천하무적 아이언맨도 깨알같은 개인정보 동의 누르다 추락한다
천하무적 아이언맨도 깨알같은 개인정보 동의 누르다 추락한다
  • 구태언 변호사
  • 승인 2019.03.25 07:25
  • 댓글 0
이 기사를 공유합니다

구태언 변호사/테크앤로 법률사무소 대표
구태언 변호사/테크앤로 법률사무소 대표

 

마블 스튜디오 10주년 기념작으로 2018년 4월 개봉한 영화 ‘어벤저스 : 인피니트 워’에는 무려 23명의 히어로가 등장한다. 하지만 그중에서도 아이언맨의 존재감은 단연 독보적이다. 사실 토니 스타크는 토르처럼 신화에 등장하는 신도 아니고 헐크나 캡틴 아메리카처럼 힘이 센 것도 아니다. 오히려 심장에 부착한 아크 리액터가 없으면 생명도 유지할 수 없는 나약한 존재다. 하지만 몸에 착 감기는 웨어러블 로봇 슈트를 입는 순간 그는 천하무적 아이언맨으로 변신한다. 슈퍼맨처럼 하늘을 날아다니는 것은 기본이고, 토르처럼 빌딩 전체를 번쩍 들어 올리는가 하면 헐크처럼 초인적인 괴력을 발휘하기도 한다. 그런데 만약 아이언맨이 서울 상공에서 싸움을 벌이게 된다면 어떨까. 그는 아마 적과 싸우기도 전에 헬멧 스크린에 뜬 개인정보 처리방침에 동의 버튼을 누르다가 추락하고 말 것이다. 해외에선 보기 드물지만 국내에선 모든 기업이 무조건 준수해야 하는 ‘개별적 개인정보 사전동의(Opt-in)’ 때문이다. 

당신의 개인정보를 내가 수집해도 되겠습니까?  

사물인터넷(IoT) 시대에는 전자기기가 다양한 센서를 갖추고 인터넷으로 연결돼 개인정보를 처리한다. 손목시계 등 웨어러블 기기는 건강정보와 위치정보 등 각종 개인정보를 수집해 운동량이나 건강상태를 실시간으로 점검하고, 음성인식 스피커 등 인공지능 서비스는 눈 뜨는 시간부터 먹고 입고 쓰는 것까지 모든 라이프스타일 정보를 축적해 최적화된 맞춤형 서비스를 제공한다. 4차 산업혁명의 핵심 기술로 꼽히는 빅데이터와 클라우드, 인공지능 기술 등은 각종 데이터의 확보와 활용이 필수적이다. 하지만 데이터를 수집하고 사용하기 위해서는 반드시 거쳐야 하는 절차가 있는데, 바로 ‘개인정보 사전동의’다. 

우리나라 개인정보보호법은 개인정보를 이용한 서비스를 제공할 때 고객으로부터 ‘개별적 사전동의’를 받도록 하고 있다. 서비스 이용약관을 떠올리면 이해가 쉽다. 인터넷 사이트에 회원가입을 하거나 스마트폰 앱을 다운받고 접속하려고 할 때 반드시 개인정보 처리방침에 동의 버튼을 클릭해야 해당 서비스를 이용할 수 있다. 당신의 개인정보를 내가 수집해도 되겠습니까? 당신의 개인정보를 제3자에게 제공해도 괜찮겠습니까? 당신의 개인정보는 이런저런 용도로 활용될 수 있는데 괜찮겠습니까? 대략 이런 내용들로, 서비스에 따라 처음 한번만 동의를 구하기도 하고 매번 동의를 구하기도 한다. 개인정보는 민감한 정보이므로 철저하게 관리되고 엄격하게 보호되어야 한다. 개인정보 보호를 위해 필요한 절차라면 다소 불편하고 번거롭더라도 당연히 따라야 한다. 하지만 우리나라 개인정보보호법은 이런 원칙들과 거리가 있다. 

일례로 버튼을 누를 필요 없이 ‘알렉사, 노래 틀어줘’ 이 한마디로 음악 재생이 가능한 것이 인공지능 스피커의 경쟁력이다. 그런데 만약 노래를 듣고 싶을 때마다 개인정보 동의를 해야 한다면 얼마나 번거로울까. 자율주행자동차는 사람의 운전 없이 자동차가 스스로 목적지까지 안전하게 주행하는 첨단 장비다. 그런데 만약 횡단보도를 지날 때마다 혹은 파란불이 켜질 때마다 ‘지금 출발해도 될까요?’를 물어본다면 차라리 내가 직접 운전하는 편이 수월할지 모른다.  

인공지능 스피커나 자율주행자동차 등 각종 사물인터넷 기기들은 이용자의 사용 정보를 실시간으로 수집하고 처리하는 것이 주된 특징이다. 만약 이들 기기에 현행법상 이용약관 고지와 사전동의 원칙을 엄격하게 적용한다면 개인의 불편이 극심해짐은 물론 서비스의 편리성도 떨어질 수밖에 없다. 그렇다고 법을 어길 수도 없다. 개인정보보호법은 개별적 사전동의를 위반할 경우 행정처벌과 민사책임은 물론, 5년 이하의 징역이나 5000만 원 이하의 벌금형을 규정하고 있다. 세계에서 가장 강력한 법제로 평가받는 이유다. 

상황이 이렇다 보니 대다수 기업들은 사전에 고지해야 할 장문의 이용약관을 뒤로 숨기고 버튼 몇 개만 클릭하면 사전동의를 받은 것으로 처리하고 있다. 이용약관을 확인하려면 별도의 버튼을 클릭해서 페이지를 이동하는 방식이다. 대다수 이용자들도 이용약관을 건너뛰고 동의 버튼을 클릭하는 ‘묻지마 동의’에 익숙해진다. 읽어도 무슨 말인지 알 수 없고, 또 이해한다고 해도 장문의 글을 읽고 있을 시간적 여유가 없기 때문이다. 그 결과 사전동의는 개인정보 보호라는 원래 취지와 달리 형식적이고 습관적인 절차로 전락해버렸다. 

문제는 이렇게 개인정보보호 제도가 세계 어느 나라보다 강력함에도 아이러니하게도 개인정보에 대한 자기결정권을 행사하기 어렵다는 것이다. 개인정보 침해가 발생해도 법적으로 보호받을 방법이 없다. 이용자가 사전동의 버튼을 클릭한 순간 서비스를 제공하는 기업은 이용약관 사전고지와 동의라는 법적 의무를 다한 것이므로 법적 책임에서 자유로워진다. 피해 내용이 사전에 고지한 이용약관에 해당하는 것이라면 아무리 피해가 크더라도 정부는 사용자의 편을 들어줄 수가 없다. 개인이 동의한 이후에는 기업의 개인정보처리방침에 대해 시정을 명하기 쉽지 않기 때문이다. 현 제도 하에서 정부가 할 수 있는 최선은 피해가 발생한 이후 과태료나 과징금을 부과하는 사후적 조치 정도다. 결국 피해는 해당 서비스를 이용하기 위해 무의식적으로 사전동의 버튼을 클릭한 사용자의 몫으로 돌아간다. 개인정보 보호를 위해 사전동의 규제를 강화한 결과 정작 개인의 사후 개인정보 통제권이 상실되고 있는 것이다. 

깨알 같은 고지사항이 개인정보 양극화 부른다 

인공지능 서비스는 패턴을 찾아낼 수 있는 데이터가 많아질수록 강력해지는 특징이 있다. 기존에 입력한 데이터 이외에도 서비스 이용과정에서 축적되는 데이터를 분석해 새로운 패턴을 찾아내고 적용하는 과정을 무한 반복한다. 이를 통해 인공지능 서비스는 더욱 인공지능에 가까워지고, 우리의 일상은 보다 편리해진다. 
하지만 수집하는 데이터가 늘어날수록 사전에 동의해야 할 약관도 늘어난다. 문제는 이 과정에서 개인정보 보호가 한쪽으로 쏠리는 프라이버시 디바이드(Privacy Divide) 현상이 심화된다는 것이다. 

첨단기기에 익숙한 젊은 세대라면 큰 문제가 없겠지만, 고령자나 장애인, 기기 작동이 서툰 아이들에게는 서비스 이용약관 내용이 제대로 전달되기 어렵다. 귀찮아서 건너뛰는 게 아니라 충분히 이해하고 동의하고 싶어도 불가능한 상황이 발생한다. 원치 않는 개인정보 제공에 동의하게 되는 부작용이 얼마든지 생길 수 있다. 강력한 규제가 오히려 개인정보 침해를 유발하는 기제로 작용하는 것이다. 

기업들도 곤란하긴 마찬가지다. 강력한 개인정보 규제를 모두 따르다 보면 데이터 수집은 물론 서비스 개발이나 적용에도 제약이 따를 수밖에 없다. 혁신적인 서비스 모델은 불가능을 상상할 때 탄생하는 법인데, 현실적으로 규제가 너무 많다 보니 생각의 폭이 좁아지고 처벌이 두려워 시도조차 꺼리게 된다.  
이용자 입장에선 외국 기업의 서비스에 비해 복잡하고 불편한 국내 서비스를 굳이 고집할 이유가 없다. 경쟁에서 뒤떨어진 국내 기업들은 새로운 기술 개발과 서비스 연구에 투자할 여유가 사라진다. 그 결과는 악순환의 반복이다. 

개인정보의 개별적 사전동의 제도는 겉보기엔 개인의 정보통제권을 보장하는 것처럼 보인다. 하지만 현실에선 개인은 무의식적인 동의로 인한 사후 통제권 상실을, 기업은 과도한 규제로 인한 데이터 수집의 어려움과 경쟁력 상실을 경험하고 있다. 이는 결코 바람직한 결과가 아니다. 

깨알 같은 고지사항, 둔감해지는 보호의식, 습관적인 동의는 더 이상 없어야 한다. 노약자 등 사회적 약자들의 프라이버시 디바이드는 개인정보 사전동의 제도로 결코 해결할 수 없다. 서비스를 제공할 때마다 사전동의를 받아야 하는 현행 규제는 스타트업의 성장과 발전을 정면으로 가로막고 있다. 또한 이용자가 동의만 하면 기업의 개인정보 이용에 대해 면죄부를 주는 것도 불합리하다. 이대로는 개인도 기업도 모두 패착(Lose-Lose)일 수밖에 없다. 
이제는 바꿔야 한다. 개인정보를 실질적으로 보장하기 위해서는 개인정보에 대한 규제를 전면적으로 개선해야 한다. 

현행 개인정보의 개별적 사전동의는 형식적인 동의 절차로 인해 오히려 개인정보 보호를 저해하는 결과를 초래하고 있다. 그 대신 이용자 입장에서 개인정보 사용 내용을 충분히 설명하고 동의를 구하는 ‘포괄적 동의(One Click Consent)’, 또는 민감한 정보나 개인을 특정할 수 있는 식별 가능한 정보에 대해서만 사전동의를 구하고 나머지는 자유롭게 활용하도록 하는 ‘사후동의 배제(Opt-Out)’ 방식으로 전환할 필요가 있다. 

현재 우리나라가 채택한 개별적 사전동의 방식은 허용되는 조건들을 나열하고 그 외에는 모두 불법으로 간주하는 포지티브(positive) 시스템으로, 세계적으로도 엄격한 규제에 해당한다. 반면 미국의 개인정보보호는 민감한 정보를 제외하고 나머지는 기업에 개방하되, 문제가 생겼을 때 처벌하는 사후동의 배제 원칙을 따르고 있다. 사소한 잘못이나 미처 생각하지 못한 잘못은 형사처벌보다는 시정명령이 바람직하다. 그래야 더 많은 스타트업들이 처벌의 두려움 없이 새로운 서비스를 상상할 수 있게 된다. 우리도 미국처럼 정부가 개인정보보호를 위한 가이드라인을 제시하고, 기업이 그 기준에 따라 개인정보보호 정책을 마련해 제출하고, 이후 심사를 통해 무효 또는 시정을 요구하는 정책으로 전환할 필요가 있다.  

개인이 불편하게 생각하는지 확인도 없이 ‘모든 이용자의 의사를 묻지도 않고’ 기업의 개인정보 이용이 무조건 불법이 되는 현행 규제가 과연 개인정보 보호라는 법의 목적에 맞는 것인지 심사숙고할 시기가 됐다. 이대로 과도한 개인정보 규제가 지속된다면 글로벌 기업과의 경쟁에서 패하는 것은 물론, 개인정보 보호마저도 후퇴하게 될 것이기 때문이다. 

구태언 변호사/테크앤로 법률사무소 대표(taeeon.koo@teknlaw.com)


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • #1206, 36-4 Yeouido-dong, Yeongdeungpo-gu, Seoul, Korea(Postal Code 07331)
  • 서울특별시 영등포구 여의도동 36-4 (국제금융로8길 34) / 오륜빌딩 1206호
  • URL: www.koreaittimes.com / m.koreaittimes.com. Editorial Div. 02-578-0434 / 010-2442-9446. Email: info@koreaittimes.com.
  • Publisher: Monica Younsoo Chung. CEO: Lee Kap-soo. Editor: Jung Yeon-jin. Juvenile Protection Manager: Yeon Choul-woong.
  • IT Times Canada: Willow St. Vancouver BC, Canada / 070-7008-0005.
  • Copyright(C) Korea IT Times, Allrights reserved.
ND소프트