중국 로봇 청소기 개인정보 관리가 이렇게 허술하다니...깜깜이거나 두루뭉실하거나
이용자 정보 공유 업체명, 보유기간 등 미공개
2025-03-06 송혜림 기자
일부 업체는 사용자의 개인정보를 외부로 공유받는 업체를 명시하지 않거나 정보 보유 기간을 두루뭉실하게 표기하는 문제가 발견됐다. PC와 모바일상 개인정보처리방침 내용이 서로 다른 황당한 경우도 드러났다. 로봇청소기가 촬영하는 사진이나 영상 등 시각적 데이터를 어떻게 수집·저장, 폐기하는지에 대한 내용도 찾아보기 어려웠다.
6일 개인정보보호위원회(이하 개인정보위)가 주요 로봇청소기 브랜드의 개인정보 수집·이용 실태 점검에 나선 가운데 소비자가만드는신문이 삼성전자와 LG전자, 로보락, 에코백스, 드리미, 나르왈 등 국내외 제조사 6곳의 개인정보처리방침을 조사한 결과 중국 제조사 대부분 중요 정보 등을 누락하는 등 약관 내용에서 허점이 드러났다.
삼성전자, LG전자 등 국내 업체들과 달리 중국 제조사들은 개인정보처리방침에서 공통적으로 '제3자 서비스 제공업체', '국외이전 기관' 등이 개인정보를 얼마나 보관하는지 명확히 기재해두고 있지 않았다. '제3자 서비스 제공업체'란 본래 서비스 제공과는 다른 마케팅, 제휴 서비스를 위해 개인정보를 제공받는 업체다.
'개인정보 보호법' 제17조에 따르면 '제3자 제공 항목'의 경우 △개인정보를 제공받는 자 △이용 목적 △개인정보 항목 △보유 및 이용 기간 등을 구체적으로 명시해야 한다. 이 중 어느 하나라도 변경할 경우 정보주체의 동의를 받아야 한다.
드리미는 이용자 정보가 '제3자 서비스 제공업체', '국외'로도 이전된다고 쓰여 있으나 정작 정보를 공유 받는 업체명은 기재하지 않았다. 드리미 개인정보 이용방침을 살펴보면 '미국과 독일, 싱가포르에 데이터 센터를 운영 중이며 사용자의 개인 정보는 사용자 거주 지역에 따라 서버에 저장된다. 사용자가 유럽 연합에 있을 경우 독일 서버에 저장된다', '사용자 관할 구역 밖에 있는 계열사 혹은 서드파티 서비스 제공자에 개인 정보를 전송해야 할 때 준거법을 따라 진행' 등으로만 기재될 뿐 정확히 어디 업체에 몇 개월 보관되는 지는 알 수 없다.
로보락의 경우 개인정보를 공유받는 계열사 항목의 보유 및 사용 기간에 ‘비즈니스상 목적 또는 사용자의 요청에 따라 필요한 기간’이라고만 명시해두고 있다. 제3자 서비스 제공업체(제 3자 파트너사)에 대해서는 밝히고 있으나 보유 기간은 알 수 없다.
항목을 살펴보면 개인정보 처리방침에 포함된 모든 개인 정보데이터는 베이징에 위치한 '로보락 이노베이션 테크놀로지'에서 관리하고 있다. 장치 식별자 등의 장치 정보는 '항저우 투야(Tuya) 인포메이션 테크놀로지'라는 사물인터넷(IoT) 업체와 공유한다. 투야는 미국 상원에서 개인 정보 유출 우려를 제기하며 미국 재무부에 제재를 요청한 기업으로 알려져 있다.
로보락 측은 "개인 정보는 서비스 제공에 필요한 기간 또는 관련 법률에서 정한 기간 동안 보관되며 보관이 더 이상 필요하지 않을 시 삭제되거나 익명화된다"고 설명했다.
사진이나 영상, 음성 등 시각적인 개인정보를 관리하는 제3자 업체를 명확하게 기재한 곳은 에코백스 한 곳이다. 삼성전자와 LG전자 등 국내 제조사들은 다른 업체에 전달 없이 기기 자체적으로 데이터를 수집하고 짧으면 하루 이내에 바로 폐기하고 있다. 로보락도 기기 자체적으로 저장하고 폐기한다고 밝혔다.
에코백스는 ‘알리 클라우드 비디오 서비스’에서 청소 환경의 장애물을 분석하고 분류하기 위한 목적으로 장치에서 캡처하고 녹화한 사진 및 비디오를 공유받고 있다고 안내하고 있다. 음성 데이터는 중국으로 전송돼 에코백스 로컬 서버에 저장되나 개인 설정을 통해 사용자가 자유롭게 비동의할 수 있도록 선택권을 부여하고 있다는 설명이다.
로보락 측은 “로봇청소기가 자체적으로 수집하는 영상 데이터, 오디오 데이터 등의 정보는 서버에 저장되지 않으며 장애물 회피를 위한 이미지 데이터는 로봇청소기 자체에만 저장된다”라면서 시각 및 음성 데이터 관리 업체에 대한 명시가 없는 이유를 설명했다. 이어 “이미지 데이터는 기기 내에서 암호화된 상태로 저장된 후 자동 삭제되며 사용자는 영상 및 오디오 데이터 기능을 직접 설정하고 언제든지 삭제하거나 관리할 수 있다”라고 덧붙였다.
드리미와 나르왈은 사진과 영상 등 시각적 데이터를 처리하는 업체와 보유 기간 등을 질의했으나 답하지 않았다. 두 업체는 PC에서는 개인정보 처리방침을 확인할 수 없었다. 어플을 다운로드해 회원가입을 진행해야 확인 가능했다.
마지막으로 중국 제조사들은 국내 총판을 통해서 제품을 판매하고 AS서비스 역시 총판을 통해 제공되고 있음에도 불구하고 이들 총판에 대한 명칭이나 구체적인 정보는 모두 동일하게 방침에서 확인할 수 없었다.
개인정보 처리방침의 변경 사항을 고지하는 방식 역시 국내 제조사와 차이가 있었다. 삼성전자는 공지사항을 통해 개인정보 처리방침 변경 내용과 변경 시행일을 안내하고 있으며, LG전자도 공지사항을 통해 변경 예정일 30일 전에 사전 고지하고 있다. 앱과 메일 등으로도 안내하고 있다.
로보락, 에코벡스, 드리미, 나르왈 등 중국 제조사 중 로보락과 에코백스는 앱을 통해 변경 내용을 수시로 고지하고 있다고 해명했다. 드리미와 나르왈은 답변하지 않았다. 다만 나르왈은 유일하게 공지사항을 운영하고 있으나 '개인정보 처리방침' 관련 변경 사항에 대해서는 찾아볼 수 없었다.
개인정보보호법 시행령 제30조 제1항 '개인정보 처리방침의 수립 및 공개'에 따르면 개인정보 처리자는 개인정보 처리방침을 수립해 이를 홈페이지에 게시하는 등 쉽게 확인할 수 있는 방법으로 공개해야 한다고 명시돼 있다. 이를 따르지 않을 경우 국내 제조사는 물론 해외 제조사도 위법 소지가 있다.
개인정보위는 지난 4일 삼성전자와 LG전자, 로보락, 에코백스를 대상으로 개인정보 처리 과정 전반에 대해 개인정보 보호법 준수 여부를 살펴볼 계획이라고 밝혔다. 구체적으로는 ▲개인정보 처리 주체 ▲개인정보 처리 동의 여부 ▲수집·이용 항목 및 목적 ▲개인정보 보관·이전·전송 방식 ▲제3자 제공·공유 여부 등이다.
개인정보위 관계자는 "내국인의 개인 정보를 처리하는 경우에는 해외 제조사도 국내법 적용을 받는다"라면서 "다만 개인정보 처리방침 내용만으로는 위법 사항을 판단하기 어렵고 실제로 개인정보가 처리되는 과정 등을 면밀히 판단해 봐야 한다"고 전했다.
각 업체들도 이번 실태조사에 성실히 임하겠단 입장이다.
로보락 측은 "개인정보위 조사에 성실히 협조하고 개인정보 보호에 대한 우려를 해소하기 위해 최선을 다할 예정"이라고 전했다.
에코백스 측은 "글로벌 보안 및 개인정보 보호 규정을 준수하며, 한국의 개인정보 보호법을 포함한 각국의 법규를 철저히 따르고 있다"면서 "현재 개인정보위의 점검이 진행될 예정인 만큼, 관련 법규를 성실히 준수하며 필요한 협조를 제공할 것"이라고 말했다.
일각에서는 개인정보위가 이번 단기적인 실태 조사를 넘어서 해외 제조사들의 개인정보 처리방침을 정기적으로 확인 및 시정해 국내 소비자 우려 불식에 나서야 한다는 목소리가 나온다. 삼성전자, LG전자는 이전부터 개인정보위를 통해 연례적으로 개인정보 처리방침을 검수 받고 보완이 필요한 부분은 수정해오는 것으로 알려졌다.
인하대학교 이은희 소비자학과 교수는 "중국 제조사들이 국내 소비자 우려 해소를 위해 직접 대한민국 정부에 개인정보 처리방침에 대한 인증을 요청할 필요도 있다. 국내에서 개인정보 보호 관련 인정을 받으면 다른 나라로 제품을 수출할 때도 이점이 있을 것"이라고 말했다.
[소비자가만드는신문=송혜림 기자]