[포춘US]우리가 신뢰하는 프라이버시

이 기사는 포춘코리아 2019년 2월호에 실린 기사입니다.

미국의 입법 관계자들과 기술전문가들은 유럽의 일반개인정보보보호법(GDPR) 같은 연방법을 제정해야 한다고 한 목소리로 촉구해왔다. 그건 불가능한 꿈일까? 놀랍게도 앞으로 현실화할 가능성이 있다. By David Meyer

1년 전만 해도 미국에선 연방개인정보호법이 일부 디지털 권리활동가들만이 주장하던 생소한 개념이었다. 그러나 2018년 말 갑자기 해당 법이 제정될 가능성이 매우 높아졌다.

지난해 7월 백악관은 의회와 함께 ’사생활 보호와 기술 발전이 적절한 균형을 이루는 소비자 개인정보 보호정책‘을 협의할 계획이라고 발표했다. 그리고 최근 몇 달 동안 주로 민주당 의원들이 다수의 개인정보보호법안을 발의했다.

실리콘밸리 기업들도 적극 참여하는 모습이다. 애플과 구글은 작년 9월 의회에 새 연방 개인정보보호법을 제정해 달라고 촉구했다. 한 달 후 애플 CEO 팀 쿡은 미국 소비자들의 새로운 권리를 주장했다. 그는 “이제 현실을 직시할 때가 왔다. 사용자가 기술을 전적으로 신뢰하지 않으면, 우리는 결코 그 잠재력을 완전히 활용할 수 없다”고 말했다.

이 모든 주장의 배경은 무엇일까? 발단은 EU의 강력한 개인정보보호법인 GDPR이다. 2016년 제정된 이 법률은 EU 역사상 가장 많은 로비를 받은 것으로 알려져 있다. GDPR의 목적은 두 가지다. EU 국가들의 개인정보보호법 내용을 비슷하게 조율하고, ’빅데이터‘ 시대에 걸맞게 EU 국민들의 기본적인 사생활 권리를 보호하는 것이다.

기술 대기업들은 법의 첫 번째 목적을 적극 환영했다. 대부분의 기업들은 중구난방 규정들보다 통일성 있는 법률을 선호하기 때문이다. 하지만 두 번째 목적은 경계했다. 기업들은 인터넷에서 특정 소비자 집단을 대상으로 광고를 할 때 개인정보를 활용한다. 기술업계 로비스트들은 2018년 5월 25일 강력한 GDPR이 시행되면, 곧바로 기업 부담과 소비자 비용이 엄청나게 증가할 것이라 경고했다.

[사진=포춘US] 시민들이 지난해 5월 페이스북 CEO 마크 저커버그의 브뤼셀 방문에 앞서 시위를 벌이고 있다.

그렇다면 GDPR은 우려했던 결과를 낳았을까? 로펌 호건 로벨스 Hogan Lovells의 프라이버시 관련 소송 공동책임자 에두아르도 우스타란 Eduardo Ustaran은 이에 대해 다음과 같이 설명했다. “세상의 종말은 오지 않았다. 지금 가장 중요한 점은 GDPR이 신생아와 마찬가지라는 사실이다. 우리는 여전히 이 법을 이해하고, 해석하고, 파악하는 중이다.”

새 법안에 따라 집행된 조치들은 대부분 경미한 것들이었다. 현재 페이스북, 구글, 트위터가 규정 위반 혐의로 조사를 받고 있지만 아직 수십억 달러의 벌금은 부과되지 않았다.

그러나 샌프란시스코 베이 에어리어의 IT 대기업들은 GDPR 규정에 따라 소비자들이 자신의 개인 정보를 쉽게 회수하고 수정하거나 삭제할 수 있도록 조치를 취해야 했다. 또한 소비자들의 동의 없이 정보를 수집하거나 공유하지 않도록 보장을 해야 했다. 일단 이 같은 변화가 생긴 이상, 같은 규칙을 다른 지역에 적용하지 못할 이유가 없어졌다.

워싱턴 D.C.에 위치한 전자프라이버시정보센터(Electronic Privacy InformationCenter) 소장 마크 로텐버그 Marc Rotenberg는 “GDPR이 글로벌 표준이 되고 있고, 미국 기업들도 이를 준수하도록 요구받고 있다. 미국 대기업들은 유럽에서 사업을 하려면 GDPR을 지켜야 한다. 따라서 미국 내에서도 비슷한 접근법을 취하는 게 이치에 맞는 일”이라고 강조했다.

GDPR이 발효될 당시에도 전세계 소비자들과 입법자들은 이런 법이 필요하다는 점을 명확히 인지하고 있었다. 법 시행 불과 몇 달 전, 내부고발자 크리스토퍼 와일리 Christopher Wylie는 정치연구기관 케임브리지 애널리티카 Cambridge Analytica가 수천 만 페이스북 사용자들의 개인정보를 무단 수집한 사실을 폭로했다.

조지아 주 민주당 하원의원 행크 존슨 Hank Johnson은 “미국에서 온라인 개인정보 침해사건이 잇따라 발생해 미국 연방법이 빅데이터 시대의 현실을 반영해야 한다는 인식이 강해졌다”고 설명했다. 그는 케임브리지 애널리티카 사건 이후 두 건의 정보 보호법안을 발의했다.

그 후 파급력이 막강한 또 다른 법안이 등장했다: 2018 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act of 2018)이다. 지난해 6월 제정된 이 법안은 GDPR과 비슷한 내용을 담고 있다. 기업들이 개인정보를 어떤 경로를 통해 취득했으며, 어떻게 활용할 것인지를 소비자들에게 알리도록 한 것이다. 2020년부터 캘리포니아 주민들은 자신의 개인정보를 삭제하도록 요구할 수 있고, 개인정보의 제 3자 제공에 동의하지 않아도 될 권리를 갖게 된다.

기술 기업들은 갑자기 여러 주에서 별개의 개인정보보호규정이 등장할 가능성을 직시하게 됐다. 따라서 이들은 포괄적인 연방법률을 마련해야 한다고 목소리를 높이기 시작했다.

그렇다면 미국 연방법은 어떤 형태가 될까? 우스타란은 그저 GDPR을 따라 하는 수준은 아닐 것이라 전망했다. “EU 국가는 사생활 및 개인정보보호가 기본 권리라는 인식을 갖고 있지만 미국은 그렇지 않다. 그것이 유럽과 미국의 중요한 철학적 차이다. 이 점이 미국 법에 반영될 것이다.”

로텐버그는 입법 후 새 기구가 시행을 조율하고, 현황 및 사생활 침해 요인을 보고해야 한다고 주장했다. “미국은 이 중차대한 문제를 더 잘 이해해야 한다.”

한 가지만은 확실하다: 기술 대기업들이 자신들의 발언권을 내세울 것이라는 점이다. 존슨은 “하원은 새 법률을 제정하는 과정에서 분명 기술 기업들의 의견을 구할 것이다. 온라인 상 개인정보 활용의 투명성과 소비자들의 통제권을 강화하기 위한 목적”이라고 말했다.

앞으로 개인정보보호법을 둘러싼 로비 경쟁은 더욱 치열해질 전망이다.

▲사생활 침해: 숫자로 본 새로운 위기

-52%: 사생활 감시를 우려하는 미국인 비율

-86%: 디지털 활동 경로를 감추려 시도한 적이 있는 인터넷 사용자 비율

-65%: 수집되는 개인정보를 스스로 통제해야 한다고 응답한 비율

-9%: 많은 개인 정보 통제권을 갖고 있다고 생각하는 사람들의 비율