빅테크인터넷거버넌스

빅테크와 정보인권(7){/}빅테크의 차별과 취약한 정보주체 보호

By 2022/10/31 No Comments
빅테크와정보인권

페이스북, 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다. 그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다.

빅테크는 모든 이용자와 소비자들에 위험한 측면이 있습니다. 유럽연합 디지털서비스법이 대규모온라인플랫폼에 위험평가를 하도록 한 이유가 여기에 있습니다. 그런데 이 위험평가는 대규모온라인플랫폼이 젠더폭력과 아동에 미치는 영향을 특별히 검토하도록 하였습니다. 젠더폭력 피해자와 아동이 취약한 정보주체라고 보기 때문입니다. 디지털서비스법 뿐 아니라 최근 빅테크에 적용되는 여러 제도적 모색에서는 취약한 정보주체를 보호하기 위한 조치들이 특별히 규정되고 있습니다. 빅테크가 이들을 차별하고 사회적으로 배제하는 효과를 미치고 있다는 지적이 잇따른 결과입니다.

차별에 취약한 정보주체

  • 덴마크 국가인권위원회는 취약한 권리주체에 대하여 다음과 같이 설명한 바 있음.
    • 개인 및 집단의 취약성이란, 사업, 제품 및 서비스와 관련된 위험이나 부정적인 영향에 대하여 예측하거나 대처하거나 저항하거나 회복할 수 없을 만큼 더 높은 위험 상태에 처해 있는 것을 의미함. 취약한 개인 및 집단에는 여성, 아동, 노인, 빈곤한 사람들, 민족적·종교적·문화적·언어적 소수자들, 선주민 집단이 포함될 수 있음.
    • 소외는 근본적인 사회 불평등에서 기인한, 극심하고 지속적인 불이익의 한 형태로 정의될 수 있음. 빈곤, 성별, 민족성 및 기타 특성이 상호 작용하여 중첩적이고 악순환하는 불이익층을 만들어 기회를 제한하고 사회 이동을 방해함. 소외는 다른 사람의 경우 이익을 얻거나 접근할 수 있는 특정한 혜택에서 해당 개인이나 집단을 제한하거나 심지어 배제시킴. 특정한 권리, 기회 및 자원에 대하여 이용할 수 없는 상태도 소외에 해당할 수 있음. 특정 상황에서 소외될 수 있는 개인 및 집단에는 여성과 십대여성, 소수자, 선주민, 농어촌 주민, 이주자, 난민, 국내 철거민, 장애인이 포함될 수 있음. 소외된 사람에 대한 배제는 이들의 정치적, 경제적 및 사회적인 참여 제한을 낳을 수 있음
    • 차별은 인종, 피부색, 성별, 언어, 종교, 정치적·기타 의견, 국가적·사회적 출신, 재산, 출생·기타 신분 등 여타의 근거에 기반하는 모든 구별, 배제, 제한, 선호를 의미하는 것으로 이해되어야 함. 또한 차별은 모든 사람이 동등한 입장에서 모든 권리와 자유를 인식하고 향유하거나 행사하는 것을 무효화하거나 훼손하려는 목적 또는 그러한 효과를 갖는 모든 구별, 배제, 제한, 선호를 의미함.
  • 특히 각국의 여러 차별금지법 및 평등법은 고용, 재화 및 서비스 제공 등에서 장애, 성별, 연령, 인종 등 법적으로 보호하고 있는 특성에 기반하여 특정한 사람을 합리적인 이유 없이 우대ㆍ배제ㆍ구별하거나 불리하게 대우하는 행위를 금지하고 있음
  • 그러나 빅테크와 대규모 온라인 플랫폼에서 차별이 이루어지고 있다는 지적이 계속되어 옴.

빅테크의 차별적 행위

  • 특히 페이스북이 구직, 주택, 금융 등 주요 분야에서 광고 정보를 노출할 때 성별, 연령, 장애, 종교 등에 기반하여 차별하고 있다는 지적이 있었음.
    • 2017년 프로퍼블리카와 뉴욕타임즈의 공동조사에서 페이스북의 일부 광고가 40세 이상 이용자에게 표시되지 않는다는 사실이 밝혀짐. 문제의 광고주들은 페이스북에서 제공한 약 5천개의 옵션을 이용하여 특정 연령대에만 구인광고를 표시함. 이는 고용에서 연령에 따른 차별을 금지하고 있는 법률 위반에 해당함. 이에 미국통신노동조합(Communications Workers of America, CWA) 등이 연령차별 광고주를 대상으로 집단소송을 제기함.
    • 이후에도 프로퍼블리카는 페이스북 주택 광고에서 흑인, 고등학생 엄마, 휠체어 이용자, 유대인, 남미 이주민, 스페인어 사용자, 이슬람교도 등을 배제하는 차별이 가능하다는 사실을 실제 광고 집행을 통해 입증하고 보도함. 이에 전미공정주택연합이 2018년 페이스북을 상대로 소송을 제기함.
    • 2018년 미국 시민권단체 ACLU와 CWA는 미국고용평등기회위원회(EEOC)와 함께 페이스북 및 광고주에 대하여 광고 표시의 여성 차별에 대하여 집단소송을 제기함. 페이스북은 광고주에게 법적으로 차별이 금지된 지역, 연령, 성별에 대한 옵션을 선택할 수 있도록 허용하였을 뿐 아니라, “한부모, 전업맘, 워킹맘” 등 성별에 따른 분류를 제공하였음. 이로 인하여 지붕 수리, 트럭 운전, 기계엔지니어 등을 모집하는 페이스북 광고가 남성들에게만 노출되고 여성들에게는 노출되지 않았음.
    • 2019년 페이스북은 광고 차별에 대한 집단소송 5건에 대하여 원고와 합의하고 주택, 고용, 금융 분야 광고에서 지역, 연령, 성별에 따른 표적 광고를 금지함.
    • 미국 주택도시개발부는 2019년 페이스북을 상대로 공정주택법 위반으로 별도의 소송을 제기함. 주택도시개발부는 누구에게 광고가 표시되는지가 페이스북 예측 알고리즘에 의해 결정된다고 보았음. 주택도시개발부는 비(非)기독교인, 장애인, 남미계, 이슬람교도 등이 주택 광고를 볼 수 없도록 차별되었다고 밝힘. 2022년 6월 페이스북은 이 소송에서 합의하고 알고리즘을 수정하기로 함
    • 2021년 9월 시민단체 “글로벌 위트니스(Global Witness)”는 페이스북이 구직 광고에서 영국 평등법과 개인정보보호법을 위반하였다며 영국 평등인권위원회와 개인정보보호감독기구 ICO에 진정을 제기함. 진정단체는 자신들의 실험에서 기술직 광고는 주로 남성에게만 표시되고 돌봄 광고는 주로 여성에게만 표시되었다고 밝힘. 또한 특정 광고를 여성에게만 표시하거나 55세 이상에게만 표시하는 것을 페이스북이 승인하였다고 밝힘.
  • 페이스북 외에도 빅테크의 차별적 서비스에 대한 지적이 계속되어 옴
    • 구글 포토 서비스가 흑인 여성의 사진에 대해 ‘고릴라’라는 키워드를 자동 태깅하는 등 인종차별적인 고정관념에 기여하고 있다는 지적이 일었음. 구글 검색 결과에 대한 한 연구에서 특정 직업군에 대한 표시들이 실제 고용 통계보다 성별 고정 관념에 더 치우쳐 있는 것으로 나타났고, 구글 광고에 대한 다른  연구에서는 웹브라우징 행태가 동일한 이용자 중 여성보다 남성에게 고임금 직종 광고를 더 많이 노출시켰음. 또다른 연구에서는 흑인 유형의 이름을 검색했을 때 체포, 전과, 형사처벌과 관련한 결과가 더 많이 나타났음. 구글 뉴스의 자연어처리 알고리즘에 대한 연구에서는 ‘she’라는 단어의 연관단어가 ‘가정주부’, ‘간호사’, ‘접객원’, ‘사서’, ‘사교계’, ‘사회복지사’ 등으로, ‘he’라는 단어의 연관단어는 ‘거장’, ‘선장’, ‘철학자’, ‘주장’ 등으로 나타나서 성역할에 고정관념적인 결과를 보여줌. 유튜브 자동 자막에 대한 연구에서는 자동 자막이 여성 발화 및 스코틀랜드 방언에 대한 인식에서 정확도가 낮았음.
    • 아마존의 ‘당일 배송’ 서비스는 인종 요소를 입력하지 않았음에도 알고리즘이 자동으로 흑인 거주지를 제외하였음. 아마존의 얼굴인식 시스템을 국회의원 사진에 적용해본 결과에서는, 높은 비율로 유색인종 국회의원을 수배자로 오인식하였음. 이 얼굴인식 시스템은 오레곤 경찰이 사용하는 바디캠에 적용되어 있었음.
    • 에어비앤비에 대한 한 연구는 비흑인 호스트가 흑인 호스트에 비해 더 높은 숙박대금을 받는 경향이 있다는 사실을 드러낸 데 이어, 다른 연구에서는 ‘백인’ 유형의 이름을 가진 게스트에 대한 수락율이 ‘흑인’ 유형의 이름을 가진 게스트보다 높은 것으로 나타났음. 또다른 연구에서는 유사한 조건에서 아시아계 호스트가 백인 호스트에 비해 더 낮은 가격을 받았음.
    • 우버에 대한 한 연구는 운전자 배치의 기반이 되는 이용자와 고객의 평가 시스템이 인종과 성별편향적인 측면이 있다고 지적함.

빅테크 차별 대응의 한계

  • 우선 법적으로 금지된 차별을 은밀하게 시행할 수 있는 옵션을 광고주에게 제공한 페이스북 사례는 명백한 차별금지법 위반으로 볼 수 있음.
  • 그러나 이러한 직접적인 옵션을 제거한 뒤에도 알고리즘이 계속적으로 차별적인 결과를 산출하는 사례가 나타남. 아마존 알고리즘은 인종 요소를 입력하지 않았음에도 흑인 거주지를 차별한 것으로 나타났고, 페이스북 광고에 대한 최근 연구에서는 광고주가 옵션을 선택하지 않았음에도 예산과 콘텐츠(보디빌딩 광고 또는 화장품 광고 / 컨트리뮤직 또는 힙합 뮤직 광고 / 목재업 구인광고 또는 환경미화원 구인광고)만으로 성별과 인종에 따라 자동적으로 다르게 표시됨.
  • 이에 해당 알고리즘을 설계하고 운영하는 빅테크의 책무에 대한 문제제기가 일음. 빅테크가 알고리즘을 설계하고 학습시키는 모든 단계에서 차별을 방지하고 취약한 정보주체의 권리를 존중할 의무가 있다는 것임.
  • 한편, 본래 사람들과 사회가 차별적인 것이고 알고리즘은 그것을 학습하였을 뿐이라는 옹호론도 제기됨. 그러나 유럽연합은 2020년 발간한 <인공지능 백서>에서 “인간의 의사결정에도 편견이 작용하지만… 인공지능 의사결정에서 작용하는 편견에 대한 통제 메커니즘이 없다면 훨씬 더 많은 사람들에게 장기간 영향을 줄 것”이라고 지적함.
  • 특히 유럽정보보호이사회(EDPB)는 표적 광고 등 맞춤형 서비스가 아동 등 취약한 범주의 정보주체에 대하여 미치는 영향이 더욱 클 수 있다고 경고함. 맞춤형 서비스는 아동의 개인적 선호와 관심의 형성에 영향을 미치고 자율성과 발달의 권리에 영향을 미칠 수 있음.
  • 페이스북 내부고발자 프렌시스 하우겐은 페이스북과 인스타그램이 10대 자살률을 높이거나 섭식장애로 이어지는 등 정신건강 측면에서 청소년에게 유해하다는 사실을 알고도 책임을 방기했다고 폭로했음.

빅테크 차별에 대한 제도적 모색

  • 최근 빅테크의 차별적인 알고리즘 서비스로부터 차별을 방지하고 취약한 정보주체의 권리를 제도적으로 보호하기 위한 노력들이 유럽연합과 미국 등에서 다방면으로 이루어져 옴.
  • 첫째, 차별적 대우가 가능한 민감한 특성에 관한 개인정보 처리를 법률적으로 제한함
    • 1995년 유럽연합 개인정보보호지침(directive 95/46/EC)에서 유래한 2006년 유럽연합 일반개인정보보호규정(GDPR)은, 인종·민족, 정치적 견해, 종교적·철학적 신념, 노동조합의 가입 여부를 나타내는 개인정보의 처리와 유전자 정보, 개인을 고유하게 식별할 수 있는 생체정보, 건강정보, 성생활·성적 취향에 관한 정보 및 범죄경력 및 범죄행위와 관련된 개인정보에 대한 처리를 원칙적으로 금지함. 다만, 정보주체의 명시적 동의를 받거나 중대한 공익을 위하여 법률적 근거에 기반하여 처리하는 경우 등에 한하여 처리할 수 있음. 이때 ‘장애’ 상태는 건강에 관한 민감정보로서 보호됨.
    • 유럽연합은 여기서 더 나아가 2022년 제정을 앞두고 있는 디지털서비스법에서는 온라인플랫폼이 이용자 민감정보를 프로파일링하고 이에 기반한 광고를 표시하는 것을 금지함. 즉, 빅테크가 이용자의 게시물 등 여러 개인정보를 자동적으로 분석하여 정치적 견해나 성적 지향을 추론한 후 표적 광고를 하는 행위가 금지됨.
    • 미국 역시 2022년 의회에서 발의된 감시광고 금지법안(Banning Surveillance Advertising Act)에서 인종, 피부색, 종교, 성별, 장애 등 보호 범주 정보에 기반한 맞춤형 서비스를 금지함.
  • 둘째, 장애인 등 취약한 정보주체의 권리를 보호하는 조치가 규정됨.
    • 유럽연합 디지털서비스법의 경우, 온라인서비스에 대하여 비록 의무적이지는 않지만 장애인 접근성을 보장하는 행동강령의 제정을 장려함.
    • 2021년 유럽연합 집행위원회가 제안하여 입법 절차를 밟고 있는 인공지능법안(AI Act)의 경우 “개인·단체에 대한 정보 및 예측을 악용하여 아동·장애인 등의 취약성 또는 특수 상황을 표적으로 삼는 인공지능시스템”의 개발이나 사용을 아예 금지함.
  • 셋째, 특히 아동 보호와 관련된 제도적 조치가 적극적으로 취해지고 있음.
    • 유엔아동권리위원회는 2021년 3월 2일 발표한 일반논평 25호(CRC/C/KOR/GC/25)에서 디지털 환경에서 아동의 권리를 보호하는 조치를 강력하게 요구하였음. 특히 아동의 개인정보를 이용하여 아동을 표적으로 하는 광고와 마케팅을 규제할 것을 각국 정부에 요구하였음.
    • 유럽연합 GDPR은 1995년 지침과 다르게 아동에 대한 보호를 특별히 규정함. 만16세 미만이나 국가별로 최소 13세 미만의 아동이 인터넷 서비스에 가입할 때 친권자 동의를 받는 것을 원칙으로 하며, 다만 아동 최선의 이익에 따라 아동을 위한 예방이나 상담서비스에는 친권자 동의가 필요하지 않음. 그외에는 만18세 미만 모든 아동이 자신의 개인정보 처리에 대해 성인과 마찬가지로 정보주체의 권리를 모두 행사할 수 있으며, 특히 친권자 동의에 기반해 처리된 자신의 개인정보에 대한 삭제권의 행사가 보장됨. 회사 등은 아동에게 고지할 때 아동이 이해하기 쉽게 명확하고 평이한 표현을 사용해야 함. 다만 회사등이 ‘정당한 이익’에 기반하여 아동 개인정보를 처리하는 것은 인정되지 않으며, 특히 마케팅 목적이나 프로파일링 처리에서 아동의 이익에 대한 특별한 보호를 요구함. 아동은 완전히 자동화된 의사결정의 대상이 되지 않아야 함. 이탈리아에서 10세 아동이 틱톡에서 질식게임인 ‘블랙아웃 챌린지’를 하다가 사망한 사건이 발생하자, 2021년 1월 이탈리아 개인정보보호 감독기구가 아동 여부가 확인되지 않은 개인들의 개인정보처리를 금지함. 네덜란드 개인정보보호 감독기구는 2021년 4월, 틱톡이 16세 미만 네덜란드 이용자들에게 개인정보보호지침을 영어로만 제공한 것에 대하여 750,000유로의 과징금을 부과함.
    • 특히 유럽연합 디지털서비스법은 디지털 플랫폼에서 아동의 권리를 보호하기 위한 조치를 보다 구체화함. 우선 디지털서비스법은 아동을 대상으로 하는 모든 온라인 서비스에서 아동이 이해할 수 있는 이용약관을 제공하도록 함. 또한 아동이 접근할 수 있는 온라인플랫폼에 아동을 보호하여야 할 의무를 규정하고, 높은 수준의 개인정보보호, 안전 및 보안 조치를 의무화함. 특히 아동 이용자에게 개인정보의 프로파일링에 기반한 광고를 표시해서는 안 됨. 4,500만 이상의 활성이용자를 보유한 대규모온라인플랫폼의 경우에는 위험영향평가의 의무가 부과되는데 이때 젠더폭력에 미치는 영향과 아동보호를 위한 조치도 평가하여야 함.
    • 영국은 ICO가 ‘연령적합설계 실행규칙(Age Appropriate Design Code)’을 마련해 2021년 9월 2일부터 시행함. 이 규칙은 아동 대상 서비스에서 높은 개인정보보호 기준을 기본 설정(data protection by default)으로 요구함. 또한 아동 최선의 이익 원칙하에 연령별로 적합한 서비스 적용과 정보 제공, 권리 행사 보장을 요구함. 아동의 개인정보는 최소한만 수집하고 설득력 있는 이유(compelling reason)가 없는 한 원칙적으로 제3자 공유를 금지하며, 특히 위치정보와 프로파일링 기능을 기본 설정에서 해제하도록 함. 아동에게 해로운 방식이나 나쁜 선택을 유도하는 설계는 금지됨.
    • 미국은 ‘아동 온라인 프라이버시 보호법(Children’s Online Privacy Protection Act, COPPA)’ 적용을 통해 빅테크의 아동 개인정보 침해에 대하여 적극적으로 대응하고 있음. 2019년 COPPA 소관기관인 연방거래위원회(FTC)는 유튜브가 13세 미만 아동의 개인정보를 부모의 동의 없이 수집한 것에 대해 1억 7천만 달러의 벌금을 부과함. 틱톡에는 570만 달러의 벌금을 부과하면서, 틱톡 관계사 뮤직컬리(Musical.ly)에 대하여 연령에 따라 서비스를 분류하고 아동 개인정보의 제3자 공유를 금지하며 콘텐츠와 이용자 간 상호작용에서도 제한을 두도록 함. 최근 미국 정부와 의회가 추진 중인 연방개인정보보호법안(American Data Privacy and Protection Act, ADPPA)은 17세 미만의 아동에 대한 표적 광고를 아예 금지하고 법정대리인의 동의 없는 정보 이전 역시 금지하였음.