[새로운 기회 빅데이터 1] 개인정보 보호 기반의 비즈니스 모델을 찾아라
[새로운 기회 빅데이터 2] 개인정보 생태계의 파괴 요인은 무엇인가?
개인정보 생태계의 파괴(불신) 요인들
이상에서 개인정보의 상업적 활용 메커니즘을 이용 배경으로 설명했는데, 이러한 상업적 활용 과정에 대해 투명하지 않으면 이용자는 해당 서비스나 기업에 대해 불신(Mistrust)을 갖게 되고, 불신이 계속 축적되면 개인정보 생태계가 파괴되는 데 기여하게 된다.
그렇다면, 개인정보 생태계의 파괴, 즉 불신 요인은 무엇이 있을까?
크게 보면 프라이버시 침해, 보안 소홀, 정부의 감시, 빅데이터 수집자의 이해관계 갈등 문제 등으로 나누어 볼 수 있겠다. 2012년 3월 12일, 텍사스 주에서 SNS 업체와 애플 등 18개 사를 대상으로 프라이버시 관련 집단 소송이 제기된 바 있다.
원고 측은 해당 업체들의 모바일 앱들이 이용자들의 이름과 전화번호, 이메일 등 개인정보를 사전 동의 없이 도용, 판매함으로써 소비자의 프라이버시 침해를 초래할 수 있다고 주장한다[Fierce Mobile Content지, 2012. 3.14.].
먼저, 프라이버시 침해(Privacy infringement)부터 살펴보자.
이미 몇몇 기업들의 잦은 프라이버시 침해 및 실수 발생 사건들이 언론에 속출하고 있음이 경험되었다. 앞서 개념 설명에서 프라이버시와 개인정보를 구분했다. 이러한 구분을 먼저 언급한 이유는 프라이버시와 개인정보를 동일한 개념으로 오인하기 쉽기 때문이다. 상기하면, 프라이버시는 인격권을 말하며, 개인정보는 인격권의 침해가 없더라도 보호해야 할 경우가 있는 정보로 예컨대 개인의 은행계좌나 신용카드 번호 등이 이에 해당된다. 앞에서 타깃이라는 마켓이 여고생의 임신 사실을 미리 알아 마케팅 서비스를 한 내용을 언급했는데, 프라이버시 침해 논란을 불러일으킬 만한 사건이다.
글로벌 인터넷 기업 중심으로 실제 불신을 일으킬 만한 프라이버시 침해 사례들을 소개하면, 시기적으로 초기에 속한 구글의 2010년 7월에 발생한 구글맵 기반의 ‘스트리트 뷰(Street View)’용 촬영 차량을 이용한 와이파이(이후 WiFi)망 데이터 무단 수집 사례가 있다.
그 이전에도 구글은 같은 해인 2010년 자체 SNS인 버즈(Buzz)를 출시했다가, 이용자 연락처 정보가 공개로 초기 설정된 것이 문제가 되어 집단 소송을 당하게 되자 온라인 프라이버시 계몽단체 지원을 조건으로 원고와 화해했고 FTC가 향후 20년 동안 개인정보 보호 감사를 실시하기로 했으며, 이후 버즈는 서비스 실패로 인해 2011년에 자연 폐지되기에 이른다(FTC 2011.3.30).
같은 해인 2010년, 또 다른 분쟁이 LBS(Location based service) 건이다. 위치 정보인 구글맵 기반의 스트리트 뷰용 촬영 차량을 이용한 WiFi망 데이터 무단 수집이 문제가 된 것이다. 즉, 거리 사진을 촬영해 무료로 공개하는 스트리트 뷰 촬영 차량이 주변 WiFi망에서 교신되는 데이터를 무단 수집, 저장했다. 이 차량의 주요 목적은 구글 위치 정보 데이터베이스를 증강시키기 위해 차량 부근 데이터를 읽어내는 것이었다.
이 분쟁의 배경은 촬영 차량이 보안에 취약한 WiFi망으로부터 개인정보를 무단으로 수집했기 때문이다. 구글은 2010년 5월 당시, 약 3억 개소에 달하는 WiFi망 기지국 데이터를 보유하고 있었으며, 약 30미터 내에서 위치 추적이 가능한 상황이었다(WSJ, 2011.5.2, http://jp.wsj.com/IT/node 230933). 결국, 각국의 사법 당국에서 행정 지도를 받은 구글은 WiFi망에서 통신되는 데이터 수집을 중단하게※2 된다(SearchEngineLand, 2010. 10.20).
이후에 잠잠하다가 2013년 11월, 다시 구글은 유럽연합의 제재를 받기에 이른다. 2012년 10월 EU 회원국의 데이터 및 개인정보 규제 기관들은 실정법에 어긋난 구글의 개인정보 보호정책에 대해 시정 명령을 내린다. 당시 27개 EU 회원국들 가운데 그리스, 루마니아, 리투아니아를 제외한 24개국이 이런 내용의 서한에 서명했다. 이 요구는 2012년 3월에 구글이 유튜브, G메일, 구글+ 등 자사 서비스 이용자들의 웹서핑 기록 등 개인정보를 통합할 수 있도록 개인정보 보호정책을 바꾸었기 때문이다.
그 당시 프랑스의 국가정보위원회(CNIL)는 구글 측에 4개월 내 유럽 기준에 맞는 프라이버시 정책을 제시할 것을 촉구했고, 영국, 독일, 이탈리아, 스페인, 네덜란드 등 6개국 정보보호기관들은 2013년 4월 구글의 통합 프라이버시 정책이 EU 기준에 어긋난다며 시정을 요구했다.
이후 2013년 12월 스페인 정보보호국은 구글에 개인정보보호법 위반을 적용해 벌금 90만 유로를 부과했고, 프랑스의 CNIL 또한 개인정보의 수집 방식과 활용 경로를 분명히 밝히지 않았다며 벌금 15만 유로를 부과했다. 이로 인해 궁극적으로는 ‘잊혀질 권리(Right to be forgotten)’가 EU에 의해 주장되기에 이른다.
잊혀질 권리
2014년 5월 유럽사법재판소는 잊혀질 권리를 인정하는 판결을 내리면서 구글의 과도한 개인정보 수집이 개인의 인권과 충돌한다는 논쟁을 촉발했고, 이 판결은 위에서 언급한 구글의 통합 프라이버시 정책에 대한 스페인과 프랑스의 벌금 부과 이후에 나온 판결이다(김동준 2015).
잊혀질 권리는 이미 19세기 후반부터 나온 프라이버시권과 인격권이 디지털 프라이버시 개념으로 진화된 것이라고 봐야 할 것이다. 이는 인터넷상에서 잠재적으로 나타난 자신 관련 정보를 포함하는 각종 정보의 삭제를 요구하여 해당 정보로부터 자유로워질 수 있는 권리를 말한다(Nolte, 2011).
페이스북도 프라이버시 침해 건으로 2012년 12월 인스타그램에 대한 새로운 프라이버시 정책이 언론에 오르게 됐고, 계속된 논란 중에서 가장 큰 사건으로 장식된다. 페이스북도 구글처럼 이미 그 이전부터 지속적으로 프라이버시 이슈로 문제를 겪게 된다.
먼저 2007년에 위치기반서비스(Location Based Service ; 이하 LBS) 기반의 ‘비콘(Beacon)’이 출시됐으나, 이를 통해 제휴사 사이트(2007년 당시 44개사)를 방문한 이용자의 위치 정보 등의 행동 이력을 추적, 뉴스피드에 자동 게재한 것이 문제가 되어 결국 2년 뒤인 2009년에 페이스북 스스로 비콘을 폐지하기에 이른다(Theregister, 2009. 9.23).
또한 2009년에는 페이스북이 이용자 동의 없이 이용자의 개인 데이터를 제3자인 광고주와 공유한 것이 문제가 됐는데, 문제는 페이스북 이용자의 ‘좋아요(Like)’ 클릭이다. 이용자들은 ‘좋아요’ 클릭으로 발생하는 결과를 인식하지 못하고 있었던 것이다. 예컨대, 이용자들은 신상품 특별 제공 메시지에 접근하거나, 사진을 보거나, 경품을 받기 위해 ‘좋아요’를 클릭하는 경우에 페이스북의 결정 여부에 따라 광고주와 일정 부분 연계된다. 이는 2012년부터 특별 감사를 받는 것을 조건으로 마무리됐다(NYtimes, 2011.11.29).
또한, 2010년에는 독일에서 프라이버시 침해 논란을 겪게 된다. 즉, 소비자의 개인정보의 소유권, 프라이버시 등과 관련해 그 부정적 파장을 가장 먼저 이슈화한 국가는 독일이다. 2010년 소비자센터총연맹(VZBV ; Verbraucherzentrale Bundesverband)은 페이스북 운용법에 대해 문제를 제기하고 법정에 고소한다. 페이스북이 개인정보 사용권을 남용해 독일, 유럽의 ‘데이터보호법(Data Protection Act)’을 위반했고, ‘친구검색’ 기능이 이메일 주소록에 등록된 연락처를 통해 온라인상 친구를 찾도록 돼 있어 프라이버시를 침해한다는 내용이다. 이에 독일지방재판소는 2012년 3월 6일 페이스북의 서비스 규약 변경을 판결하기에 이른다.
2011년 11월, 미국 캘리포니아 주 법원은 페이스북이 제공하는 ‘스폰서드 스토리즈(Sponsored Stories)’라는 일종의 마케팅 제휴사 할인 쿠폰 제공 서비스에 대해 이용자들이 퍼블리시티권(Right of Publicity)※3을 침해한다고 제기한 소송에 대해 페이스북을 배척한 바 있다※4.
그 이유를 보면, 유명인, 비유명인 모두 퍼블리시티권을 가지며 SNS상에서 이 둘을 구별하는 것은 의미가 없다는 점이며, 신뢰할 수 있는 지인이 추천하는 상품이 최고 방송 광고 추천 상품보다 더 많은 영향을 미칠 수 있다는 점이다. 즉, 페이스북 광고주 상품이 일반 광고주 상품의 2~3배 가치가 있으므로 페이스북이 이러한 상업적 가치를 이용해 이윤을 얻고 있다는 것이다(이대희, 2012.7: 13~14쪽).
페이스북은 2010년에 케빈 시스트롬(29) 최고경영자(CEO)와 스탠포드대 동문 마이크 크리거가 만든 인기 사진 공유 앱인 인스타그램을 출시 2년 만인 2012년 10억 달러에 인수한 바 있다.
같은 해 12월에 인스타그램이 발표한 새로운 정책의 초안으로 인해 사용자들은 불만을 나타냈는데, 파워블로거 페리스 힐든은 과격한 용어도 사용했고 그들의 사진은 광고주에게 판매되는 등 악용됐다. 이에 인스타그램 계정을 폐쇄하기까지 이르렀고, 결국 페이스북은 사과를 표하고 기존에 해오던 광고의 프라이버시 정책을 복귀시킨 바 있다.
두 번째는 보안 소홀이다. 2011년 4월에는 소니의 플레이스테이션 네트워크가 보안 누출을 경험했고, 10월에는 마이크로소프트의 엑스박스 라이브(Xbox Live) 어카운트들이 해킹을 당했다.
2012년 6월에는 6천만 페이스북 가입자들의 개인정보가 보안 사고로 유출됐고, 2013년 3월에는 에버노트(Evernote)가 보안 누출 후에 5천만 어카운트들을 다시 리셋해야 했으며, 2월에는 해커 집단이 트위터를 공략해 약 25만 이용자 이메일과 패스워드가 노출됐으며, 10월에는 어돕 보안 누출로 3백만 고객의 신용카드 정보가 유출됐고, 11월에는 구글, 페이스북, 야후, 트위터, 링크드인 등 글로벌 웹사이트들이 2백만 이상의 이용자 이름과 패스워드들을 해커들에게 빼앗겼으며, 12월에는 프라이버시를 보호하는 비즈니스 모델로 유명한 스냅챗(Snapchat)이 460만 전화번호와 이용자 이름을 잃었다. 그 외에도 오프라인 리테일 마켓인 미국의 타겟이 1억1천만 고객의 이름과 신용카드 정보, 이메일, 집주소, 전화번호 등이 유출되는 보안 사고를 경험하게 된다.
세 번째는 정부의 감시이다. 미국의 감시 체계인 프리즘(Prism)이 알려지면서 이의 문제에 대해 경각심을 갖기 시작했다. 위키백과 한글판에 의하면(2015), 프리즘은 2007년부터 이어져온 미국 국가안보국(NSA)의 국가보안전자감시체계(Clandestine National Security Electronic Surveillance) 중 하나이다. 이는 공식적으로 알려진 정부의 정보 수집 작업인 SIGAD US-984XN의 한 코드 네임이며, 2007년 9월 11일 미국의 조지 W. 부시 전 대통령이 서명한 2007년 미국 보안법에 의거해 NSA의 대규모 국내외 감시 체계가 출범했다. NSA 관할하에 있었던 5년 이후, 2013년 6월 6일 전직 요원이었던 에드워드 스노든은 "대량 정보 수집의 범위가 일반 대중에게까지 미치고 있다"며 "'위험한' 활동과 '범죄적인' 활동까지 감시되고 있다"고 프리즘의 감시 범위가 광범위함을 폭로했다.
마지막은 빅데이터 수집자의 이해관계 갈등 문제이다. 대표적인 갈등은 옵트인(Opt-in) 방식에 대한 이해관계 갈등이다. 앞서 언급한 프라이버시 침해 이슈에 관련된 지난 몇 년간 분쟁 사례들을 보면, 특히 빅데이터 수집자들의 개인 위치 정보 무단 수집이 갈등 이슈이다.
위치 정보와 관련해서 이미 미국에서 채택 중인, 수신을 거부해야만 서비스를 사후 차단토록 하는 ‘옵트아웃(Opt-out)’ 방식에 대해 문제가 제기된다. 미국은 근본적으로 산업 진흥을 우선시하고 ‘프라이버시 비즈니스’의 구조화를 도모하기 때문에 옵트아웃 방식을 지지해오고 있다.
하지만 위치 정보와 관련해서는 구글의 2010년 스트리트 뷰 사건 이후, 안드로이드 기반 위치 정보에 대해 구글은 옵트인 방식을 적용하게 된다. 또한 미국과 달리 유럽연합은 옵트인 원칙을 고수하며, 이를 강조하는 ‘데이터 보호 규칙’ 원안을 2012년 1월 공개하면서, 사전 신청 위반 시 전 세계 연매출 중 최대 0.5%를 징수하는 등 규제를 엄격화한 바 있다(니케이커뮤니케이션즈 2012.4). <다음 호에 계속>
<송민정 교수 _ 한세대학교 미디어영상학부 신문방송학과>
본 연구는 미래창조과학부 및 정보통신기술진흥센터의 정보통신·방송 연구개발 사업의 일환으로 수행하였음.[R0190-15-2027, 고신뢰 사물지능 생태계 창출을 위한 TII(Trusted Information Infrastructure) S/W 프레임워크 개발]
※1 기업의 개인정보보호 수준을 높이고 이용자의 권리를 강화키 위해 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)은 인터넷 상에서의 주민번호 수집과 이용 제한, 개인정보 누출 통지와 신고제, 개인정보 이용내역 통지제, 개인정보 유효기간제, 그리고 기술적 및 관리적 보호조치 미 이행에 대한 행정처분 강화 등의 내용을 포함한다.
※2 구글은 사업전략상 위치정보 수집을 필수적으로 보고 있다. 따라서, 현재 구글은 이용자 허가(옵트인Opt-in 방식)를 받은 후에 안드로이드 탑재 단말의 무선 네트워크, 즉 WiFi 정보를 수집하고 있으며, PC기반에서도 크롬 웹브라우저와 기타 일부 브라우저를 이용하는 PC에 대해서도 주변의 WiFi 위치정보를 모으고 있다. 구글의 위치정보 서버에 전송되는 위치 데이터는 모두 익명 처리되므로 특정 이용자와 연결시키거나 특정할 수 없도록 되어있다고 구글은 주장한다(아틀라스, Digestive Daily News, 2011.5.3).
※3 퍼블리시티권은 개인이 이름, 이미지, 자신과 닮은 모습(Likeness), 기타 동일성을 표시하는 것(Indicia of identity)에 대한 가치를 통제하고 이에 의하여 이익을 얻을 수 있는 권리, 또는 어떠한 개인의 신원 내지 동일성(Identity)을 그의 허락 없이 상업적으로 이용하는 것을 방지할 수 있는 권리이다(이대희 2012.7: 4쪽).
※4 프렐리(Angel Fraley) 등 원고는 페이스북의 ‘Sponsored Stories’가 캘리포니아 주 퍼블리시티권 및 부정 경쟁에 관한 법률을, 판례법상 부당이득 원리를 위반했다고 소송을 제기했고, 페이스북은 이의 기각을 청구했다. [U.S. District Court for the Northern District of California (Fraley v. Facebook Inc., N. D. Cal., No. 11-1726, 12/16/11)]
참고문헌
[국내 문헌]
김동준(2015.8.5). 구글과 EU, 그리고 개인정보 보호, 방송과기술, 칼럼
김성준(2012). 잊혀질 권리에 관한 고찰, KCA(방송통신전파진흥원) 제1차 연구반 발표문.
김진억(2014. 3.24). EU 의회, 강화된 개인정보 보호 법안 승인, Kire Weekly, 보험연구원.
김창수/송민정(2014). 빅데이터경영론, 학현사
디지털타임즈(2015.5.13). ‘옵트인-옵트아웃’ 균형 필요하다.
아이디씨코리아(2012. 7. 17). 미(美) SNS 만족도 살펴 보니… 페이스북이 ‘꼴찌, available at: http://www.idckorea.com/product/Getdoc.asp?idx=522&field=PressRelease
박완규(2012.7). 인터넷 이용자의 프라이버시 보호 분쟁, 해외방송통신분쟁 Issue Report, 한국정보통신진흥협회, No.32, 17~30쪽
법제처(2009.9.3). 개인정보 보호와 적정 활용의 조화를 위한 제도 도입 연구.
본뉴스(2012. 1. 13). 클라우드·SNS 등 서비스, 개인정보보호 어떻게 하지? available at: http://www.boannews.com/media/view.asp?idx=29556&kind=1
송민정(2012.8). 빅 데이터가 만드는 비즈니스 미래지도, 한스미디어
송민정(2012), 소비자 데이터 프라이버시 이슈에 관한 연구: 미국을 중심으로, 정보통신분쟁, 이슈리포트 9월호
아이디씨(IDC)(2012. 7. 19). 빅데이터 및 R&D 활성화에 힘입어 세계 비즈니스 분석 소프트웨어 시장 연평균 9.8% 성장 전망.
앤에이치앤(NHN)(2012. 1. 6), 주민등록번호 저장 안한다, available at: http://pr.hankyung.com/newsRead.php?no=595548
오태원, 유지연 (2010). 소셜네트워크 서비스(SNS) 환경에서 프라이버시의 개념 변화 , 방송통신정책 제23권 4호(통권 503)호, 정보통신정책연구원.
유지연(2012. 7.16). 미국 개인정보보호 동향, 동향분석 제 24권 13호 통권 535호, 한국정보통신정책연구원, 76~89쪽
이대희(2012.7.16). 소셜 네트워크에서의 이용자 권리 분쟁, 해외방송통신분쟁 Issue Report, 한국정보통신진흥협회, No.32, 4~17쪽
이원태, 유지연, 박현유, 김위근. (2010). 「방통융합 환경에서 정보의 자유와 개인의 프라이버시 보호방안 연구」 (기본연구 10-18-02). 서 울: 정보통신정책연구원.
이재진, 구본권(2008). 인터넷상의 지속적 기사 유통으로 인한 피해의 법적 쟁점: 잊혀질 권리 인정의 필요성에 대한 탐색적 연구, 한국방 송학보, 22-3, 172-212.
이창범(2012). 잊혀질 권리의 비교법적 이해와 국내법상 함의, 2012. 7. 19. 개인정보보호 법제정비 연구반 제1차 회의 발표자료
정보처리추진기구 (情報?理推進機構) (2012. 6). “米?における個人情報? プライバシ?保護? 活用の動向”.
지디(ZD)넷코리아(2013. 5.17). 구글 크롬 비꼰 MS 내부 영상 유출
지성우(2012.7.16). 잊혀질 권리: EU와 독일의 논의를 중심으로. 해외방송통신분쟁 Issue Report, 한국정보통신진흥협회, No.32, 48~63쪽
지성우(2011). 기본권 이론적 관점에서의 잊혀질 권리에 대한 시론적 고찰. 언론중재, 2011 여름호, 32-47
하정빈(2011), 개인정보 보호화 잊혀질 권리, Journal of Communications and Radio spectrum, Special issue, 방송통신전파진흥원.
한국정보화진흥원(2012. 7). 개인정보보호 해외법제 동향, 개인정보보호 기획부
행정안전부·한국인터넷진흥원(2009). 김대리, 개인정보보호 달인되기
현대호(2011. 4.15). 개인정보보호법과 다른 법률의 개인정보보호 규정과의 정합성 확보, 한국인터넷법학회 춘계공동학술대회 발표문.
[해외문헌]
CNet (2012.3.1). Google’s new privacy policy begins. Does it break the law?
CNet (2012.3.22). Google users sue over changes to privacy policy.
Design mind (2011.1.18). What’s Your Personal Data Worth?
Digital Trends (2011.8.19). North German State bans websites from using Facebook ‘Like’ plug-in, available at: http://www.digitaltrends.com/international/north-german-state-threatens-websites-with-fines-for-using-facebook-like-plug-in/?
Fiercehealthit (2012.8.1). Twitter helps to predict flu trends in New York, available at: http://www.fiercehealthit.com/story/twitter-helps-predict-flu-trends-new-york/2012-08-01.
FTC (2012. 3). Protecting Consumer Privacy in an Era of Rapid Change: Recommendations for Business and Policymakers, available at: http://www.ftc.gov/os/2010/12/101201privacyreport.pdf
Harris, Andrew (2012.6.21). Users Seek ‘Sponsored Story’ Lawsuit Accord Approval, Bloomberg Businessweek.
ITRC (2012. 1.). 2012 ITRC Breach Report, available at: http://www.idtheftcenter.org/ITRC%20Breach%20Report%202012.pdf
Little, Mark (2014.2). Personal data and the big trust opportunity, Ovum.
Little, Mark(2013.2.25). Personal data future: The disrupted ecosystem, Ovum.
Psfk (2012.6). Smart T-Shirt Lets Doctors Monitor Patients While They’re At Home, available at: http://www.psfk.com/2012/06/smart-t-shirt-monitor-patients.html
Relf.H.W (2011) The right to be forgotten: more then a pandora's box?
The White House (2012.2). Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, available at: http://www.whitehouse.gov/sites/ default/files/privacy-final.pdf
W3CBlog (2012.4). The state of Do Not Track, available at: http://www.w3.org/QA/2012/04/the_state_of_do_not_track.html
/pdf.png)
/smartmap_2_01.png)
/smartmap_2_04.png)
/smartmap_2_big_04.jpg)
/smartmap_2_05.png)
/smartmap_2_big_05.jpg)
/smartmap_2_08.png)
/smartmap_2_big_09.jpg)
/smartmap_2_09_2.png)
/smartmap_2_big_10_2.jpg)
/smartmap_2_11_2.png)
/smartmap_2_big_12_2.jpg)
/smartmap_2_02.png)
/smartmap_2_03.png)
/smartmap_2_06.png)
/smartmap_2_big_07.jpg)
/smartmap_2_07.png)
/smartmap_2_big_08.jpg)
/smartmap_2_12.png)
/smartmap_2_big_13.jpg)
/smartmap_2_13.png)
/smartmap_2_big_14.jpg)
/smartmap_2_14.png)
/smartmap_2_big_15.jpg)
/smartmap_2_15.png)
/smartmap_2_big_16.jpg)
/smartmap_2_16.png)
/smartmap_2_big_17.jpg)
/smartmap_2_17_2.png)
/smartmap_2_big_18_2.jpg)
/smartmap_2_18_2.png)
/smartmap_2_big_19_2.jpg)
/smartmap_2_19._2.png)
/smartmap_2_big_20_2.jpg)
/smartmap_2_20.png)
/smartmap_2_big_21.jpg)
/smartmap_2_21.png)
/smartmap_2_22.png)
/smartmap_2_23.png)
/smartmap_2_24.png)
/smartmap_2_25.png)
/smartmap_2_26.png)
/smartmap_2_27.jpg)