온라인 쇼핑몰 개인정보 보호, 유럽과 한국의 차이점은?
전자상거래는 이제 일상의 중심이 되었고, 소비자는 클릭 한 번으로 수많은 제품을 구매하고 반품하며 다양한 혜택을 누린다. 하지만 구매 과정에서 남겨지는 개인정보, 구매 이력, 결제 정보, 접속기록 등은 고스란히 플랫폼에 저장되고, 마케팅, 추천, 가격 책정 등 여러 방식으로 재활용된다. 유럽은 이러한 데이터 흐름 속에서 소비자의 권리를 강화하기 위해 GDPR을 기반으로 한 전자상거래 관련 규제를 엄격히 적용하고 있으며, 실제 운영 시스템도 사용자 중심으로 설계되어 있다. 반면 한국은 표면적으로는 소비자 보호가 보장되어 있지만, 실제 데이터 처리 관행이나 사용자 권리 행사 측면에서는 구조적인 한계가 존재한다. 이 글에서는 유럽과 한국의 온라인 쇼핑몰에서 소비자가 누릴 수 있는 권리의 차이를 개인정보 보호 관점에서 비교 분석한다.
유럽 쇼핑몰의 개인정보 수집과 동의 체계
유럽의 온라인 쇼핑몰은 소비자가 회원가입이나 상품 구매를 시도하는 순간부터 GDPR에 따른 명확한 고지 및 동의 체계를 제공한다. 개인정보 수집 항목, 수집 목적, 보관 기간, 제3자 제공 여부 등은 모두 평이한 언어로 설명되며, 사용자는 항목별로 동의를 선택할 수 있다. 예를 들어 독일의 Zalando나 프랑스의 La Redoute는 회원가입 시 “이메일 주소는 주문 확인 및 배송 안내에만 사용됩니다”와 같이 용도별 분리 고지를 하고, 마케팅 수신 여부는 별도의 체크박스를 통해 자발적으로 선택하게 한다.
특히 쿠키 사용에 대한 안내와 선택권 제공이 기본화되어 있다. 분석용 쿠키, 맞춤형 추천 쿠키, 리타게팅 광고용 쿠키 등은 모두 비활성화 상태로 제공되며, 사용자가 설정 페이지에서 이를 직접 켜야만 작동한다. 이러한 방식은 사용자의 자율성을 보장하고, 이후 데이터 활용에 대한 법적 리스크를 줄이기 위한 구조이기도 하다. 더불어 유럽 쇼핑몰은 ‘개인화 추천’을 기본 제공하지 않고, 사용자가 ‘개인화 활성화’를 명시적으로 동의해야만 관련 상품 추천이나 가격 차등 표시가 이루어진다.
또한 소비자가 열람·정정·삭제 요청을 할 경우, 시스템 내에서 처리할 수 있는 구조를 갖추고 있다. GDPR 제15~17조에 따라 사용자는 주문 이력, 결제 내역, 배송지 정보 등 자신이 남긴 모든 정보를 확인하거나 삭제 요청할 수 있으며, 유럽의 대형 플랫폼들은 이를 온라인 요청 양식 또는 계정 내 설정 메뉴를 통해 제공하고 있다. 이처럼 유럽 쇼핑몰은 법적 책임을 기술적으로 이행하는 시스템 중심의 소비자 보호가 구현되어 있다
한국 쇼핑몰의 개인정보 처리 관행과 사용자의 제약
한국의 온라인 쇼핑몰도 개인정보보호법에 따라 수집 항목과 목적을 고지해야 하지만, 실제로는 복잡하고 포괄적인 개인정보 처리 방침이 대부분이다. 회원가입이나 주문 과정에서 수집되는 정보는 많지만, 그 용도나 제공 범위에 대한 선택지는 거의 없고, 대부분 ‘전체 동의’ 방식으로 설계된다. 예를 들어 이름, 연락처, 주소, 결제 정보 아니라, 디바이스 정보, 접속 위치, IP 주소 등 다양한 부가 정보까지 수집되지만, 사용자는 이를 세부적으로 통제할 수 없다.
또한 마케팅 활용 동의가 사실상 강제되는 구조도 여전히 존재한다. 많은 쇼핑몰은 마케팅 수신에 동의해야 쿠폰이나 적립금을 지급하며, 이벤트 참여가 가능하다는 문구를 통해 사용자를 유도한다. 이는 형식적으로는 ‘선택 동의’지만, 실질적으로는 ‘조건부 혜택’에 해당하므로 자율성이 제한된다. 쿠키 동의 배너는 대부분 존재하지 않거나, “쿠키를 통해 더 나은 서비스를 제공합니다”라는 단일 문구로 모든 유형의 쿠키 수집을 진행한다.
더 나아가, 사용자가 자신의 구매 명세나 개인정보를 삭제하려는 경우 명확한 절차가 제공되지 않는 경우가 많다. 고객센터에 문의해야 하거나, ‘회원 탈퇴 시만 삭제 가능’이라는 조건이 붙기도 한다. 탈퇴 후에도 구매 이력이 ‘회계 처리 목적’으로 일정 기간 보관된다는 안내가 일반적이며, 이 역시 세부 정보나 선택권 없이 고지에 그친다. 즉, 한국의 쇼핑몰 구조는 개인정보 처리 중심은 기업, 사용자는 그 흐름을 따라가는 수동적 존재로 머물게 한다.
소비자 권리 요청 시스템의 차이
유럽의 전자상거래 플랫폼은 GDPR 제20조에 따라 ‘데이터 이동권(Data Portability)’도 제공한다. 사용자는 자신이 남긴 구매 정보, 장바구니 내역, 결제 기록, 배송 주소, 저장된 카드 정보 등을 구조화된 데이터 형태로 내려받을 수 있으며, 타 플랫폼으로의 이전도 가능하다. 이는 소비자가 단지 데이터를 열람하거나 삭제하는 것을 넘어, 자신의 데이터를 활용해 플랫폼을 자유롭게 전환할 수 있는 권리까지 포함하는 개념이다.
또한 소비자는 자신의 데이터를 자동화된 처리에 활용하지 말라고 요구할 수 있으며, 특정 추천 시스템이나 가격 변동 알고리즘에서 배제해 달라는 요청이 가능하다. 이런 요청은 별도의 고객센터 문의 없이도 계정 내에서 가능하며, 요청 이력이 시스템에 남고, 법적 감사 시 제출할 수 게 설계되어 있다. 예컨대 영국의 ASOS는 계정 설정에서 ‘개인화 추천 비활성화’를 선택할 수 있고, ‘광고 기반 제품 추천 제외’ 옵션도 존재한다. 사용자가 자신이 제공한 정보가 어떤 방식으로 다시 자신에게 돌아오는지 구체적으로 알고 통제할 수 있는 구조다.
반면 한국의 쇼핑몰은 열람, 정정, 삭제 요청이 모두 고객센터 문의로 연결되며, 별도의 요청 양식이나 기록 시스템이 마련되어 있지 않다. 일부 쇼핑몰은 ‘개인정보 처리 방침’ 내 연락처만 기재해 놓고 있으며, 사용자가 요청해도 “검토 중입니다” 또는 “처리 대상이 아닙니다”라는 회신으로 종결되는 경우도 많다. 마케팅 거부를 해도 여전히 이메일이나 문자로 광고가 오는 경우도 빈번하며, 이는 요청이 실시간 반영되지 않거나, 내부 데이터베이스가 통합되지 않았기 때문이다.
환불·반품 과정의 데이터 권리 보호 차이
환불, 반품은 쇼핑몰 이용자의 핵심 권리이지만, 이 과정에서 발생하는 개인정보 처리 역시 중요한 이슈다. 유럽에서는 환불이나 반품 요청 시 수집되는 추가 정보(예: 계좌번호, 반품 사유, 제품 상태 사진 등)에 대해서도 별도 동의와 보호 조치가 적용된다. 예를 들어 네덜란드의 Bol.com은 반품을 진행할 때 촬영된 사진이 내부 품질 확인용으로만 사용된다는 점을 명확히 고지하고, 30일 이후 자동 삭제된다는 정책을 운용한다. 또한 환불 처리용 계좌정보는 결제 처리 이후 비식별화되며, 재사용되지 않는다.
또한 유럽 쇼핑몰은 고객의 불만 제기나 CS 이력도 개인정보로 간주하며, 이에 대한 열람 및 삭제 요청이 가능하다. 실제로 유럽 소비자가 “지난 상담 내용에서 민감한 정보가 기록되었으니 삭제해 달라”라고 요청하면, 기업은 이를 검토하고 부분 삭제 또는 비식별 처리 후 결과를 회신하는 절차를 진행한다. 이는 단지 데이터를 보관하는 문제가 아니라, 이용자의 통제권과 심리적 안정감을 보장하는 서비스 운영 철학의 차이다.
한국에서는 반품이나 환불 과정에서 사진, 계좌번호, 연락처, 사유 등 다양한 정보가 수집되지만, 이에 대한 보관 기간, 활용 범위, 삭제 여부 등에 대한 안내는 대부분 부족하다. 일부 쇼핑몰은 반품 사진을 내부적으로 품질 분석이나 CS 교육 목적으로 저장하며, 사용자에게 이를 고지하지 않는다. 계좌 정보는 환불 완료 후에도 일정 기간 시스템에 남아 있으며, 사용자 요청이 없으면 삭제되지 않는 경우가 많다. 상담 이력 또한 개인정보로서 취급되지 않으며, 사용자가 해당 기록을 요청해도 제공받지 못하거나, 삭제 요청이 거부되는 사례도 있다.
온라인 쇼핑몰에서 소비자가 누릴 수 있는 권리는 단지 반품이나 환불이 전부가 아니다. 그 이면에는 소비자가 남긴 수많은 데이터가 흐르고 있으며, 그것이 어떻게 수집되고, 해석되며, 저장되고 활용되는지를 사용자가 직접 통제할 수 있어야 진정한 디지털 소비자 권리가 보장된다. 유럽은 GDPR을 기반으로, 쇼핑몰 내에서 발생하는 모든 개인정보 처리 과정을 투명하게 설계하고, 사용자가 자율적으로 권리를 행사할 수 있도록 기술적 기반을 마련했다. 반면 한국의 쇼핑몰은 여전히 ‘처리 방침 고지’와 ‘형식적 동의’ 수준에서 개인정보 보호를 다루고 있으며, 소비자가 자신의 정보에 대한 주도권을 갖기는 어렵다. 기업 중심의 데이터 설계는 효율을 추구할 수는 있지만, 장기적으로는 소비자의 불신을 키우고, 플랫폼 전환의 원인이 될 수 있다. 이제는 법적 준수 그 자체를 넘어, 소비자의 데이터 권리가 실질적으로 구현되는 시스템을 갖추는 것이 브랜드 신뢰와 지속 가능한 전자상거래 운영의 핵심 경쟁력이 되어야 할 때다.