네티즌이라면 알아야할 개인정보보호, GDPR은 무엇?


5천만 명에 가까운 페이스북 이용자의 데이터가 누출되었습니다. 우리나라 국민 전체와 맞먹는 그 숫자도 어마어마하지만 유출의 내용도 심상치 않습니다. 2013년에서 2014년에 걸쳐, 케임브리지 대학 알렌산더 코건 박사의 심리학 연구팀이 개발한 서드파티 앱이 수집한 이용자 정보가 또다른 기업에 판매되었던 것이죠.

 

5천만 명 정보가 선거 관련 기업에 판매되다

 

우선 이 앱이 수집한 정보가 너무 광범위했습니다. 이 앱에 응답한 이용자는 27만 명뿐이었어요. 하지만 무섭게도, 친구 정보에 대한 접근까지 허용되는 바람에 모두 5천 만 명에 가까운 이용자의 정보가 수집되었거든요. (지금은 정책적으로 불가능하다고는 합니다만.)

 

게다가 이 정보가 다른 기업에 판매되었지요. 이 정보를 사들인 것은 케임브리지 애널리티카라(CA)는 데이터 분석 업체인데요, 이 업체는 지난 미국 대선 당시 현재 미국 대통령인 도널드 트럼프 캠프를 위해 일했다는 점 때문에 더 큰 논란이 되고 있습니다.

 

개인정보 활용, 편의 vs. 위험

 


사실 현대 사회에서 이용자 정보는 IT 서비스를 통해 얻는 편의를 위해 필요한 면이 있습니다. 위치정보를 제공하고 근처의 맛집 정보를 얻는다거나, 나이나 성별 등에 따라 통계적으로 선호하는 영화나 음악을 추천받는 등 여러가지 사례가 있죠.

 

하지만 언제나 기업은 딜레마를 안고 있습니다. 개인정보를 보호해야 할 의무와, 이를 활용해 수익을 얻으려는 동기가 부딪히는 것이죠. 그러다 보면 어느 순간 개인정보가 원치 않는 곳에 사용되거나, 다른 곳에 유출되는 일이 생기고는 합니다. .

 

GDPR이란 무엇인가

 


이 때문에 이번 페이스북 데이터 유출 사태와 같이 이용자의 정보가 제대로 보호받지 못할 위험은 늘 있습니다. 그래서 이를 막기 위한 규제도 생기는 것이지요. 금년 5월부터 발효 예정인 유럽연합(EU)의 일반 데이터 보호 규정(General Data Protection Regulation, GDPR)이 그 중 하나입니다.

 

유럽연합의 규정이긴 하지만 어지간한 규모 이상의 글로벌 기업이라면 EU 회원국과 전혀 관련이 없을 수가 없죠. 다국적 회계 감사 기업인 PwC의 설문조사에 따르면 미국 기업의 92% GDPR을 정보 보호 부분의 최우선 순위로 여기고 있다고 합니다.


강력하고 폭넓은 개인정보 보호 규정 GDPR

 

그도 그럴 것이 GDPR을 위반했을 때 규정된 벌금이 상당히 크거든요. 최대 직전 회계연도 전세계 매출의 4% 또는 2천만(250억 원) 유로까지 높아졌습니다. 해당되는 기업들이 긴장할 만하죠?

 

적용대상도 넓어졌습니다. EU 내 법인이 아니더라도 EU 시민의 정보를 다루는 기업까지 포함되었어요. 개인정보의 정의에도 IP주소, 쿠키, 시리얼 넘버 등 온라인식별자까지 더 많은 항목을 넣었네요.

 

EU 시민이라는 단서가 있지만, 이용자는 기업이 어떤 개인정보를 사용하는지 확인 요청을 할 수 있고, 잊힐 권리(the right to be forgotten)에 따라 자신의 정보를 삭제해달라고 요청할 수 있으며 기업은 이에 응해야 합니다. 이동성에 대한 권리에 따라 한 기업에서 다른 기업으로 개인정보 전송을 요청할 수도 있습니다.

 

개인정보 보호를 위해 소비자가 할 일

 

이렇듯 GDPR은 기업에게는 상당히 부담이 될테지만, 소비자들에게는 개인정보를 보호받을 수 있는 좋은 기반이 될 것으로 보입니다. 아직은 유럽연합의 범위라고 볼 수 있지만 개인정보 보호에 대한 관심이 높아질수록, 언젠가는 이런 수준이 보편적인 요구사항이 되겠지요.

 

물론 규정만으로 모든 것이 해결되지는 않습니다. 내가 사용하는 서비스가 어떤 개인정보를 어떤 목적으로 사용하는지, 부당한 정보 수집은 없는지 등, 동의 버튼을 누르기 전에 한 번 더 생각하는 이용자가 되어야겠지요. 이것이 이번 페이스북 정보 유출 사태와 곧 다가올 GDPR 발효의 교훈이 아닐까요?