최근 이루다 챗봇 사건으로 시끄럽다. 서비스 도중에 이용자의 개인정보가 그대로 노출됐고, 회사 직원들이 이용자의 카톡 대화를 돌려봤다고 한다. 이용자 입장에서는 황당한 이야기가 아닐 수 없다.
왜 이런 황당한 사건이 반복되는 것일까. 사업자가 이용자들이 건네준 개인정보를 자신의 정보로 착각하고 소홀하게 관리하는 것이 주된 이유이고, 이용자는 개인정보를 건네준 직후부터 통제권을 잃고 철저하게 소외되기 때문이다. 예컨대 이용자 정보가 어떻게 처리되고 있는지, 어떻게 서비스에 이용되고 있는지 등에 대한 파악이 불가능하다.
법리로만 보면 개인정보를 건네준 이후 이용자들은 개인정보 처리 방침 등을 통해 정보를 얻고 자신에게 주어진 권리를 행사할 수 있기 때문에 소외됐다고 볼 수는 없다. 그러나 현실은 전혀 그렇지 않다.
법률 내용을 관철할 만한 수단이 존재하지 않기 때문에 이용자들이 주어진 권리 내용을 파악하고, 이를 어떻게 행사하고, 건네준 개인정보가 어떻게 사용되는지 등에 대해 알 수가 없거나 매우 어렵다. 당장 아무 사이트라도 들어가 보면 알겠지만 온라인상으로 권리행사를 할 수 있는 방법을 제공하지 않는 경우가 거의 해당한다. 한 조사자료에 따르면 우리 국민이 가장 많이 사용하는 웹이나 앱 40개 가운데 오직 1개만이 이용자의 권리행사를 충분히 보장하고 있었다.
한편 외국 개인정보 보호 현황을 살펴보면 이용자에게 온라인상 자동화된 방법의 '온라인 도구'를 제공하고, 이를 통해 권리행사를 할 수 있게 하는 등 정보 주체의 개인정보 통제권을 보장하고자 하는 시도가 있다.
예컨대 영국의 경우 아동의 개인정보 보호 권리 행사를 위한 온라인 도구를 의무화하고 있다. 온라인 도구란 온라인에서 간단하고 쉽게 개인정보 보호 권리를 행사할 수 있도록 돕는 메커니즘을 의미한다. 기업은 온라인 도구를 눈에 잘 띄는 위치에 명확하고 쉽게 식별할 수 있는 아이콘이나 기타 접근 경로를 제공해야 한다. 아동에 한정하기는 했지만 개인정보 권리 행사를 위한 온라인 도구 제공을 법으로 명시해서 의무로 도입한 대표 사례다. 그리고 이는 온라인 도구 제공이 이용자의 권리 실질화를 위해 가장 진보한 방안임을 보여 주는 것이기도 하다.
미국의 캘리포니아주 소비자 개인정보보호법의 경우 소비자인 정보 주체가 자신의 개인정보를 제3자에게 판매하는 것을 거부할 수 있는 권리로써 '옵트아웃 권리'를 부여하고, 옵트아웃을 위한 링크 제공을 의무화했다. 일부 권리에 국한되기는 하지만 이용자의 개인정보 보호 권리 행사를 위한 별도의 웹페이지를 제공하고, 그 웹페이지로 이동할 수 있는 링크를 눈에 잘 띄게 제공할 것을 법으로 규정해서 의무화한 사례다.
이용자가 개인정보 처리 방침을 꼼꼼히 읽어 보지 않고도 홈페이지에서 제공하는 링크를 통해 '개인정보 전용 페이지'로 이동하면 개인정보에 관한 모든 정보를 확인할 수 있고, 미리 준비된 빈 칸 양식만 채우면 쉽게 권리 행사를 할 수 있으며, 처리 현황도 확인할 수 있도록 하는 것이 필요해 보인다. 앞으로 개인정보 이동권이 신설될 것으로 전망되는 가운데 이 같은 방식의 전용 페이지가 없다면 개인정보 이동권의 실질 보장은 어려울 것으로 보인다.
이용자들의 불신을 없애고 신뢰를 쌓아 가려면 동의 몇 가지로 해결될 일은 아니다. 정부 규제만으로 개인정보 보호 수준을 올리는 것에는 한계가 있기 때문에 이용자의 통제권 보장을 통해 그 수준을 올리는 것이 적절한 해답이라 생각한다.
자동화 방법을 제공하는 온라인 도구로서 '개인정보 전용 페이지' 도입이 의무화된다면 이용자의 통제나 권리 행사 보장이 실질화됨으로써 개인정보 보호 수준 제고 및 이용자의 불신 제거에 크게 기여할 것으로 보인다.
* 법무법인 민후 김경환 대표변호사 작성, 전자신문(2021. 1. 19.) 기고.