이상용 건국대 법학전문대학원(로스쿨) 교수
[파이낸셜뉴스]무료 앱을 다운로드하고 개인정보 처리 동의 버튼을 클릭한 순간, 우리는 보이지 않는 디지털 지갑에서 개인정보라는 화폐를 꺼내 서비스와 교환한 셈이다. 물론 그 교환의 내용은 약관 어딘가에 적혀 있겠지만, 누가 그걸 꼼꼼히 읽을까? “이 서비스는 귀하의 검색 기록, 위치 정보 등을 수집하여 맞춤형 서비스와 마케팅에 활용합니다.” 당신은 오늘 이런 교환에 몇 번이나 동의했는가?
■개인정보, 보이지 않는 디지털 화폐
카페에서 커피를 주문할 때는 돈을 내고, 넷플릭스에 가입할 때는 요금을 지불한다. 그런데 소셜미디어는? 이메일은? 겉으로는 무료처럼 보이지만, 사실은 개인정보가 그 대가다. 서비스 이용 과정에서 수집되는 취향, 행태, 위치 등은 더 나은 서비스 제공의 기반이 될 뿐만 아니라 광고를 타겟팅하는 데 이용돼 서비스 유지를 위한 수입원이 된다. 구글, 네이버, 페이스북과 같은 일상에 없어서는 안 될 서비스들이 직접적인 이용료 없이 어떻게 운영 비용을 충당할까? 그 비밀은 바로 새로운 형태의 가치 교환에 있다.
“데이터는 21세기의 새로운 석유다”라는 말이 있다. 원유처럼 정제되지 않은 데이터는 그 자체로는 가치가 제한적이지만, 수백만 명의 데이터가 모여 분석되면 엄청난 경제적 가치를 창출한다. 우리는 자연스럽게 '데이터로 지불하는(Payment with Data)' 거래 방식에 참여하고 있는 것이다.
 |
이상용 건국대 법학전문대학원(로스쿨) 교수/사진=본인 제공 |
■개인정보, 보이지 않는 디지털 화폐
카페에서 커피를 주문할 때는 돈을 내고, 넷플릭스에 가입할 때는 요금을 지불한다. 그런데 소셜미디어는? 이메일은? 겉으로는 무료처럼 보이지만, 사실은 개인정보가 그 대가다. 서비스 이용 과정에서 수집되는 취향, 행태, 위치 등은 더 나은 서비스 제공의 기반이 될 뿐만 아니라 광고를 타겟팅하는 데 이용돼 서비스 유지를 위한 수입원이 된다. 구글, 네이버, 페이스북과 같은 일상에 없어서는 안 될 서비스들이 직접적인 이용료 없이 어떻게 운영 비용을 충당할까? 그 비밀은 바로 새로운 형태의 가치 교환에 있다.
“데이터는 21세기의 새로운 석유다”라는 말이 있다. 원유처럼 정제되지 않은 데이터는 그 자체로는 가치가 제한적이지만, 수백만 명의 데이터가 모여 분석되면 엄청난 경제적 가치를 창출한다. 우리는 자연스럽게 '데이터로 지불하는(Payment with Data)' 거래 방식에 참여하고 있는 것이다.
이런 현실을 반영해 EU는 2019년 '디지털 콘텐츠 지침'을 제정했고, 독일은 2022년 민법을 개정하여 '데이터에 의한 지불(Bezahlen mit Daten)' 개념을 법체계 내에 명시적으로 수용했다. 미국과 영국에서 조사된 바에 따르면, 응답자의 약 73%가 개인정보를 더 나은 서비스를 받기 위한 교환 수단으로 활용하는 것에 찬성했다.
최근 개인정보보호위원회는 2023년 개정 개인정보보호법의 시행을 계기로 '필수동의' 관행을 개선하겠다는 정책을 발표했다. 필수동의란 해당 개인정보 수집·이용에 동의하지 않으면 서비스 자체를 이용할 수 없게 설정된 동의 방식을 말한다. 개인정보보호위원회의 입장은 계약 이행에 필요한 개인정보는 법에 따라 동의 없이 처리할 수 있으니, 필요하지 않은 정보까지 부당하게 요구하지 말라는 것이다.
개인정보보호법은 '부당결부금지' 원칙을 두고 있다. 쉽게 말해, 서비스와 직접 관련 없는 개인정보 수집에 동의하지 않았다고 서비스 자체를 거부하면 안 된다는 것이다. 그런데 여기서 의문이 생긴다. 개인정보 자체가 서비스 이용의 대가인 경우에도 그럴까?
■개인정보의 이중적 성격과 계약 자유의 원칙
개인정보는 독특한 이중적 성격을 가진다. 한편으로는 개인의 인격과 밀접하게 연결된 '인격권'의 측면이 있고, 다른 한편으로는 경제적 가치를 지닌 '재산'의 측면도 있다. 개인정보보호법은 주로 인격권 보호에 중점을 두지만, 디지털 경제에서는 개인정보의 재산적 측면이 점점 더 부각되고 있다.
생각해보자. 커피숍에서 “커피를 마시려면 돈을 내야 합니다”라는 말을 자연스럽게 받아들이면서도, 페이스북이 “무료 서비스 대신 당신의 관심사 정보를 공유해 주세요”라고 제안할 때 불편함을 느끼는 것은 어쩌면 우리가 다시 생각해볼 지점이 아닐까? 부당결부금지 조항을 교조적으로 해석하면 '대가로서의 개인정보'라는 경제적 현실과 사적자치의 원칙을 간과하게 된다.
독일은 개정 민법에서 이 문제를 명확히 해결했다. 소셜미디어 등과 같은 '디지털 제품'을 이용할 때 개인정보를 제공하는 경우에도, 현금을 지불하는 일반 상품 거래와 마찬가지로 소비자보호 규정이 적용된다고 명시했다. 더 중요한 것은 소비자가 개인정보 처리 동의를 나중에 철회할 경우, 사업자에게 계약 종료권을 부여했다는 점이다. 이는 개인정보가 실제로 대가로서의 의미를 지닌다는 현실을 인정하고, 거래 당사자 사이에 공정한 균형을 유지하는 접근법이다.
이러한 법적 논리는 우리 일상의 거래 감각과 크게 다르지 않다. 넷플릭스에서 월정액을 내다가 더 이상 지불하지 않기로 했다면, 당연히 서비스도 중단된다. 마찬가지로 소비자가 더 이상 ‘개인정보’라는 대가를 제공하지 않기로 결정했다면, 사업자도 더 이상 서비스를 제공할 의무가 없는 것이 공정하다.
■자유롭고 알고 하는 동의: 실질적 보호를 위한 핵심 원칙
필수동의의 문제는 결국 '자유로운 동의'와 '알고 하는 동의'라는 두 가지 원칙과 연결된다. '자유로운 동의'는 정보주체가 진정한 선택권을 가져야 한다는 의미다. 일반적인 경우라면 서비스 이용과 무관한 개인정보 제공을 강요하는 것은 선택권을 침해한다. 그러나 개인정보가 대가의 성격을 지닐 때는 다르게 봐야 한다.
예를 들어, 무료 소셜미디어가 관심사 정보를 요구하는 경우, 이 정보는 광고 수익 창출을 위한 것이지만, 바로 그 광고 수익이 무료 서비스의 경제적 기반이다. 이 경우 개인정보는 서비스 이용의 실질적 '대가'로 기능하므로, 필수동의 요구가 정당화될 수 있다. 결국 소비자는 이 조건을 수용하거나 다른 서비스를 선택할 자유가 있으므로, 이러한 상황에서의 동의는 여전히 자유의지에 기반한 선택이라 볼 수 있다.
개인정보가 서비스 이용의 대가로 기능할 때는 '알고 하는 동의'의 원칙이 특히 중요해진다. 소비자는 자신의 개인정보가 어떤 가치를 지니고, 어떻게 활용되는지 명확히 알아야 한다. “이 앱은 귀하의 위치 정보와 사용 패턴 데이터를 활용하여 맞춤형 광고를 제공하고, 이를 통해 발생하는 수익으로 무료 서비스를 유지합니다. 해당 정보 제공에 동의하지 않으면 서비스를 이용할 수 없습니다”와 같이 개인정보가 서비스의 실질적 대가임을 명확하게 설명해야 한다.
■디지털 경제의 균형 있는 발전을 위한 제언
개인정보보호위원회의 필수동의 개선 정책은 기본적으로 타당하다. 그러나 개인정보가 서비스 이용의 대가로 기능하는 디지털 경제의 현실도 인정해야 한다. 부당결부금지 조항을 너무 경직되게 해석해 이러한 비즈니스 모델을 위법하다고 하면, 디지털 혁신과 사적자치의 원칙이 훼손될 수 있다. 더구나 기업이 부동의 소비자에게도 동일한 서비스를 제공한다면, 개인정보를 제공한 소비자의 부담으로 부동의 소비자가 무임승차하는 불균형이 생길 수도 있다.
소비자의 선택권을 더욱 확장하는 '동의 또는 지불(consent or pay)' 모델은 또 다른 해결책이 될 수 있다. 유튜브처럼, 개인정보를 제공하고 광고를 수용하며 무료로 서비스를 이용하거나, 금전을 지불하고 광고 없이 서비스를 이용하는 선택지를 함께 제공하는 방식이다. 이는 소비자에게 더 다양한 선택지를 부여하고, 다양한 가치 교환 방식을 인정함으로써 소비자 후생을 증진시키고 디지털 시장의 역동성을 유지한다. 유럽사법재판소는 2023년 Meta Platforms 사건 판결에서 이러한 선택적 모델을 바람직한 대안으로 제시한 바 있다.
디지털 세상에서 '동의합니다' 버튼을 누르는 행위가 단순한 허락이 아니라 가치의 교환임을 인식할 때, 우리는 비로소 개인정보에 대한 진정한 주권을 행사하게 된다. 개인정보보호법은 정보주체의 자기결정권을 보장하는 것이지, '무료 서비스에 대한 권리(right to free stuff)'를 보장하는 것은 아니다.
Copyrightⓒ 파이낸셜뉴스. 무단전재 및 재배포 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.