[기고] 브뤼셀 효과 이면 속 건강한 국내 디지털 시장 발전 위해 고려할 사항은?

[AI 컨택] 류광현 변호사 "EU '필수 동의' 변화, 韓에 영향…개인정보 보호·혁신 균형 필요"

컴퓨팅입력 :2024/09/27 10:50

법무법인 태평양 류광현 변호사

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다.


세계가 급격하게 디지털화되면서 혁신, 번영, 개인의 권리를 균형있게 보호할 수 있는 올바른 거버넌스 체계에 대한 논의도 급물살을 타고 있다. 유럽은 디지털 기술 및 정보보호 분야에서 입법의 선도자로 자리매김해 왔다.

유럽연합(EU)의 개인정보보호규정(GDPR)은 세계적인 표준으로 간주되고 있으며 다른 지역에도 영향을 미쳐 왔다. 이는 소위 말하는 '브뤼셀 효과'다. 일반 데이터 보호 규정(GDPR) 제정 이후 EU는 디지털 전략의 일환으로 관련 법령들을 발전시켜 왔다. 그럼에도 유럽 연합의 방대한 디지털 법안 패키지가 부정적인 영향을 미친다는 비판적인 목소리도 있다.

마리오 드라기 이탈리아 전 총리는 최근 EU 집행위원회 '유럽 경쟁력의 미래(The future of European competitiveness)' 보고서에서 "유럽에서 성장하려는 혁신적인 기업들이 일관성 없고 제한적인 규제로 인해 매 단계마다 방해를 받고 있다"고 지적했다. 

류광현 법무법인 태평양 변호사 (사진=법무법인 태평양)

드라기 전 총리의 말과 같이 '브뤼셀 효과'는 영감의 원천이 될 수 있지만 동시에 주의 깊게 검토해야 할 경고로도 작용할 수 있다.

지난 해 국내에서도 개인정보보호법 시행령을 개정했다. 이는 표면적으로는 개인정보 보호법을 GDPR의 일부분과 더 유사하게 조정하려는 것처럼 보인다. 이번 개정 중 가장 중요한 부분은 국내에서 표준으로 자리 잡아 온 '필수 동의' 사용의 변화다.

새로운 접근 방식에 따르면 개인정보 처리를 위한 동의를 받는 기업은 더 이상 사용자에게 서비스 이용을 위해서는 동의를 해야 한다고 강제하지 못한다. 대표적인 예시로 더이상 필수동의 체크박스는 사용할 수 없게 되는 것이다. 대신 이제는 동의가 개인의 '자유로운 의사'에 따라 이루어지도록 해야 한다. 개인정보 처리가 선택 사항이어야 하며 사용자가 동의를 거부하더라도 여전히 서비스에 접근할 수 있도록 허용돼야 한다.

이는 국내 여러 산업에 광범위한 영향을 미칠 수 있는 중대한 변화다. 이에 따라 GDPR의 동의 개념에서 영감을 받은 이러한 새로운 접근 방식이 미칠 잠재적인 영향을 분석하고자 한다.

지나치게 복잡한 디지털 규제 환경으로 인해 EU에서는 중복된 디지털 법령들의 서로 다른 요구사항들을 어떻게 적용할지에 대한 법적 불확실성이 초래되고 있다. 규제 당국의 보수적이고 제한적인 해석과 맞물려 이러한 상황은 유럽의 글로벌 경쟁력과 혁신에 위축 효과를 가져오고 있다. 

앞서 언급한 드라기 전 총리의 보고서는 EU 법령의 빈번한 변경으로 인해 법령이 누적되고 있다고 지적한다. 또 중소기업에 과도하게 높은 준수 비용이 부과돼 결과적으로 소비자들이 서비스 비용을 더 부담하게 될 수 있음을 구체적으로 언급한다. 메릴랜드 대학교의 연구 역시 GDPR로 인해 유럽의 벤처 캐피탈 투자가 미국에 비해 감소했음을 확인해준다.

개인정보보호위원회는 지난 20년간 시행돼 온 필수 동의 제도의 변경에 대한 지침을 올해 말까지 발표할 것이라고 밝힌 바 있다. 동의에 대한 추가 지침을 마련할 때는 조직 사업 운영의 자유, 소비자 정보 접근권, 디지털 경제 성장의 혁신에 미치는 영향 등 중요한 사회적 권리들과 프라이버시권 간의 합리적 균형을 보장해야 한다.

입법자와 규제 당국은 기업에 미치는 실질적인 영향과 디지털 서비스의 사용자 경험을 고려해야 한다. 광고 기반 수익으로 제공되는 서비스들이 유료로 전환될 가능성이 크고 중소기업들은 더 높은 비용 부담을 겪게 될 확률이 높다.

GDPR의 '자유로운 의사에 따른 동의 요건 해석 방식'을 따르게 된다면 국내 기업들이 고객의 데이터를 처리하는 방식에도 중요한 변화가 발생할 것이다. '필수 동의' 제거에 따라 거의 모든 국내 온라인 사업체가 막대한 비용을 들여 온라인 서비스를 재구성해야 할 것이기 때문이다. 광고 기반 수익에 의존하는 디지털 기업들은 가능한 경우 대체 수익원을 찾아야 할 것이다.

이러한 변화는 소비자에게도 영향을 미칠 것이다. 현재 광고 기반 모델을 사용하는 다양한 기업들은 규모와 관계 없이 소비자에게 무료 서비스를 제공하고 있다. 이는 기업들이 사용자로부터 직접 수집한 개인정보를 활용해 적합하고 흥미로운 맞춤형 광고를 제공할 때만 가능하다. 본질적으로 광고주로부터의 수익이 무료 서비스를 지원하는 재원이 되기 때문이다.

기존 관행에 변화가 생기면 디지털 생태계에 상당한 영향을 미칠 수밖에 없다. 이미 EU 내 일부 사례에서 관찰됐듯이 뉴스 웹사이트, 게임 앱, 소셜 미디어가 제공 서비스를 변경할 경우 국내 소비자에게 비용을 초래할 수 있다.

이 쟁점에 있어서는 규제 당국·기업·정책 입안자·학계 간의 진지하고 건설적인 대화가 특히 중요하다. 현재 제안된 변경사항은 프라이버시의 법률 구조뿐만 아니라 중소기업·대기업 전반의 일상적 비즈니스와 사업 운영의 자유에까지 광범위한 영향을 미칠 것이다.

또 이러한 변화가 개인의 프라이버시 보호에 실제로 더 나은 결과를 가져올지도 명확하지 않다. 기업들이 광고 기반 수익 모델에 의존할 수 있는 능력을 줄인다고 해서 이들이 개인정보를 더 잘 처리하거나 개인정보의 보안을 강화하게 되는 것은 아니기 때문이다.

이는 오히려 기업과 소비자 모두에게 더 많은 어려움을 초래할 수 있다. 이보다는 투명성과 통제를 통해 개인, 경제, 혁신에 과도한 부담을 주지 않으면서도 프라이버시 보호를 달성할 수 있을 것이다.

관련기사

기업들이 데이터 처리 방식과 시스템을 규제에 맞게 조정하기 위해서는 규제 당국의 실질적인 지침과 합리적인 타임 라인이 필수적이다. 이에 따라 데이터 처리의 다양한 법적 근거에 대한 명확한 기준을 제시하고 여러 사례를 신중하고 포괄적으로 검토하며 문제되는 다양한 기본권 간의 균형을 고려해야 할 것이다.

대한민국은 중대한 기로에 서 있다. 이번에 제안된 변화는 법적 불확실성을 초래했다. 향후 제시될 지침은 국내 소비자들의 프라이버시를 보호하고 이들이 혁신적인 디지털 제품 및 서비스에 공정하게 접근할 수 있도록 해야 할 것이다. 동시에 기업들이 국내 경제를 지속적으로 성장시키게 해석·시행되도록 보장해야 할 것이다.

이 원고는 유럽 소재 개인정보 보호 분야 저명한 씽크탱크인 Centre for Information Policy Leadership (CIPL)과의 공동 연구를 통해 작성됐다.