지난 14일, 개인정보보호위원회가 구글과 페이스북의 모기업 메타에 각각 692억 원과 308억 원의 과징금을 부과했다. 이 사건 골자는 구글과 메타가 이용자의 개인정보를 수집하는 과정에서 개인정보보호법 제 39조의3 제1항에 해당하는‘정보통신서비스 제공자가 이용자의 개인정보를 이용하려고 수집하는 경우 이를 이용자에게 알리고 동의를 받아야 한다’라는 조항을 위반, 문제가 됐다.
당국에 따르면 구글과 메타는 개인정보 활용에 대한 내용을 교묘히 감춰 이용자들에게 각각 82%, 98%의 동의를 받은 것으로 나타났다. 이는 구글과 메타가 적법한 동의없이 수집한 이용자들의 개인정보가 이곳, 저곳으로 값이 매겨져 팔려 나간 형국으로, 개인정보 실제 주체인 ‘나’에게는 이 사태의 피해자로서 응당 이뤄져야 할 금전적인 보상은 물론 아무런 해결책도 제시받지 못한 상황이다. 그렇다면 1천 억대의 과징금을 내야 하는 기업들은 개인정보로 얼마만큼의 돈을 벌었을까?
먼저 과징금 부과 기준으로만 살펴보자. 구글이 제출한 최근 3년간의 매출액에서 국내 이용자 비율을 곱한 금액을 기준으로, 100분의 3이하에 해당하는 금액을 과징금으로 부과할 수 있다고 개인정보보호법(제39조의 15)상 명시되어 있다. 즉, 구글의 경우 불법적 개인정보를 통해 벌어들인 수익의 3%가 과징금 692억 원이라는 액수로 책정됐으니, 추정되는 매출은 약 2조 원 가량인 셈이다. 매우 큰 규모다.
이런 결과를 보니 실제 개인정보의 가치는 얼마나 클지 궁금해진다. 표준화된 자료는 아니지만, 개인정보를 사고 파는 ‘다크 웹 프라이스’에서 해킹된 페이스북 계정이 65달러, 인스타그램 계정이 45달러에 올라온 것을 확인할 수 있다. 개인의 소셜 계정 하나가 수만 원에 거래되고 있는 것이다.
현재 많은 산업이 데이터를 기반으로 운영되고 있고, 그 데이터의 가치가 매우 중요하다는 것은 누구나 알고 있는 사실이다. 때문에 기업 입장에서는 확보한 개인정보 가치를 더욱 높게 책정할 것으로 예상된다.
그렇다면 우리나라의 경우 개인정보 가치를 어떻게 파악하고 다루고 있을까? 국내 금융산업 분야에서는 개인의 포괄적인 금융거래와 관련한 데이터의 유통·활용을 위해 ‘데이터 3법’을 통과시키며 ‘마이데이터’라는 사업을 진행하고 있다. '마이데이터'란 은행과 카드사, 금융투자사 등 각 기관에 분산되어 있는 개인금융 정보를 하나의 플랫폼에서 통합 관리할 수 있는 서비스다.
사업자는 소비자의 동의하에 데이터를 수집하고 분석해 맞춤형 서비스를 제공한다. 기존의 데이터 관리 방식과 다른 점은 데이터 관리 주체가 기업 중심에서 개인 중심으로 전환했다는 것이다. 여기에 참여한 업체들의 리스트를 보면 국내 대형 금융기관의 대다수가 참여했다. 다만 아쉬운 것은, 마이데이터에서 가명의 형태로 ‘나’의 정보가 어떤 형태로 어떻게 활용되고, 몇 번이나 사용됐는지 확인할 수 없다는 것이다. 즉, 개인정보 동의 이후, 사후 관리에 대한 내용은 찾아볼 수 없다.
위의 표를 보면 많은 기업이 개인 정보를 취하고, 공유하고, 판매하며 여러 가지 형태로 이익을 취하고 있는 것으로 추정된다. 반면, 개인정보 주체, 개인정보 주인인 ‘개인’들은 나의 개인정보가 어떻게 사고 팔리는지 조차 모른다.
필자는 유럽, 인도의 기업과 미팅할 때마다, 그들이 ‘개인정보의 자기결정권’을 얼마나 중요하게 생각하고, 인정하고 놀라곤 한다. 개인정보의 자기결정권이란 ‘개인의 정확한 동의 없이 관련된 어떠한 행위도 하지 않는 것’을 의미한다.
관련기사
- 구글, 6조원 규모 과징금 취소소송서 패소2022.09.15
- 구글·메타, 개인정보법 과징금 1천억원…역대 최대2022.09.14
- 佛 규제당국, 구글·메타에 과징금 부과2022.01.07
- 삼성전자, 다시 뛴다...HBM3E 개선하고 TSMC와 협력2024.10.31
관련 산업의 최소 단위 데이터 기준이 개인정보인 만큼, 정보이동의 허가에 있어 개인이 가장 우선임을 명확히 하고 있다. 그렇기 때문에 유럽의 기업들은 필자 회사가 만든 ‘탈중앙화 데이터 플랫폼(DIDH)'을 적용한 ‘자기주권형(SSI,Self Sovereign Identity) 기술도입을 신중히 검토하고 있는 것이다. 이 기술을 적용하면 데이터와 관련해 개인이 직접 개인정보를 소유하며 통제하는 일이 가능해진다.
‘개인정보 자기결정권’과 ‘개인정보 이동권’은 국회에서 논의돼 2021년 9월 개인정보보호법 2차 개정에 포함되어 조만간 법제화될 전망이다. 국회는 더 이상 미루지 말고 이 법안들을 적극 검토, 국민 자신의 개인정보를 보호받을 수 있도록 나서야 한다. 또 데이터를 근간으로 하는 산업에서 우위를 차지하고자 한다면, 개인정보에 대한 ‘자기주권형’ 생태계를 이해하고 이를 구성하는 기술 도입에 대해 고민이 필요한 시점이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.