미국과 유럽연합(EU) 사이에 또 다시 긴장이 고조되고 있다. 일반개인정보보호법(GDPR)이 공식 발효된 때문이다. 미국 대표 IT기업인 페이스북과 구글은 발효 첫날 제소를 당했다.
피소 이유가 예사롭지 않다. “약관 동의 과정에 이용자 선택권이 보장돼 있지 않다”는 게 그 이유다.
이를테면 이런 내용들이다. 예를 들어 “당신의 정보를 수집하는 데 동의하십니까?”란 항목이 있다고 하자. 대부분의 인터넷 서비스들은 동의하지 않을 경우 더 이상 회원 가입 절차가 진행되지 않는다. 다시 말해 동의를 해야만 서비스를 이용할 수 있도록 돼 있다.
그런데 이런 회원 가입 관행이 GDPR 체제 하에선 위법 소지가 많다. 개인 정보에 대한 선택권을 부여해주지 않았기 때문이다. 선택하지 않으면 서비스 이용 자체가 불가능하기 때문에 사실상 선택권이 없는 것이나 마찬가지란 주장이다.
그렇다면 유럽은 왜 이렇게 강력한 개인정보 보호법을 발효한 걸까? 비식별을 전제로 개인정보를 활용하는 게 일반적인 관행으로 자리잡은 상황에서 유럽은 왜 반대쪽을 택했을까?
■ 2015년 '디지털 단일시장' 구상이 진정한 출발점
우선적으로 생각할 수 있는 것은 역시 ‘기울어진 운동장’이다. 잘 아는대로 유럽은 인터넷과 모바일 시장 대부분을 미국 업체에 내줬다.
검색과 소셜 미디어 시장은 구글과 페이스북이 독식하고 있다. 모바일 시장은 안드로이드를 앞세운 구글 천하다. 유럽 업체는 발 디딜 틈이 별로 없다.
이런 상황에서 나온 것이 2015년 발표된 디지털 단일시장(Digital Single Market) 개념이다. 유럽 권역을 단일 시장으로 만들면서 규모와 경쟁력을 키우겠다는 구상이다. ▲접근성 향상 ▲공정경쟁 환경 조성 ▲디지털 경제 성장 잠재력 극대화 등은 디지털 단일시장을 구현하기 위한 3대 원칙이다.
3대 원칙 중 특히 중요한 것이 ‘공정경쟁 환경 조성’이다. 유럽이 이해하는 공정경쟁 환경은 역내 기업들의 경쟁력 보장에 초점이 맞춰져 있기 때문이다. 당연히 미국은 이 대목에 대해 ‘디지털 보호무역’이라고 강하게 반발한다.
전 세계 IT기업들을 긴장시키고 있는 GDPR도 디지털 단일시장 구상과 연결된다. GDPR은 '기울어진 운동장'을 메우려는 EU의 자구책이나 다름 없다. (이 부분은 우리도 눈여겨볼 대목이다. 디지털 경제 육성에서 중요한 대목이 어떤 것인지 고민할 때 벤치마킹해볼만하기 때문이다.)
물론 유럽의 대공세를 ‘기울어진 운동장’이란 논리만으로 보는 건 사안을 지나치게 단순화하는 것일 수도 있다. 규정이나 법률의 밑바탕엔 역사적인 경험이 자리잡고 있는 경우가 적지 않다.
따라서 GDPR을 제대로 이해하기 위해선 디지털 개인정보에 대한 미국과 유럽의 접근 방식 차이도 살펴볼 필요가 있다.
잘 아는대로 미국에선 ‘표현의 자유’가 그 어떤 가치보다 앞선다. ‘표현의 자유를 제한하는 어떤 법률도 만들 수 없다’는 규정을 수정헌법 1조에 배치할 정도다.
반면 유럽은 조금 다르다. 표현의 자유보다는 개인보호 쪽에 좀 더 방점을 찍는다. 그러다보니 유럽인들은 미국 사람들보다는 사기업에 대한 엄격한 규제를 비교적 흔쾌히 받아들이는 편이다.
워싱턴포스트는 나치 통치와 동구권의 공산정권 지배 경험 때문에 이런 성향이 더 강화된 측면이 있다고 분석했다.
나치의 본거지였던 독일은 특히 심하다. 독일에선 1987년부터 2011년까지 전국 인구조사도 제대로 하지 못했다. 나치 정권이 유태인 탄압 도구로 인구조사를 악용했던 경험 때문이었다. 그만큼 개인정보 악용에 대해선 강한 알러지 반응을 보인다.
■ 표현 자유보다 개인정보 보호 더 중시하는 문화도 중요한 역할
요약하면 이렇다. EU의 초강력 규제의 출발점은 경제적 필요라고 봐야 한다. 디지털 단일 시장을 제대로 구현하려는 실행 파일이나 다름 없기 때문이다.
그래서 우선적으로 역내 규제를 명확하게 하기 위한 것이 GDPR의 출발점이다. 하지만 그것만으론 부족하다. 시장을 주도하고 있는 외국 기업들을 견제하지 않을 경우엔 유럽 기업들이 설 자리가 없기 때문이다. 기울어진 운동장을 평평하게 만들지 않으면 디지털 단일시장 구상 자체가 존재 의미를 상실하게 된다.
이 두 가지 욕구가 결합되면서 나온 게 GDPR로 대표되는 강력한 개인정보보호법률들이다.
관련기사
- GDPR 뺨치는 '유럽발 규제' 또 온다2018.05.29
- 구글-페북은 왜 GDPR 첫날 제소당했나2018.05.29
- '페북 이겼던' 막스 슈렘스, GDPR 첫날 구글·페북 제소2018.05.29
- 유럽 GDPR 시행...국내 중소게임사 매출에 직격탄2018.05.29
물론 표현의 자유보다 개인정보보호에 좀 더 무게를 두는 유럽 특유의 문화 덕분에 이런 규제 도입이 수월했던 측면도 있다. 상대적으로 역내 거대기업들의 로비가 쉽지 않기 때문이다.
유럽 규제 당국과 미국 IT기업들 간의 팽팽한 신경전의 배경을 따지고 들어가면 이런 흐름과 만나게 된다. 이런 흐름을 이해하는 것 못지 않게 그 속에서 우리가 배워야 할 것이 있다면 배워야 할 것 같다.