2019
1-2월호

동의 없는 동의
레슬리 K. 존(Leslie K. John)

ARTICLE

동의 없는 동의

기업은 위치 정보에서 유전자 정보에 이르기까지 점점 더 많은 개인정보를 얻고 싶어 한다. 기업이 프라이버시 침해로 반발을 사지 않으면서 개인정보가 지닌 가치를 끌어낼 수 있을까?

레슬리 K.

 

3년 전 시사풍자 웹사이트디어니언The Onion질척대는 신발 광고, 8개 웹사이트에서 한 여성을 스토킹하다라는 제목의 아티클을 실었다. 이 가상의 여성은 온라인상의 어디를 가든 계속 똑같은 광고를 만났다. “가장 섬뜩한 부분은 이 광고가 내 신발 사이즈까지 아는 듯했다는 점이다라고 여성은 말했다. 이 아티클은 아직 어설프기는 해도 점차 일반화되고 있던 디지털 마케팅 기법을 유머의 소재로 삼았다. 하지만 지금은 이 가벼운 농담이 정겨운 옛 추억처럼 느껴진다. 이후 기술은 계속 발전해서 인터넷 광고가 브라우저 쿠키와 리타기팅[1]을 이용해 우리를 졸졸 따라다니던 수준을 훨씬 넘어섰다. 이제 스마트폰은 우리의 물리적 위치와 다른 사람들과의친소관계까지 추적한다. 얼마 전 연구자들이 밝혀낸 바에 따르면, 위치 서비스를 비활성화해도 이런 추적이 가능하다. 웹 브라우저에서 추적 기능을 비활성화할 수 있지만, 디지털 지문이 다른 기기들에 연결돼 있기 때문에 우리의 신원을 계속 추적할 수 있다. 알렉사 같은 인공지능 비서는 우리의 대화를 듣고 활성화된 상태에서 우리가 하는 말을 녹음한다. 바비인형에서 의료기기에 이르기까지 인터넷에 연결된 일상용품이 점차 늘어나고, 우리의 움직임, 행동, 선호도, 심지어 건강 정보가 인터넷을 통해 전송되고 있다. 오늘날 가장 지배적인 웹 비즈니스 모델 중 하나는, 사람들의 개인정보를 닥치는 대로 끌어모아 사용하거나 판매하는 것이다. 판매된 개인정보는 개인별 맞춤형 정보를 제공하거나 설득, 보상, 처벌에 활용된다. 인터넷은 이제 감시경제가 됐다.

 

게다가 데이터과학이 등장하면서 수집된 정보의 힘이 훨씬 강력해지고, 기업들은 매우 상세한 개인정보를 구축할 수 있게 됐다. 머신러닝과 인공지능은 아무 데이터나 마구잡이로 이용하는 듯한 사람에 대해서도 등골이 오싹할 만큼 정확하게 예측할 수 있다. 기업은 데이터 분석을 통해 누군가의 정치적 성향, 성적 지향, 심지어 하룻밤 섹스파트너까지 추론할 수 있다. 안면 인식 소프트웨어, 가정용 DNA 테스트 키트 같은 신기술이 일반화되면서, 기업의 감시는 프라이버시 침해가 가장 심했던 20세기 공안국가의 감시 수준을 머지않아 넘어설지 모른다.

 

여기서 드는 의문. 어떻게 소비자들은 이런 일이 일어나도록 내버려 둘 수 있을까? 행동과학자로서 나는 사람들이 때때로 자기 이익에 반하는 행동을 하는 이유를 연구하고 있다. 한 가지 문제는 지금의 경제체제에서 기업이 개인정보 활용에 대한 허락을 받을 목적으로 사용하는고지된 동의informed consent원칙이 일종의 속임수라는 점이다. 소비자 대다수는 온라인상에서 공유되는 자신의 개인정보에 대해 모르거나, 개인정보를 공유함으로써 치러야 할 대가를 제대로 이해하지 못하고 있다.

 

 

 

 

물론 데이터를 수집한 덕분에 소비자가 얻는 혜택도 있다. 유용한 광고를 더 많이 볼 수 있고, 더 나은 고객 서비스를 누릴 수 있고, 더 저렴한 가격으로 제품과 서비스를 구매할 수 있고, 어쩌면 더 많은 신용거래 혜택도 얻을 수 있을지 모른다. 하지만 기업은 편익과 프라이버시 보호 사이에서 균형을 잡는 법을 시급히 찾아야 한다. 소비자단체들은 개인의 프라이버시를 침해하는 디지털 관행에 경고의 목소리를 높이고 있다. 신용평가기관 에퀴팩스equifax가 보유한 수천만 명의 민감한 개인정보가 유출됐든, 러시아 첩보원이 소셜미디어를 활용해 미국 유권자들을 조종했든, 개인정보 유출 사건이 헤드라인을 장식할 때마다 대중의 원성이 뒤따른다. 얼마 전까지 비주류 괴짜들로 여겨졌던 인터넷 프라이버시 전문가들이 지금은 미국 의회와 굵직한 콘퍼런스에 증언자로 나선다. 유럽에서는 사용자의 프라이버시를 보호하기 위한 중대한 법안이 이미 통과됐다. 광범위한테크래시techlash의 조짐도 나타나기 시작했다. ‘기술tech역풍backlash의 합성어로 인터넷 기업에 대한 반발을 뜻하는 테크래시는, 소비자 개인정보를 활용하는 기업에 상당한 영향을 끼칠 수 있다. 페이스북이 데이터 수집 규모를 일부 축소할 수 있음을 공식적으로 밝힌 후 기업 가치가 20%가량 급락한 일도 우연은 아닐 것이다.

 

한편 소비자들은 개인정보를 더 잘 보호해 주는 기업에 보상하지 않는다. 개인정보 보호를 강화하는 기술은 아직 보편화되지 않은 상태다. 사람들은 대개 개인정보 보호 강화 기술을 사용하는 데 대가를 지불하기 꺼린다. 실제로 지불하는 경우에도 후한 보상을 하고 싶어하지 않는다. 이런 점을 보면 사람들이 개인정보 보호에 무심하다고 생각할 수도 있다. 하지만 나는 다른 결론에 도달했다. 사람들은 개인정보 보호에 관심이 있다. 다만, 뒤에서 설명하겠지만, 사람들이 현명한 선택을 하지 못하도록 방해하는 여러 요인이 있다.

 

만약 기업과 소비자가 이런 식으로 계속 엇갈린 길을 간다면, 감시경제는 시장 실패로 향하게 될지 모른다. 다행히 정책당국이 할 수 있는 일이 있다. 그 첫걸음은 사람들이 어떻게

개인정보 보호에 관한 의사결정을 내리고, 어떤 식으로 개인정보를 필요 이상으로 제공하는지 이해하는 것이다.

 

 

어쩌다 이렇게 됐을까?

 

솔직히 말해 사람들은 개인정보에 관해 현명한 결정을 내리지 못한다. 비용과 편익을 잘못 이해하고 있다. 게다가 인간의 타고난 편향이 판단력을 흐린다. 일부러든 우연이든 주요 플랫폼 기업과 데이터 수집 기업은 제품과 서비스를 조직할 때 이런 편향을 교묘히 이용한다.

 

조급함.인간은 당장의 비용과 편익을 과대평가하고 미래의 비용과 편익을 과소평가하는 경향이 있다. 내일 10달러를 벌기보다는 오늘 9달러를 벌고 싶어 한다. 인터넷에서 사소한 보상을 받기 위해 개인정보를 기꺼이 공유하는 행태에서 이런 경향을 엿볼 수 있다. 무료 퀴즈와 설문조사가 대표 사례다. 보통 제3자가 실시하는 무료 퀴즈와 설문조사는 데이터 보안 측면에서 악몽이나 다름없지만, 많은 이들이 유혹에 쉽게 걸려든다. 이를테면 널리 알려진진짜 나이real age측정 사이트에서 사람들은 자신의생체 나이biological age달력 나이calendar age를 비교해 볼 수 있다는 즉각적편익의 대가로 민감한 건강 정보를 우르르 넘겨준다. 소비자가 이런 정보를 누설해서 얻는 물질적 보상은 전혀 없다. 어쩌면 사람들은 정보 제공에 따른 잠재적 비용을 막연하게나마 알지도 모른다.(최악의 경우 보험료가 오를 수 있다.) 하지만 이런 단점이 애매모호한 데다 당장 나타나지도 않기 때문에, 단 몇 분의 재미를 위해 정보를 넘긴다.

 

조급함은 개인정보를 통제할 때도 걸림돌이 된다. 한 실험에서 디지털지갑을 설정하던 사람들에게 구매거래 데이터를 안전하게 지켜주는 암호화 서비스를 제공하겠다고 제안했다. 이 서비스를 이용하려면 설정 과정에서 몇 단계를 추가로 거쳐야 하는데, 제안받은 사람 중 4분의 1만이 이 단계를 모두 수행했다. 간단한 프로세스를 한 번만 거치면 향후 개인정보가 악용되는 일을 막을 수 있는데도, 대다수 사람들이 사소한 번거로움을 감수하려 들지 않았다.

 

흔히 데이터거래를 조직할 때 정보를 공개한 편익은 즉각적이고 실질적이고 매력적인 형태로 나타나는 반면, 비용은 당장 초래되지 않고 애매한 형태를 띤다. 이런 상황에서 조급함은 우리에게 정보를 공개하도록 부추긴다. 예를 들어 모바일 신용카드 단말기는 영수증을 이메일로 전송해 주기 때문에 종이 없이 신속하게 거래를 처리할 수 있다. 그러나 기업이 소비자의 이메일 주소를 비롯한 다른 개인정보를 수집함으로써 발생하는 비용은 나중에 드러난다. 이름, 인적사항, 물리적 위치 등 민감한 정보가 공유 및 판매되고, 결국 타기팅 광고의 집중 표적이 될 것이다. 그중에는 유용한 광고도 있겠지만 짜증나고 성가신 광고도 있을 것이다. 일각에서는 소비자 데이터가 신용점수 산정처럼 훨씬 중대한 상황에서 악용되는 것을 우려하고 있다. 어쩌면 인종, 성별, 거주지역 같은 개인정보를 근거로 금융서비스 제공을 거부하는 차별적 관행, 디지털 레드라이닝digital redlining이 초래될 수도 있다.

 

소유 효과endowment effect.이론적으로는 어떤 상품을 살 때 지불하려는 가격과 팔 때 부르는 가격이 같아야 한다. 하지만 실제로 사람들은 구매자 입장일 때 물건의 가치를 낮게 평가한다. 프라이버시에 대한 의사결정을 내릴 때도 비슷한 현상이 나타난다.

 

나와 알레산드로 어퀴스티Alessandro Acquisti, 조지 로웬스타인George Loewenstein이 공동으로 수행한 한 연구에서, 사용자의 구매 내역을 추적하지 않는 10달러짜리개인상품권과 구매 내역을 추적하는 12달러짜리 상품권 중 하나를 사람들에게 제공했다. 12달러 상품권을 받은 사람 중 일부에게는 2달러를 내고 10달러 상품권으로 교환해 프라이버시를구매할 수 있는 선택권을 줬다. 10달러 상품권을 받은 사람 중 일부에게는 2달러를 받고 12달러 상품권으로 교환해 프라이버시를판매할 수 있는 선택권을 줬다. 프라이버시의 가격은 살 때와 팔 때 모두 2달러였다. 프라이버시를 보호하기 위해 2달러를 낸다 해도 애초의 상품권 가치는 변하지 않는 셈이다. 하지만 실제로는 절반에 가까운 이들이 2달러를 벌기 위해 자신의 프라이버시를 포기했다. 프라이버시를 보호하기 위해 2달러를 기꺼이 지불하려는 사람은 10%에도 못 미쳤다.

 

이 실험 결과는 사람들이 프라이버시를 획득해야 하는 상황에 놓였을 때 그 가치를 낮게 평가한다는 사실을 보여준다. 그래서 우리의 정보가 애초에 공개인가 비공개인가 같은 아주 단순한 점이 엄청난 차이를 만들어낼 수 있다. 프라이버시가 기본적으로 공개 상태일 때, 사람들은 개인정보를 공유하는 데 훨씬 협조적인 태도를 보인다. 더 넓게 보자면, 프라이버시 침해에는 거세게 항의하면서도 프라이버시 보호에는 그만큼 환호하지 않는 대중의 태도에서 이런 차이가 드러난다. 이것이 프라이버시 약화라는 악순환의 장을 열지도 모른다. , 프라이버시 침해로 인해 점점 더 많은 개인정보가 공개되고, 사람들은 공개된 개인정보를 덜 소중하게 여기고, 그 결과 개인정보를 남에게 넘기는 일을 덜 꺼리게 된다.

 

기업들은 개인정보 보호 초기설정을 느슨하게 해 왔다. 기술업계의 기본 관행이 그렇다. 몇 가지 예를 들어보자. 2016 11월 우버는 사용자들을 상시 추적할 수 있도록 초기설정 옵션을 변경했다가 여론의 뭇매를 맞았고, 2017 9월 결국 기존 옵션으로 되돌아갔다. 소셜미디어와 모바일 결제 기능을 통합한 벤모Venmo 앱에는 개인 결제내역을 공개하도록 초기설정이 돼 있다. 구글은 구글 맵을 여는 사용자의 위치를 자동으로 저장하도록 설정했다. 비동의절차를 일부러 복잡하게 만들었는지는 모르겠지만, 결코 간단하지 않다는 점만은 분명하다.

 

사용자가 초기설정을 선택적으로 해제하는 과정도 복잡하다. 최근 발간된 한 백서에서 민주당 소속 마크 워너Mark Warner버지니아 주 상원의원은, 페이스북 모바일 앱이 초기설정을 이용해사용자가 지인 연락처 업로드에 동의하도록 교묘하게 유도하는 방법을 중점적으로 설명했다.(페이스북은 사용자의 온라인 친구관계를 나타내는소셜 그래프데이터를 통해 막대한 수익을 올리고 있다.) 페이스북 앱 첫 화면을 보면, 연락처 공유가 필수사항인 듯한 인상을 준다. ‘더 알아보기버튼을 눌러 스크롤을 내리면서 내용을 꼼꼼히 읽은 후에야 연락처 공유 여부를 선택할 수 있다는 사실을 알 수 있다.

 

통제하고 있다는 착각.사람은 누구나 자신이 우연한 과정을 통제할 수 있다고 착각한다. 한 실험에서 보여주었듯이, 사람들이 무작위로 받는 복권보다 직접 고른 복권을 더 가치 있게 여기는 이유가 바로 여기에 있다. 또 사람들은 진짜 통제와 허울뿐인 통제를 혼동한다. 예전에 타미 킴Tami Kim, 케이트 바라즈Kate Barasz와 함께 행동 타기팅 광고의 수용성에 대해 연구한 적이 있다. 그 결과 보통 프라이버시 침해라고 여기는 제3자 데이터 공유에 대해, 사람들이 자신에게 노출되는 광고나 공유되는 데이터를 실질적으로 통제할 수 없다고 해도 통제권이 있는 듯한 기분을 느끼면 훨씬 호의적으로 데이터 공유에 동의한다는 사실을 발견했다. 사람들은 자신의 프로필 사진을 마음대로 고를 수 있는 기능처럼, 실제 개인정보 통제와는 무관한 권한을 누릴 때 통제감을 느낀다. 사람들이 사이버 공간에서 자신의 보안 통제능력을 과대평가하고 있음을 보여주는 연구결과도 있다. 개인신용평가 업체 익스피리언Experian이 최근 실시한 설문조사를 보면, 응답자의 56%가 시간이 갈수록 신용도용 범죄의 위험이 줄어들 거라고 착각했다. 10%는 자신의 재정상태가 그다지 좋지 않기 때문에 신용도용 범죄에 노출될 위험이 없다고 믿었다.

 

소비자에게 더 많은 개인정보 통제권을 제공하려는 노력도 별 의미가 없지만, 통제권이 있다는 착각을 일으킬 때 프라이버시 침해에 대한 소비자의 우려가 누그러지는 사례도 볼 수 있다. 온라인광고회사협회 네트워크 애드버타이징 이니셔티브Network Advertising Initiative의 웹사이트 컨슈머 옵트 아웃Consumer Opt Out을 한번 보자. 이 사이트는 사용자의 브라우저에 따라 맞춤형 광고를 제공하는 기업의 목록을 보여주고, 특정 기업의 광고를 차단할 수 있는 서비스를 제공한다. 나는 이 서비스를 이용해 사이트에서 72개 기업 광고를 차단했다. 나는 통제감을 느꼈다. 그런데 세부 내용을 읽어보고는, 특정 기업의 타기팅 광고를 사라지게 할 수 있을 뿐 이들 기업이 내 정보를 추적하는 것까지 막는다는 뜻은 아니라는 사실을 알게 됐다. 우리는 이런 부분을 쉽게 간과한다. 광고를 차단하면 더 이상 눈에 보이지 않기 때문이다. 눈에 보이지 않으면 자신의 정보가 계속 수집되고 있다는 사실을 떠올릴 수 없다.

 

자신을 드러내려는 욕구.이 욕구는 의사결정 편향이 아니다. 인간은 타인에게 자신을 드러내고 싶은 욕구, 혹은 그래야만 하는 필요를 느낀다. 우리가 타인과 친해지는 방법도 결국 이런 식이다. 인간은 본디 사회적 동물이기 때문이다. 한 연구에 따르면, 프라이버시 침해를 상당히 우려하는 이들마저도 챗봇에게는 개인정보를 거리낌 없이 알려준다. 자신의 비밀을 털어놓는 행위는 심신에 유익한 영향을 끼친다. 실험실 실험에서 모르는 사람끼리 짝을 지어 개인정보를 공유하게 하면 서로 간에 더 큰 신뢰관계를 형성한다. 자신의 고민거리를 일기장에 적는 활동은 신체적 건강을 향상시킨다. 반면에 비밀을 감추기만 하면 행복감이 떨어진다. 한 신경과학 연구에 따르면, 사람들이 자신에 대한 정보를 밝힐 때 뇌의 보상 부위가 활성화된다. 같은 연구에서 피험자들은 금전적 보상 대신 사적인 질문에 답할 기회를 선택하기도 했다.

 

자신을 드러내고자 하는 인간의 성향은 자신을 숨기려는 이들을 바라보는 시각에서도 잘 드러난다. 우리는 이런 사람들을 경멸한다. 내가 케이트 바라즈, 마이크 노턴Mike Norton과 함께 수행한 연구에서는, 인간이 개인적인 질문에 답하기를 꺼리는 사람보다 자신에게 치명적인 약점이 될 수 있는 개인정보를 밝히는 사람에게 더 호감을 느끼고 더 신뢰를 드러내는 것으로 나타났다. 한 실험의 참가자들은 구직 면접 자리에서 마약을 한 경험이 있는지 물었을 때, 답변하지 않는 구직자보다 한 적이 있다고 인정한 구직자를 더 마음에 들어 하는 경향을 보였다.

 

온라인상에서 사회적 교류와 상업적 거래 사이의 경계가 점차 모호해지고 있다. 이를테면 대다수 소셜미디어 플랫폼의 광고가 비상업적 게시물의 형태와 닮아 있다. 광고가 눈에 거슬리지 않게 하려는 등 다른 이유도 있겠지만, 광고에 비상업적 게시물의 느낌을 줘서 사람들이 개인정보를 털어놓고 프라이버시 유출을 경계하지 않도록 하기 위한 목적도 있다고 본다. 마찬가지로 딱딱하지 않고 비전문적으로 보이는 인터페이스도 개인정보 공유를 조장한다. 이런 인터페이스에서 제공하는 프라이버시 보호망이 허술한 경우가 많은데도 말이다.

 

자신을 드러내려는 욕구를 강화하는 것이 확실히 수많은 소셜미디어 사이트의 핵심 전략인 듯싶다. 페이스북이 사용자들에게 끊임없이 던지는무슨 생각을 하고 계신가요?”라는 질문도 같은 맥락이다. 온라인 소매유통업체들은 판매 절차에 이와 비슷한 사회적 요소를 추가해 왔다. 소비자와 친밀감을 쌓을 목적으로 설계된 챗봇 에이전트가 대표 사례다. 벤모의 웹사이트 구조는 소셜미디어 사이트의 구조와 비슷하다. 사용자는 지인들의 연락처를 등록해 자신의 소셜그래프를 구축한다. 등록된 지인과의 거래내역은 뉴스 피드에 커다랗게 뜬다. 이런 기능은 금융거래가 사회적 교류의 일환인 듯한 느낌을 주고, 원래는 혼자만 알고 있어야 할 정보가 남들과 공유해도 괜찮은 정보, 더 나아가서는 공유하고 싶어하는 정보로 변한다. 벤모의 소셜네트워크적 측면이 소비자에게 어느 정도 유용할 수는 있겠지만, 개인정보를 공유하는 데 따르는 위험성을 간과하게 만들 우려도 있다.

 

경계 설정의 오류.오프라인상에서는 사리를 분별하고, 대인 의사소통과 관련된 사회 규범을 당연히 이해하고 따라야 한다. 누구나 남을 가십거리로 삼고 싶은 유혹을 느낄 때가 있지만, 보통타인을 험담하지 말라는 사회규범이 그런 충동을 억누른다. 대다수 사람들은 남이 듣는 데서 믿을 만한 친구에게 자신의 비밀을 털어놓는 일을 결코 하지 않는다. 부적절한 정보를 발설했을 때 사람들의 반응에 따라 재빨리 수습하려 들기도 한다.

 

하지만 온라인상의 규칙은 다르다. 오프라인상에서는 사람들의 다채롭고 직관적인 피드백 덕분에 행동을 자제할 수 있지만, 온라인상에서는 그렇지 못한 경우가 많다. 예를 들어소셜미디어 피드에 나타나는 친구들처럼 소수의 선별된 이들 에게만 정보를 공유한다고 착각하는 경우가 있다. 자신의 고용주를 비난하는 글을 몇몇 친구에게만 공개했다고 생각했는데, 실제로 상사와 동료 등 더 많은 사람에게 노출된다면 입장이 곤란해진다.

 

우리는 디지털 상호작용의 순간성ephemerality에 쉽게 유혹당하기도 한다. 내가 레토 호프슈테터Reto Hofstetter,롤랑 루펠Roland Rüppell과 수행한 연구를 보면 스냅챗, 인스타그램 스토리처럼 일정 시간 이후에 메시지가 사라지는 일시적 정보공유 기술이 거리낌 없는 정보 공개를 부추기는 것으로 나타났다. 이런 정보 공개로 인해 평판에 타격을 입을 경우, 피해는 꽤 오래 갈 수 있다. 업무회의 중에 상스러운 제스처를 해도 곧 지나갈 일이니 괜찮다고 생각하는 사람은 거의 없다. 하지만 온라인상에서는 순간성이 보장된다는 점에 이끌려 자제력을 잃기 쉽다. 이는 어쩌면 온라인상에서 잘못된 언행을 했을 때, 타인으로부터 충분한 피드백을 받지 못하기 때문일지도 모른다.

 

 

복잡성,

그리고 앞으로 당면할 문제

지금까지 감시경제를 소비자 측면과 생산자 측면에서 살펴봤다. 하지만 그 기저에는 복잡성이라는 요인이 깔려 있고, 복잡성의 중요성은 날로 커지고 있다.

 

쿠키cookies가 어떻게 작동하는지 아는가? 인터넷 사용 기록, 검색 요청, 페이스북에서좋아요를 누른 내역 등 각종 정보가 브로커들 사이에서 상품처럼 거래돼, 결국 당신이 보는 타깃광고에 쓰이기까지의 과정을 제대로 아는가? 당신이 디지털 비서에게 어떤 명령을 내릴 때, 어떤 정보가 기록되고 추적되는지 아는가? 당신은 아마아니오라고 대답할 것이다. 바로 그게 문제다.

 

제대로 작동하는 시장의 주요 원칙 중 하나는구매자 위험부담 원칙buyer beware이다. 하지만 온라인상에서는 정보 공유의 손익을 따지는 것이 무익한 형이상학적 사변처럼 느껴질 수 있다. 기업이 당신의 물리적 위치를 추적했을 때 당신의 프라이버시는 얼마나 손해를 입었는가? 그리고 그 프라이버시의 가치는 얼마인가? 과연 GPS 네비게이션 툴이 가져다 주는 편리함의 대가로 감수할 만한 가치인가? 소비자는 위치 추적을 항상 허용하는 대가로 얼마를받아야’ 하는가? 이뿐만 아니라 감시경제를 떠받치고 있는 주요 기술들도 너무 복잡하고 불분명해서, 소비자가 제대로 이해하기가 사실상 불가능하다.

 

3자가 당신의 데이터로 무엇을 하고 있으며 앞으로 어떤 일을 저지를지 알 길도 없다. 페이스북이 앱에 대한 관리·감독을 강화하고 사용자 데이터에 대한 접근을 전보다 엄격하게 제한하고는 있지만, 사실 수많은 앱이 페이스북에서 건진 사용자 개인정보를 판매해 왔고, 소비자가 이들 앱의 이용약관에 동의했을 때 자신의 데이터가 어디로 흘러 들어갈지 알 수 없다. 2년 전쯤 페이스북에서어떤 1980년대 영화가 당신의 인생을 가장 잘 보여줄까요?”라는 퀴즈의 링크를 클릭했다고 해보자. 퀴즈 관리자는 생일, 친구 목록, 클릭한 게시물, ‘좋아요를 누른 게시물, 위치, 가입한 그룹, 지도에 체크인한 장소 등 페이스북에 있는 당신의 정보를 일부 수집해 자바스크립트로 변환한 뒤 제3자에게 넘기는 수법으로 웹 브라우저에서 흔히 제공하는 프라이버시 보호장치를 교묘히 피해갔는지 모른다. 데이터 브로커가 이 정보를 수집해 타깃광고용으로 판매할지도 모른다. 당신의 데이터가 어떻게 광고 생태계로 넘어갔는지 알아내거나, 이 일에 연루된 브로커나 에이전시의 정체를 알아내는 일은 사실상 불가능하다.

 

게다가 당신의 친구들이 정보를 공유하는 것을 막을 방법도 없다. 경제학자 수전 애티Susan Athey, 크리스티안 카탈리니Christian Catalini, 캐서린 터커Catherine Tucker의 연구에 따르면, 사람들은 공짜 피자를 먹을 수만 있다면 친구의 이메일 주소도 거리낌 없이 제공한다.

 

자신의 어떤 정보가 어느 기업에 공유됐는지 소비자가 적극적으로 알아본다 해도, 기업이 늘 솔직하게 말해주는 것은 아니다. 사용자가 페이스북에서이 광고가 표시되는 이유는?” 기능(쉽게 눈에 띄지 않으니 잘 찾아봐야 한다)을 클릭하면 하나 마나 한 설명이 제공될 뿐이다. 이를테면이 광고가 표시되는 이유 중 하나는 신발 브랜드 로티스Rothy’s에서 자신의 고객과 유사한 사람들에게 도달하도록 타기팅했기 때문입니다라는 내용이 나온다.

 

설령 많은 사람이 감시경제에 참여하는 모든 주체와 그곳에서 이뤄지는 모든 거래를 이해할 수 있게 된다 치더라도, 실제로 어떤 개인정보가 공개됐는지 소비자는 여전히 알 수 없을 것이다. 여러 데이터를 결합해 새로운 데이터를 만들어낼 수도 있기 때문이다. 예컨대 누군가의 신용카드 거래내역 네 건만 확보하면, 거기에 담긴 날짜와 장소만으로 그 사람의 신원을 파악할 수 있다. 누군가의 생일과 출생지를 토대로 그 사람의 사회보장번호를 유추하는 경우도 있다. 다시 말해 어떤 소비자가 한 기업에 자신의 생일을 알려주고 그 기업이 그 사람의 출생지 정보를 이미 알고 있다면, 그는 자신도 모르게 사회보장번호를 넘겨주는 셈이 된다. 소비자가 제공하는 정보는 그가 제공하기로 마음먹은 정보만이 아니다. 정보를 제공받는 측이 그 사람에 대해 이미 알고 있는 정보가 무엇인지에 따라 제공 정보의 유형이 결정된다는 뜻이다.

 

오늘날의 알고리즘과 연산능력 덕분에 이제는 사람들에게 개인정보를 요청하지 않고도 사용자의 행동 특성 데이터를 구축할 수 있게 됐다. 사용자가 누군가의 소셜네트워크에 접속하거나 소셜피드에 댓글을 남긴 흔적만 보고도, 그 사람의 신상정보를 예측하고 프로필을 작성할 수 있다. 이런 상황은 전에 없던 골칫거리를 만들어낸다. 만일 어떤 기업이 머신러닝을 활용해 특정 소비자의 프로필을 작성할 경우, 그 프로필은 개인식별정보에 관한 규제 규정의 대상이 될까? 그 소비자는 이렇게 만들어진 자신의 프로필에 대해 어떤 권리를 주장할 수 있을까? 기업이 사용자 동의 없이 이런 기술을 활용하도록 허용해야 할까, 금지해야 할까? 답은 아무도 모른다.

 

이런 이유로 개인정보에 관한 의사결정은 매우 복잡한 사안이다. 극도로 복잡한 의사결정을 내려야 하는 상황이 닥치면 사람들은 결정을 포기하는 경향을 보인다. 온라인 이용약관을수락할지 말지 결정해야 했던 사람이라면 누구나 공감할 것이다. 대체로 이용약관은 너무 길어서, 이해는커녕 전부 읽어보는 사람도 없을 것이다. 한 연구에서는 미국인들이 처음 방문하는 모든 웹사이트의 개인정보 처리방침을 다 읽는 데 연간 540억 시간이 걸릴 거라고 추정했다.

 

그래서 소비자 대다수는 판단을 아예 포기하고, 내용을 모두 이해했는지 묻는 이용약관에 동의 버튼을 클릭한다. 모바일게임 앱 사용자들은 몇몇 게임 앱에서 어떤 이유로든 자신의 개인정보를 제3자에게 공유해도 된다고허락했다는 사실을 전혀 모를 수도 있다. 어떤 앱은 사용자의 휴대전화 마이크에 접근해서 앱이 꺼져 있는 동안 소리를 녹음하기도 한다. 이런 음성정보가 게임과는 아무 상관이 없는데도 말이다. 10억 명의 사용자를 보유한 중국의 위챗WeChat같은슈퍼 앱은 소셜미디어 게시글, 은행 및 신용카드 정보, 금융거래 내역에서 음성 데이터에 이르기까지 실로 광범위한 개인정보에 접근할 수 있다. 이런 앱과 디지털 플랫폼들은 정보 공유의 득실에 대한 정보를 제공했고 소비자로부터 그에 대한동의를 받았다는 이유로 이런 현실에 모르쇠로 일관하고 있다.

 

복잡성으로 인해 시스템 전체를 허물지 않고 감시경제를 손보기가 어려워졌다. 가능하긴 하지만 그리 좋은 방법은 아니다. 물론 데이터 수집이 인터넷 사용자들에게 반드시 밑지는 거래인 것만은 아니다. 소비자들은 데이터 수집과 알파벳, 페이스북 같은 주요 플랫폼 기업 덕분에 많은 혜택을 누리고 있다. 그러나 감시경제의 상당 부분이 은밀한 초기설정에 의존해 돌아가고 있다는 사실은, 소비자가공짜기술을 이용하는 대가로 치러야 할 비용을 제대로 알게 될 경우 개인정보 공개 옵션을 해제할 수도 있다는 점을 기술기업이 두려워하고 있음을 암시한다.

 

소비자는 개인정보에 관한 진실을 제대로 모른 채 온라인 서비스를 이용하고 있지만, 기업은 자사의 손익을 훨씬 정확하게 인지하고 있다는 점도 문제다. 추적기술 및 데이터 브로커와 관련된 비용, 훨씬 정교하게 타기팅된 광고 덕분에 발생한 매출 증가는 정밀하게 계산할 수 있다. 기업이 소비자보다 정보 우위를 점하고 있는 셈이다. 경제학자들이 일러주듯이 비대칭성은 그 자체로 시장 실패를 시사하고, 따라서 규제 개입이 불가피해진다.

 

 

균형을 회복하는 방법

 

1960년대 미국을 비롯한 여러 국가들이 제품 안전 규정을 체계적으로 마련하기 시작했다. 자동차 안에서 안전벨트를 매지 않을 경우 벌어질 위험, 탄산음료병이 터질 가능성 등 수많은 리스크를 소비자가 제대로 평가할 수 없고, 기업들이 이 문제를 스스로 해결하려는 의지가 없다는 점이 분명해졌기 때문이다. 이에 대해 학자들은 규제당국이 리스크를 가장 잘 관리할 수 있는 상품 제조자에게 리스크 관리 책임을 맡기는 것이 타당하다고 주장해 왔다. 프라이버시 리스크 평가 측면에서도 소비자들이 이와 유사한 문제에 직면해 있음을 감안할 때, 입법자들은 개인정보 수집 규제에 대해서도 동일한 접근방식을 취하는 방안을 고려해야 한다.

 

물론 규제 조치에 대한 회의론자들은 아직 풀지 못한 곤란한 문제들을 찾아 지적할 것이다. 이를테면 다음과 같은 의문을 제기할 수 있다.

 

 

• 사람들은 자신의 개인 데이터에 대해 어느 정도까지 소유권을 행사할 수 있을까?

• 공적인 공간에서 프라이버시가 반드시 보장돼야 할까? 아니면 공적인 공간에서 하는 모든 활동이 감시의 대상이 될 수 있을까?

• 온라인 공간은 공적인 공간일까?

• 프라이버시의 가치는 어느 정도일까? 그 가치를 산정할 수 있을까?

• 개인정보의 가치는 어느 정도일까? 그 가치를 산정할 수 있을까?

• 내가 통제할 수 있는 정보는 무엇일까? 내 행동을 기반으로 인공지능이 생성한 예측 데이터도 여기에 포함될까?

• 프라이버시 규제로 인해 우리는 어떤 비용을 치러야 할까? 그 대가가 편익보다 클까?

 

 

일각에서는 소비자의 개인 데이터를 보호할 수 있는 기회를 이미 놓쳤다고 주장한다. 지금껏 머신러닝 툴에 입력된 개인정보만으로도 소비자에 대한 정보를 정확히 추론할 수 있는 단계에 왔기 때문에, 더 이상 개인 데이터를 수집할 필요가 없다는 것이다. 머신러닝이 대단하기는 하지만 아직 그 정도는 아니다. 기업은 여전히 소비자 데이터를 얻는 데 혈안이 돼 있다. 설령 인공지능의 예측능력 덕분에 소비자 데이터의 수요가 줄어든다 해도, 규제를 미리 마련해 두면 기업의 예측 데이터 활용범위를 어느 정도 제한할 수 있다. 이를테면 건강보험회사가 이런 정보를 이용해 건강상의 문제가 있을지 모르는 보험 계약자를 차별하는 행위를 방지할 수 있다.

 

규제에 대해 자세히 논의하는 것은 이 아티클의 범위를 벗어나는 일이지만, 앞서 소개한 연구들을 통해 어떤 규제가 효과적일지는 대략 가늠할 수 있다. 첫째, 단순히 정보 공유를 어렵게 하거나 소비자 데이터에 대한 기업의 접근을 제한하는 것을 목표로 삼아서는 안된다. 이는 지나치게 단순한 접근이다. 기업과 소비자 모두가 정보 공유 덕분에 얻는 편익도 많기 때문이다. 규제당국은 정보의 흐름을 제한함으로써 치러야 하는 비용도 제대로 알아야 한다. 이를테면 혁신이 저해될 수 있다.

 

얼마 전 유럽에서 제정된개인정보보호법은 기업이 소비자의 개인정보를 수집하기 위해 반드시 소비자의 사전 동의를 얻도록 의무화하고 있다. 초기설정과 관련한 이슈를 해결했다는 점에서 훌륭한 조치이지만, 소비자에게 번거로움과 불편을 초래한다는 단점도 있다. 그리고 사람들이 동의 여부를 저울질하는 상황을 반복해서 경험하다 보면, 정보제공 동의 문제에 둔감해질 우려가 있다. 이렇게 되면 신중한 선택이 어려워진다. 데이터 수집에 개입하도록 만든 요인이 데이터 수집에 대한 규제 설계를 어렵게 만드는 요인으로도 작용하는 셈이다.

 

일반적인 접근법 중 하나는, 기업이 정보를 공유할 때 발생하는 비용과 편익에 관한 정보를 소비자에게 제공하고, 데이터 침해에 관한 사실도 밝히도록 의무화하는 것이다. 그러나 앞서 지적했듯이 이 접근법의 한계를 짚은 연구들이 있다. 사용자가 개인정보 취급방침을 읽지 않는 데다, 데이터 침해가 발생했을 때 언론의 떠들썩한 보도에도 불구하고 사용자들이 그다지 적극적인 조치를 취하지 않는다는 점을 고려하면 이런 방법으로는 문제를 해결할 수 없을 듯하다. 실제로 케임브리지 애널리티카 개인정보 유출 사건이 터진 이후에도 페이스북 사용자 대다수는 페이스북을 탈퇴하지 않았다.

 

이와 관련된 또다른 접근법은, 기업이 수집할 수 있는 개인정보와 활용 방법을 구체적으로 제한하는 등 개인정보 공유에 따른 리스크를 직접 낮추는 규정을 적용하고, 이를 준수하지 않는 기업을 처벌하는 것이다. 미국에는 개인정보 수집 및 활용을 규제하는 연방법이 없다. 다만 몇 가지 기본 원칙은 존재한다. 매사추세츠 주의 경우, 기업이 공용 네트워크를 통해 개인 데이터를 전송할 때 반드시 데이터를 암호화해야 한다. 캘리포니아 주가 새롭게 마련한 획기적인소비자 프라이버시법은 기업이 준수해야 할 다양한 규정을 포함하고 있다. 이를테면 기업이 소비자 데이터를 판매할 때, 사용자는 아무런 불이익 없이 이런 판매를 거부할 수 있도록 해야 한다는 것이다.

 

그러나 이런 접근법은 기업들이 법에 저촉되지 않으면서 빠져나갈 허점을 파고드는두더지 잡기양상으로 이어질 문제를 안고 있다. 예를 들면 캘리포니아 주의 신규 프라이버시법은, 자신의 프라이버시 권리를 행사하는 소비자를 차별대우할 수 없다고 규정한다. 다만 그 차별대우가소비자의 데이터가 제공하는 가치와 상당히 관계돼 있는 경우는 예외로 두고 있는데, 이 부분을 기업이 악용할 소지가 다분하다. 기업이 민첩하고 노련하게 대응하기 쉬운 디지털 공간에서는 특히 이런 꼼수가 통하기 쉽다. 개인정보 취급방침 내용의 용어를 조금만 손봐도 엄청난 차이를 만들어낼 수 있다.

 

이런 점에서 기업이 소비자의 개인 데이터를 합리적으로 활용할 때만 인센티브를 제공하는 것이 가장 바람직한 정부 개입 형태일지 모른다. 그 한 가지 방법은 제품 안전 제도에서 사용하는 엄격책임주의를 채택하는 것이다. , 설령 부주의했을 뿐이거나 악의가 없더라도 소비자 데이터를 활용해서 발생한 부정적 결과에 대해 기업이 책임지도록 하는 것이다. 법학자 잭 벌킨Jack Balkin과 조너선 지트레인Jonathan Zittrain의 주장처럼, 개인정보를 수집하는 기업은 우리의 데이터를 신뢰할 만한 방식으로 취급할 법적 의무를 진 독립체, 정보 수탁자information fiduciaries로 간주될 수 있다. 이런 방법을 적용하면 기업들이 개인정보를 책임감 있게 활용하고, 데이터 수집 및 공유 시스템 안에서 발생하는 남용과 태만을 방지하기 위해 진지하게 노력할 것이다. 그렇지 않을 경우 금전상의 제재를 받기 때문이다.

 

물론 그 전에 답을 찾아야 할 까다로운 질문도 많다. 이를테면 손해배상액을 어떻게 결정할 수 있을까? 개인정보 공개로 입은 손해를 정확히 산정할 순 없지만 대략 추정할 수는 있다. ‘헐크 호건으로 잘 알려진 프로레슬러 테리 볼레아는 가십 사이트 고커Gawker가 그의 섹스 비디오를 수백만 명이 볼 수 있도록 공개해 프라이버시를 위반한 대가로 11500만 달러의 손해배상금을 받았다. 참고로 나는 이 사건에 볼레아 측 컨설턴트로 참여했다.

 

피해 여부를 증명하는 일도 문제다. 프라이버시와 관련한 피해를 증명하기가 어렵기 때문에, 일각에서는 법원이 확률적 손해probabilistic damages라는 개념을 인정해야 한다는 일리 있는 주장을 펴기도 한다. 이런 질문도 할 수 있다. ‘합당한데이터 사용과부당한데이터 사용을 어떻게 구분할까? 그 대답을 명확히 설명하기는 어렵지만, 대개는 직관적으로 판단할 수 있다. 그리고 규제의 주요 목적 중 하나가 무책임한 데이터 활용 가능성을 애초에 막자는 것이다.

 

규제와 관련해 흔히 우려하는 점 중 하나는, 규제로 인해 경쟁이 저해될 수 있다는 것이다. 준법비용은 소기업에 훨씬 부담이 될 수밖에 없기 때문에, 규제가 기존 대기업들에 훨씬 큰 시장지배력을 제공해 주는 결과로 이어질 수 있다. 하지만 기업이 스스로 신뢰할 만한 행동을 보여주는 데 관심을 기울인다면, 이런 위험이 발생할 가능성이 줄어들 거라고 믿는 이유는 다음과 같다. 첫째, 풍부한 자금력을 갖춘 기업이 소기업보다 손해배상금을 노리는 자들의 표적이 될 확률이 더 높다. 둘째, 이런 간접규제 방식을 적용하면 준법을 위한 선행 투자비용이 직접규제 방식보다 훨씬 덜 들기 때문에, 신규 업체에 진입장벽으로 작용할 가능성이 더 적다.

 

규제가 감시경제의 문제를 일소할 수는 없다. 규제는 반드시 새로운 문제를 수반한다. 그리고 단순히 법을 준수하는 차원을 넘어 소비자의 신뢰를 얻기 위해 노력할 때, 훨씬 많은 이득을 얻을 수 있다. 하지만 행동과학에서 통찰을 얻고, 소비자가 완벽하게 합리적인 경제 주체가 아니라 불완전한 의사결정자라는 사실을 받아들일 때, 우리는 훨씬 나은 규제를 설계할 수 있다. 그 결과 기업과 소비자 양측이 데이터 수집의 혜택을 받는 동시에 그 폐해를 완화할 수 있을 것이다.

 

 

[1]retargeting, 사용자가 방문한 사이트를 기준으로 사용자에게 맞춤형 광고를 보여주는 기술

 

번역 장효선 에디팅 조영주

  • 아티클 다운로드
    (PDF)
    5,000원

    담기바로구매

  • 2019년 1-2월호
    25,000원
    25,000원

    구매하기

  • 디지털서비스
    1년 150,000원

    디지털서비스란

    신청하기

마케팅 다른 아티클

무료 열람 가능 아티클 수 0/1 회원가입 | 서비스상품안내