편집자주 : 박근혜 정부와 산업계는 빅데이터 산업을 위해 동의권 등 정보주체의 권리를 축소하고자 합니다. 그러나 빅데이터 시대를 앞서가는 유럽과 미국은 빅데이터 시대 소비자 선택권을 강화하는 법제도를 도입하고 있습니다. 우선 유럽연합이 4월 14일 새로운 개인정보보호규정(GDPR)을 제정하면서 빅데이터 프로파일링 처리로부터 정보주체의 거부권 등을 포함시켰습니다. 전통적으로 자율규제 국가로 알려져온 미국 역시 통신 이용자에 대해 사상 첫 옵트인 도입을 앞두고 있습니다. 연방통신위원회가 통신이용자 개인정보를 마케팅에 쓰려는 통신기업들에 소비자 동의를 사전에 받는 ‘옵트인’을 적용하는 내용으로 4월 1일 입법예고를 한 것입니다. 미국 통신법 역사상 처음 있는 일입니다. 그만큼 빅데이터 시대 소비자 권리도 놓치지 않으려는 제도적 변화가 세계적인 흐름이 되어가고 있습니다. 미국에서 잘 알려진 디지털권리 단체인 민주주의와 기술 센터(CDT)의 의견서를 통해 뜨거운 옵트인 논쟁을 살펴 보겠습니다.
번역오류는 della 골뱅이 jinbo.net 으로 알려주세요.
제목 : 통신소비자 프라이버시 보호를 위한 CDT의 제안
원문 : CDT Files Comments in the FCC Rulemaking to Protect Broadband Customer Privacy
작성 : 2016년 5월 27일, 민주주의와 기술센터(CDT: Center for Democracy & Technology)
통신소비자 프라이버시 보호를 위한 CDT의 제안
CDT는 오늘, 통신 소비자 프라이버시를 보호하기 위한 연방통신위원회(FCC) 규칙제정안 입법예고에 의견서를 제출하였다. CDT는 통신서비스(Title II)의 소비자 보호 조항을 광대역망접속서비스에 적용하여 소비자 프라이버시를 보호하려는 FCC의 노력을 높이 평가한다.
인터넷산업의 이익 다수는 그 이용자 없이는 불가능했을 것이다. 생각을 교환하고 사업상 혹은 개인적인 교류를 간편화하고 협업하거나 사회화하는 등 온라인에서 개인의 활동은 인터넷을 역사상 가장 의미있는 커뮤니케이션 네트워크로 만들었다. 사람들은 자신의 예상 밖으로 온라인 활동이 감시 혹은 분석되거나 공유될 것이라는 우려 없이 온라인 생태계에 기여할 수 있어야 한다. 따라서 어떠한 인터넷 법률체계에도 개인정보 이용과 공유에 대한 강력한 기준이 포함되어야 한다. 광대역망접속사업자(기간통신사업자)들은 인터넷을 광범위하게 확산시킬 수 있을 뿐 아니라 소비자 개인정보를 책임 있게 운영할 수 있는 특수한 위치에 있다. 이번 규칙안은 FCC가 광대역망접속사업자들로 하여금 이러한 역할을 다하도록 보장할 수 있는 유례없는 기회이다.
“데이터에 변형 능력이 있다고 하여 소비자 개인정보의 마구잡이 이용에 대해 점점더 커지는 우려를 무시하면 안된다”
지금은 데이터 기반 혁신의 경이로운 시기이다. 온라인 개인정보 수집과 이용은 산업, 공공서비스, 경제 분야에 혁명적인 변화를 가져 왔다. 광대역망접속사업자들은 우리가 인터넷에 접속하는 물리적인 인프라망을 실질적으로 설립하고 유지할 뿐 아니라, 디지털 혁명과 몇몇 의미있는 데이터 분석에 기여하고 있다. 그러나 데이터에 변형 능력이 있다고 하여 소비자 개인정보의 마구잡이 이용에 대해 점점더 커지는 우려를 무시하면 안된다. 이러한 우려들은 광대역망접속사업자들에 제한되지 않으며, 분명 이들 사업자들이 데이터를 현금화하려고 노력하는 유일한 세력은 아니다. 데이터사업자들(Edge providers)은 데이터 수집과 공유 기술의 경로를 만들어 왔으며 이들 사업 이익의 상당비율은 데이터 현금화로부터 나온다. 장비 제조업은 점점더 고객 정보 뿐 아니라 데이터사업자나 광고업자와의 파트너십을 통해 이를 현금하는 방안을 설계에 반영하고 있다.
불행히도 이러한 왕성한 데이터 시장에 강력한 소비자 프라이버시 보호 체제가 동반되어 오지 못했다. 인터넷이 건강하게 지속되려면 프라이버시 보호에 책임을 져야 한다는 비판이 있어 왔음에도 미국은 포괄적인 소비자 프라이버시법을 갖고 있지 않다. 그대신 미국 소비자들은 어떤 경우에는 개인정보 보호를 놀랍도록 방치하는 프라이버시 기준들을 조각조각 접해 왔으며, 미 연방거래위원회(FTC)가 강제하는 소비자 보호 관련 일반 법률들은 프라이버시 권리들을 불완전하게 지켜왔다. 이러한 이유에서 CDT는 간편하고 유연한 기본적인 소비자 프라이버시 입법을 오랫동안 주장해 왔으며, 이러한 입법은 소비자들을 개인정보의 부적절한 수집이나 오용으로부터 보호할 수 있다. 원칙적으로, 이러한 입법은 FTC ‘공정정보규정'(Fair Information Practice Principles)을 성문화하는 것이다. 즉, 개인정보 수집과정에서 투명성과 고지를 요구하고, 개인정보 이용과 제공에 대해 소비자에게 유효한 선택권을 제공하고, 소비자에게 자신이 제공한 개인정보에 대한 합리적인 접근권을 허용하고, 오용되거나 비인가된 접근에 대해서는 구제절차를 제공하고, 개인정보 수집 제한과 보안을 위한 기준을 수립하는 것이다.
Title II와 미국 프라이버시법의 접합은 모든 산업에 대한 기준을 수립할 수 없고 그런 취지도 아니다. 그래서 CDT는 미 의회가 신속하게 기본적인 프라이버시 입법을 통과시켜서, 개인정보가 어디서 생성되고 누가 수집하고 있건간에 개인들이 자신의 개인정보에 보다 더 통제권을 가질 수 있기를 바란다. 의회가 이런 법률을 통과시키지 않는다 하더라도, 이번 Title II 권한 확보를 통해 FCC가 통신소비자의 프라이버시를 보호할 수 있는 법률상 의무와 전문성을 갖게 되었다. 우리는 의견서에서 FCC가 규칙을 집행할 때 다음과 같은 제안을 수용함으로써 이런 기회를 적극 활용할 것을 주장하였다.
첫째, 비공개소비자정보(Customer Proprietary Information, CPI) 개념은 개인식별정보(Personally Identifiable Information, PII)를 포함해야 한다.
CDT는 222(a)조에 명시된 ‘소비자가 관련된 비공개정보’가 광범위하게 해석되어야 한다는 데 동의한다. 특히 이 구절은 222조 ‘비공개소비자망정보'(Customer Proprietary Network Information, CPNI)의 정의에 국한하기보다 더 광범위한 정보를 포함해야 한다. 이 규정은 통신사업자에게 소비자의 비공개된 정보의 기밀을 보호하도록 일반적으로 요구하고 있지만, 비공개소비자망정보(CPNI)의 일부가 사용되고 공유될 수 있는 조건을 설정하고 있다. 나머지 비공개정보는 PII를 포함해야 하며, 그 이용과 제공에 대한 소비자 동의 없이는 일반적으로 기밀성을 보호받아야 한다.
둘째, 비공개소비자망정보(CPNI)는 패킷메타데이터를 포함해야 한다.
광대역통신망 차원에서 보자면, “통신량, 기술설정, 유형, 통신상대, 위치, 통신시간”에 관련된 정보는 인터넷프로토콜 패킷을 감싸고 있는 헤더계층의 메타데이터에서도 확인할 수 있다. 이런 메타데이터의 일부 정보만 수집하더라도 소비자의 소재와 온라인 활동을 알 수 있다. 시간이 흐르면 이런 데이터 특징점에 대한 분석은 소비자의 행동 유형과 세부적인 사생활을 드러낼 수 있다. 이런 정보들은 상업적으로 가치가 있기도 하지만, 소비자들이 그 이용에 대한 더 많은 통제권을 가져야 마땅하다.
셋째, 소비자의 옵트인 선택권은 개인정보의 이차적인 이용 대부분에서 보장받아야 한다.
소비자 정보를 소비자가 구입한 서비스와 무관한 마케팅 서비스에 이용하거나 공유할 때, 소비자에게 옵트인 선택권을 일반적으로 요구하고 있는 FCC 규칙안을 CDT는 지지한다. 광대역망접속사업자가 수집한 소비자 정보를 정당하게 이용할 수 있는 경우가 많이 있다. 이런 이용의 어떤 경우는 기능적이고 효율적인 네트워크 관리에 필수적이고 동의가 필요하지 않다. 다른 경우 통신사업자가 시장 관련 정보를 제공하는 것을 지원하기도 한다. 프라이버시 리스크가 낮고 통신사업자가 자신의 정보를 그런 목적에 사용할 것을 소비자들이 예상하고 있는 이와 같은 경우 소비자의 옵트인 선택권은 요구되어서는 안 된다. 그렇지만 제3자가 소비자 개인정보를 마케팅에 이용하려 하거나 1차 수집기관이나 관련기관이 개인정보를 “통신관련” 서비스가 아닌 마케팅 서비스에 이용하려 한다면 소비자들의 옵트인 선택권이 반드시 보장되어야 한다.
소비자 개인정보의 제3자 제공은 통상 이 개인정보를 통신사업자의 통제권 바깥에 두면서 연방통신법에 규정된 어떤 프라이버시 기준에도 적용받지 않는 제3자의 손에 맡겨둔다. 따라서 개인정보 손실[유출] 리스크는 더 커지고 FCC는 기업들에 손실에 따른 책임을 부과하는 데 어려움을 겪게될 것이다. 소비자 개인정보의 이차적인 이용 대부분에 옵트인을 요구하는 것은 소비자에게 자신의 개인정보에 대해 보다 유효한 통제권을 부여한다는 점에서도 중요하다. 옵트인이 요구되는 경우 광대역망접속사업자들은 옵트인을 선택하는 소비자에게 현금으로 보상하는 등, 소비자에게 옵트인을 권장하는 규칙에 훨씬 탄력적으로 적응해야 할 것이다. 그러나 그러한 동의 장려책이 심각한 공공정책적 우려를 유발할 수 있기 때문에 이러한 프로그램은 투명하게 운영되어야 하고 강제적으로 실시되어서는 안 된다.
넷째, 소비자 옵트아웃 선택권은 1차 수집기관이나 연계기관이 소비자 개인정보를 “통신관련 서비스” 시장에 이용할 때에만 허용되어야 한다.
1차 수집기관이나 연계기관이 소비자 개인정보를 “통신관련 서비스” 시장에 이용하고 공유할 때에는 옵트아웃으로 충분할 것이다. “통신관련 서비스”는 음성, 인터넷, 케이블 서비스 등 연방통신법에 따라 프라이버시 보호를 해야 하는 기업에 한정되어야 한다. 소비자 개인정보를 이런 기업들과 공유하는 것은 소비자 개인정보에 대한 손실 리스크를 유의미하게 증가시키지 않을 것이다. 통신사업자는 일단 공유한 개인정보에 대한 통제권을 유지할 것이고 개인정보를 제공받는 기업들은 연방통신법에 따라 프라이버시 보호를 해야 할 것이다.