개인정보보호, 멀지만 가야할 길

온라인 공간에서 소비자들의 연령, 수입, 혼인여부, 신용카드번호와 같은 개인정보는 안전한가? 결론부터 말하자면, 아직그렇지 않다. 최근 미국 조지타운대학이 주요 웹사이트의 개인정보 보호에 관심이 늘고 있다는 연구 결과도 있지만 실상은부정적이다.조지타운 대학은 지난해 연방거래위원회(FTC;Federal TradeCommision)가 실시한 웹사이트의 이용자 개인정보 보호 준수현황에 관한 조사의 후속으로 3월 8일부터 「인터넷 개인정보보호 정책」 연구를 시작했다. 이 연구에서 소비자들이 자주방문하는 3백 54개의 웹사이트중 65.7%가 개인정보 보호 정책을 공지하고 있는 것으로 나타났다. 이는 지난해의 14%에 비해 증가한 것이다. 이를 두고 대부분 온라인 공간에서 소비자의 사생활보호를 위한 민간의 자율적인 노력이 증가했다고 해석했다.그러나 전자 정보 개인정보 보호 센터(Electronic InformationPrivacy Center)의 대표 마크 로텐버그씨는 『인터넷에서 소비자들의 개인정보 보호에 대한 산업계의 자율규제는 불완전할뿐만 아니라 강제되지도 않는 것』이라며 개인정보보호를 위한의회의 입법을 요구하고 있다. 실제로 조지타운 대학의 연구결과 조사대상이 된 웹사이트 가운데 약 12%만이 △공지(notice) △선택(choice) △접근(access) △보안(security) △접촉(contact) 등과 같은 주요한 개인정보 보호의 요소를 모두포함하고 있었다.◆ 미국, 자율적으로 규제전통적으로 미국 정부는 소비자들의 개인정보 보호에 대해 자율 규제의 입장을 견지하고 있다. 그러나 최근 온라인 공간상에서의 보호에 대해서는 법률적인 수단을 강구하려는 움직임도부분적으로 나타나고 있다. 콘라드 번스 상원의원과 에드 마키하원의원은 조지타운 대학의 연구 결과에 상관없이 개인정보보호 입법을 추진하고 있다. 또한 연방거래위윈회는 조지타운대학의 연구결과가 상당히 고무적임에도 불구하고 개인정보 보호 입법을 위한 위원회의 권고를 철회할 것 같지는 않다. 현재미 의회에는 약 9개의 개인정보 보호 관련 법률들이 계류중에있고, 이 숫자는 앞으로 더 많아질 것으로 보인다.그러나 미국 정부의 이러한 노력은 미국과 유럽 연합의 대륙간기준 마련이 실패한 것에서 알 수 있듯이, 유럽의 엄격한 개인정보 보호에는 따라가지 못한다. 지난 6월 21일에 미국과 유럽연합은 온라인상에서 이용자들의 개인정보 데이터를 보호하는대륙간 기준을 마련하고자 했으나 성공하지 못했다. 여기에서잠시 온라인상에서 소비자의 프라이버시를 보호하기 위한 유럽연합의 지침을 살펴보자.유럽은 지난 95년 10월에 개인정보 보호를 위한 지침을 수립,98년 10월부터 유럽연합의 15개 회원국들이 참여하고 있다. 지침의 주요 내용은 경제적 혹은 행정적 활동을 위해 개인의 정보를 수집, 보유, 전송하는 경우에 개인정보의 남용 방지와 보호를 위해 처리절차를 각 개인에게 공지해야 한다. 특히, 명백히 합법적인 목적으로만 개인정보를 수집해야 하며 필요하다면정확한 정보를 항상 갱신해야 하는 의무가 있다. 또한 각 개인은 자신의 정보제공에 대한 선택권을 갖으며, 정보를 수집하는단체의 정체와 정보수집 목적에 대해 알 자격이 있다.이외에도 지침은 정보 제공자에게 다음과 같은 몇 가지 중요한권리들을 보장하고 있다. △정보에 대한 접근권 △부정확한 정보에 대한 개정권 △불법적인 정보이용에 대한 보상청구권 △마케팅을 목적으로 배달되는 전자메일 등과 같이 원하지 않는분야에 정보사용의 유보권 △정치적 성향, 종교적 신념 △노조가입 여부 △성생활과 같이 민감한 사안인 경우 그것이 공공의목적에 부합되는 것을 제외하고는 정보제공 동의권 등이다.유럽연합은 미국 기업들이 이러한 지침을 따를 것을 요구해 왔다. 만약 미국 기업들이 유럽연합의 지침을 따르는 기준을 마련하지 않는다면, 유럽연합은 영내에서 미국으로 나가는 모든정보를 통제할 방침이라고 밝혔다. 그러나 미국 기업들은 지침의 내용을 모두 따르는 것은 기업활동에 막대한 짐이 된다고주장해 왔다.이러한 미국 기업들의 반대를 의식하여 미 상무성(Dept. ofCommerce)은 「안전한 항구(Safe Harbor)」라는 절충선을 제시해 왔다. 안전한 항구란 기업들에 개인정보 보호 문제에 대해 스스로 책임지도록 하는 것이다. 즉 데이터 보존(dataintegrity)을 비롯하여 7개의 기본적인 프라이버시 보호 원칙을준수하겠다는 의사를 자발적으로 밝힌 미국 기업들에 안전한항구를 만들어 준다는 것이다.안전한 항구 안에 있는 단체들은 유럽연합 지침의 적정수준을지킨다는 전제아래 영내의 정보수집을 허락하는 것이다. 하지만 미국과 유럽연합이 공동 기준을 마련하기 위해 지난 18개월동안 실무협상을 벌여 왔지만, 결국 이러한 노력은 빛을 보지못했다.◆ 기술 발달로 해결책 모색한편, 미국은 개인정보 보호를 인증제도를 통해 해결하고 있다.비영리로 운영되는 온라인 인증 단체인 트러스트이(TrustE)는지난 10월부터 회원사들에공정한 정보 관행을 준수하도록 설득하면서 동참을 약속한 단체들에는 인증마크를 부여하고 있다.트러스트이의 인증을 받은 웹사이트는 수집하는 정보의 종류가무엇이고, 정보가 어떻게 사용되며, 수집한 정보를 누구와 공유하는지를 이용자에게 반드시 공표하고 동의를 받는 프라이버시정책을 채택하고 있다.온라인 공간상에서의 소비자들의 프라이버시 문제는 그 발단이기술의 발달에 있는 만큼 그 해결책도 기술적으로 풀어나갈 수있을지 모른다. 주지하다시피, 지난 수십년 동안 공개키(PublicKey) 시스템과 같은 암호기술은 개인정보 보호 문제의 해결에큰 역할을 해 왔다. 그런데 이것은 서버에 기반한 암호기술이라는 비판을 받아왔다. 이에 익스플로러나 넷스케이프의 최근버전은 이용자 개인정보의 내용을 설정하고, 쿠키들을 관리하고, 내용을 걸러내고, 안전한 디지털 서명을 확보하는 등 웹상에서 자신에 대한 정보를 자동적으로 제공하는 것을 이용자들이 스스로 제한하는 포괄적인 옵션을 갖추기 시작했다.또한 인텔의 펜티엄 III의 시리얼 번호에 대응하여 월드와이드웹(W3) 컨소시엄의P3P(Platform for Privacy Preferences)가등장했다. 이것은 P3P 와 호환하는 브라우저, 플러그 인, 서버를 통하여 웹사이트와 이용자간의 상호작용을 자동화하기 위해전자적인 폼, 에이전트, 이용자 친화적인 보안수준을 결합하는것이다.또한 인텔은 온라인 공간상에서의 전자상거래, 커뮤니케이션,컨텐츠 제공 등에 필요한 응용프로그램을 사용할 때 이의 운영기반이 되는 컴퓨터를 안전하게 하기 위해서 공통 데이터 보안아키텍처(Common Data Security Architec-ture)를 개발했다.이처럼 산업계, 공공부문, 시민단체 등 각 분야에서의 온라인공간에서 이용자들의 프라이버시를 보호하기 위한 노력은 조금씩 나아지고 있다. 물론 관련 집단의 지향점과 이해관계에 따라 프라이버시 보호를 위한 방법에 조금씩 차이가 있다. 그러나 어떤 그룹이든지 온라인 공간에 대한 소비자들의 신뢰감 없이는 전자상거래의 활성화도, 디지털 경제의 부흥도, 전자민주주의도, 그 어떤 것도 성공적으로 달성할 수 없다는 것을 인식하고 있다.