프라이버시와 혁신 사이의 균형 (1부)

오늘의 주요 주제에 들어가기 전에, 몇 가지 맥락에 대해 이야기하겠습니다. 역사를 통틀어 인간은 다양한 자원을 가치 있게 여겨왔습니다. 농업 혁명에서는 토지가 매우 중요하게 여겨졌습니다. 산업 시대에는 기계, 석탄, 그리고 석유였습니다. 이제 21세기에 학자, 기자, 산업 리더들은 데이터가 새로운 석유라고 말하고 있습니다. 시가총액 기준으로 세계에서 가장 가치 있는 기업들 중 많은 곳이 기술 기업이며, 이들 모두 글로벌 소비자에 대한 엄청난 양의 데이터를 보유하고 있습니다. 대표적인 이름들은 다음과 같습니다:

• 동양: Alibaba, Tencent, Baidu, Flipkart
• 서양: Google, Microsoft, Amazon, Facebook, IBM, Apple

세계경제포럼의 보고서 제4차 산업혁명에서의 데이터 정책에서는 또 다른 관점을 제시합니다: "세계경제포럼에서 우리는 데이터를 제4차 산업혁명의 불을 지피는 산소로 비유하는 것을 선호합니다. 데이터는 쉽게 이용할 수 있고 필수적이지만, 부적절하게 사용되면 위험하고 원치 않는 결과를 초래할 수 있습니다."

"데이터"가 얼마나 중요한지를 감안하여, 저는 이 주제에 대해 스스로를 교육하려고 노력하고 있으며 이 글은 데이터 프라이버시에 관한 시리즈의 첫 번째 글입니다. 이 주제의 전문가가 아니므로, 배운 내용을 _종합_하고 출처 링크를 제공하겠습니다. 오늘은 3가지 주요 질문에 대해 이야기하겠습니다:

• 개인정보란 무엇인가?
• 누가 소유하는가? - 미묘한 답변
• 어떤 권리가 있는가?

개인정보란 무엇인가?

지금까지 제가 찾은 것 중 유럽연합의 GDPR 규정에서 사용하는 정의가 가장 포괄적입니다.

"'개인정보'란 식별되었거나 식별 가능한 자연인('정보 주체')과 관련된 모든 정보를 의미합니다. 식별 가능한 자연인이란 이름, 식별 번호, 위치 데이터, 온라인 식별자와 같은 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 고유한 하나 이상의 요소를 참조하여 직접 또는 간접적으로 식별할 수 있는 사람을 말합니다." 또한 개인정보의 예시를 여기에서 제공합니다:

• 이메일 주소 (yourname@company.com)
• 인터넷 프로토콜(IP) 주소
• 쿠키 ID (웹 브라우저에서 흔히 볼 수 있음)
• 휴대전화의 광고 식별자

다른 예시는 다음과 같습니다:

• 개인 통신: 이메일/개인 메시지의 내용
• 재무 기록 (은행 잔액, 거래 내역, 세금 신고서)
• 교육 기록 (어떤 학교에 다니는지, 학교 성적)
• 의료 기록
• 생체 인식 데이터 (지문, 얼굴) 등

여기에 몇 가지 예시만 포함했지만, 다른 국가/지역에 _100개 이상의 기존 데이터 보호법_이 있다는 점을 주목해야 합니다.

싱가포르 개인정보 보호 위원회, "개인정보란 해당 데이터로부터 식별할 수 있거나, 해당 데이터 및 조직이 접근 가능하거나 접근할 가능성이 있는 기타 정보로부터 식별할 수 있는 개인에 관한 데이터(사실 여부와 관계없이)를 의미합니다. 싱가포르의 개인정보는 2012년 개인정보 보호법(PDPA)에 의해 보호됩니다."

누가 소유하는가?

많은 사람들에게 가장 당연한 답변은: 내 데이터니까 내가 소유한다는 것입니다. 하지만 현실에서는 그보다 더 미묘합니다.

정부 및 공공기관 기록

많은 국가에서 정부는 출생증명서, 신분증(정부가 시민에게 처음 발급하는 것), 생체 인식 데이터 등 시민에 대한 많은 데이터를 보유하고 있습니다. 인도 정부는 작년에 약 10억 명에 달하는 세계 최대 규모의 생체 인식 ID 프로그램을 시행했습니다.

흥미로운 점은 올해 다보스에서 "AI 경쟁의 규칙 설정"에 관한 대화 중 인도 정부 대표가 데이터가 공공 기관/정부에 속한다고 언급한 것입니다. 정부가 공공/민간 기관이 개인정보에 접근하는 것을 허용할 수 있다는 것입니다.

여행할 때(또는 비자를 신청할 때), 많은 국가가 생체 인식 데이터를 제출하도록 요구합니다. 데이터를 제출하고 서류에 서명한 후에는 해당 외국 정부와 생체 인식 데이터를 공유하기 시작할 가능성이 높습니다.

관찰 데이터와 추론/예측 데이터

세계경제포럼 보고서 제4차 산업혁명에서의 데이터 정책은 대화에서 맥락을 고려해야 한다고 제안합니다. 관찰 데이터/추론 데이터에 대한 소유권 질문의 답은 간단하지 않습니다.

"관찰 데이터: 인터넷 브라우징 선호도, 감시 영상, 통화 상세 기록 등.

추론 데이터: 신용 점수, 소비자 프로필, 예측 교통 흐름, 감염병 확산 패턴, 타겟 광고 등.

일상생활을 하면서 다양한 서비스를 이용하고 많은 "관찰 데이터"를 여러 기업에 남깁니다. 그렇다면 이 기업들이 이 데이터를 소유하는 것일까요? 병원, 항공사, 레스토랑, 차량 공유 서비스 등이 이에 해당합니다. 광고 업계에서 기업들은 이러한 유형의 데이터를 흔히 1st party 데이터라고 부르며, 이는 그들이 사용할 수 있다는 의미로 보입니다. 하지만 실제로 사용할 수 있을까요? 유럽연합 GDPR의 개인정보 정의를 사용하면, 데이터가 한 사람을 식별하는 데 사용될 수 있는 한 그 사람이 데이터를 소유합니다. 데이터가 익명화되었거나 가명화 처리를 거쳤다면 다른 문제입니다.

주목할 점은 우리가 오랫동안 행동 및 경제 데이터를 남겨왔다는 것입니다. 지난 10여 년간 변화한 것은 빅데이터와 머신러닝의 발전입니다. 이제 기업이 대량의 데이터를 저장, 처리하고 그로부터 예측하는 것이 상대적으로 쉽고/저렴해졌습니다. 모든 추천 엔진(Amazon 같은)이 본질적으로 바로 그것입니다.

어떤 권리가 있는가?

이 부분에서 저는 유럽연합 규정의 명확한 표현이 정말 마음에 듭니다. 이 첫 번째 글에서는 아직 그것이 옳은지 그른지에 대해 토론하지 않겠습니다. 유럽 GDPR은 소비자를 위한 다음과 같은 권리를 설정합니다:

• 각 개인은 자신의 개인정보를 소유합니다
• 동의에 기반한 투명성: 기업은 투명하고 쉬운 언어로 개인정보를 저장하고 처리할 수 있는 허가를 명시적으로 요청해야 합니다
• 보안: 개인정보는 합리적인 보안 조치로 보호되어야 합니다
• 철회 권리: 언제든지 데이터 처리 또는 사용에 대한 동의를 철회할 수 있습니다
• 개인정보에 대한 정보 및 접근 권리
• 정정 권리
• 처리 제한 권리
• 이동성 권리
• 기타

물론 GDPR에는 많은 세부적인 예외와 면제 사항도 기술되어 있습니다.

캘리포니아 소비자 프라이버시법, 싱가포르 개인정보 보호법 및 기타 프라이버시법은 GDPR만큼 포괄적이지는 않지만 유사한 권리에 대해 언급하고 있습니다. 이 글은 여기까지입니다.

다음에는 후속 글에서 다음과 같은 보다 복잡한 주제를 살펴보겠습니다:

• 유럽연합의 GDPR이 너무 규범적인가?
• 전 세계적으로 다른 법적 체계와 경제 모델을 고려할 때 글로벌 데이터 프라이버시 법이 있어야 하는가? 그렇지 않다면, 세계의 상호 연결/상호의존적 특성을 감안할 때 글로벌 접근 방식은 어떠해야 하는가?
• 여기서 어떻게 앞으로 나아갈 것인가?
• 의료와 교육을 시작으로 데이터 프라이버시와 혁신 사이의 균형은?
• 지역, 국가, 글로벌 수준에서 데이터 독점을 피하는 방법은?

감사합니다,

Chandler