페북 '강제 동의'로 살펴본 개인정보 수집 동의, 옵트인과 옵트아웃의 차이는?

2022-08-02 14:00
사전 동의받는 옵트인, 사후 거부하는 옵트아웃
비식별조치 등 기술 발전으로 옵트인 늘어나는 추세

[사진=게티이미지뱅크]

메타(전 페이스북)가 지난달 28일 개인정보 처리방침에 대한 강제적 동의 방식을 철회하겠다고 밝혔다.

메타는 최근 사용자로부터 어떤 개인정보를 수집하는지 밝히고, 국내 개인정보보호 정책에 맞춰 옵트인(Opt-in) 방식으로 동의를 얻는 방식을 택했다. 하지만 소비자 관점에서 서비스 이용에 불필요한 정보까지 제공해야 했으며, 이에 동의하지 않으면 서비스를 이용할 수 없게 된다고 알렸다.

이러한 강제적인 방식 때문에 사용자와 시민단체의 반발을 샀으며, 메타는 결국 한국 사용자 입장에 부합하기 위해 새로 도입한 동의절차를 철회한다는 입장을 밝혔다. 다만, 동의를 누르든 누르지 않든 수집하는 정보는 이전과 같으며, 사용자가 직접 거부의사를 밝히지 않으면 지속해서 정보를 수집 및 활용하는 옵트아웃(Opt-out) 방식을 유지하고 있다.

◆개인정보보호에 초점 맞춘 옵트인, 데이터 경제 활성화에 필요한 옵트아웃

기업이 사용자에게 개인정보 수집 동의를 얻는 방식은 크게 옵트인과 옵트아웃으로 나뉜다. 옵트는 옵션(Option)의 약자다.

옵트인은 정보를 제공하는 정보주체, 즉 사용자에게 개인정보 수집, 이용, 제공에 대한 동의를 먼저 받은 후에 개인정보를 처리하는 일종의 화이트리스트 방식이다. 인터넷 서비스나 게임 등에 회원가입을 할 때 정보제공에 동의를 누르는 것이 옵트인의 대표적인 사례다.

이와 달리 옵트아웃은 정보주체의 동의를 받지 않고 개인정보를 수집 및 이용하면서, 사후 사용자가 거부의사를 밝히면 기업이 개인정보 활용을 중지하는 블랙리스트 방식이다. 페이스북이 대표적인 사례로, 페이스북 가입 후 사용자는 광고설정 페이지에서 자신의 개인정보나 활동정보 등을 제공할지 선택할 수 있다.

개인정보보호 측면에서 옵트인 방식이 유리하며, 개인정보에 대한 중요성을 강조하는 한국이나 유럽의 경우 옵트인 방식을 주로 사용한다.

최근 유럽을 중심으로 웹 사이트의 경우 첫 접속부터 쿠키수집 등에 대해 사용자의 동의를 얻고, 사용자가 사전에 어떤 정보를 제공할지 세부적으로 선택하는 방식도 도입되고 있다. 애플이 도입한 앱 추적 투명성 정책 역시 옵트인에 해당한다. 모든 앱은 이 정책에 따라 동의를 받고 맞춤형 광고에 필요한 정보를 수집해야 한다.

반면 페이스북 등 미국 기업은 옵트아웃 방식을 통해 맞춤형 광고와 서비스 최적화 등에 사용한다. 맞춤형 콘텐츠 제공 등 데이터 경제 활성화 측면에서는 유리하기 때문이다. 미국의 경우 공공 서비스 등은 옵트인을 기본으로 하지만, 민간에서 마케팅 등 특정 목적을 위한 옵트아웃을 폭넓게 허용하고 있다.

데이터는 4차 산업혁명 시대의 원유로 불릴 만큼 중요성이 큰 자원이다. 특히 자연어 처리 등 인간 친화적 서비스를 위한 인공지능 학습에 이러한 개인정보가 큰 역할을 한다. 최근 다양한 용도와 방법으로 개인정보를 처리하고, 사용자의 실제 신원을 특정할 수 없도록 비식별 조치하는 기술이 발전하면서 개인정보보호와 안전한 활용을 동시에 충족하자는 움직임도 활발하다.

◆포괄적인 강제 옵트인이 문제로 지적...필수·선택 동의 구분해야

페이스북과 인스타그램 등이 최근 개인정보 처리방침 동의절차에 사용한 방식은 일종의 옵트인에 해당한다. 개인정보 처리방침을 업데이트하면서 이 같은 사실을 알리고, 명시적인 동의를 받겠다는 목적이다.

메타에 따르면 이번 개정은 전 세계 시장에 적용되며, 나라마다 개인정보보호에 대한 방침이 다르기 때문에 한국의 정책에 따라 이 같은 방식을 도입했다. 특히 동의를 누른다고 해서 기존보다 더 많은 정보를 수집하거나 활용하지 않는다는 설명도 덧붙였다.

시민단체 등은 여기서 포괄적인 동의 방식이 문제라고 지적했다. 개인정보보호법 제39조의3 3항에 따르면 정보통신서비스 사업자는 정보주체가 서비스 이용에 필요한 최소한의 정보 외에 추가적엔 정보 제공에 동의하지 않는다고 해서 서비스 제공을 거부해서는 안된다. 여기서 최소한의 정보란 서비스의 본질적인 기능을 수행하기 위해 반드시 필요한 정보를 말한다.

국내 정보통신서비스의 경우 가입 시 개인정보 제공 동의가 필수 동의와 선택 동의로 나뉜다. 필수 동의는 서비스를 제공하기 위해 필수적으로 수집해야 하는 정보인 반면, 선택 동의는 광고 메시지 전송 등 서비스 이용과 직접적인 연관이 없는 정보에 해당한다.

메타는 옵트인을 도입하면서, 소셜 미디어 서비스를 이용하는 데 필수적인 정보 외에 맞춤형 광고나 마케팅 활용 등 선택 동의에 해당하는 내용까지 필수 동의를 받았으며, 결국 개인정보보호위원회와 논의해 강제적 동의 방식을 철회했다.

◆개인정보 둘러싼 기술적 복잡성 커져...활용과 보호 모두 충족해야

기술 발전에 따라 기존에는 인식하지 못했던 개인정보 수집이 가능해지면서 보호 사각지대가 생길 가능성도 있다. 예를 들어 가상현실 헤드셋을 사용할 경우 사용자의 행동 역시 수집 대상이 될 수 있으며, 디지털 헬스케어 기기를 통한 생체정보 수집 역시 가능하다.

한편으로는 인공지능 기술 발전으로 인해 특정 개인의 정보를 직접적으로 수집하지 않고도 취향이나 선호하는 제품 등을 분석할 수 있는 기술도 등장했다. 비식별된 정보를 통해 '누구'인지는 알 수 없지만, 어떤 것을 좋아하는지는 파악할 할 수 있게 된 셈이다.

구글은 올해 5월 열린 글로벌 개발자 콘퍼런스에서 개인정보보호를 강화하겠다고 밝혔다. 개인정보를 처리할 때는 사용자의 실제 정보가 서버까지 전달되지 않도록 '데이터 발자국'을 최소화한다. 개인정보에 대한 비식별조치와 통계적 노이즈를 추가해 누군가를 특정하는 것도 불가능하도록 할 계획이다.

정보통신정책연구원은 지난 5월 발간한 보고서를 통해 데이터는 기업과 국가경쟁력 제고의 필수 요소로서 중요성이 더욱 커지고 있는 한편, 데이터 활용이 수반할 위험에 대한 우려의 목소리 또한 증가하고 있다고 밝혔다.

특히 데이터 생태계 확장으로 인해 발생할 수 있는 위험과 이해 관계자 사이의 갈등양상 또한 변화하는 추세다. 때문에 생태계 참여자들의 위험인식 및 갈등양상 변화추세, 정부정책의 효과성을 지속적으로 모니터링해 정부정책의 방향성을 지속적으로 조정해야 한다고 덧붙였다.