유튜브 알고리즘은 새로운 개인 맞춤 영상을 추천하고, 쿠팡에서는 내가 깜빡했던 장보기 목록을 알 수 있게 해줄 정도로, 추천 서비스는 이미 우리의 삶 깊숙이 들어와 있다. 이러한 ‘추천 서비스’는 영상·음악·웹툰·웹소설 등의 콘텐츠부터 쇼핑, 금융, 의료까지 다양한 분야에서 이용자의 관심·취향에 부합하는 서비스를 제공하고 있다. 우리나라는 지난 2020년 개정된 데이터 3법 시행으로 데이터 활용 활성화를 위한 법적 기반이 마련됨에 따라 혁신 서비스 개발과 제공이 더욱 활성화되고 있다.
추천 서비스는 이용자 측면에서는 개인에게 특화된 콘텐츠를 쉽게 제공받도록 하여 편의를 제고하고, 기업 측면에서는 중요한 수익모델이 되었으며, 시장 측면에서는 기업과 소비자의 최신 트렌드를 파악할 수 있는 지표로 기능하고 있다.
그러나, 이러한 추천 서비스의 효용에도 불구하고, 프로파일링1) 기반 추천 서비스 제공과 관련하여 개인정보 침해 문제, 소비자 선택권 제한 등의 이슈가 대두되고 있으며, 소비자의 행동패턴에 맞는 추천행태에 대해 일부 소비자들이 불편을 언급하는 사례도 발생하고 있다. 이와 같은 이슈에 발맞춰 국내외에서 프로파일링과 이를 기반으로 한 추천 서비스에 대한 일정한 규제 움직임이 활발하게 진행되고 있다.
프로파일링을 통한 추천 서비스는 이용자 생활에 밀접하게 연관되어 있으며, 디지털경제 시대에 한 축으로 작용하고 있어, 이에 대한 규제방식이 미치는 영향 역시 매우 클 것으로 예상된다.
따라서, 법률과 제도가 어떤 방향으로 설정되느냐에 따라 산업의 발전과 침체, 이용자 편의의 제고와 하락이 결정될 것으로 판단된다.
이에, 본 기고에서는 프로파일링과 추천 서비스 등에 대한 최근 동향을 분석하고, 우리 법률과 제도가 나아가야 할 방향에 대해 간략히 제시하고자 한다.
Ⅱ. 글로벌 법제 동향
1. 미국 「필터버블* 투명성 법안(Filter Bubble Transparency Act)」
미 상원(2021년 6월 발의, S.2024)과 하원(2021년 11월 발의, HR.5921)에서 2021년 각각 동일한 내용의 ‘필터버블 투명성 법안’이 발의되었다.
* 필터버블 : 이용자에게 맞춤형 정보를 제공하는 과정에서 추천 알고리즘으로 인해 이용자가 자신에게 부합하는 정보만 취득하게 되어, 비슷한 성향의 이용자끼리 한 버블 안에 다둬지는 현상
이는 콘텐츠 추천 서비스를 규율하기 위한 법안으로, 플랫폼 이용자가 알고리즘 추천에 구애받지 않고 콘텐츠를 소비할 수 있도록 하여, 빅테크 기업의 알고리즘이 이용자들의 가치관이나 취향을 조종하지 못하도록 하는 것을 목적으로 하고 있다.
법안의 주요 내용은 기업이 ‘필터버블’에서 벗어날 선택권을 소비자들에게 제공해야 하는 것으로, 플랫폼 기업이 검색 결과, 추천 콘텐츠 등을 구성할 때 이용자 개개인의 특성을 반영하지 않은 버전도 만들어 함께 제공하도록 규정하고, 이용자의 성별이나 사는 지역, 검색 기록 등 개개인 고유의 데이터 모두 배제하도록 규정하고 있다.
SNS 사이트, 동영상 공유 사이트, 검색엔진, 콘텐츠 모음 서비스를 포함하는 공개 웹사이트, 인터넷 또는 모바일 응용프로그램이 대상이며, 최근 6개월간 종업원 500명 미만, 최근 3년간 연간 매출 5천만 달러 미만인 기업, 매년 개인정보 수집 대상이 100만 명 미만인 기업, 비영리 목적의 연구를 수행하는 기업은 제외하고 있다.
2. EU 「일반 개인정보 보호법(General Data Protection Regulation, ‘GDPR’)」
EU는 2018년 시행된 GDPR에 프로파일링과 자동화된 의사결정을 규정하여 법적 구속력을 부여했다.
GDPR에는 프로파일링의 정의가 규정되어 있으며(제4조), 자동화된 의사결정 적용 배제권(제22조)과 설명 요구권 등을 포함하고 있다.
그러나, 모든 자동화된 의사결정에 배제권이 적용되는 것은 아니며 “법적 효력을 초래하거나 이와 유사하게 본인에게 중대한 영향을 미치는” 경우에 한하여 적용되고 있어, GDPR의 규정을 프로파일링을 통한 콘텐츠 추천 등을 금지하는 근거로 보기는 어렵다.
GDPR의 프로파일링 등 자동화된 의사결정 조항에 대해, 현재까지 각 유럽 국가에서 구체적인 지침을 세워 체계적으로 대응하고 있지는 않은 것으로 보이며, 감독기관 또한 기업들의 지침에 대하여 구체적인 의견을 제시하고 있지 않은 상황이다.2)
또한, 자동화된 결정에 대한 설명 요구권에 대해 기업들의 실질적인 대응이 어려우며, 특히 알고리즘은 지속적인 학습을 통해 변경될 수 있다는 점에서 머신러닝 알고리즘의 사용을 심각하게 제한하는 문제가 있다는 비판도 제기되고 있다.3)
3. 글로벌 법제 동향 분석
결과적으로 EU의 경우 프로파일링에 대한 개념을 정의하였으나, 그 적용 범위를 제한하였을 뿐 아니라, 실제 급속하게 변화하는 알고리즘과 적용방식 등 디지털경제의 변화 속도에 따라가지 못하는 한계를 보여주고 있다.
GDPR의 탄생 배경에는 미국의 글로벌 플랫폼 기업에 대한 자국민의 개인정보, 데이터 유출을 조금이나마 줄이려는 의도가 있었다는 것을 알 수 있다. 미국 역시, 관련 법안을 발의하고는 있으나, 실제 적용에 있어 야기되는 다양한 문제점, 기업간의 이해관계가 맞물려 있는 상황에서 현재 법안 추진이 얼마나 가능할지 미지수인 상황이다.
우리나라의 경우 글로벌 기업과 경쟁해 자생력을 갖춘 국내 플랫폼이 존재하고 있음을 고려할 때, EU GDPR, 미국의 발의된 법안을 그대로 적용하는 것은 오히려 국내 경쟁력 저하로 이어질 수 있어, 다각도의 검토가 필요할 것으로 보여진다.
Ⅲ. 국내 법제 동향
1. 주요 법제 개정 현황
국내에서도 최근 프로파일링과 이를 기반으로 한 추천 서비스 등을 제한하는 법제 개정 움직임이 활발하게 진행되고 있다.
논의가 지속되고 있는 온라인 플랫폼 이용자 보호에 관한 법률안과 온라인 플랫폼 중개거래의 공정화에 관한 법률안을 비롯하여, 전자상거래법, 개인정보 보호법, 정보통신망법 등에서도 프로파일링과 추천 서비스 등을 규제하는 개정안이 발의되고 있는 상황이다.
또한, 개인정보보위원회와 공정거래위원회에서는 프로파일링과 이를 활용한 맞춤형 광고에 대한 제도 도입을 위해 가이드라인, 표준약관 등의 개정작업 역시 진행 중에 있다.
2. 개인정보보호위원회, 「개인정보 보호법」 개정안 주요내용
2021년 국회에 제출되어 현재 계류 중인 개인정보 보호법 개정안은 완전히 자동화된 시스템에 의한 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정을 거부하거나 해당 결정에 대한 설명을 요구할 수 있도록 규정하고 있다.(제37조의2)
* EU의 GDPR과 같이 “개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우”에 한하여 제한적으로 적용
3. 정필모 의원, 「정보통신망법」 개정안
2022년 2월 정필모 의원이 대표 발의한 정보통신망법 개정안은 이용자의 정보통신망 이용정보를 수집하여 정보추천 알고리즘을 활용한 서비스를 공급하려는 경우, 이용자에게 이용정보의 수집 및 정보 추천에 대하여 동의를 받도록 규정하고 있고, 더불어, 이용자에게 이용정보 수집 및 정보의 추천에 대한 동의철회권도 부여하고 있다.
4. 공정거래위원회, 「전자상거래 표준약관」 개정안(추진 중)
공정위는 2022년 업무계획을 발표하면서 전자상거래·게임 분야에서의 표준약관을 개정하겠다고 밝힌 바 있다. 표준약관 개정안이 전면 공개되지는 않았으나 2021년 12월 개최된 관련 세미나4)의 발제 자료를 통해 확인된 전자상거래 표준약관 개정안 초안의 내용은 다음과 같다.
5. 개인정보보호위원회, 「온라인 맞춤형 광고 개인정보 보호 가이드라인」 개정안(추진 중)
개인정보보호위원회 역시 “온라인 맞춤형 광고 개인정보 보호 가이드라인”을 개정하겠다고 발표하였다.5)
현재 개정안은 작업 중으로 그 내용이 공개되지는 않았으나, 최근 토론회 내용 등을 고려하였을 때, 프로파일링으로 주로 활용되는 맞춤형 광고의 데이터가 되는 ‘행태정보’의 사전동의에 대한 논의가 진행 중이며, 비식별화된 정보인 행태정보를 개인정보로 볼 것인지에 대한 부분도 함께 논의 중인 것으로 보인다.
6. 국내 법제 동향 분석
국내에서 발의·논의되는 법, 제도의 주요사항을 정리해보면 i) 프로파일링과 자동화된 의사결정 등의 개념 도입, ii) 프로파일링과 추천 서비스 등에 대한 사전동의 의무 부과, iii) 이용자에게는 적용 거부권을, 기업에게는 주요 알고리즘에 대한 설명 의무를 부과 등으로 요약할 수 있다.
이처럼 최근 국내에서도 국회, 정부 등 유사한 법률과 제도를 통해 규제를 도입하려고 하고 있고, 이는 프로파일링과 추천 서비스가 이용자에게 미치는 영향이 높아졌다는 측면에서 일정부분 법제화는 타당해 보인다.
그러나, 국내의 동시다발적인 법제의 도입 시도는 중복·과잉규제의 문제와 용어와 개념, 적용범위가 각각 달라, 정합성 측면에서 전체적인 정리가 필요해 보인다.
이와 같은 규제가 입법 취지와 달리, 플랫폼 유형을 정형화시켜 다양하고 혁신적인 서비스 개발을 제한하고, 불필요한 정보 노출 등에 따른 편의 저해를 유발할 수 있다는 지적도 있다. 무엇보다 아직 해외에서도 그 실효성이 확증되지 않은 상황에서 각종 법과 제도를 선제적으로 도입할 경우, 국내 산업에 피해가 올 수 있으므로 글로벌 동향과 도입을 상세하고 긴밀하게 분석해 볼 필요가 있다.
Ⅳ. 글로벌 기업 정책 동향
1. 애플 “앱 추적 투명성(App Tracking Transparency, ATT)” 정책
애플은 2021년 4월부터 이용자 개인정보 보호 강화를 위한 “앱 추적 투명성(App Tracking Transparency, ATT)” 정책을 도입했다.
ATT 정책은 iOS 앱에서 광고 제공을 목적으로 이용자 활동을 추적하고자 할 때, 반드시 권한을 요청하는 팝업을 띄워 사전동의를 구하도록 한 것으로, 모바일 기기에 부여되는 iOS 광고식별자(IDFA) 초기값을 비활성화한 후 동의를 받아야만 활성화로 전환할 수 있도록 하였다. 이와 같은 ATT 정책을 통해 애플은 메타(페이스북)를 비롯한 경쟁업체의 ‘타켓팅 광고(검색 기록을 이용한 맞춤형 광고)’를 제한하였는데, ATT 정책 도입에 따른 메타의 올해 매출 손실액은 100억 달러(약 12조 원)6)가 넘을 것으로 추정된다.
2. 구글 “프라이버시 샌드박스(Privacy Sandbox)” 정책
구글은 2019년 이용자 개인정보 보호 강화 정책으로 “프라이버시 샌드박스7)” 정책을 출범했고, 이는 웹에서 사용자를 추적할 수 없도록 서드파티 쿠키 등 기타 추적 매커니즘을 제한하는 것으로, 비밀리에 진행되는 데이터 수집을 금지하여 궁극적으로 개인정보를 제3자에게 주는 것을 방지하는 하는 것이다.
나아가 구글은 웹에서만 적용되던 프라이버시 샌드박스 정책을 앱(안드로이드OS)으로 확대하는 정책 변경을 발표(2022.2.16.)했는데, 구글이 사용자들에 부여했던 광고 ID(ADID)를 삭제하여, 기존에 광고 ID를 통해 수집한 사용자 앱 활동 정보의 제3자(광고사업자) 제공을 중지하는 것이 주요 내용이다.
구글은 대신 최소 2년의 유예기간(기존 광고 ID 판매 방식 유지)을 두겠다고 밝혔으며, “토픽 API(Topics API)*” 기술 적용하여 광고사업자들이 광고 ID 대신 활용할 수 있는 정보를 제공하겠다고 대안을 제시하였다.(2022년 말 베타서비스 출시 예정)
* 토픽 API : 브라우저가 일주일간의 검색기록을 바탕으로 사용자의 주요 관심사를 나타내는 토픽(예: 피트니스, 여행 등)을 파악하는 기술. 구글이 제3자 쿠키를 대체할 기술로 공개(2022.1월)한 새로운 관심 기반 광고시스템이며, 민감한 개인정보 대신 사용자 관심사(카테고리)를 기반으로 맞춤형 광고를 제공하기 위한 목적
구글의 정책 변경에 따라, 구글로부터 사용자 정보를 제공받아 왔고, 디바이스나 앱 플랫폼이 없는 SNS 기업 등 광고사업자들은 데이터 수집 제한으로 맞춤형 광고 제공의 어려움을 겪을 것으로 보인다.
특히, 총매출 중 광고가 차지하는 비중이 95%에 해당하는 메타가 가장 큰 타격을 받을 것으로 예상된다.
다만, 메타는 구글의 개인정보 보호 정책 변경을 지지하는 견해를 발표8)했는데, 2년의 유예기간이 있고 구글이 대안을 마련하기로 했기 때문으로 추정된다.
구글은 역시, 단기적으로 광고 ID 판매 중단에 따른 손실을 입겠지만, 장기적으로는 다른 광고사업자의 점유율 하락으로 시장지배력이 높아질 수 있을 것으로 예측된다.
국내 대형 광고 플랫폼의 경우 OS를 통해 수집한 정보보다, 플랫폼 내 수집 정보 중심으로 광고 모델을 고도화한 만큼, 향후 직접적 영향은 크지 않을 것이라는 분석이 지배적이다.
3. 글로벌 기업의 정책 분석
최근 애플과 구글은 웹과 앱에서의 개인정보 보호정책을 강화하여, 행태정보 등을 활용하는 맞춤형 광고의 동의를 옵트인 방식으로 전환하거나, 광고 식별자를 활용하지 않는 추천 시스템을 개발하는 등의 대안을 모색하고 있다.
이는, 이용자의 개인정보 보호를 강화하는 긍정적 측면의 정책변경으로 평가할 수 있으나, 다른 측면에서는 글로벌 모바일OS 사업자의 데이터 확보를 위한 경쟁이라는 시각도 존재한다. 실제, 애플의 ATT 정책으로 메타(구 페이스북)의 매출에 엄청난 타격을 가져왔으며, 애플의 정책에 대해 데이터 독점이라는 논란이 있었고, 특히 애플과 구글은 자사 모바일OS와 브라우저 및 포털을 보유하고 있어, 개인정보 보호 정책을 강화하더라도 이미 확보된 데이터와 OS구축 환경 속에서 성장할 수 있는 기업들이다.
따라서, 애플과 구글의 정책 변경은 맞춤형 광고시장에서, 지위를 더욱 공고히 할 것이며, 모바일OS 사업자와 비모바일 OS사업자 간 데이터 보유 격차를 더욱 심화시킬 것으로 산업계에선 예측하고 있다.
반면, 이러한 글로벌 OS사업자의 정책 변경으로 무엇보다, 국내 중소기업에는 큰 타격이 불가피할 것으로 보이며, 다양한 서비스와 상품을 이용자에게 소개하고 홍보해야 하는 스타트업·벤처기업의 경우 지금보다 정확도가 낮은 광고 집행으로 인한 비용 부담 증가가 예상되며, 데이터 확보를 위한 많은 어려움을 겪을 것으로 예상된다.
Ⅴ. 정책적 함의
앞서, 프로파일링과 추천 서비스 관련 국내외 법제 동향과 글로벌 기업 정책 동향에 대해 분석한 것처럼, 프로파일링과 추천 서비스의 영향력이 높아짐에 따라 이에 대한 사회적·정책적 관심이 높아지는 것은 자연스러운 현상으로 보인다.
다만, 이를 법제로 규율함에 있어서는 산업 발전과 이용자 효용 양자를 균형 있게 고려하고, 디지털 시대의 혁신성과 글로벌 시장에서의 국내 기업 경쟁력을 훼손하지 않도록 면밀한 검토가 이루어져야 하겠다.
첫째, 우리나라의 개인정보 보호 수준은 높다고 평가되고 있으며 데이터 3법 마련 등 개인정보 활용을 촉진하여 데이터 경제를 부흥하려는 정책적 기조를 가지고 있다. 추천 서비스 규제는 오히려 이러한 데이터 활성화 기조와 상충하는 부분이 있어, 이용자 권익 중심의 지나친 규제법일 경우, 산업계 위축과 혁신 저해가 우려된다.
둘째, EU GDPR의 제한적 적용과 미국에서 검토 중인 법이, 국내에서 먼저 도입될 경우, 국내 기업은 개정된 조건에서 사용자 맞춤형 광고 기반 기술을 확보하기까지 혁신 비용 발생과 시장 점유율 감소가 예측되고, 반면 구글, 페이스북, 넷플릭스 등의 국내 광고시장 점유율이 확대되어, 국내기업 역차별 상황이 발생할 것이다.
셋째, 프로파일링 및 추천 서비스 제공 등을 규제할 경우, 그 피해는 플랫폼을 가지고 있는 대형 사업자보다 영세한 중소·벤처기업 및 스타트업에 더욱 크게 작용할 것이며, 대형 사업자-영세 사업자 간 데이터 수집·활용 격차가 더욱 극심해질 것으로 보인다.
최근 국내의 법·제도 추진 사례들은, 선례 검증과 제도 도입에 대해 면밀한 검토를 해야 한다는 것이 기업들의 입장이며, 특히, 여러 부처에 걸친 법제화 추진은 규제의 필요성 여부와 관계없이 정합성 측면에서 심도 있는 검토가 필요해 보인다.
글로벌 정책, 개인정보 보호에 대한 사회적 분위기를 감안할 때 개인정보 기반의 콘텐츠 시장의 규제 도입에 따른 플랫폼 시장의 변화는 불가피할 것으로 보인다. 콘텐츠 추천 서비스에 있어 이용자의 선택권 확보, 온라인 플랫폼 업체들의 개인정보를 활용할 수 없는 조건에서의 맞춤화된 광고 기술 개발, 무엇보다 규제 도입에 따른 이용자 편익 증진과 혁신 위축을 포함한 산업계 파급 효과 등에 대한 면밀한 검토가 필요하다. 따라서, 관련 법·제도를 개선하는 과정에서 정부와 국회, 학계·산업계와 시민단체, 전문가가 함께 참여할 수 있는 거버넌스가 효율적으로 정립되어, 국내기업과 산업이 글로벌 경쟁력을 가지도록 세밀한 정책 조정의 기반을 마련하는 것이 시급하다.
1) 프로파일링은 사용자의 데이터를 분석함으로써 특정 상황이나 영역에서의 관심이나 행동을 예상하는 것을 말함.
2) 프로파일링 관련 기술 동향 분석 및 개인정보 정책 방안 연구(한국인터넷진흥원, 2018. 12.)
3) GDPR: The end of Google and facebook or a new paradigm in data privacy. Rich. JL & Tech., 25, 1. (Houser, K. A., & Voss, W. G., 2018)
8) 그레이엄 머드 페이스북 마케팅·광고 비즈니스 부문 부사장은 구글 발표 이후 개인 트위터에서 “다른 플랫폼은 개발자와 광고주들이 사용하던 기존 기술을 무작정 제한하는 길을 택했지만, 대안을 제공하지 않고 그런 접근법을 취하는 건 비효율적이며, 개인정보 보호에도, 개발자의 사업에도 좋지 않은 결과를 초래한다”고 지적하여 사실상 애플을 비판. 구글의 정책변경에 대해서는 “개인정보를 보호하는 맞춤형 광고를 위한 구글의 장기적이면서도 협력적인 접근법을 보는 것은 매우 고무적”이라고 밝힘 (https://twitter.com/grahammudd/status/1493954294067843077?s=20&t=rrNWVKJSuQQ6CuBsJmeuHQ)