지금까지는 미국에서 발생한 실제 소송에서 원고들이 제기한 주요 쟁점을 다루었고, 이를 우리 법에 적용해 보았다. 이번 기고에서는 구글의 개인정보통합 소송에서 원고들이 제기한 주요 쟁점을 이론적으로 정리하면서 나름의 결론을 내려보고자 한다.
최근에 미국에서 있었던 구글의 개인정보통합 소송은 이론적으로 3가지 쟁점을 담고 있다. 첫째가 쿠키(cookie) 정보 이용의 문제이며, 둘째가 개인정보의 프로파일링(profiling)의 문제이고, 셋째가 행태정보를 이용한 광고(Online Behavioral Advertising, OBA) 문제이다. 분석과 이해를 위해 3가지로 나누었지만 쿠키 정보의 이용과 프로파일링은 OBA의 과정에 불과하므로 결국 궁극적으로 OBA의 문제로 보아도 무방하다.
쿠키정보의 이용
쿠키란 웹브라우저의 성능을 향상시키기 위해 이용자의 방문사이트 등을 기록한 파일을 말한다. 원래는 이런 의도로 쿠키가 만들어졌으나 현재 쿠키정보는 광고나 마케팅용으로 가장 많이 활용되고 있다.
온라인 광고회사가 마케팅이나 광고를 위하여 이용자 컴퓨터 내에 저장된 쿠키 정보를 빼내어 활용하는 것이 허용될 수 있을까? 이 문제는 과거 DoubleClick 사건에서 다루어진 바 있다. 거대 온라인 광고회사인 DoubleClick 사는 DoubleClick이라는 광고기법을 통하여 막대한 수입을 올리고 있었다. DoubleClick 광고기법이란 이용자가 A 사의 웹페이지를 방문할 때 A사는 광고배너를 비어 놓은 채 웹콘텐츠를 이용자에게 전송하고, 동시에 연결된 DoubleClick 회사 서버는 번호가 매겨진 이용자의 쿠키 파일을 받아서 이용자의 행태나 기호 등을 분석한 다음 A사의 웹콘텐츠 중 빈 광고배너를 채워 넣는 OBA 기법을 말한다.
2001년 미국에서 이러한 광고기법에 대한 소송의 결과가 나왔는데, 법원은 쿠키 정보는 기본적으로 보호되는 정보가 아니고, 설사 쿠키 파일에 번호가 매겨져 있더라도 이러한 점은 달라지지 않는다는 입장을 밝힘으로써 DoubleClick 회사의 손을 들어줬다. 이후 기업들은 쿠키 정보 이용에 대한 자유를 얻게 되었고, 2007년 DoubleClick 사는 구글에 의하여 매수되어 현재는 구글이 DoubleClick 광고기법을 활용하고 있다.
개인적으로는, 비록 쿠키 정보가 비식별 정보로 분류되기는 하지만 프로파일링을 통하여 식별성을 가질 우려가 농후하므로, 쿠키 정보 이용에 대하여 이용자에 대한 고지나 이용자의 동의가 전제되는 것이 타당하다고 생각한다(opt-in 방식).
최근에 발표된 ICC UK Cookie Guide 역시 쿠키 정보 이용에 관하여 이용자에 대한 고지 및 이용자의 동의를 원칙으로 하고 있다는 점도 유념해서 볼 필요가 있다. 한편, 미국 정부는 기업들의 쿠키 정보의 수집에서 이용자가 쉽게 벗어날 수 있도록 하기 위하여 한번 클릭하기만 하면 바로 opt-out 할 수 있는 Do Not Track 버튼을 웹브라우저 등에 장착할 것을 기업들에게 강력하게 권고하고 있다. 기업의 쿠키 정보 이용에 대한 제약이 심해지고 있는 것이 최근 트렌드인 셈이다.
프로파일링
프로파일링(profiling)이란 넓게 보면 이용자의 행태정보를 모으는 행위를 말하고, 좁게 보면 OBA 목적으로 이용자의 행태정보를 수집하는 것을 말하는데, 통상 좁은 의미로 사용된다. 프로파일링의 문제는 과거 또 다른 DoubleClick 사건에서 이슈가 됐다. 1999년 DoubleClick 사는 오프라인 광고회사인 Abacus Direct 사를 인수했는데, 그 의도는 DoubleClick 사가 가지고 있던 비식별정보인 온라인 쿠키정보를 Abacus Direct 사가 가지고 있던 오프라인 식별정보에다 조합하여 광고시장을 장악하려는 것이었다.
하지만 이러한 의도는 여러 시민단체와 정부기관에 의하여 좌절되었고, 이를 기화로 2000년 미국의 온라인 광고회사들의 이익단체인 NAI(Network Advertising Initiative, 구글, 야후 등이 회원사임)는 자율규약을 만들게 된다. 규약의 내용 중 프로파일링에 대한 부분을 요약하면 아래와 같다.
1) 정보주체의 비식별정보끼리의 프로파일링은 허용되며, 다만 정보주체에게 opt-out 기회를 제공해야 한다(opt-out 방식).
2) 장차 식별정보와 비식별정보를 프로파일링할 경우, 프로파일링 당시까지 명시적 고지를 해야 하고 이용자에게 opt-out 기회를 제공해야 한다(robust opt-out 방식).
3) 과거에 수집된 비식별정보를 식별정보에 프로파일링할 경우, 식별정보를 수집할 때에 이용자에게 동의를 얻어야 한다(opt-in 방식).
개인적으로는, 비식별정보와 식별정보의 구별이 용이하지 않고, 비식별정보라도 여러 개가 쌓이면 충분히 식별성을 가질 수 있으며, 비식별정보와 식별정보의 조합을 막을 현실적인 방법이 충분치 않다는 점에서 세 가지 경우 모두 opt-in으로 하는 것이 바람직하다고 생각한다.
특히, 과거에 수집된 비식별정보를 식별정보에 프로파일링하는 경우는 좀 더 엄격한 기준이 필요하며, 위 규약에는 언급되어 있지 않지만 식별정보와 식별정보의 통합의 경우에도 어느 정도의 기준이 필요할 듯하다.
어떤 경우이든지 이미 2부에서 언급한 대로, 기업의 수익을 극대화하기 위한 목적으로, 서비스 제공에 필요한 개인정보의 보유정도에 있어 차이가 크거나 서비스 목적·특성이 상이하고 서비스 체계상 관련성이 약한 서비스끼리 개인정보를 통합하는 것은 개인정보 이용의 남용(濫用)으로서 허용되지 않는다고 보아야 할 것이다.
OBA(Online Behavioral Advertising)
OBA(Online Behavioral Advertising, 행태정보를 이용한 광고)는 이용자의 프로파일링 정보를 분석하여 그 이용자의 기호에 가장 잘 부합하는 광고를 제공하는 광고형태로서, 프로파일링된 정보의 마케팅 목적의 이용을 말한다. OBA는 수집, 프로파일링, 이용의 단계로 구분할 수 있는데, 수집과 프로파일링은 이미 설명했으니 이번에는 이용에 대해 살펴보도록 한다. 프로파일링된 정보는 어떤 목적에든지 이용할 수 있는 것은 아니고, 반드시 마케팅 목적으로만 이용할 수 있게끔 해야 한다. 다만 마케팅 목적의 이용이라도 14세 이하의 개인정보 이용ㆍ민감정보의 이용은 금지시켜야 할 것이다.
끝나지 않은 전쟁
이번 구글 소송은 과거에 이미 문제된 쟁점 중 상당수를 다시 다루고 있다. 끝나지 않은 전쟁인 셈이다. 이번 구글의 개인정보통합 강행방침을 보면서 대다수 이용자들은 비상식적이라는 생각을 갖고 있다. 왜 그러는 것일까? 아마 구글이 개인정보 통합을 하면서 정책반대자를 강제적으로 몰아내는 정책을 쓰지 않았으면 어땠을까? 정책찬성자에 대해서는 통합서비스를 제공하고 정책반대자에 대해서는 예전대로 서비스를 이용하게 하는 정책을 펼쳤으면 이런 생각이 들지 않았으리라 본다.
* 법무법인 민후 김경환 변호사 작성, 보안뉴스(2012. 4. 20.) 기고.