책임의 3층 구조와 자유의 날개를 다는 방법
현대 사회는 데이터와 정보가 끊임없이 순환하는 '인포스피어'(infosphere) 환경 속에 놓여 있다. 빅데이터 기술과 인공지능(AI)의 발전은 방대한 개인 데이터를 처리하고 예측하는 놀라운 능력을 부여했지만, 동시에 개인정보 보호라는 근본적인 윤리적, 기술적 도전을 제기한다. 우리는 데이터의 유용성을 극대화하는 일에는 본능적인 쾌감을 느끼지만, 그에 수반되는 '책임'(responsibility)의 무게, 즉 개인의 프라이버시를 보호해야 할 '책무'(accountability) 앞에서는 본능적으로 주저하거나 회피하려 한다. 이 모순은 책임이 단순히 법적 처벌을 수반하는 의무가 아니라, 인간과 공동체의 존엄성을 보장하는 응답할 수 있는 능력(response-ability), 즉 근본적인 자격이라는 사실을 망각하는 데서 비롯된다.
암호학(cryptology) 분야에 저명한 런던대 '션 머피'(Sean Murphy)와 '레이첼 플레이어'(Rachel Player) 교수는 개인정보를 보호하는 암호 기술에 대하여 설명하는데, 이러한 기술은 책임에 기술적으로 응답하는 하나의 건축술이다. 즉, '개인정보 보호 강화 기술'(PET, Privacy-Enhancing Technology)로서, 대표적으로 꼽을 수 있는 '동형 암호'(FHE, Fully Homomorphic Encryption)와 다자간 '보안 컴퓨팅'(MPC, Multi-Party Computation) 기술 등은 데이터 소유자에게 비공개로 유지되는 '입력 데이터'에 대한 계산을 허용함으로써, 유용한 데이터 처리와 개인정보 보호라는 두 마리 토끼를 잡을 수 있는 방법이 될 수 있다.
머피 교수는 이러한 기술이 개인이 다른 당사자와 공유해야 하는 개인 데이터를 최소화하면서도, 데이터 소유자 이외의 당사자가 데이터를 유용하게 처리할 수 있게 하는 핵심 기술이라고 강조한다. 예컨대, 에너지 회사가 특정 지역의 통합된 전기 사용량 데이터를 연구원과 공유할 때, 이 정보에서 특정 가구를 식별할 수 없도록 보장하는 것이나, 차등 프라이버시(differential privacy)는 데이터 세트에서 한 개인의 데이터 포인트가 제거되더라도 결과 통계가 거의 동일하다는 것을 보장함으로써, 통계가 특정 개인에 대한 정보를 공개할 수 없도록 하는 것은 기술적인 '응답'의 하나로 볼 수 있다. 2020년 미국 인구조사에서 이 기술이 적용된 사례는 개인의 데이터 보호가 법적 의무를 넘어선 기술적 정밀성을 요구하는 시대적 흐름을 보여준다.
이와 같은 기술적 차원의 응답은 암호화와 서명 체계의 확장으로 더욱 치밀해진다. '그룹(group) 서명'과 '링(ring) 서명'은 검증자에게 메시지가 특정 조직에서 왔다는 사실만을 확인하게 하고 특정 직원이 보낸 것이 아님을 보장함으로써 서명자에게 어느 정도의 익명성을 제공한다. 이는 책임의 주체를 '조직'으로 한정하고 '개인'의 프라이버시를 보호하는 장치이다. 특히, '링 서명'은 그룹 관리자 없이도 익명성을 보장하며, 연결 불가능성(unlinkability)을 통해 동일인이 서명했는지 여부를 확인할 수 없도록 한다. 이와 달리 '블라인드 서명'은 메시지 작성자와 이를 인증하는 자가 다른 상황에서 인증자가 작성자의 메시지의 내용을 알 수 없도록 함으로써 메시지의 개인정보를 보호한다. 이러한 고급 서명 체계는 온라인 거래의 익명성과 기밀성을 보장하는 핵심 인프라로 작용하며, 데이터 환경에서의 '응답 능력'을 기술적으로 구현한다.
그러나 책임은 기술의 영역을 넘어선다. 책임의 구조는 법적 책임, 도덕적 책임, 사회적 책임이라는 세 개 층으로 이루어져 있다. 첫째, 법적 책임은 공동체가 개인에게 요구하는 최소한의 응답을 제도화한 것이다. 개인정보 보호법, 정보통신망법 등에 따른 처벌이나 배상은 응답 능력을 상실했거나 거부한 주체에게 국가가 강제하는 응답 절차이자 최소 안전망이다. 법적 책임은 외적 구속이며, 그 목표는 질서의 강제적 유지에 있다. 법적 책임을 면했다는 것은 단순히 '최소한의 규율'을 충족했다는 의미일 뿐, 진정한 책임의 완수를 의미하지 않는다.
둘째, 도덕적 책임은 법의 경계선 바깥, 인간의 내면에서 작동하는 가장 근원적인 응답이다. 이는 개인정보 유출로 인한 타인의 고통에 대한 감응, 데이터 오남용에 대한 후회와 반성, 자발적인 사과와 재발 방지 노력으로 나타난다. 법이 행위를 통제한다면, 도덕은 의도를 통제한다. 개인정보 보호에 있어서 도덕적 책임은 법의 강제 없이도, 데이터 주체의 존엄성을 침해하지 않으려는 내적 규율로 작동한다. 법이 없는 사회는 혼란에 빠질 수 있으나, 도덕과 양심이 없는 사회는 결국 붕괴에 이른다는 점에서, 이 내면의 응답은 법적 책임에 선행하는 가치라고 할 수 있다.
셋째, 사회적 책임은 법적 강제와 도덕적 자발성 사이의 완충지대에서 작동하는 공동체적 응답이다. 기업의 사회적 책임(CSR, Corporate Social Responsibility)이 대표적이며, 특히 인포스피어 시대에서 기업은 데이터를 다루는 거대한 유기체로서 막대한 사회적 영향력을 행사한다. 기업이 법적 의무만을 완수하였다고 책임을 다한 것이라고 생각하거나 관료주의적인 대응에만 그친다면, 이는 언제든 사회를 해치는 괴물이 될 수 있음을 시사한다. 이 영역에서의 응답은 처벌이 아니라 평판과 신뢰에 의해 매개된다. 최소한의 법적 요건을 넘어, 개인정보 보호를 위해 기술에 응답하고, 공동체의 요구에 응답하며, 데이터 윤리에 응답하는 행위는 기업에게 무형의 자산이 된다. 기업이 사회에 행하는 응답은 재정적 기여뿐 아니라, 자신들의 기술과 권한이 더 나은 세계를 만드는 데 사용되리라는 '윤리적 선언'을 포함하며, 이는 법적 제재보다 강력한 시장의 제재로 작동한다.
결국 책임은 처벌을 위한 족쇄가 아니라, 스스로 자신의 존재를 증명하고 서사를 완성하는 자유의 '날개'인 셈이다. '프리드리히 니체'(Friedrich Nietzsche, 1844–1900)가 말했듯, "약자는 언제나 자신의 운명을 타인의 탓으로 돌린다." 책임을 회피하는 것은 곧 자신의 자유를 타인이나 운명에 위임하는 행위이다. 데이터 프라이버시 문제에서 책임을 진다는 것은, 기업이든 개인이든 자신의 행위가 만들어낼 미래에 대한 소유권을 갖는 일이다. 이는 과거의 데이터 처리 행위에 대한 응답일 뿐 아니라, 미래의 데이터 주체에게 능동적인 보호를 약속하는 선언이다.
우리는 법의 강제와 양심의 자각 사이에서, 사회적 책임을 통해 응답의 지속 가능성을 보장해야 한다. 책임을 회피함으로써 일시적인 안정을 얻을 수 있으나, 그 대가로 데이터 주체의 존엄성과 공동체의 신뢰를 상실한다. 자신의 행위에 스스로 응답할 수 있는 능력, 즉 책임의 자각만이 인간과 조직을 영원히 미성숙한 상태에 머무르게 하는 외부의 힘으로부터 해방시키고, 진정한 정보 윤리의 자유를 누리게 하는 유일한 조건이다. 법적 책임을 떠난, 개인정보의 치밀한 보호 의무는 껍데기가 아닌 진정한 책임에 응답하는 형태가 되어야 한다.