옵트인과 옵트아웃

미국과 유럽에서 개인정보를 바라보는 관점의 차이

앞선 글에서 개인정보 활용에 대한 미국과 유럽의 차이에 대해 설명드린 바 있습니다. 두 나라는 단순히 어느 쪽이 더 엄격하고 덜 엄격하다를 떠나서 개인정보를 바라보는 관점부터가 크게 다릅니다. 개인정보는 개인에게 귀속된 것이라 개인에게 허락을 받고 사용해야 하는지, 아니면 나한테 들어온 정보는 나의 정보이니 내 마음대로 사용할 수 있는지에 따라 기업이 개인정보가 포함된 데이터를 활용할 수 있는 폭에는 엄청난 차이가 생기게 됩니다. 이런 관점을 '옵트인', '옵트아웃'이라는 표현으로 구분할 수 있습니다.

옵트인과 옵트아웃이란?

뭔가 순서상 옵트 인부터 설명을 해야 할 것 같지만 여러분들의 이해를 돕기 위해 옵트 아웃부터 설명하겠습니다.

옵트 아웃은 일단 무언가를 하고, 당사자가 그만하라고 하면 그만하는 방식을 포괄적으로 이르는 말입니다. 우리의 일상생활에선 이 옵트 아웃 방식으로 이루어지는 일들이 많습니다. 좋아하는 사람에게 고백을 하거나, 길을 가다가 배고파서 가까이에 있는 식당에 들어가거나 할 때 먼저 "해도 될까요?"라고 묻지 않는 것은 다 옵트 아웃이라고 할 수 있죠. 물론 내가 고백을 했는데 상대방이 '다신 연락하지 마'라고 한다면 그만해야겠죠. 내가 별생각 없이 혼밥 하러 식당에 들어섰는데 '1명은 받지 않습니다.'라고 문전박대를 당해도 어쩔 수 없습니다. 그렇게 거부하는 것도 그들의 권리니깐요. 그래도 이 정도는 매우 합당하고 이해할만합니다. 만약 뭘 할 때 마다가 미리 물어보고 한다고 하면 얼마나 불편할까요?

그런데 세상엔 미리 물어보고 해야 할 것도 상당히 많습니다. 내가 좋아하는 사람이라고 해서 덥석 손을 잡아버린다던가, 식당이 아닌 가정집에 불쑥 들어가 버리는 건 너무 몰상식한 행위입니다. 물어봐야 할 것을 물어보지 않고 해 버리는 것은 상대방의 권리를 침해하거나, 기분을 상하게 하는 등 피해를 주게 되어 법적으로든 도의적으로든 문제가 될 가능성이 높죠. 그런데 '물어보고 해야 할까?' '그냥 해도 될까?'가 애매하게 판단이 안되거나 사회·문화적으로, 또는 법률적으로 갈리는 경우도 있습니다. 그중 대표적인 것 하나가 바로 개인정보 활용입니다.

미국의 경우 개인정보 활용에 대해 아까 설명드린 옵트 아웃 방식을 채택하고 있습니다. 내가 금융회사에 대출을 받기 위해 나의 직업, 나의 소득, 나의 자산 등을 제출하게 되면 이는 나와 은행의 거래 과정에서 내가 은행에 제공한 것이기 때문에 은행은 내 정보를 마음대로 사용할 수 있습니다. 이런 개인정보들을 분석해서 마케팅을 하거나 제휴 관계에 있는 다른 회사에 제공하거나 심지어 돈을 받고 팔더라도 불법이 아닙니다. 물론 나에게 피해를 주는 방식으로 사용하거나 나를 속여서 정보를 취득하면 안 되겠지만 그것이 아니라면 정보주체인 나에게 명시적인 동의도 받지 않고 내 정보를 얼마든지 영리적으로 사용할 수 있는 거죠.

반면 유럽의 경우 철저한 옵트 인 방식입니다. 개인정보 취득 과정에서부터 정보주체에게 '너의 어떤 정보를 어떤 목적으로 취득하여 어떻게 활용하겠다'는 동의를 모두 받아야 합니다. 그런 사항들이 변경될 경우 이를 고지하고 다시 동의를 받아야 하죠. 이런 동의서에 개인정보 제3자 제공 등 본래 서비스와 직접적인 연관이 없는 부가적인 활용에 대해 명시할 경우 미국처럼 자유롭게 활용할 순 있습니다. 하지만 '내가 너의 개인정보를 분석해서 너에게 광고도 하고 다른 광고업자에게 판매도 하겠다.'라는 식으로 적어 놓을 경우 동의를 받기가 쉽지 않을뿐더러 그런 행태가 비난받을 여지가 크죠.

그렇다면 우리나라는 어떤 방식을 채택하고 있을까요? 이미 많은 분들이 미국과 유럽에 대한 비교 설명을 읽으시면서 예상하셨을 것입니다. 우리나라도 유럽과 같은 옵트 인 방식입니다. 여러분들도 모두 어떤 서비스에 가입할 때 매번 복잡하고 어려워 보이는 '개인정보 수집 및 활용에 관한 동의'를 보고 '동의합니다.'라는 체크박스에 체크하는 것이 일상일 것입니다. 우리나라 또한 전 세계적으로 유명할 만큼 개인정보 보호 관련 제도가 엄격하게 설계되어 있는 나라 중 하나입니다.

국제적 추세 - 개인정보 보호와 데이터 활용의 조화

앞서 단순한 비교로 미국과 유럽의 상반된 관점을 소개하였습니다. 하지만 이런 관점이 항상 일관되고 평생선을 달리는 것은 아닙니다. 실제 미국에서는 개인정보 보호에 관한 인식이 점점 더 강해지고 있고, 한국과 유럽에서는 개인정보는 더욱 강하게 보호하되 데이터 활용을 위한 활로는 일부 열어주겠다는 방향성이 보이고 있습니다.

먼저 미국의 변화에 대해 느껴볼 수 있는 페이스북의 6조 원 과징금 일화를 소개드리고자 합니다. 이를 통해 미국의 개인정보 활용 실태가 어떠한지, 그리고 어떻게 변해가는 추세인지 한 번에 설명할 수 있습니다.

2015년, 미국의 주요 언론들에서 '케임브리지 애널리티카(이하 CA)'라는 데이터 분석 업체에서 페이스북을 통해 이용자들의 개인정보를 불법으로 수집하여 활용해왔음을 폭로하였습니다. (각주 1) CA는 페이스북에 성격분석 앱을 만들어 배포하였는데, 이 앱에선 자신의 정보뿐만 아니라 자신과 연결된 친구 정보까지 수집할 수 있도록 되어 있었습니다. 그리고 이렇게 수집한 8천700만 명에 대한 정보는 미국의 대선과, 영국의 브렉시트 국민투표 등에서, 분석된 특정 타겟층을 대상으로 맞춤형 선거운동을 벌이는 데이터 기반 선거운동을 위해 활용되었습니다.

앞서 미국의 개인정보 활용 방식에 대해 언급했듯이 미국에선 서비스 이용 등을 위해 기입한 정보를 제3자에게 제공하거나 판매하는 것이 불법이 아니라고 말씀드렸습니다. 미국에선 매우 흔한 비즈니스이기도 합니다. 페이스북의 CEO인 마크 주커버그도 그런 방향으로 생각했는지, 처음 '사과의 뜻'을 밝힐 때, 이 사건은 개인정보 관리에 대한 경각심을 불러일으키는 일종의 '이슈'나 '배임 사건'이라는 식으로 표현하여 한 번 더 공분을 샀죠. 즉, CA의 성격분석 앱을 사용하는 순간, 이용자들은 CA 측에 자신의 정보를 제공한다는 동의를 한 것이나 마찬가지고, CA가 이를 과도하게 활용했다면 그건 이용자들과 CA의 문제라는 것입니다. 그러나 그런 일이 페이스북이라는 플랫폼에서 일어난 것에 대해 도의적으로 사과한다는 뉘앙스였던 것이죠.

하지만 미국에서도 '우리는 개인정보를 판매하지 않는다.'라고 약관에 명시하거나 공개적으로 말하는 경우엔 이를 지키지 않으면 문제가 될 수 있습니다. 이는 개인정보 보호법제 보다도 기본적으로 사용자를 기만하는 행위이기 때문에 그렇습니다. 그리고 성격 분석을 위해 필요하다며 실제로는 성격 분석에 쓰이지도 않는 내 친구들 정보까지 광범위하게 수집하는 것도 하나의 기만이라고 볼 수 있습니다. 

또한 범용적인 개인정보 보호법은 아니지만 미국 FTC에선 '온라인 맞춤형 광고에 대한 자율 규제 기준'과 같은 온라인 서비스에 대한 특별 규제도 있고, 페이스북과 같은 큰 서비스의 경우 그 기업의 특성에 맞춰 개인정보 보호에 관한 별도의 합의서를 작성하기도 합니다. 페이스북과 FTC는 이미 2012년에 개인정보 보호에 관한 합의를 한번 맺은 바 있습니다. 페이스북은 이번에 이 합의서를 비롯한 여러 가지 사안에서 명백한 위반이 있다고 결론이 내려졌고 결국 당시 환율로 5조 9천억 원에 달하는 과징금을 부과받게 됩니다. 이는 전 세계 역사상 가장 큰 과징금 규모였고, 기존에 구글이 받았던 250억 원의 과징금의 20배가 넘는 규모입니다.

FTC와 Facebook이 맺은 새로운 명령 합의서

결국 페이스북의 CEO인 마크 주커버그는 FTC와 새로운 합의 명령서에 서명합니다. 이에 따라 페이스북은 이사회에 독립적인 권한을 가진 개인정보 보호 위원회를 두어야 하고, 분기별로 FTC에 이 명령서에 따른 개인정보 보호 요구사항을 잘 준수하고 있다는 외부감사 결과를 제출해야 합니다. 나중에 또 한 번 이런 불미스러운 일이 발생하면 이 명령서에 대한 위반으로 Facebook은 한 번 더 엄청난 과징금을 부과받게 될 수도 있겠지요. 

이런 사례만 보면 미국이 개인정보 보호제도 측면에서 가장 엄격한 나라가 아닌가 싶기도 합니다. 하지만 미국은 불문법 체계를 가진 국가로 개인정보보호에 관한 범용적인 법률·규정은 가지고 있지 않습니다. 반면 대기업에 대한 징벌적 과징금 제도가 잘 발달되어 있어 이렇게 대기업 위주로 큰 처벌을 받고, 이런 사례를 통해 다른 기업들이 스스로 조심할 수 있도록 하는 체계입니다. 즉, '이런 건 하면 안 돼', '이런 건 미리 허락받고 해야 해'라는 명확인 규정은 없으므로 대부분의 산업군에서 아직까지는 개인정보의 자유로운 활용이 이루어지고 있는 것이 현실입니다.

하지만 Facebook 사건 등 다양한 개인정보 침해 사례의 영향으로, 미국 국민들도 개인정보 보호와 정보주체의 권리에 대해 큰 관심을 가지게 되었습니다. 미국에서 진보적인 지역으로 손꼽히는 캘리포니아주에선 강력한 개인정보 보호법인 CCPA('18), CPRA('20)를 차례로 내놓았습니다. 특정 주에서만 한정적으로 적용되는 법률이긴 하지만 미국에서 이런 개인정보 보호법이 생겨났다는 것은 정말 큰 시사점이 있습니다. 게다가 캘리포니아는 유럽과 달리 미국 내의 한 지역이기 때문에 '미국용 서비스', '유럽용 서비스'를 구분하는 것처럼 '캘리포니아용 서비스', '非캘리포니아용 서비스'를 구분해서 내놓긴 쉽지 않습니다. 그래서 많은 전문가들은 캘리포니아의 개인정보 보호법제가 미국 전역에서 큰 영향을 끼칠 것으로 예상하고 있습니다. (각주2)

만약 우리나라였다면 어떻게 되었을까요?

우선 우리나라에선 개인의 동의를 명확히 받지 않고 개인정보를 수집하는 것 부터가 불법입니다. 그리고 애매한 문구로 동의를 받았다고 하더라도 성격을 분석하겠다고 했다가 선거운동에 활용하는 등, 목적외 이용을 하는 것도 명백한 불법입니다. 따라서 '위반의 소지', '도의적 책임' 이런 이야기가 나오기 전에 형사 처벌 이야기부터 나왔을 것입니다. 대신 미국과 같은 막대한 징벌적 과징금은 매겨지지 않았을 것입니다. 최근에 신용정보에 대해선 매출액의 3%와 같은 기업의 규모에 상응하는 큰 규모의 벌금을 부과할 수 있는 기준이 생기긴 했지만 저 당시엔 그런 법도 없었습니다. 한국의 개인정보 보호법제의 특징은 과징금이나 보상금 보단 형사처벌이 강하게 이루어지는 것이었습니다. 어쩌면 마크 주커버그나, Facebook에서 개인정보를 담당하는 임원이 징역형에 처해지고 감옥에 갔을 수도 있었을 겁니다.

한국에선 '애초에 어떤 기업이 가진 정보를 선거 운동에 활용해보자'와 같은 생각을 하기가 힘듭니다. 데이터라는 것이 이 데이터를 저렇게도 활용해보고 저 데이터를 이렇게도 활용해보고, 같이 결합도 시켜보도 연계분석도 해보고 그래야 하는데 한국에선 목적외 이용에 대한 규정이 워낙 엄격해서 그런 생각을 할 수가 없었습니다. 하지만 이번 데이터3법 개정을 통해 그 길이 열렸습니다. 바로 개인정보를 가명처리 또는 익명처리하여 본래 수집할 당시의 목적과 다른 목적으로 사용할 수 있는 제도가 생겼기 때문인데요, 이에 대해선 바로 다음 글에서 다루도록 하겠습니다.

각주───────

1) 2015년 가디언지에서 첫 폭로가 이루어졌을 때는 큰 파장으로 번지지 않았지만, 2018년 CA의 내부 고발자가 나오고 가디언지 뿐만 아니라 뉴욕타임즈, 옵저버 등에서 연달아 대서특필하며 사회적으로 큰 이슈가 됩니다.

2) 페이스북 사건이 터지고 나서 일각에선 페이스북이 전 세계 서비스에 공통적으로 GDPR을 적용해야 한다고 하기도 하였습니다. 하지만 페이스북은 유럽용 서비스에만 GDPR을 적용하겠다는 방침을 이어 나갔습니다.