개인정보 보호법 위반했는데 정보보호는 우수?
컴투스플랫폼의 NFT 마켓 엑스 플래닛(X-PLANET)이 개인정보 보호담당 부서 연락처를 표기하지 않고 영업 중인 것으로 확인됐다.
혹자는 연락처가 없다고 해서 법 위반 사유에 해당하지 않는다고 반문할 수 있지만, 개인정보 보호법은 책임자의 이름을 비롯해 고충 처리 부서와 전화를 표기해야 한다.
7일 컴투스홀딩스, 컴투스플랫폼 등에 따르면 엑스 플래닛은 로그인 과정에서 구글이나 페이스북 로그인을 지원하며, 엑스플라(XPLA) 기반 엑스 플래닛 월렛을 연동한다.
회사 측은 만 19세 이상 이용할 수 있다는 점과 별도의 KYC를 진행한다고 설명하지만, 일부 NFT 마켓 사업자들과 마찬가지로 개인정보 보호법 위반 소지가 농후하다.
가상자산을 취급하는 사업자(거래소, 지갑, 커스터디)는 특금법에 따라 신고 수리 대상이다. 단 엑스 플래닛과 같은 NFT 매매는 디파이 사업자와 마찬가지로 신고 대상은 아니다. 하지만 회원 가입과 유치, 프로모션 등은 개인정보 보호법에 해당하며, 특히 모든 업종이 적용되는 일반법이라 제외 업종은 없다.
개인정보 보호위원회에 따르면 개인정보 보호책임자의 지정에 따라 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처를 '개인정보 처리방침'에 명시해야 한다.
컴투스플랫폼은 이메일 외에는 별도의 연락처를 표기하지 않았다. 회사 측이 엑스 플래닛 회원이 자신의 개인정보 보호 관리 관련 권리 행사를 위해 서면, 전화, 전자우편, 팩스 등으로 연락할 수 있다고 설명했지만, 정작 '전화'가 빠진 셈이다.
컴투스플랫폼은 컴투스홀딩스의 자회사로 정보보호산업법에 따라 의무공시 대상이 아님에도 자율적으로 정보보호 공시를 등록했다.
회사 측이 밝힌 ISMS는 정보통신망법에 따라 한국인터넷진흥원(KISA)이 관할, 컴투스플랫폼은 온라인 서비스 운영(HIVE Infra, G-Cloud)(심사받지 않은 물리적 인프라 제외)로 ISMS-KISA-2020-234라는 인증번호를 부여받았다.
올해 12월 15일에 만료를 만두고 ISMS 인증 갱신심사 과정에서 '개인정보 보호법' 위반 사항이 변함이 없다면 과기부나 KISA의 부실 심사가 수면 위로 떠오를 가능성도 배제할 수 없다. 개인정보 보호법 위반 소지가 있는 기업에 KISA가 '정보보호 투자 우수기업'이라 엠블럼까지 부여한 이상 '부실 인증' 논란도 거세질 전망이다.
'뉴스 센터 > 기획' 카테고리의 다른 글
| 산체스를 산체스라 부르지 못하는 게임업계 '대략 난감' (0) | 2023.08.08 |
|---|---|
| 손 놓은 금융위, 불법 거래소 '28곳'은 무관심 (0) | 2023.08.02 |
| 너에게 팔고 튀는 NFT, 언제까지 계륵(鷄肋)인가 (0) | 2023.07.24 |