[보안뉴스 김형근 기자] 글로벌 신용정보 및 데이터 분석 기업 엑스페리안 네덜란드 법인이 개인정보 무단 수집과 활용으로 벌금을 맞고 유럽 시장에서 철수했다.
엑스페리안 네덜란드는 고객 동의 없이 외부 공공 및 민간 조직에서 개인정보를 무단으로 대량 수집하는 등 유럽 일반 개인정보보호법(GDPR)을 위반, 네덜란드 정부에게 270만유로(한화 약 45억원)의 벌금 처분을 받았다.
다수 출처에서 부적절한 데이터 수집
엑스페리안은 세계 40개 이상 국가에서 은행 및 대출 기관의 위험 평가를 돕는 서비스를 제공한다.
네덜란드 데이터보호국(AP) 조사 결과, 엑스페리안은 상공회의소 등록소(Chamber of Commerce Register) 와 고객 정보를 판매한 통신사, 에너지 기업 등 다수 공공 기관 및 개인 기업에게서 사전 동의 없이 개인 데이터를 무단 수집해 방대한 데이터베이스를 구축한 것으로 드러났다.
엑스페리안은 이처럼 개인 정보를 수집하는 사실을 정보 주체에게 알리지 않았다. 또 데이터 수집의 정당한 이유를 제시하지 못했음에도 수집한 데이터를 부적절하게 사용했다고 AP는 판단했다.
엑스페리안은 이렇게 수집한 데이터를 기반으로 선정한 신용 평가 점수를 서비스 제공업체와 판매자에게 전달했다.
이 신용 평가 점수에 따라 이자율과 선불 보증금이 높아진 사람들이 나타났다. 할부금을 더 이상 낼 수 없거나 에너지 공급업체를 변경할 때 고액의 보증금을 요구받은 사람들의 민원이 발생하기 시작했다. 신용 점수가 낮게 평가된 사람들은 에너지 공급업체를 바꿀 때 고액의 보증금을 내야 하는 등 피해를 겪었기 때문이다.
AP 보고서에 따르면 엑스페리안은 네덜란드 내 방대한 개인 정보를 포함하는 대규모 데이터베이스를 구축하기 위해 상공회의소 무역 등록부와 고객 정보를 판매한 통신 및 에너지 회사 등 여러 출처에서 데이터를 수집했다.
AP 결정에 승복, 중앙 유럽에서 사업 철수
이 데이터에는 개인 연체나 채무 불이행과 같은 ‘부정적 지불 행동’, 미결제 부채, 파산 등의 정보가 포함돼 있었다.
알레이 울프센 AP 국장은 “개인들은 엑스페리안이 자기 정보를 몰래 모아 신용 점수를 매긴다는 사실 자체를 몰랐기 때문에, 자기 신용 정보에 오류가 있어도 그걸 고치거나 이의를 제기할 기회를 완전히 빼앗겼다”고 말했다.
AP는 엑스페리안이 개인 정보 수집 사실 고지, 동의 획득, 데이터 수집 필요성의 정당화 등 GDPR의 핵심 조항들을 위반했다고 결론 내렸다.
엑스페리안은 자사 활동이 불법적 성격을 띠고 있었음을 인정하고 AP 결정에 항소를 제기하지 않기로 했다. 엑스페리안 네덜란드 법인은 벌금 납부와 더불어 중앙 유럽에서 모든 사업을 중단하기로 결정했다. 또 연말까지 전체 개인 데이터베이스를 삭제하겠다고 약속했다.
[김형근 기자(editor@boannews.com)]
엑스페리안 네덜란드는 고객 동의 없이 외부 공공 및 민간 조직에서 개인정보를 무단으로 대량 수집하는 등 유럽 일반 개인정보보호법(GDPR)을 위반, 네덜란드 정부에게 270만유로(한화 약 45억원)의 벌금 처분을 받았다.
다수 출처에서 부적절한 데이터 수집
엑스페리안은 세계 40개 이상 국가에서 은행 및 대출 기관의 위험 평가를 돕는 서비스를 제공한다.
네덜란드 데이터보호국(AP) 조사 결과, 엑스페리안은 상공회의소 등록소(Chamber of Commerce Register) 와 고객 정보를 판매한 통신사, 에너지 기업 등 다수 공공 기관 및 개인 기업에게서 사전 동의 없이 개인 데이터를 무단 수집해 방대한 데이터베이스를 구축한 것으로 드러났다.
엑스페리안은 이처럼 개인 정보를 수집하는 사실을 정보 주체에게 알리지 않았다. 또 데이터 수집의 정당한 이유를 제시하지 못했음에도 수집한 데이터를 부적절하게 사용했다고 AP는 판단했다.
엑스페리안은 이렇게 수집한 데이터를 기반으로 선정한 신용 평가 점수를 서비스 제공업체와 판매자에게 전달했다.
이 신용 평가 점수에 따라 이자율과 선불 보증금이 높아진 사람들이 나타났다. 할부금을 더 이상 낼 수 없거나 에너지 공급업체를 변경할 때 고액의 보증금을 요구받은 사람들의 민원이 발생하기 시작했다. 신용 점수가 낮게 평가된 사람들은 에너지 공급업체를 바꿀 때 고액의 보증금을 내야 하는 등 피해를 겪었기 때문이다.
AP 보고서에 따르면 엑스페리안은 네덜란드 내 방대한 개인 정보를 포함하는 대규모 데이터베이스를 구축하기 위해 상공회의소 무역 등록부와 고객 정보를 판매한 통신 및 에너지 회사 등 여러 출처에서 데이터를 수집했다.
AP 결정에 승복, 중앙 유럽에서 사업 철수
이 데이터에는 개인 연체나 채무 불이행과 같은 ‘부정적 지불 행동’, 미결제 부채, 파산 등의 정보가 포함돼 있었다.
알레이 울프센 AP 국장은 “개인들은 엑스페리안이 자기 정보를 몰래 모아 신용 점수를 매긴다는 사실 자체를 몰랐기 때문에, 자기 신용 정보에 오류가 있어도 그걸 고치거나 이의를 제기할 기회를 완전히 빼앗겼다”고 말했다.
AP는 엑스페리안이 개인 정보 수집 사실 고지, 동의 획득, 데이터 수집 필요성의 정당화 등 GDPR의 핵심 조항들을 위반했다고 결론 내렸다.
엑스페리안은 자사 활동이 불법적 성격을 띠고 있었음을 인정하고 AP 결정에 항소를 제기하지 않기로 했다. 엑스페리안 네덜란드 법인은 벌금 납부와 더불어 중앙 유럽에서 모든 사업을 중단하기로 결정했다. 또 연말까지 전체 개인 데이터베이스를 삭제하겠다고 약속했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
