 측에 여러 차례 개인정보 처리와 관련한 자료 제출을 요구했지만, 운영사는 이에 응하지 않았다. 개인정보위는 정당한 자료 제출 요구에 반복적으로 불응한 것은 개인정보보호법상 의무 위반이자 감독 회피에 해당한다고 보고 수사기관에 고발 조치를 의결했다. 글로벌 디지털 플랫폼이 물리적 서버 위치나 해외 법인 구조를 근거로 국내 감독을 피해 가는 관행에 제동을 건 셈이다.

 

이번 결정은 클라우드, 글로벌 앱 마켓, 해외 기반 커뮤니티 서비스 등 IT와 디지털 헬스, 바이오 데이터 플랫폼을 포함한 광범위한 서비스 사업자에게 영향을 줄 수 있다. 국내 이용자의 개인정보를 수집하거나 프로파일링에 활용하는 경우, 국외 이전 여부와 무관하게 한국 개인정보보호위원회의 감독과 제재 대상이 될 수 있다는 점이 명확해졌기 때문이다. 특히 공급망 평가, ESG 데이터 수집, 인력 관리 솔루션 등 백오피스형 서비스도 개인정보 규제망 안으로 들어오는 흐름이 가속할 가능성이 있다.

 

업계에서는 이번 조치가 글로벌 기업의 컴플라이언스 체계에 변화를 요구할 것으로 보고 있다. 한 국내 데이터 보호 전문가는 해외 본사와 수탁사가 주도하는 프로그램이라도 국내 납품업체 직원의 인사·근무 정보까지 다룬다면 한국법 적용을 전제로 한 위탁 계약과 기술적 보호 조치가 필수적이라며, 앞으로는 공급망 ESG 평가 솔루션과 HR 분석 서비스 전반에서 개인정보 최소 수집과 목적 제한 원칙을 반영한 재설계가 불가피해 보인다고 말했다.

 

디지털 플랫폼 업계는 나무위키 고발을 계기로 국내 사용자 기반을 가진 해외 서비스 전반에 대한 조사 범위가 확대될 가능성에도 주목하고 있다. 개인정보위가 향후 유사 사례를 본격적으로 점검한다면, 각국의 데이터 규제와 충돌을 최소화하면서도 국내 규제를 반영한 다층적 거버넌스 모델을 구축해야 하는 과제가 커질 수 있다.

 

개인정보위는 이번 조치에 대해 국내외 사업자 누구에게나 동일한 기준을 적용하는 것이 원칙이라는 입장이다. 산업계는 글로벌 기업의 공급망 평가와 온라인 플랫폼 운영 방식이 국내 개인정보 규제 체계에 얼마나 빠르게 적응할지, 그리고 강화된 규제가 실제 시장에서의 신뢰와 경쟁력으로 이어질 수 있을지 예의주시하고 있다.

이소민 기자
share-band
밴드
URL복사
#개인정보위#스타벅스본사#나무위키