◎미국식·유럽식으로 본 개인정보 보호의 비용과 편익

LG경제연구원 '미국식·유럽식으로 본 개인정보 보호의 비용과 편익'

미국은 자유로운 개인정보 이용을 허용하여 IT산업의 혁신을 촉진하고 사회적 투명성을 높였지만, 최근 IoT와 같이 개인정보 수집 기기들이 급증하면서 개인정보의 보호 수준을 높여야 한다는 목소리도 커지고 있다. 반면 유럽의 엄격한 개인정보 보호 규제는 소비자들의 사생활을 보호하고 부정 결제와 같은 피해를 예방하고 있지만 IT 경쟁력을 저하시킨다는 우려를 낳고 있다.

IT기술이 발전하면서 개인정보의 보호 범위에 대한 논란이 커지고 있다. 많은 사람들이 개인정보 보호의 필요성은 공감하고 있다. 그러나 IT혁신이 개인정보의 자유로운 수집과 이용에 기반하게 되면서 IT혁신을 위해 개인정보 보호 수준을 낮추어야 한다는 주장도 제기되고 있다. 다른 한편으로는 과거와 달리 IoT기기, 스마트폰, 웨어러블 등 개인정보를 수집할 수 있는 기기들이 증가하면서 개인정보 유출에 대한 우려도 커지고 있다. 국제적으로 개인정보를 엄격하게 보호하는 나라들도 있고, 개인정보의 자유로운 활용을 중시하는 나라들도 있다. 기술 발전에 따라 개인정보 보호와 관련한 이슈가 점차 중요해질 것은 당연하다. 따라서 개인정보 보호를 통해 사회의 후생이 얼마나 개선될 것인지, 개인정보 보호에 따른 사회적 비용은 얼마인지를 살펴볼 필요가 있다.

미국식 vs. 유럽식

● 글로벌 스탠다드는 엄격한 유럽식 개인정보 규제

먼저 국제적인 개인정보 규제는 유럽의 엄격한 개인정보 보호와 미국의 자유로운 개인정보 이용으로 구분할 수 있다. 1995년에 제정된 유럽의 개인정보지침은 엄격한 개인정보 보호 방식을 채택하고 있다. 개인정보지침에 따르면 소비자를 인식할 수 있도록 만드는 모든 정보는 개인정보이며, 소비자가 동의해야만 개인정보를 수집하고 이전할 수 있다. 만약 소비자 몰래 개인정보를 수집하거나 이전하면 과징금을 물거나 손해배상을 해야 한다. 소비자들의 개인정보를 알 권리보다 중시하고 있는 것이다. 일부 EU 회원국들은 형사 처벌도 하고 있지만, 실제로 형사 처벌을 하는 회원국은 거의 없다. 세계 대부분의 나라들이 유럽을 본받아 개인정보를 보호하고 있다. 우리나라도 규제 강도는 유럽보다 강하지만 기본적으로 유럽 방식을 따르고 있다.

● 미국은 자유로운 개인정보 이용을 보장

반면 미국은 기본적으로 개인정보를 다른 사람이 수집할 수 있다는 입장에 서 있다. 이러한 태도는 미국의 헌법과 가치관에 유래한다. 미국 헌법은 알 권리는 보호하지만, 개인정보를 명시적으로 보호하지는 않고 있다. 알권리를 개인정보의 보호보다 더 중시하고 있다. 다만 법률이 특별히 정한 운전면허번호, 의료기록과 같은 일부 개인정보에 한해 수집과 거래가 금지될 뿐이다. 법률이 금지한 일부 개인정보 이외에는 소비자 동의가 없어도 수집하고 거래할 수 있으며, 실제로 많은 기업들이 소비자의 동의 없이 수집하고 거래하고 있다.

물론 소비자 개인정보가 유출되거나 본인 몰래 개인정보가 유출될 경우 민사소송을 제기할 수 있기는 하다. 그러나 실질적인 손해를 입증해야 배상을 받을 수 있는데, 개인정보의 무단 거래나 유출로 인한 손해액을 입증하는 것은 어렵기 때문에 사실상 배상 받지 못하고 있다. 2000년부터 2010년까지 미국에서 개인정보 관련 소송이 230건이 제기되었는데, 그 중에서 소비자가 승소한 것은 2건에 불과했다. 개인정보 유출로 인한 구체적인 손해액을 입증하기 어려웠기 때문이다. 손해액 입증이 어려워서 많은 개인정보 소송에서 소비자들이 소송 중에 소액만 받고 화해를 하는데 그치고 있다. 예를 들어 2013년 미국의 유통업체인 타겟(Target)에서 계좌정보와 카드번호 등 1억건의 개인정보가 유출되었지만, 실제 손해가 발생한 일부 소비자들만이 배상을 받았고, 그것도 최대 20달러에 불과한 금액으로 화해하였다.

 

무분별한 개인정보 수집과 거래로 인해 소비자들의 우려가 커지자, 미국 정부도 제한된 범위내에서 기업들을 규제하려 하고 있다. 개인정보 약관에 소비자 동의 없이는 개인정보를 수집하지 않겠다고 명시해 놓은 뒤 이와 달리 소비자들 몰래 개인정보를 수집할 경우, 미국 정부는 약관 위반을 이유로 과징금을 부과하고 있다. 그러나 개인정보와 관련한 약관을 어겼다고 하더라도, 소비자의 구체적인 손해액을 선정하기 어려워서 적은 규모의 과징금을 부과할 뿐이다. 증권 사기나 환경 오염에 대해 수조원 규모의 과징금도 자주 부과하는 미국이지만 개인정보 보호 위반에 대해서는 소액의 과징금만을 부과하고 있다. 게다가 상당수의 개인정보 유출은 외부 해커에 의한 것인데, 이는 약관 위반도 아니기 때문에 제재하기 어렵다. 그 밖에도 미국 정부는 개인정보 가이드라인을 만들어서 기업에게 준수를 권고하기도 하는데, 이를 지키는 것은 어디까지는 기업의 자율에 맡겨져 있다. 다른 나라의 사례를 살펴보아도 미국처럼 개인정보를 보호하지 않는 나라는 찾아보기 힘들며, 사실상 개인정보 보호는 기업의 자율에 맡겨져 있는 상황이다.

● 미국 기업에 대한 외국 정부의 제재 증가

 

자국에서 개인정보를 자유롭게 활용하는 미국기업이 유럽을 비롯한 다른 나라에서 사업하는 과정에서 제재를 받는 경우도 늘고 있다. 미국 IT기업들은 미국에서 개인정보를 활용한 혁신적인 서비스와 기술을 개발한 뒤, 다른 나라에 진출하는 과정에서 다른 나라 제도와 충돌하는 것이다. EU법원이 미국으로 개인정보를 이전하는 것에 제동을 건 것도 그러한 갈등의 일부이다. 2000년부터 미국과 EU는 개인정보 이전 협정을 시행하고 있었는데 2015년 10월 EU법원이 위법하다고 판시하여, 향후 미국 IT기업들이 개인정보를 유럽 밖으로 이전하기 어렵게 되었다. 그 외에도 독일, 프랑스, 벨기에 등 유럽 각국 정부는 페이스북이나 구글이 개인정보를 보호하지 않고 있다는 이유로 과징금을 부과하거나 제재를 하고 있다. 우리나라 법원도 구글이 한국 시민의 개인정보를 미국 정부에 넘길 경우 이를 공개해야 한다고 판결하였다. 기본적으로 자국 소비자를 보호하기 위한 각국 정부와 미국 IT기업들의 충돌이 계속 발생하고 있는 것이다.

● 자유로운 개인정보 이용과 IT혁신

미국식의 자유로운 개인정보 이용은 소비자 피해를 유발할 수도 있지만, IT산업에는 도움을 주고 있다. 미국과 같이 개인정보의 자유로운 이용을 허용하는 나라에서는 소비자별 맞춤형 서비스를 개발하기 쉽다. 대표적으로 미국은 소비자가 명시적으로 거절하지 않는 한 쿠키를 수집할 수 있으며, 수집한 쿠키를 바탕으로 타겟광고를 할 수 있다. 인터넷의 구조나 쿠키가 무엇인지 잘 모르는 일반 소비자들의 입장에서는 사실상 개인정보를 동의없이 수집하는 것이나 마찬가지라는 비판도 있지만 소비자 혜택도 있다. 자신이 원하는 광고를 볼 확률이 높아지면서 검색을 하는 시간과 비용을 절약할 수 있으며, 기업들도 보다 적은 돈으로 효율적인 광고를 할 수 있게 된다. 기업들이 선호한 결과 미국의 타겟광고의 가격은 일반 광고의 2.7배에 달한다. 소비자의 명시적 동의가 있어야만 쿠키 수집과 타겟광고가 허용되는 유럽과 대조적이다. 최근에는 보행자의 핸드폰이나 웨어러블의 위치 정보를 수집하여 오프라인 상점이 할인권이나 광고를 발송하는 이른바 O2O마케팅도 활발한데, 타겟광고가 오프라인으로 확장한 것으로 볼 수 있다.

 

금융권의 핀테크도 개인정보의 자유로운 이용이 중요하다. 예를 들어 미국의 P2P대출업자는 대출채무자의 범죄 경력 및 신용기록을 조회할 수 있기 때문에 부도 위험이 높은 채무자를 배제할 수 있다. 결과적으로 변제의지가 있는 저신용자들이 혜택을 보고 있는 것이다. 우리나라는 P2P대출을 사실상 금지하고 있는데, 금지하는 가장 중요한 이유는 대출채무자의 고의적인 연체와 투자자 손실을 방지하기 어렵기 때문이다. 하지만 개인정보를 자유롭게 활용할 수 있다면 이런 문제도 해결할 수 있을 전망이다.

 

공유경제에서도 개인정보의 이용은 중요하다. 미국의 차량 공유기업이나 주거 공유기업은 범죄경력을 조회할 수 있기 때문에 위험한 서비스 제공자들을 배제하고 소비자들에게 안전한 서비스를 제공할 수 있다. 미국에서는  범죄자 또는 정신질환자 리스트를 구입하거나, Checkr, Onfido와 같은 범죄경력 조회 앱을 통해 위험한 사람들을 배제할 수 있다. 범죄 경력 조회를 철저하게 금지하고 있는 우리나라와 대조적이다.

 

● 사회적 투명성 제고

 

개인정보의 자유로운 이용은 IT혁신에만 기여하는 것이 아니라 사회적 투명성도 높여준다. 미국 사회는 높은 사회적 투명성을 자랑하고 있는데 이것의 원인 중 하나가 다른 사람의 재산과 계좌를 조회할 수 있기 때문이다. 공직자는 물론 일반인의 재산과 주택, 계좌를 조회할 수 있기 때문에 탈세나 부정축재, 뇌물 수수가 어려우며, 가명이나 차명으로 재산을 은폐하기도 어렵다.

 

사회적 투명성은 법제도의 신뢰를 높이기도 한다. 정부와 시민간의 상호 신뢰가 형성된다면 법제도를 효율적으로 운영할 수 있다.  예를 들어 미국의 소비자 도산법은 소비자들의 부채를 관대하게 탕감하여 재기를 돕고 있는데, 이는 채무자들이 대출한 자금을 횡령하기 어렵다는 신뢰를 바탕으로 한 것이다. 만약 채무자가 허위로 재산을 신고했다고 의심하면 채권자들은 스스로 채무자를 조사할 수 있다. 반면 우리나라 도산법도 미국과 비슷하게 관대한 부채탕감을 할 수 있지만, 채권자들이 채무자의 재산을 조사할 방법이 없어서 횡령 의혹이 많이 제기되고 있다. 그에 따라 법원도 쉽게 부채를 탕감하지 못하고 있다. 비슷한 도산법을 가지고 있지만 개인정보 보호 수준이 낮은 미국은 채무자의 재기를 효율적으로 돕고 있는 셈이다.

● 유럽의 규제 강화와 혁신 저해 우려

 

이와 달리 유럽은 소비자의 프라이버시 보호에 치중한 결과 IT혁신이 느려지고 있다는 비판이 많이 제기되고 있다. 실제로 주요 IT기업 중에 유럽 기업은 많지 않으며 미국보다 엄격한 개인정보 규제가 IT산업의 발전을 방해하고 있다는 우려가 크다. 게다가 유럽은 2012년부터 현재의 개인정보 규제를 보다 엄격하게 강화하려는 움직임을 보이고 있다. IT 경쟁력이 낮은 EU는 IT산업의 발전보다는 소비자 보호에 더욱 치중하고 있는 것이다. 이에 기업인들은 안 그래도 강력한 유럽의 개인정보 규제를 더욱 강화하면 IT산업의 발전을 저해할 우려가 있다고 보고 있다.

 

과학계도 우려를 제기하고 있다. 개인정보 강화안에 따르면 바이오 과학자들은 환자들이 동의한 자료만을 연구할 수 있으며 연구 후 개인정보를 폐기해야 한다. 만약 환자의 기록을 폐지한 이후에 새로운 의학기술이 발전해도 환자들의 과거 데이터를 이용한 연구나 치료가 불가능해지게 된다. 메르켈 총리도 지나친 개인정보보호 규제 강화로 인해 독일 IT산업의 경쟁력이 미국보다 뒤떨어져서는 안 된다면서 현재 논의되고 있는 EU의 개인정보보호 규정의 지나친 강화에 반대하고 있다.

빅데이터와 IoT시대의 프라이버시

 

그런데 최근 빅 데이터와 IoT 시대에 미국에서도 개인정보의 수준을 높여야 한다는 주장이 커지고 있다. 과거보다 개인정보를 수집할 수 있는 기기와 센서가 폭증하고 있으며, 생산되는 개인정보의 양도 과거와 비교할 수 없을 만큼 커지고 있기 때문이다. 일단 2020년까지 네트워크에 연결된 디바이스가 500억개로 늘어날 것으로 예상되는 등 IoT기기가 폭증하고 있다. 개인정보 유출로 인해 입을 수 있는 피해의 강도도 과거보다 커졌다. 과거에는 개인정보가 유출되어도 대개 신용카드의 부정결제나 불법 계좌 이체 등 재산적 손실을 야기할 뿐이었지만, IoT 기기들은 가정에서 사용하거나 신체에 부착하여 사용하는 것이 많기 때문에 신체적인 피해를 입힐 수도 있다. 예를 들어 해커가 개인정보를 유출시켜 웨어러블의 작동권을 탈취한다면, 혈압이나 혈당과 같은 수치를 잘못 나타나게 하여 의료사고를 유발시킬 수 있다.

● 다양한 기기간 개인정보 추적

IoT와 빅데이터의 출현은 디바이스간 추적이라는 문제도 대두시켰다. IT기업들은 스마트폰과 노트북, 웨어러블 등을 이용하는 사용자들의 전체적인 개인정보를 수집할 수 있게 된다. 아침에 일어나는 시간부터 출퇴근 경로, 주로 머무르는 곳까지 다양하고 총체적인 개인정보를 수집할 수 있게 된다. 소비자 동의가 있어야만 이러한 정보를 수집할 수 있게 한다면 개인정보의 오남용 문제를 어느 정도 통제할 수 있다는 의견도 있지만, 소비자들은 IoT나 네트워크의 구조를 정확하게 알지 못하기 때문에 섣불리 동의할 우려가 있다.

 

● 안면인식 기술과 프라이버시

 

같은 정보라도 과거와 달리 개인의 신원을 파악하게 해 주는 기술도 발전하고 있다. 대표적으로 사진이나 동영상에서 물체와 사람을 인식할 수 있게 해주는 안면인식 기술로 개인의 신원을 파악할 수 있게 되었다. 마케팅업체들은 페이스북이나 인스타그램에 공개한 소비자들의 얼굴 사진을 분석하여 신원을 확인한 뒤 입고 있는 옷이나 먹고 있는 레스토랑 등 구매행위를 파악할 수 있다. 음료수나 과자를 먹고 있는 사진을 분석하여 어떠한 장소에서 음료수나 과자를 먹는지를 파악하여 마케팅에 활용할 수 있다.

안면인식 기술이 지나치게 많은 개인정보를 만든다는 문제도 있다. 이러한 정보가 유출될 경우 소비자들의 행동과 구매 기록이 다른 사람에게 유출될 우려가 있다. 안면인식 기술이 더욱 발전하여 동영상에서도 소비자의 얼굴을 파악할 수 있게 된다면 개인정보 유출 위험은 더욱 커진다. 정부나 기업은 거리와 매장에 설치된 CCTV를 통해 소비자의 구매와 행동 정보를 파악할 수 있게 된다. 지금까지는 거리를 돌아다닐 때 익명의 자유를 누렸지만, 앞으로는 CCTV를 통해 누가 어디를 다니며 무엇을 하는지에 대한 정보가 수집될 수도 있다. 안면인식 기술을 통해 암살, 강도, 스토킹이 보다 쉬워질 우려도 있다. 인식 기술이 더욱 발전하여 스크린을 통해 소비자들의 미묘한 감정을 파악할 수 있는 CCTV가 길거리와 상점에 설치된다면 신원은 물론 소비자들의 감정조차 숨길 수 없게 된다. 여기에 더해 음성인식 기술까지 발전한다면 기업이나 정부는 거리나 상점에서 친구들과 나눈 대화도 수집하여 분석할 수도 있다.

 

● 점차 커지고 있는 개인정보 중개와 거래

 

최근에는 개인정보를 돈주고 사는 기업들도 나타나고 있다. 미국의 AT&T는 기가 파워 서비스를 월 99달러에 출시하였는데, 소비자들이 인터넷 사용 내역을 제공하면 월 70달러로 할인해 준다. 2012년 설립된 Datacoup라는 벤처기업은 소비자들이 소셜 미디어의 아이디와 비밀번호 등과 같은 개인정보를 제공하면 대략 10달러를 지급하고 있다. 소비자들은 현재의 금전적 이득에 만족해 개인정보의 수집과 거래를 허용할 수도 있지만, 이것이 나중에 부메랑이 되어 사기 결제나 불법 계좌 이체에 악용될 우려도 있다.

 

개인정보를 모아서 파는 회사도 있다. 2012년 주요 9개 개인정보 거래 회사의 총매출은 4.3억 달러에 이르며, 가장 거대한 개인정보 거래 회사인 Acxiom은 국제적으로 7억명의 개인정보를 수집하고 있다. 미국 법률이 금지하지 않는 한 소비자 동의 없이 개인정보를 수집하고 거래하는 것은 합법이지만, 미국 정부와 전문가들은 비판적이다. 일단 부정확한 정보가 많다. 일반인이 범죄자 명단 또는 마약중독자 명단에 잘못 기재될 경우 취업이나 대출에서 차별을 받을 우려가 있다. 자신에 대해 잘못된 정보가 거래되고 있다는 것을 알기도 어려우며, 이를 수정하는 것도 어렵다. 악용 우려도 있다. 범죄조직이나 테러단체가 개인정보를 매수하여 피싱, 사기, 테러 등에 악용할 가능성도 있다. 다른 나라에서는 위법이지만 미국에서는 별다른 규제가 없다 보니 우려의 목소리도 커지고 있다.

 

미국에서는 대기업들이 고객 동의 없이 개인정보를 수집하는 문제도 나타나고 있다. 미국의 버라이존은 마케팅에 활용하기 위해 고객이 삭제할 수 없는 좀비 쿠키를 탑재하여, 소비자들의 인터넷 사용 기록을 몰래 수집한 사례도 있다.

 

● 개인정보 악용 우려와 IT기술 거부

IoT 시대에 개인정보 이용의 편익도 커졌지만, 개인정보가 악용될 가능성과 악용될 경우 입을 손해도 커지게 되었다. 개인정보를 활용하는 IoT 기기의 수가 증가하는 만큼 개인정보의 유출 위험도 커지게 된다. 만약 이러한 위험을 사전에 예방하지 않는다면 소비자들은 아예 웨어러블이나 IoT를 거부할 가능성이 있다. 개인정보 유출 가능성과 예상피해가 커졌기 때문이다. 개인정보 이용에 관대한 미국에서도 그러한 우려가 제기되고 있다. PEW의 2014년 조사에 따르면 미국 시민 91%가 자신의 개인정보를 컨트롤할 수 없다고 대답하였으며, 88%가 자신에 대한 부정확한 정보를 수정하기 어렵다고 대답하였다. 기업들도 소비자들의 우려를 반영하여 기능을 재조정하기도 한다. 구글은 2013년에 일반 시민의 사생활을 보호하기 위해 구글 글래스에 안면인식 앱의 탑재를 금지한 것이 그러한 사례 중에 하나다.

보호와 공개의 황금비는?

 

개인의 사생활 보호는 가볍게 여길 수 없는 문제이지만, 개인정보의 보호 규제는 비용도 발생시킨다. 유럽과 같이 정보보호 수위가 높으면 개인의 사생활은 보호될 수 있지만, 기술혁신을 방해하고 사회적 투명성을 낮출 우려가 있다. 미국과 같이 개인정보 보호 수준이 낮으면 사회적 투명성을 높이고 새로운 기술의 개발을 촉진하는 효과가 있지만, 개인의 불안은 커질 수 있다. 개인정보 보호는 우리나라뿐 아니라 세계 각국이 그 수위와 방법에 대한 기준을 찾기 위해 노력하고 있다. 우리는 유럽처럼 엄격한 개인정보 보호 방식을 채택하고 있지만 한편으로는 유럽보다 더 엄격한 부분도 적지 않다. 적정한 수준에 대한 원칙과 기준 등을 모색해야 할 것이다. 기술의 변화에 따라 개인정보 규제에서 새로 고려해야 하는 부분이 계속 나오기 때문에 시원한 답을 얻기 어렵지만, 적어도 우리나라가 글로벌 기준에 비교해서 과한 부분은 없는지 그렇게 해야 할 이유가 있는지 등을 살펴볼 필요가 있을 것이다.

또한 100%의 정보보호는 불가능한 만큼 특정정보가 누출되었을 때 치명적인 위험을 줄일 수 있는 조치나 방안 등을 강구할 필요가 있다. 특히 주민등록번호라는 독특한 제도 때문에 유출된 개인정보가 계속 누적될 우려가 있어서, 다른 나라에 비해 개인정보 유출시 소비자 피해가 크다.

 

개인정보 보호와 사회적 후생·편익을 위한 개인정보 활용 간의 균형을 위해서는 단순히 규제의 수위를 정하고 준수하는 것만으로는 부족하다. 보안 기술에도 적극적으로 투자할 필요가 있다. IoT, 빅 데이터, 안면인식 기술 등 IT혁신은 지속되고 있으며, 그 과정에서 개인정보를 침해할 우려가 있는 요인을 파악하고 대처하기 위해서는 보안 기술의 개발이 필요하다.

최근 정부는 비식별화된 개인정보 이용의 허용을 추진하고 있다. 기업의 입장에서도 개인정보 보호와 새로운 서비스의 개발을 위해 비식별화 기술 및 보안 기술에 보다 적극적으로 투자할 필요가 있을 것이다. 개인정보의 보호와 IT산업 발전을 동시에 달성하기 위해 보다 균형잡힌 규제와 함께 정부와 기업의 적극적인 보안기술 투자의 필요성은 커지고 있다. 이러한 노력들이 정보공개의 위험을 줄이고 정보의 사용의 편익을 높이는데도 기여할 수 있을 것이다.  <끝>