'데이터 프라이버시' 비웃는 개인정보 남용, 대응책은 없나

이 책은 데이터가 수많은 차별과 편견을 낳고, 갖가지 오류를 불러일으키고 있다는 사실을 많은 사람들이 제대로 모르고 있다는 사실을 강조한다. 많은 사람들과 기업들이 데이터가 주는 정보에 취해 ‘데이터 프라이버시’에 소홀하고 있다고 지적한다. 저자들은 따라서 ‘개인을 지키면서 편리한 테크놀로지를 만들어 가는 것’이 지금 같은 ‘데이터 세기’에 필요한 경쟁력을 키우는 진정한 첫걸음이라고 말한다. 데이터 만능시대에 그 데이터로 인해 우리의 삶이 희생된다면 안될 일이다.

* 일본 열도를 뒤흔든 ‘리크루트 데이터 판매사건’ - 일본의 대학생 취업시장은 2014년 무렵부터 학생들에게 유리한 구도로 바뀌었다. 복수의 회사에 취업 내정을 받아놓고 희망 하는 기업이 아닌 곳의 입사를 거절하는 ‘내정사퇴’가 잇따라 채용 담당자들이 골머리를 앓을 정도였다. 이에 리크루트의 자회사인 리크루트커리어가 취업을 앞둔 학생들의 내정사퇴율을 예측한 데이터를 수십 개 기업에 판매했다. 내부에서 윤리적 문제를 지적받았으나, 경쟁 사이트인 마이나비에 등록 기업수에서 밀리면서 부당한 선택을 한 것이다. 데이터를 구매한 기업들이 사전에 자사 채용 전형에 응시한 학생들의 개인정보와 과거 응시행들의 전형 결과를 관련 사이트 리쿠나비에 제공한 사실까지 확인되면서 논란은 더 커졌다. 이 데이터로 인해 취업에 실패했을 수도 있겠다고 생각한 학생들은 개인정보를 임의대로 팔아치운 리크루트 쪽에 거세게 항의했고, 결국 리크루트 측은 대국민 사과를 해야 했다.

* 개인정보의 부당한 이용에 관한 규제책 미흡 - 개인정보의 과도한 수집, 거래처와의 기울어진 권력관계 때문에 세계 각국에서 규제 움직임이 일고 있다. 일본 공정거래위원회도 2019년 8월에 관련 지침안을 공표했다. 그에 따르면 개인정보를 취득하거나 이용했을 때 법률위반의 우려가 있는 사례는 크게 4가지로 분류됐다. 첫째, 안전관리가 불충분했을 때, 둘째 이용 목적을 확실히 알리지 않았을 때, 셋째 약관에 없는 데이터를 수집하거나 제3자에게 제공했을 때, 넷째 서비스 대가 이상으로 개인정보의 제공을 강제했을 때 등이다. 리크루트 사건을 계기로, 여기에 ‘데이터에 의한 인간 선별’을 새롭게 규제 대상에 넣어야 한다는 지적이 일었다. 서구에서도 기술과 서비스의 설계 단계부터 데이터 보호를 중시하는 프라이버시 바이 다자인(privacy by design)이라는 개념이 주목받고 있다.

* ‘쿠키’가 개인정보의 한계인가? - 일본 기업들에게 공유된 개인정보들 가운데 가장 많이 외부로 거래된 것이 쿠키 정보다. 쿠키 자체에는 개인 이름 등이 포함되지 않아 개인정보보호법에서 정한 개인정보에 해당하지 않는다. 타사와 공유해도 그 자체는 위법이 아니라는 얘기다. 하지만 다른 데이터와 대조해 쉽게 개인을 특정할 수 있다면 보호해야 할 개인정보가 된다. 이 경우 취득이나 외부 제공에 본인의 동의가 필요해 진다. 법적 다툼의 소지가 다분한 것이다. EU는 쿠키도 개인정보로 규정한다. 당연히 수집과 외부 제공에 대해 ‘명확한 설명’을 해야 한다고 의무화한다.

* 보호받아야 할 ‘사용하지 못하게 할 권리’ - 데이터 과점을 강화하는 GAFA 같은 거대 정보기술 기업을 대상으로 세계적으로 규제 강화의 움직임이 커지고 있다. 그 중 주목받는 것은 사생활을 지키는 개인정보보호, 건전한 경쟁환경을 유지하기 위한 독점금지법, 적절한 과세를 위한 법인세 등이다. 대부분 나라의 현행 개인정보보호법에서는 인터넷의 열람 이력이나 위치 정보 만으로 개인을 쉽게 특정할 수 없다면 개인정보에 해당하지 않는다는 입장이다. 각 나라마다 개인정보보호법 개정 작업과 맞물려, 기업이 개인 이용자에게서 개인 정보를 강제로 가로채는 행위도 우월적 지위의 남용이 아느냐는 비판이 강하다. 이와 관련해 개인이 기업에 본인의 데이터 이용 정지를 요구할 수 있는 ‘사용하지 못하게 할 권리’가 도입되어야 한다는 지적이 많다.

* “데이터 편리함 보다는 내가 더 소중” 베리미(Verimi) - 2018년 4월 독일 베를린에서 ‘베리미’라는 데이터 제휴 서비스가 시작되었다. 도이치방크 다임러 루프트한자 등 독일을 대표하는 대기업 10곳이 출자해 화제를 모았다. Verify Me(나를 인증해 줘)라는 의미를 담고 있다. 개인정보를 독점해 온 구글 같은 정보기술 거인의 대항마로 등장했다. 베리미는 “미국과 중국의 거대 정보기술 기업은 인권을 무시하고 개인정보를 수집하고 있다”고 비판한다. 그래서 여기는 참여 기업이 모은 데이터를 어떻게 사용할 지를 이용자에게 선택권을 맡긴다는 점이 이색적이다. 편리함을 취할 것인가, 나를 지킬 것인가. 초정보사회를 앞두고 세계는 기로에 서 있다.

* GAFA 끊고 3주 동안 생산성은 1/3로 ‘뚝’ - 미국 미시간대학 연구에서는 인터넷 검색을 사용하면 도서관에서 조사하는 곳보다 3배 빠르게, 한 주제당 15분을 절약할 수 있다는 결론이 나왔다고 한다. 스마트폰와 GAFA(구글 애플 페이스북 아마존)가 우리 삶에 침투한 것이 불과 10년쯤 전인에 그런 것 들을 끊으면 우리 생산성이 3분이 1로 떨어진다는 의미다. 저자는 불행하게도 우리가 GAFA와의 연을 끊을 수 없다고 단언한다. 데이터가 자신의 생산성을 결정짓기 때문이다. 실제 저자 중 한 명이 GAFA 없이 3주 동안 단절 실험을 해 보았더니 예상하지 못했던 고독이 밀려들어 왔다고 전한다. GAFA는 어쨋거나 현대의 인간관계를 지탱하는 토대가 된 것이다.

* 데이터 경제규모를 따지는 새 GDP - 여기서 GDP란 일반적인 국내총생산이 아니라 데이터총생산(Gross Data Product)를 의미한다. 데이터의 발생량과 사용 편의성 등을 분석해 각국의 데이터 경제규모를 측정한 지표다. 데이터를 얼마나 잘 활용하느냐 못하느냐가 국가 경제성장을 좌우한다는 의미다. 미국 터프츠대학의 바스카르 차크라보티 교수 연구진이 고안한 개념이다. 각 국의 데이터 경제의 규모를 데이터 생산량과 인터넷 이용자 수, 데이터 접근 용이성, 1인당 데이터 소비량 등 4가지 관점에서 평가한다. 미국과 영국 중국이 1~3위다. 고령화 국가일수록 데이터를 활용하는 사람이 상대적으로 적으니 순위가 낮을 수 밖에 없다. 경제 규모로는 세계 4위인 일본도 데이터총생산 순위는 세계 11위로 평가된다.

* ‘데이터 노동자’ 신세가 될 인간들 - 자신의 데이터를 기업에 제공하는 현대 근로자들을 저자들은 ‘데이터 노동자’라고 판정했다. 때문에 경제학자 글렌 웨일은 “기업이 정보 가치에 알맞은 데이터 분배금을 개인에게 지불해야 한다”고 주장하기도 했다. 하지만 정작 시장에서 개개인 정보의 값어치는 완전 헐값이다. 1인당 1전도 되지 않는다고 한다. 게다가 일반적으로 데이터 비즈니스를 하려면 20만 명에서 30만 명 분의 데이터는 모여야 채산성을 기대할 수 있다는 게 정설이다. 데이터를 넘기는 대가로 현금이나 쿠폰, 기타 다양한 서비스를 제공받는 것으로 알지만 정말로 그에 합당한 가치를 인정받고 있지는 않다는 얘기다.

* 중국의 독특한 데이터 경제권 - 중국에서는 10억 명 이상이 신분증 휴대전화 은행계좌를 동일 결제 앱으로 해결한다. 당국의 감시 시스템에도 연결되는 독특한 데이터 경제권을 만들어 이를 기반으로 데이터 경쟁력을 단기간에 끌어 올렸다. 중국 최대 전자상거래 업체인 알리바바의 ‘즈마신용’ 점수는 중국민 모두를 점수화해 통제하도록 되어 있어 이목을 끈다. 한 사람 한 사람을 350점부터 950점 만점까지 점수를 매겨 평가한다. 이용자들은 학력과 경력, 자산 내역까지 모든 정보를 알리바바에 제공해야 한다. 생활 모든 상황에 인공지능이 침투해 인공지능에게 지배받는 시대가 도래하고 있다.

* 디지털 빈곤층 ‘버추얼 슬럼(virtual slum)’ - 세계은행에 따르면 은행 계좌가 없는 사람은 전세계 17억명에 이르는데 그 가운데 3분의 2는 휴대전화를 가지고 있다고 한다. 딜로이트토마츠컨설팅은 2019년 4월에 “2030년까지 세계 주요 20개국에서 최대 5억명 이상의 버추얼 슬럼이 생겨날 것이라고 경고했다. 15세에서 64세의 생산가능연령 인구 가운데 6명에 한 명이 빈곤층으로 전락할 것이란 것이다. 개인의 점수가 취업이나 주택 임대 등 많은 분야에서 공유되면 점수가 납은 사람들은 모든 영역에서 배제될 수 밖에 없게 된다. 새로운 빈곤층 등장이 가장 임박한 것으로 보이는 나라는 아이러니하게도 중국이다. 지나친 디지털 점수화로 빈곤층의 확대와 고정화가 일반화될 것이란 전망이다.

* 데이터의 ‘자의성’ 경계해야 - 데이터를 만드는 것은 사람이다. 다라서 그 데이터를 기준으로 삼는 점수에도 사람의 자의성이 섞이기 마련이다. 광고에서 이런 경향이 많다. 광고라는 것을 숨기고 입소문처럼 상품을 칭찬하는 내용을 적어 올리는 ‘스텔스 마케팅’이 대표적이다. 페이크 리뷰(가짜 리뷰)를 올리고 기업으로부터 상응하는 수수료를 받는 것도 데이터의 자의적 사용의 예라고 할 수 있다.

* “내 데이터는 내 것” 블록체인형 ‘분산형 점수화’ 부각 - 이용자가 모르는 사이에 개인이 점수화되고 가격이 매겨지는 시대다. 최근 들어 이용자가 점수의 주도권을 되찾으려는 시도가 전방위적으로 이뤄지는 가운데 블록체인을 활용한 분산형 점수가 주목을 끈다. 특정 기업에 개인정보의 관리를 맡기지 않아도 된다는 점이 가장 큰 특징이다. 대기업에 의한 점수 독점의 폐해를 줄일 수 있는데다 국경을 넘어 점수를 이용하기에 편하고, 안정성이 높다는 점이 이점으로 평가된다. 앞서 2018년에는 ‘웹의 아버지’라 불리는 버너스 리가 자신의 정보를 지키면서 웹을 이용할 수 있는 소프트웨어 ‘솔리드’를 공개해 화제를 모은 바 있다. 정보기술 대기업에 의한 데이터 과점을 우려한 그는 다양한 개인정보를 소프트웨어 내부의 개인 전용 저장소에 자동보존하는 아이디어를 생각해 냈다. 그는 “당신의 데이터는 당신의 것”이라고 강조한다.

* 아마존의 ‘데이터 독점’ 폐해 - 아마존에서 상품을 파는 기업은 상품별 매출을 비롯해 한정적인 정보만 받을 수 있다. 고객 속성이나 과거 구매이력 같은 상세 정보는 오로지 아마존의 것이다. 그렇게 얻은 정보를 기처로 아마존은 2019년 이후 잘 팔리는 상품을 분석해 자체 브랜드 상품을 만들어 팔았다. 출점기업이 가져다 준 데이터가 경쟁상품으로 형태가 바뀐 것이다. 이에 유럽고 일본 등 전 세계 나라들이 GAFA 기업들의 데이터 독점을 규제하기 위한 노력을 경주하고 있다. 특히 유럽연합은 2018년 구글이 스마트폰 제조기업에 부당한 압력을 행사했다는 이유로, 2019년에는 아마존닷컴에도 같은 협의로 조사를 벌였다.

* 개인 데이터의 가치 측정 어떻게? - 2015년에 창설된 세계 최초의 빅데이터 거래소인 중국의 구이양빅데이터거래소에서는 2000개 기업이 금융 의료 물류 등 4000 종류의 데이터를 매매한다. 미국도 뒤늦게 유력 거래소가 데이터 거래 경쟁에 나서고 있다. 2000년대에 세계최초로 탄소배출권을 사고 파는 거래소를 만들었던 미국금융거래소의 최고경영자 리처드 샌더는 데이터를 다음 타깃으로 삼고 있다. 문제는 데이터의 가치를 어떻게 측정하느냐 이다. 아직은 어느 나라도 어떻게 해야 데이터의 가치와 영향을 적정하게 평가 측정할 수 있을지 결론을 내지 못하고 있다.

* 나라간 데이터 이전을 보장한 CBPR - ‘국경간프라이버시보호규칙(Cross Border Privacy Rule)’은 아시아태평양경제협의체가 지난 2011년 합의한 아시아 국가 간 데이터 이전 규칙이다. 현재 한국과 미국 일본을 비롯해 싱가포르 캐나다 오스트레일리아 멕시코 대만 등 8개국이 참가하고 있다. 이들은 원칙적으로 해당 국가의 기업이 가진 개인정보를 서로 자유롭게 거래할 수 있다. 대신 각국 마다 서로 다른 기준을 통일하고, 각국 기업이 인증단체의 심사를 통과하면 데이터를 국외로 이전할 수 있도록 규약을 맺었다. 데이터 거대시장인 중국이나 EU도 독자적인 규제를 도입할 움직임을 보여 ‘데이터 경제권’을 둘러싼 갈등이 예사롭지 않을 전망이다.

* 확산되는 ‘디지털 과세’ - 이스라엘은 지난 2016년 국내에 지점이나 사무실이 없어도 이스라엘 국민들에게 인터넷 서비스를 제공하면 법인세를 부과한다는 내용의 새로운 과세제도를 도입했다. 구글 같은 정보기술 대기업을 겨냥한 디지털 과세였다. 인도도 2016년에 인터넷 광고를 판매하는 해외 기업에 매출의 6%에 해당하는 세금을 부과하는 제도를 도입했다. 이탈리아와 슬로바키아 우간다도 잇달아 새로운 디지털 과세 제도를 추진 중이다. 디지털 과세에 가장 적극적인 유업은 디지털 비즈니스 기업의 세금 부담률은 9.5%로 전통적인 비즈니스 기업의 23.2%의 절반에 불과하다며 대대적인 과세 조치를 선전포고한 상태다.

* 잊혀질 권리 - 2014년 5월 스페인의 한 남성이 자신의 과거 정보에 관한 검색 결과를 삭제해 줄 것을 요구하며 구글에 제소를 했다. 유럽사법재판소는 처음으로 이런 권리를 인정하는 판결을 내렸다. 잊혀질 권리는 2018년 5월에 시행된 EU의 일반개인정보보호법에서 ‘삭제권’이라는 이름으로 규정되었다. 구글은 이후 개인을 비롯한 당사자의 요청을 받아 약 130만 건의 링크를 삭제한 것으로 알려졌다. 미국은 그러나 표현의 자유를 중시히며 정보 삭제에 신중함을 보여야 한다는 이견도 적지 않다고 한다. 일본도 삭제 대응은 원칙적으로 명예훼손이나 사생활 침해 등으로 제한하고 있다.

* “합법이냐 불법이냐” 인도 아드하르(Aadhaar) - 인도 정부가 생체정보를 활용한 디지털 신분증 제도다. 인도 13억 인구 가운데 90%가 등록되어 있다. 세계 최대의 개인 생체 정보 데이터 베이스인 셈이다. 2018년 9월 안도 최고재판소는 이것이 국민의 사생활을 침해한다는 판결을 내렸다. 합법으로는 인정하되 데이터는 신중히 이용해야 한다고 못을 박았다.

* 데이터는 있어도 활용하지 못하는 기업이 56% - 일본의 한 설문조사에서 “데이터는 있지만 사용할 수 없다”는 기업이 35%, “수집하지 못했다”, “어떤 데이터가 필요한 지 모른다”는 응답 까지 포함하면 전체 56% 기압이 데이터를 활용한 인공지능 도입에 어려움을 겪고 있는 것으로 나타났다. 이런 첨단 기술을 용용할 인재도 부족해 미래 산업에 대한 대비도 뒤쳐지고 있는 게 현실이다. 미리 대응하지 않으면 안되는 이유다.

조진래 기자 jjr895488@naver.com