토스의 동의서 정복하기

개인정보 보호법 제15조 ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

1. 정보주체의 동의를 받은 경우

 

그러나 서비스가 많은, 큰 회사일수록 동의를 받는 화면은 제각각일 것이다. 이걸 통일하는 것부터가 쉽지 않다. 따라서 동의를 받는 UI를 표준화하는 것이 토스의 시도다. 

 

표준 동의 모듈은 동의 화면을 빠르게 적용할 수 있는 클라이언트단 모듈이다. 이 서비스를 통해 각 동의 UI를 통일하는 한편, 여러 컴플라이언스 이슈를 한 번에 해결할 수 있게 된 것이다. 모듈을 아예 만들었기에 클릭을 하면 어떤 흐름으로 가는지도 모두 하나하나 사전 정의된 것이다. 동의 이력도 중앙에서 관리할 수 있고 말이다. 

 

동의에서 가장 중요한 것은 이용자가 '자발적 의사'로 '명확한 이해'를 동반하여 동의를 수행하는 것이다. 토스는 이를 위해 어떤 동의인지 설명하는 타이틀을 추가했고, CTA에 동의 문구를 포함하고, 동의 거부 옵션을 포함하였으며, 체크 표시를 통해 컴플라이언스적인 요소를 녹아낸 것이다.

 

 

그리고 여기서 더 나아간 VER 2.0에서는 개보법, 개보시행령, 신정법, 개인정보 처리 동의 안내서, 온라인 다크패턴 자율관리 가이드라인을 녹여냈다. 특히 다크패턴을 녹였다는 게 흥미롭다. 그리고 개발적인 부분에서 업그레이드가 있었는데, 어드민을 통해 직관적인 동의화면을 만들었다는 점이다. 이렇게 되면 개발자가 코드에 입력하지 않고 모듈 ID만 호출하면 설정 값이 앱에 반영되기 때문에 휴먼에러를 줄일 수 있다. 개발자가 바로바로 결과물을 확인 가능하니 말이다. 또한, 동의화면 및 동의서 변경 필요 시 즉각 대응 가능하도록 서버 driven 방식을 채택하여 즉각 대응이 가능케 하였다. 모듈을 만들고자 한다면 이런 아이디어를 참고하면 좋을 것으로 보인다.

 

이렇게 하면 편하기도 편하지만, 코딩을 하는 양도 줄기 때문에 리소스 확보 측면에서도 유리할 것이다. 이렇게 할 수만 있다면야.. 말이다.

 

또한 토스에서는 동의 메타화를 통해 모든 동의항목을 데이터화 했다. text 입력이 아닌, 선택을 하게 만듦으로써 각 동의서에서 처리하는 개인정보가 무엇인지 시스템적으로 확인 및 추출을 용이하게 만든 것이다.

 

결과적으로, 토스는 ① 서비스 ② 동의서 ③ 동의화면을 모두 연결함으로써 사용자에게 일관된 동의 경험을 부여하고, 더욱 신뢰할 수 있는 동의 이력 보관 및 관리 시스템을 구축했으며, 서비스별 처리되는 개인정보에 대한 통합 관리의 포문을 연 것이다.

 

그렇게 완성된 모듈에 대해 토스는 지속적인 QA를 진행한다. 동의받는 화면 문구, 동의서 목록이 모두 정확히 노출되는지, 앱에서 동의 클릭 시 해당 동의서로 랜딩되는지, 표준 동의 모듈 정책에 부합하게 동작하는지, 사용자 오인지 및 다크패턴이 존재하는지, 동의/거부/철회 이력이 잘 적재되고 있는지, 동의 철회 창구 노출이 잘 되고있는지 등 말이다.

 

또한 동의서 자체에 대한 사후 점검에서는 표준 문구를 사용하고 있는지, 동의 META 및 동의서와 서비스 연결이 되고 있는지, 강조 표시가 잘 되고 있는지, 동의철회 창구를 마련하고 있는지, 동의서 적절성(필수/선택 동의 적절성, 보유 및 이용기간 적정성 등) 등에 대해 평가한다.

 

또한, 토스는 5 META 정합성 검증 프로세스를 갖고 있는데, 이는 서비스-계약서-동의서-DB테이블-API의 메타 데이터 정합성과 메타 연결 불일치를 탐지하고 모니터링하는 것이다. 부럽다. 

 

하나하나 수정하는 것에서 이렇게 모든 것을 데이터화, 프로세스화 한다면 개인정보보호 담당자의 큰 짐을 덜어낼 수 있을 것이다.