빅 데이터, 경쟁과 소비자 보호의 갈림길에서

작성자 관리자   |   2017-11-21 13:30:30

빅 데이터, 경쟁과 소비자 보호의 갈림길에서                              홍대식 (서강대학교 법학전문대학원)


페이스북(Facebook), 경쟁법의 도전을 받다

 

2016년 3월 초, 독일 경쟁당국이 페이스북에 대하여 사회관계망(소셜 네트워크) 서비스 분야에서의 시장지배적 지위를 남용하여 경쟁법을 위반하였다는 혐의로 조사에 착수하였다는 외신이 전해졌다. 페이스북이 사람들의 디지털 정보를 수집하는 자신의 지위를 함부로 사용하였다는 것이 혐의의 내용이다.

페이스북은 수집한 정보를 이용한 광고 수입으로 돈을 버는 회사다. 이 회사는 게시판에 글을 올리는 회원에게 다양한 공유 기능을 제공하는데, 회원이 공유하기로 선택한 정보는 그 회원이 어떤 성향이고 어떤 관심사를 갖고 있는지를 헤아려볼 수 있는 중요한 단서가 된다. 자신이 파는 상품에 대해 관심을 가질 만한 소비자나 관심을 끌고 싶은 소비자를 절실히 찾는 판매자 입장에서 이는 정말 탐이 나는 정보이다. 페이스북은 회원이 공유 기능을 사용하여 제공한 정보를 재료로 회원의 성향과 관심사를 분석하여 생성한 빅 데이터를 축적하고 있다가 판매자인 광고주가 광고의 타겟으로 일정 범위의 정보를 선택하여 요청하면 이를 제공해주고 대가를 받는다.

개인정보를 영업의 기반으로 하고 있다는 점에서 이러한 사업 모형은 개인정보보호법의 규제 대상이 될 수 있다. 다만 페이스북의 데이터 정책에 의하면, 페이스북은 개인을 식별할 수 없는 정보만을 광고주와 공유한다고 한다. 아마도 개인정보보호법의 규제를 준수하거나 회피하기 위한 전략일 것이다. 그러면 개인정보보호법 이슈에서는 한 발짝 비껴난 것일 수도 있는데, 왜 독일 경쟁당국은 경쟁법을 들고 나온 것일까?

독일은 유럽연합의 회원국으로서 유럽에서는 가장 먼저 경쟁법이라고 불리는 법률을 만든 나라이다. 이 법을 처음 만든 게 1957년이니까 60년 정도 되었다. 독일 전에 이와 유사한 법률을 갖고 있던 나라는 미국뿐이었다. 미국에서는 1890년부터 반트러스트법이라고 불리는 일련의 법률들을 만들어 이미 하나의 법체계를 이루고 있었다. 경쟁법 또는 반트러스트법이라고 불리는 법률은 우리나라에는 ‘독점규제 및 공정거래에 관한 법률’ 또는 공정거래법이라는 형태로 들어왔는데, 이는 1980년 말의 일이다.

경쟁법은 경쟁을 제한하는 사업자의 행위로부터 경쟁을 보호하기 위한 법이다. 경쟁법 집행의 주체는 나라에 따라 다른데, 독일의 경우에는 연방카르텔청이라는 정부기관이 이 일을 담당한다. 하는 일이 똑같지는 않지만 대체로 이 기관의 역할은 우리나라 공정거래위원회와 비슷하다. 누가 경쟁법을 집행하든 효과적인 집행을 위해 먼저 해결해야 할 문제는 사업자의 어떤 행위가 경쟁을 제한하는 행위인지를 분별하는 문제이다. 독일 연방카르텔청이 페이스북의 행위에 대한 경쟁법 적용을 검토하고 있다는 소식은 페이스북의 사업방식이나 사업형태가 경쟁을 제한하고 있다고 보거나 이를 의심해보는 근거가 되는 그럴듯한 설명이 가능한 상황을 포착했다는 뜻으로 읽을 수 있다. 물론 그럴듯한 설명이 가능하다는 것과 실제 그런 일이 있다고 증명하는 것은 다른 문제이기는 하지만. 어떤 일이 일어나고 있는지 좀 더 자세히 들여다보기로 하자.

독일 경쟁당국이 문제를 삼은 것은 페이스북의 데이터정책이다. 페이스북이 제공하는 서비스를 이용하기 위해서는 회원 가입을 하면서 페이스북이 제시하는 이용약관에 동의하여야 한다. 그런데, 약관에 의한 거래를 할 때 으레 그렇듯이 글자도 작고 내용도 너무 많다. 페이스북이 나름대로 이용자한테 읽어보고 동의 여부를 판단할 수 있도록 기회를 주기는 하지만 필자를 포함해서 실제로 이를 꼼꼼히 살펴보고 가입한 사람은 드물 것이다. 어쨌든 ‘동의’라는 단추를 눌러 회원으로 가입한 이상 이 이용약관은 나와 페이스북 사이의 계약의 내용이 된 것이다.

페이스북이 제공하는 사회관계망 서비스는 그 자체로 개인 이용자에게 대가를 요구하지 않으므로 이용약관에도 이용자에게 특별히 불리한 내용은 없을 것이라고 추측하기 쉽다. 그런데, 독일 경쟁당국은 이용약관에 포함된 데이터정책에 주목하였다. 페이스북은 데이터정책에서 회원의 활동과 회원이 제공한 정보, 그 회원과 관련된 다른 사람의 활동과 다른 사람이 제공한 정보, 네트워크 및 연결 정보 등 실로 다양한 정보를 수집한다고 밝히고 있다. 예를 들어 내가 페이스북 서비스를 이용하면서 사진을 업로드하게 되면 그 사진 촬영 장소나 파일 생성 날짜와 같이 내가 제공한 콘텐츠 또는 콘텐츠에 포함된 정보가 수집될 수 있다. 페이스북은 이렇게 보유한 정보를 회원에게 관련 광고를 표시하고 광고 및 서비스의 효과와 도달 범위를 측정하기 위해 광고와 측정 시스템을 개선하는 용도로 활용한다. 독일 경쟁당국은 이처럼 페이스북이 수집한 개인정보를 이용하기 위하여 설정한 거래조건이 이용자에게 ‘불공정’한 제약을 가하고 있다고 의심하고 있다.

페이스북이 유럽에서 경쟁당국과 상대한 것이 이번이 처음은 아니다. 페이스북은 2014년 2월 메시징 서비스를 제공하는 왓츠앱(WhatsApp)을 인수하는 계약을 체결하였다. 이 정도 규모의 기업결합 사건은 유럽 경쟁당국의 심사 대상이 되기 때문에 경쟁당국이 다른 기업결합 사건과 마찬가지로 검토해볼 기회를 갖게 되었다. 그러나 이 사건에서 경쟁당국은 다른 시장에서 일어나는 기업결합에 적용하는 분석 틀을 그대로 적용하였을 뿐 개인정보와 관련된 쟁점에 별로 관심을 기울이지 않았다.



빅 데이터를 활용한 영리한 돈벌이

 

페이스북과 같은 온라인 플랫폼 제공 사업자의 사업 모형은 양면시장형 사업 모형의 형태를 취하는 경우가 많다. 이는 서로 다른 유형의 이용자 그룹이 상호작용할 수 있는 가상의 공간을 인터넷에 열어두고 더 많은 이용자가 그 공간을 방문하여 활동하도록 매개하고 촉진하는 서비스를 제공하여 수익을 추구하는 사업 아이디어이다. 까다롭고 변덕 많은 인터넷 이용자들을 끌어들이려면 이용자가 그 공간에 더 자주 방문할 뿐만 아니라 오래 머물만하다고 느낄 만한 가치를 제공해주어야 한다. 그런 점에서 페이스북은 사회관계망 서비스 분야에서 매우 성공적인 플랫폼 사업자이다.

최근 통계에 의하면, 2017년 2월 기준으로 페이스북의 월간 실제 이용자(Monthly Active User, 월간 1회 이상 앱을 사용한 이용자)의 숫자는 18억 6,000만 명이고, 2016년 9월 기준으로 일간 실제 이용자(Daily Active User, 일간 1회 이상 앱을 사용한 이용자)의 숫자는 1억 2,300만 명이다. 또한 엄청나게 많은 이용자들이 시시각각으로 또한 엄청난 정보를 페이스북에 제공하고 있다. 60초마다 510,000개의 코멘트가 게시되고 293,000개의 상태가 업데이트되며, 136,000개의 사진이 업로드된다. 이런 방식으로 축적되어 페이스북 내부에 저장하고 있는 데이터만 해도 300페타바이트 수준이라고 한다. 페타바이트는 1,000테라바이트이다.

사회관계망 서비스와 같은 인터넷 서비스에서의 성공 요인을 네트워크 효과(network effect)로 많이 설명한다. 네트워크 효과는 어떤 상품 또는 서비스에 대한 이용자가 몰리면 몰릴수록 이용자가 계속 늘어나는 상황을 설명하기 위한 용어이다. 네트워크 효과가 작용하는 상품이나 서비스의 경우 그 자체의 품질보다도 얼마나 많은 사람들이 이를 사용하고 있는지가 더 중요하다.

네트워크 효과는 직접적 네트워크 효과와 간접적 네트워크 효과로 나누어진다. 직접적 네트워크 효과는 네트워크에 참여하는 이용자가 같은 유형인 경우로서, 전화 서비스가 대표적이다. 전화 서비스의 경우 네트워크에 참여하는 이용자는 서로 통화를 원하는 동질적인 그룹이기 때문이다. 간접적인 네트워크 효과는 네트워크에 참여하는 이용자가 서로 다른 유형인 경우로서, 유료방송서비스가 대표적이다. 유료방송서비스의 경우 한쪽에는 방송프로그램 시청을 원하는 시청자가 있고 다른 쪽에는 이들이 방송프로그램을 시청해주기 원하는 콘텐츠 제공자가 있는데, 이들은 서로 동질적이지 않은 그룹이기 때문이다. 사회관계망 서비스는 이를 통해 형성되는 네트워크에 서로 정보를 공유하기 원하는 동질적인 이용자도 참여하고 이들에게 맞춤형 광고를 제공하기 원하는 광고주도 참여하기 때문에, 직접적인 네트워크 효과와 간접적인 네트워크가 모두 발생할 수 있다.

네트워크 효과는 성공한 사업자 입장에서는 긍정적인 요인이지만, 일단 이러한 효과를 누리는 선발 사업자가 존재하는 시장에 새로 진입하여 지경을 넓히려는 후발 사업자 입장에서는 넘기 어려운 벽이 될 수도 있다. 네트워크 효과가 성공 비결인 서비스에서 꼭 필요한 이용자 그룹을 선발 사업자가 이미 확보하고 가두어놓아 접근하기 어려운 상황이 생길 수 있기 때문이다. 이러한 상황에서 네트워크 효과는 제3자에게 불리한 영향을 미친다는 의미에서 네트워크 외부효과라고 불린다.

그러나 페이스북의 성공 스토리는 네트워크 외부효과만으로 설명되지 않는다. 사회관계망 서비스는 페이스북 이전에도 많이 있었고 페이스북은 이들과의 경쟁을 통하여 시장에 확고하게 자리를 잡았기 때문이다. 미국에서 이러한 서비스로 처음 두각을 나타낸 서비스는 2002년 3월에 개시된 프렌드스터(Friendster)였지만, 이 서비스는 2003년 8월에 개시된 마이스페이스(MySpace)에 그 자리를 내주었고, 이를 이어 2004년 2월에 개시된 페이스북이 시장의 승자가 되었다. 이론적으로는 프렌드스터나 마이스페이스가 네트워크 효과에서 비롯되는 선점효과 또는 잠금효과를 누릴 수 있었음에도 이용자는 프렌드스터에서 마이스페이스로, 다시 마이스페이스에서 페이스북으로 이동하였다.

이러한 이동이 일어날 수 있게 한 요인으로는 서비스 운영정책의 차이가 꼽힌다. 사회관계망 서비스에 워낙 다양한 사람들이 모이다 보니 이용자 중에는 가짜 신분으로 다른 이용자를 불쾌하게 하는 나쁜 행동을 하는 이용자도 생기게 된다. 이에 대하여 프렌드스터가 가장 엄격한 태도를 취하였다면, 마이스페이스는 보다 개방적인 태도를 취하여 프렌드스터에 실망한 이용자들을 끌어들일 수 있었다. 그러나 마이스페이스의 정책이 여러 가지 문제를 일으켜 사람들이 신뢰할 수 있는 서비스를 필요로 하는 찰나에 페이스북이 등장하여 빠르게 성장할 수 있었다는 것이다. 이는 사회관계망 서비스를 여럿 경험해본 사람이라면 어느 정도 수긍이 가는 분석이다. 필자 역시 페이스북 사용을 처음 사용하게 된 계기는 실제 친구나 지인들과 실명으로 가까운 관계를 유지하면서 의견이나 소식을 나누기 위한 것이었다. 페이스북에서 경험하는 관계 맺기와 정보 공유 기능은 그 전에 알던 다른 사회관계망 서비스에서 겪을 수 없었던 다른 차원의 서비스였다.

그렇다면, 우수한 서비스 품질과 운영 방식으로 승자독식이 지배하는 시장에서 승리한 페이스북에는 아무런 문제가 없을까? 페이스북에 대한 의심의 눈초리는 페이스북이 돈을 버는 방식을 향하고 있다. 페이스북은 세계적으로 가장 강력한 인터넷 광고 회사 중 하나이다. 페이스북의 2016년 한 해 총 매출액은 276억 달러였는데, 이 중 광고 매출액이 268억 달러이고 이는 전년 대비 57% 증가한 수치이다. 페이스북이 광고로 이처럼 많은 매출액을 올리는 이유는 어느 사업자도 따라올 수 없을 만큼 정확한 맞춤형 광고 매체이기 때문이다. 페이스북은 광고주에게 사람들이 원하는 것이 무엇인지를 결정하는 데 도움이 주는 서비스를 제공한다. 페이스북 광고 페이지에 올라 있는 광고주들의 경험담은 정말 솔깃하게 만든다.

 

“페이스북에서는 사람들이 언제, 어떻게 저희 제품을 살펴보는지 이해하고 이를 바탕으로 관련성 높은 광고를 만들 수 있습니다. 또한 페이스북의 광고 인터페이스는 타 광고 플랫폼보다 훨씬 쉽고 효율적입니다.”

 

“화제와 참여를 불러일으키기 위해 기획했던 강렬한 TV 광고를 페이스북과 인스타그램 동영상 광고에 접목하여, 도달 범위를 크게 확대하고 사람들의 기대를 더욱 높일 수 있었습니다.”

 

페이스북은 어떻게 광고주한테 자신의 상품에 관심을 가질 만한 이용자 타겟을 선택하여 맞춤형 광고를 제공할 수 있게 도와주는 광고 플랫폼을 만들 수 있었을까? 페이스북의 혁신적인 노력도 적지 않았겠지만, 그 바탕에는 회원들이 시시각각으로 자발적으로 제공하는 엄청난 양의 정보가 있다. 페이스북은 이용자로부터 이름과 나이, 성별 같은 인구통계학적 자료만 모으는 게 아니다. 좋아하는 책과 음악 같은 취향과 ‘좋아요’ 단추를 누르고 공유한 콘텐츠의 성격까지 차곡차곡 쌓아둔다. 페이스북은 빅 데이터 분석 기술을 적용하여 이처럼 축적된 데이터를 재료로 맞춤형 광고에 최적화된 데이터베이스를 구축하였다. 결국 페이스북의 주된 수익원이 되는 광고 사업은 개인에 관한 데이터의 수집, 이용과 제3자 제공을 큰 축으로 하고 있다.

 

개인정보보호법은 어떤 역할을 하고 있는가?

 

개인정보의 수집, 이용과 제3자 제공은 개인정보보호법의 규제 대상이다. 개인정보보호법은 사업자가 개인정보처리자로서 정보주체인 개인으로부터 개인정보를 수집, 이용하거나 제3자에게 제공할 때 엄격하게 정해진 방법으로 사전에 동의를 받는 것을 원칙으로 하고 있다. 예외가 규정되어 있지만 제한적이다. 동의의 방법이 엄격해서 동의를 받으려면 수집하는 개인정보의 항목 전체를 모두 구체적으로 알리고 동의를 받도록 되어 있다. 동의를 받았더라도 항목이 빠지거나 동의를 받은 후 항목이 추가되는 경우 법에 위반될 수 있다. 또한 개인정보를 수집하는 목적이 명확해야 하고, 목적에 필요한 최소한의 범위 내에서 수집하여야 하며, 목적 범위 내에서 이용하거나 제3자에게 제공하여야 한다.

이러한 개인정보보호법의 규제 구조는 페이스북이 이용하는 빅 데이터에는 잘 들어맞지 않는다. 개인정보보호법은 사업자가 어떤 개인정보를 어떤 목적으로 수집하여 어디에 이용하는지를 미리 알 수 있다는 것을 전제로 한다. 그런데, 빅 데이터는 다양한 형태의 정형 또는 비정형의 데이터로 구성되므로, 언제 어떤 데이터가 수집되고 그 데이터가 어떤 목적으로 누구의 이익을 위해 이용될 것인지 미리 알기 어렵다. 내가 페이스북 게시판에 올라 있는 지인의 여행 게시 글을 보고 ‘좋아요’ 단추를 눌러 전달된 정보가 그 지역 여행상품을 판매하는 광고주가 타겟으로 삼고 싶은 정보가 될 것인지를 어떻게 미리 알 수 있겠는가?

빅 데이터에서 주로 개인정보보호법의 문제가 되는 것은 맞춤형 광고를 위한 빅 데이터 분석이다. 맞춤형 광고를 위해서는 타겟이 될 만한 개인을 추적·식별하기 위하여 프로파일링 기법을 이용하여 개인에 관한 다양한 정보를 처리하게 된다. 이 과정에서 수집 단계에서는 개인을 알아보기 위한 목적과 관련 없는 정보가 빅 데이터 분석을 거쳐 개인을 알아볼 수 있는 정보로 탈바꿈되어 마케팅에 이용되기도 한다. 미국의 오프라인 대형 유통업체인 타겟(Target)은 임신한 여성에게 나타나는 구매행태 패턴을 분석하여 개인을 추적·식별한 끝에 여성 고객의 집에 우편으로 아기 옷 할인 쿠폰을 보냈는데, 하필이면 그 여성은 고교생이었다. 그 바람에 그 아버지의 거센 항의를 받았는데, 알고 보니 딸이 가족도 모르게 임신 중이었다. 이 얘기는 빅 데이터 분석의 놀라운 정확성과 함께 그로 인한 사생활 침해의 위험을 보여준다.

페이스북은 빅 데이터 분석을 통해 축적한 데이터베이스를 이용하여 광고의 범위나 효과에 관한 정보를 광고주에게 제공하는 서비스로 수익을 올린다. 오프라인 업체의 경우와 다른 점은 타겟이 되는 회원과 광고주를 연결해주기 위하여 굳이 회원을 알아볼 수 있는 정보를 제공할 필요가 없다는 점이다. 페이스북은 광고주에게 개인 식별 정보가 없는 경우 또는 정보가 통합되어 개인 식별이 불가능한 경우에 한해 광고주에게 필요한 정보를 제공한다고 홍보한다. 광고주가 타겟으로 선택한 범위에 있는 고객에게 페이스북 게시판 기능을 이용하여 뉴스피드를 보내면 되므로 고객이 누구인지 반드시 알 필요가 없기 때문이다. 나의 페이스북 게시판에 나도 모르게 여행 사이트나 맛집 사이트의 광고 게시 글이 뜬다면, 그건 내가 나도 모르게 여행이나 맛집에 관한 정보를 공유하거나 다른 회원의 글에 좋아요 단추를 눌렀기 때문일 수 있다. 그 광고를 나한테 보내기 원한 광고주가 굳이 내가 누구인지를 알 필요는 없다. 내가 광고하는 내용에 관심이 있다면 알아서 찾아올 테니까.

그렇다면, 페이스북은 개인정보보호법을 잘 준수하고 있는 것일까? 한국 정부가 페이스북에 이 법이나 이와 유사한 규정을 두고 있는 다른 법률(‘정보통신망 이용촉진 및 정보보호에 관한 법률’)을 적용한 사례가 아직 없어 정확히 알 수는 없다. 2004년 8월에 케이티(KT)가 ‘KT 소디스’라는 이름으로 고객 데이터베이스 임대 사업을 한 적이 있었다. 이 사업은 KT가 오프라인과 홈페이지를 통해 자사 고객들의 동의를 얻어 수집한 개인정보를 이용하여 기업 고객 연락처를 업데이트해주거나 마케팅을 대행해주는 사업이었다. 이 사업은 고객에게 개인정보의 제3자 제공으로 인한 위험성을 충분히 알리지 않았다는 이유로 결국 규제의 된서리를 맞았다. 그러나 당시만 해도 개인을 알아보지 못하게 개인정보를 제공하는 방식이 아니었다는 점에서 페이스북 사례에 빗댈 것은 못 된다.

다시 독일 얘기로 돌아가면, 독일은 경쟁당국이 나서기 오래 전부터 데이터 보호를 담당하는 정부기관이 페이스북의 정보 수집 방식에 대하여 개인정보보호법 위반 가능성을 제기해왔다. 독일의 개인정보보호법은 세계적으로도 매우 엄격한 것으로 알려져 있다. 독일의 데이터 보호 기관은 2010년에는 페이스북의 친구 찾기 기능에 대하여, 2011년에는 페이스북의 얼굴 인식 기능에 대하여 문제를 제기하였다. 문제 제기 초기에는 정부기관과 페이스북 간의 의견 대립으로 소송 위기까지 가기도 했지만, 협상 결과 페이스북이 개인정보 설정 관리 방식을 고치기로 하면서 합의가 이루어졌다. 그러나 독일에서 페이스북이 경계해야 할 것은 정부기관만이 아니다. 독일 법에 의하여 소비자단체는 소비자법 위반을 이유로 한 단체소송을 제기할 수 있는데, 유독 독일에는 페이스북이 개인정보를 수집하기 위해 제공하고 있는 여러 기능이 소비자법에 위반한다는 소송이 많고, 페이스북의 패소율도 높다.

페이스북은 서비스를 개선하면서 새로운 기능을 추가하곤 하는데, 그때마다 이용자도 모르게 이용자에 관한 더 많은 정보가 페이스북에 제공되는 방식으로 그 기능이 활용된다는 의문이 제기되었다. 페이스북은 개인정보 설정 관리 기능을 제공하여 회원이 원하면 설정을 선택, 변경할 수 있도록 해준다. 하지만 초기 설정은 페이스북에 유리하게 최대한의 정보를 제공하는 것으로 되어 있고 회원이 이를 변경하려고 해도 그 메뉴를 찾기 어렵게 해놓았다는 불만도 있었다. 더욱이 이런 기능에서 제공하는 단계를 거쳐 정보 삭제를 요청해도 실제로 페이스북이 그 정보를 서버에서 완전히 삭제하는지를 확인할 방법이 없다는 문제도 남는다. 그래도 개인정보보호법에 의한 문제 제기는 페이스북이 계속해서 개인정보보호에 더 적합한 방법을 개발하여 문제를 개선하도록 촉진하는 역할을 한다.

개인정보보호법은 개인정보에 대하여 개인이 스스로 결정할 수 있는 권리를 갖는다는 것을 전제로 한다. 개인정보보호법이 이 권리를 보호하는 방식은 자신에 관한 개인정보가 누구에 의하여 어떤 목적으로 얼마만큼 수집되고 이용되는지, 그리고 누구에게 제공되는지를 미리 알려주는 방식이다. 이를 ‘옵트 인(Opt-in) 방식’이라고 한다. 여기에는 개인이 미리 알고 대비하면 권리 침해가 예방될 수 있다는 사고방식이 깔려 있다. 동의한 후에도 자신의 개인정보가 도대체 어떻게 쓰이는지를 나중에 확인하거나 마음이 변하여 동의를 거둬들이고 정보의 정정·삭제를 요구할 수도 있다. 이를 ‘옵트 아웃(Opt-out) 방식’이라고 한다. 우리 법은 두 가지 방식을 다 규정하고 있지만, 옵트 인 방식에 따른 의무가 워낙 강하다 보니 사업자도 이용자도 동의를 한 후의 보호절차에는 별로 신경을 쓰고 있는 것 같지 않다.

 

개인정보 보호의 문제가 소비자 보호의 문제로

그렇다면, 개인정보보호법에 정한 의무만 준수하면 개인정보에 관한 법적 문제는 끝난 것인가? 과연 개인은 자신에 관한 개인정보가 자신도 모르게 수집·이용되거나 제3자에게 제공되는지 여부에만 신경을 쓰는 것일까? 적어도 개인정보보호법이 처음 만들어질 때만 해도 개인정보의 침해나 유출로 인한 사생활 침해의 문제가 주된 문제였다. 개인정보는 인격권에 관한 문제로 생각되었기 때문이다. 그러나 개인정보를 인격권에 관한 문제로만 바라보고 본인의 동의가 없으면 언제나 지켜져야 하는 대상으로만 취급하는 것은 현실에 맞지 않는다.

개인정보는 실제로 거래의 대상이 되어 경제적 가치를 갖는다. 개인정보를 수집·이용하려는 개인정보처리자의 대부분은 사업자이다. 사업자가 소비자 정보를 수집하고 이용하는 것은 새로운 일이 아니다. 예를 들어 백화점과 같은 대형 유통업체는 오래 전부터 고객 카드 제도를 운영해 왔다. 이 제도는 카드 보유자가 그 카드를 사용할 때마다 제공하는 정보를 갖고 판매 기반이 되는 고객을 더 잘 이해하여 광고 타겟을 설정하고 사업을 개선하는 데 도움이 된다. 최근 10년 사이에 다양한 경제 분야의 사업 모형이 점점 더 정보의 수집과 이용에 의존하는 방식으로 발전하고 있다. 이는 기술의 발전에 힘입은 바가 크다. 기술의 발전으로 전보다 더 빠르고 지능적인 방식으로 데이터를 수집하고 분석하는 것이 가능해졌기 때문이다.

사업자가 개인정보를 상업적으로 이용하는 시대에는 서비스 이용의 대가로 개인정보를 제공하는 이용자의 지위를 소비자로 인식할 필요가 있다. 상품의 최종 수요자인 소비자가 시장에서 주인으로 행세할 수 있으려면 소비자가 상품 선택에 필요한 충분한 정보를 갖추고 그 정보에 근거하여 합리적인 결정을 할 수 있어야 한다. 그런데 만일 사업자가 소비자에게 그릇된 정보를 제공하거나 합리적이지 않은 사유로 소비자가 어떤 상품을 살 수밖에 없는 상황을 만들어내게 되면, 소비자의 권리는 침해된다. 소비자가 제공하는 데이터에 대하여도 이런 상황이 발생할 수 있다. 양면시장형 사업 모형을 채택하는 대부분의 온라인 플랫폼 사업자는 더 많은 이용자를 끌어들이기 위하여 매력적인 서비스를 제공하면서 이용자는 아무런 경제적 대가 없이 이를 이용할 수 있는 것처럼 홍보한다. 그러나 이런 서비스는 엄밀히 말하면 공짜가 아니다. 개인정보의 상업적 이용 기술이 발전하면 발전할수록 이용자는 더 많은 개인정보를 알게 모르게 제공하도록 유도된다. 그런데, 이용자가 자신이 제공하는 개인정보가 어떻게 쓰이는지를 아는 정도는 제각각이다. 개인정보의 상업적 이용에 대한 사업자의 투명성 부족으로 이용자는 서비스 이용의 대가로 개인정보를 제공할 것인지에 대하여 정보에 근거한 결정을 내리기 어렵게 된다. 이는 소비자법에서 관심을 갖는 전형적인 문제이다.

우리나라 공정거래위원회도 개인정보의 문제를 소비자법의 문제로 접근한 적이 있다. 2015년 5월 네이버, 카카오와 같은 포털 사업자, 롯데쇼핑, 이마트와 같은 온라인 쇼핑몰 사업자를 포함한 21개 온라인 사업자가 공정거래위원회로부터 불공정약관을 사용하였다는 이유로 시정명령을 받았다. 소비자에게 서비스 이용의 대가로 제공해야 하는 개인정보를 불필요하게 많이 수집하여 오래 보유하고 제대로 알리지 않고도 제3자에게 제공할 수 있도록 약관에 정해둔 것이 문제가 된 것이다. 예를 들어 많은 온라인 쇼핑몰 사업자가 회원 가입 시 통합 아이디를 설정하도록 유도한다. 그런데, 회원은 통합 아이디를 설정하면 그 사업자에게 제공되는 개인정보가 제휴관계에 있는 다른 사업자와 공유된다는 사실을 모르는 경우가 많다. 우리나라 개인정보법제에 의하면, 이런 경우에는 이용자에게 미리 그 사실을 알린 후 별도의 동의를 얻어야 한다. 공정거래위원회는 소비자가 개인정보를 제공할 것인지, 제공한다면 어느 범위에서 제공할 것인지를 고려하여 서비스를 선택할 기회를 주지 않은 것이 소비자의 선택권을 침해하는 것이라고 보았다.

공정거래위원회가 문제 삼은 개인정보는 개인을 식별할 수 있는 이름, 연락처, 주소 등 신상에 관한 정보이다. 그런데 빅 데이터라고 불리는 정보는 단순히 개인 신상에 관한 정보를 넘어 그 개인의 관심사나 경험과 성향, 취향에 관한 정보도 널리 포함하고 있다. 사업자가 이러한 정보를 갖게 되면 그 소비자에 맞게 맞춤형 광고나 개인화된 콘텐츠를 내보낼 수 있다. 이런 정보는 가입할 때 한 번 제공하는 정보와 달리 이용자가 서비스를 사용하면서 일상적으로 하는 행동을 통해 무의식적으로 제공될 뿐만 아니라 이용자의 의사와 관계없이 수집되기도 한다. 이용자가 검색 서비스를 이용하기 위하여 검색어를 입력하는 행위, 사회관계망 서비스에 정보를 공유하는 행위 또는 단순히 어떤 서비스를 이용하기 위하여 사이트에 접속하는 행위가 하나하나 사업자 입장에서는 쓸모 있는 이용자 행태정보의 수집 원천이 된다.

소비자 보호의 문제로 개인정보의 문제를 접근하는 방식은 소비자가 자신이 이용하는 서비스의 대가로 어떤 정보가 제공되고 이 정보를 사업자가 상업적으로 어떻게 이용하고 있는지를 알고 합리적으로 선택하게 해주어야 한다는 인식에서 출발한다. 그런데 소비자 입장에서는 그 서비스를 통해 수집하게 된 개인정보가 어떤 정보인지가 선택 행동을 결정하는 데 갖는 중요성이 다를 수 있다. 회원 가입할 때 개인 신상 정보를 제공하는 것은 꺼림칙할 수 있다. 하지만 개인 신상에 관한 정보는 최소화하고 서비스를 이용하는 행위를 사업자가 내가 원하는 것을 알기 위한 정보로 활용하는 것은 상대적으로 덜 민감할 수 있다. 내가 어느 지역을 여행하기 위하여 검색을 해보았는데, 사업자가 나의 검색 정보를 이용하여 내게 필요한 광고를 보여준다면 그 광고는 내게 유용할 수 있다. 반면에 사회관계망 서비스에서 내 관심사를 다른 사람들과 공유했는데, 사업자가 그 정보를 통해 내가 그에 관한 상품을 원한다고 추측하여 관련된 광고를 자꾸 내보낸다면 성가시게 여겨질 수도 있다. 이처럼 개인정보가 제공되는 시기나 종류에 따라 소비자가 갖는 민감도가 다를 수 있다. 그럼에도 개인정보보호법제는 일률적으로 사전 동의를 요구하는 방식으로 접근할 뿐 소비자의 올바른 선택을 돕기 위하여 상황에 따라 대처할 수 있는 여지를 주지 않는다.

소비자가 정보에 근거한 합리적인 선택을 하지 못하게 되는 상황은 소비자가 서비스의 대가나 그 내용이 무엇인지를 잘 모르거나 잘못 알게 되는 상황인 경우도 있지만, 이를 잘 알더라도 그 서비스를 이용할 수밖에 없게 되는 상황인 경우도 있다. 개인정보보호법제에서 정보의 수집․이용 또는 제3자 제공 때 사전 동의를 요구하는 것은 소비자법 입장에서는 소비자에게 선택에 필요한 정보를 갖추도록 하는 의미가 있다. 소비자가 선택 행동을 하기 전에 서비스의 대가가 개인정보이고 서비스가 개인정보를 이용한 광고나 분석에 기반을 둔 수익 모형에 힘입어 이루어진다는 사실을 보다 정확히 알게 된다면, 선택 행동에도 영향을 줄 수 있기 때문이다. 그러나 소비자가 그런 정보가 주어지더라도 그 서비스를 이용할 수밖에 없도록 서비스를 설계할 경우 소비자로서는 그 서비스를 선택하든지 떠나든지 하는 양자택일의 기로에 서게 된다. 소비자는 제한된 선택 폭이 주어지더라도 그 가운데 자신의 선택 행동이 자율적으로 이루어질 수 있도록 보호받을 필요가 있다. 이를 위해서는 서비스 개시 단계뿐만 아니라 이용 도중에도 소비자가 개인정보를 주는 범위나 방식을 바꿀 수 있는 기회를 가지는 것이 도움이 된다. 소비자법은 사업자의 개인정보보호정책이 소비자가 자신이 얻는 혜택과 대가를 비교하면서 선택권을 행사할 수 있도록 하는 방향으로 개선되도록 촉구하는 역할을 한다. 이는 개인정보에 관한 권리를 인격권으로 접근하여 서비스가 거래되는 맥락에서 판단하기 어려운 개인정보보호법제와는 다른 점이다.

 

소비자 보호의 문제를 넘어 경쟁 보호의 문제로

 

소비자법이 개입하는 상황은 소비자에게 제한된 선택 폭이 주어진 상황이다. 만일 시장에 유사한 다른 서비스가 있고 다른 서비스를 이용할 경우 개인정보를 덜 제공해도 된다면 어떨까? 소비자로서는 개인정보보호정책에 관한 선택 폭이 넓어지게 되므로 어느 사업자가 개인정보를 더 많이 수집하는 방식으로 서비스를 설계하더라도 그런 정책이 소비자의 선택 행동을 제약하는 정도는 작을 것이다. 개인정보에 민감한 소비자는 서비스의 혜택과 대가 사이의 상충을 고려하여 서로 구조가 다른 서비스 간에 선택할 가능성이 있기 때문이다. 따라서 보다 근본적인 문제는 과연 시장에 다양한 서비스가 충분히 공급되고 있는가, 다시 말하면 개인정보 이용과 관련된 사업 모형 사이에 경쟁이 이루어지고 있는가의 문제로 넘어간다.

경쟁법은 사업자들의 경쟁이 성립하거나 성립할 수 있는 단위로서 관련시장을 획정한 후 그 시장에서 경쟁자를 훨씬 앞서는 경쟁우위를 가진 사업자에 주목한다. 그리고 그 사업자가 경쟁자를 배제하거나 소비자로부터 부당한 이익을 빼앗아가는 행위를 선별하여 규제 대상으로 삼는다. 경쟁법은 사업자의 행위가 규제 대상이 되는지 판단하기 위한 전통적인 분석 틀과 도구를 갖고 있다. 이러한 분석 틀과 도구는 사업자가 무엇으로 경쟁하는가, 경쟁자나 거래상대방의 견제나 압력에서 벗어나 더 많은 이익을 가져가기 위하여 어떤 경쟁요소에 영향력을 행사하려고 하는가를 분석하는 데 사용된다. 가장 많이 쓰이는 분석 틀과 도구가 사업자들의 경쟁요소 가운데 가격에 주목하는 방법이다. 이는 가격이 그래도 비교, 측정할 수 있는 요소이기 때문이다. 가격 중심의 분석은 가격에 초점을 맞추어 과연 그 사업자의 행위를 시장에서 받아들여도 되는지를 판단하려고 한다. 경쟁우위에 있는 사업자가 책정한 가격을 경쟁 상황에서 형성되는 가격과 비교한다든지, 경쟁자가 경쟁할만한 비용 대비 가격이 적정한지를 보든지, 같은 상품이나 서비스에 대하여 차별적인 가격이 책정한 경우 그 가격 차이를 비교한다든지 하는 방법이 쓰인다.

사업자가 원자재 생산자나 유통업자 또는 소비자와 같이 한쪽 측면만을 상대하면 되는 단면시장에서는 경제적으로 측정할 수 있는 가격의 책정과 변화에 초점을 둔 분석이 우세하고 또 쓸모가 있었다. 그런데, 양면시장형 사업 모형의 등장으로 기존에 쓰던 분석 틀과 도구가 잘 들어맞지 않게 되었다. 그에 따라 새로운 현상을 경제적으로 또한 규범적으로 설명하기 위한 여러 시도가 행해졌다. 새로운 사업 모형과 그에 따른 새로운 유형의 사업활동이 등장하면 이러한 사업이 경쟁과 소비자 복지에 어떤 영향을 줄 것인지에 대한 새로운 각도의 사고가 필요하다. 그 과정에서 전에 생각하지 않았던 발상으로 경쟁과 소비자 복지에 부정적인 영향을 준다는 설명을 제공하는 이론이 등장하게 되면 생각을 달리하는 사람들 사이에 논쟁이 벌어진다.

2014년 6월 유럽 데이터 보호 감독기관(EDPS)이 개최한 워크숍은 빅 데이터의 문제를 경쟁법적 관심사로 인식하려는 시도가 공식화되는 계기가 되었다. 이 워크숍에서 전문가들은 빅 데이터를 이용한 수익 모형이 시장을 선도하고 빅 데이터의 수집·축적이 사업자의 경쟁력을 좌우하는 시대에 경쟁법의 적용이 취약성을 갖고 있다는 점을 지적하였다. 보고서의 표현대로 이 워크숍에서의 논의는 “지니가 병 속에서 나오는” 것과 같았다.

이후 빅 데이터를 둘러싼 새로운 경쟁침해이론은 봇물처럼 쏟아져 나오고 있다. 출발점은 소비자가 공짜로 쓰고 있는 것으로 생각하는 서비스가 실제로는 공짜가 아니고 개인정보의 형태로 대가를 요구하는 것이라는 새로운 인식이다. 이용자에게 서비스를 제공한 대가로 취득한 데이터가 새로운 화폐가 되는 시대에 선발 사업자는 데이터에 바탕을 둔 경쟁우위(data-driven competitive advantage)를 갖게 된다는 것이다.

또한 개인정보가 가격이 아닌 경쟁요소가 된다는 주장도 인식의 변화를 이끌고 있다. 이러한 주장에 의하면, 온라인 서비스를 이용하는 소비자는 서비스의 대가만 고려하는 것이 아니라 서비스의 품질도 고려한다. 이런 상황에서 개인정보보호의 수준은 소비자의 선택을 받고자 하는 사업자에게 중요한 경쟁요소로서 서비스의 품질을 구성한다. 어떤 서비스는 더 많은 개인정보를 요구하고 이를 이용한 광고로 수익을 얻는 데 반하여 다른 서비스는 개인정보를 덜 요구하고 대신 이용자로부터 회비를 받아 수익을 얻는다. 이 중에서 돈 몇 푼보다는 개인정보의 제공에 민감한 소비자는 후자를 선택하기를 원할 것이다. 그런데, 개인정보를 이용한 광고로 수익을 얻는 사업자가 개인정보를 더 잘 보호하는 사업 모형을 갖는 다른 사업자를 공격하거나 배제하는 방식으로 사업을 하는 경우 소비자의 선택 가능성이 줄어들게 된다. 이런 상황을 시장에서 경쟁이 제한되는 현상으로 설명하는 것이다.

네트워크 외부효과에 대해서도 새로운 설명이 등장한다. 어느 사업자에게 이용자가 몰려 네트워크 외부효과가 발생하더라도 페이스북의 사례에서 보듯이 차별화된 서비스를 제공하여 시장의 흐름을 바꿀 수 있는 가능성은 열려 있다. 그런데 빅 데이터 시대에는 데이터의 규모나 범위뿐만 아니라 빅 데이터에 바탕을 둔 알고리듬 학습 행동의 규모의 차이도 네트워크 외부효과를 발생시키는 원인이 되어 이를 복합한 크기가 전과 비교할 수 없을 정도라는 것이다. 페이스북이 시장의 승자로 떠오르던 때만 해도 이용자가 데이터를 옮기는 게 아주 어렵지는 않았지만 이제는 후발 사업자들이 극복할 수 없는 진입장벽이 되고 있다는 것이다.

페이스북의 왓츠앱 인수 때도 광고로 수익을 얻는 페이스북이 왓츠앱의 이용자 데이터를 축적하여 네트워크 효과를 발생시킬 가능성에 대한 문제제기가 있었다. 이에 대한 경쟁당국의 답변은 2014년 10월에 발표된 결정문의 다음과 같은 문장에 담겨 있다.

 

“합병 후에도 시장에는 온라인 광고 서비스를 제공하는 충분한 숫자의 다른 사업자가 존재한다. 현재도 페이스북 외에 이용자 데이터를 수집하는 상당히 많은 숫자의 시장 참가자가 있다. 합병 당사자가 페이스북의 사회관계망에서의 맞춤형 광고를 개선하기 위하여 왓츠앱 이용자 데이터를 이용하기 시작할 것인지 여부와 관계없이 광고 목적으로 가치 있는 인터넷 이용자 데이터는 널려 있고 페이스북의 배타적 통제 하에 있지도 않다.”

 

이때만 해도 유럽 경쟁당국은 대규모로 축적된 데이터가 지속적인 경쟁우위를 보장하지는 않는다는 인식을 갖고 있었던 것으로 보인다. 그만큼 온라인 세상의 경쟁과 혁신의 속도는 빠른 것이다. 그런데, 2016년 12월 마이크로소프트(Microsoft)의 링크드인(LinkedIn) 인수가 경쟁에 미치는 영향에 대한 유럽 경쟁당국의 판단에서 변화의 조짐이 나타나고 있다. 페이스북이 누구나 참여할 수 있는 일반적인 사회관계망 서비스라면 링크드인은 전문가를 대상으로 한 특화된 서비스이다. 유럽 경쟁당국은 개인정보와 관련된 우려가 그 자체로 경쟁법 위반으로 연결되지는 않는다는 점을 인정하면서도 경쟁에 대한 영향 평가에서 고려될 수 있는 경우가 있다고 언급하였다. 소비자가 개인정보보호의 문제를 품질의 중요한 요소로 보고 사업자들도 이러한 요소에 관하여 서로 경쟁하는 경우가 그런 경우라는 것이다. 전문가를 대상으로 한 사회관계망 서비스 간의 경쟁이 그런 것처럼.

빅 데이터와 디지털 경제의 시대, 한 치 앞을 알 수 없는 시장의 격변 속에 서 있는 사업자들 앞에 개인정보보호를 화두로 한 규제의 복병이 자리 잡고 있다. 이러한 규제는 이제 개인정보보호법, 소비자법 그리고 경쟁법의 삼각편대를 형성해가고 있다. 이론적으로는 세 개의 법의 역할이 나누어질 수 있지만, 분명히 겹치는 영역도 존재한다. 세 개의 법의 집행이 보완적으로 이루어진다면 규제의 빈틈을 파고들려는 약삭빠른 사업자의 일탈행위도 잘 잡아낼 것이다. 하지만, 불필요하여 중복된 규제가 이루어질 경우 소비자가 편리하게 생각하던 서비스가 위축되거나 개발이 더디게 이루어지는 부작용을 초래하게 될 수도 있다.

규제의 칼끝은 아무래도 시장을 선도하는 큰 회사에게 향할 수밖에 없다. 큰 회사를 규제할 경우 이를 뒤쫓으려고 하지만 역부족을 느끼는 후발 사업자에게 더 많은 기회가 열릴 수도 있다. 이는 후발 사업자에게는 닫혀 있다고 느끼던 ‘경쟁의 관문’이 열리는 신호로 받아들여질 수도 있다. 소비자 입장에서도 소비자와 데이터 이용 사업자 사이의 정보의 비대칭이나 힘의 불균형이 해소되어 소비자가 더 정확한 정보를 갖고 더 합리적으로 개인정보 제공과 이용에 대한 선택권을 행사하는 길이 될 수도 있다. 그러나 법의 집행 강화가 반드시 해피 엔딩을 약속해줄 것인가? 구글이나 페이스북과 같은 큰 회사가 현재의 자리에 올 때까지 파괴적인 혁신과 점진적인 패러다임 전환을 통해 분명한 장점을 발휘해온 것을 부인할 사람은 많지 않을 것이다. 그들은 전에도 수많은 문제제기에 직면하여 시행착오와 이용자와의 상호작용을 통하여 자기 개선을 하는 과정을 거치며 성장해왔다. 문제는 이들이 계속해서 그 과정을 밟아갈 것으로 믿는 신뢰가 남아 있는가 하는 것이다. 시장이 작동한다는 믿음은 큰 회사 외의 다른 경쟁자, 네트워크 사업 참여자나 소비자가 유효적절한 견제 수단을 갖고 있다는 전제에 서 있다. 유럽 경쟁당국은 그 믿음이 엷어져 조바심을 내고 있는 것으로 보인다. 그렇다면 우리는? 과연 그런 믿음을 가져본 적이 있기는 한지 스스로 돌아보아야 할 때가 아닐까?




[글쓴이: 홍대식 교수(서강대학교 법학전문대학원)]

 

tags  
#빅데이터
#경쟁법
#개인정보보호법
#소비자보호
#홍대식
#ICT법경제연구소
#경쟁보호

댓글