일전에도 한번 적으려고 했던 주제인 프라이버시 Privacy에 대해서 짧게 적겠습니다. 애플의 아이패드 열풍이 지난 후에, 최근 몇 주간의 뜨거운 감자는 페이스북과 프라이버시 문제인 듯합니다. 페이스북은 전세계적으로 4억명 이상의 사용자를 보유한 또 하나의 인터넷 자이언트 기업입니다. 이런 페이스북에서 조금의 수정작업을 단행해도 여러 파장이 일어나는 것은 당연한 일입니다. 그중에서도 개인의 프라이버시 문제에 대해서는 최근에 다시 크게 부각이 되었지만 그전부터 줄곳 제기가 되던 문제입니다. 페이스북의 프라이버시 문제에 대해서 장황한 설명을 하는 것보다 Matt McKeon이라는 분이 올린 Changes in default profile settings over time이라는 포스팅을 보면 현재의 상태를 명확히 볼 수가 있습니다. 페이스북은 소셜네트워크서비스, 즉 친구사이의 대화와 공유에 초점을 맞춘 서비스입니다. 즉, 개인적인 이야기를 친구들끼리 자연스럽게 공유하고, 또 친구들끼리만 공유하는 서비스입니다. 그런 친구들 사이의 비미스러운 대화들이 점점 일반에 공개되고 있는 모습을 위의 포스팅에서 확인할 수가 있습니다. 페이스북 서비스를 제공하는 회사 입장에서는 그런 개인대화 및 활동을 일반에 공개함으로써 수많은 기회와 이익이 있기 때문에 계속 조금씩조금씩 개인정보를 일반에 공개할 것을 강요(?)하고 있습니다. 물론, 19, 20세기에 제정된 프라이버시 관련 규제들이 21세기, 인터넷의 시대에 맞지 않은 부분이 많이 있다는 것도 인지해야 합니다. 그래서, 21세기에 맞는 새로운 프라이버시 관련 법/규제들이 완화, 보완, 추가, 보강되어져야 합니다. 일전에 페이스북의 창업자 Mark Zuckerburg는 'The Age of Privacy is Over'이라는 대담한 선언을 했습니다. 비슷한 선언으로, 인터넷 시대의 프라이버시는 단순히 개인정보에 관한 것이 아니라, 그런 개인정보에 대한 통제권(한)에 관한 것이다라고 재정의되어야 한다는 말도 했습니다. 즉, 내 정보가 인터넷 등의 공개된 장소에서 노출된 것만을 가지고 문제를 제기할 것이 아니라, 그런 정보를 누가 누구에게 노출했느냐가 중요하다는 의미입니다. 내 신상정보가 공개되는 것이 문제가 될 때는 그런 정보를 내가 아닌 다른 이에 의해서 공개되어졌을 때, 그리고 설혹 내가 공개를 했더라도 내가 원치 않는 곳에 퍼날라진다거나 인용이 되어질 때 문제가 발생하는 것입니다. 그런 의미에서 원론적으로 쥬커버그의 새로운 정의인 '개인정보의 통제권'에 대해서 공감을 표합니다. 21세기에 맞는 새로운 프라이버시 규정은 단순히 개인정보의 노출이 아니라, 누가 누구에게 노출했느냐를 가지고 규제가 가해져야 합니다.
그런데, 이런 개인정보의 공개 통제권을 말할 때, 쉽게 간과되는 부분이 있습니다. 통제권이란 어떤 정보를 공개할 것인가?의 문제도 있지만, 누구에게 공개할 것인가의 문제도 있습니다. 내 이메일주소나 전화번호를 페이스북의 wall에 올린다는 것은 나와 친구관계에 있는 이들에게 보여주겠다는 의도인데, 현재의 페이스북이 직면한 문제는 내 친구 또는 내가 허락한 이들에게 그런 정보를 공개하는 것을 넘어서 일반대중, 특히 그런 정보를 가지고 상업적으로 활용하는 이들에게까지 모든 정보를 넘겨주는 것에 문제가 발생합니다. 사적으로던 공적으로던 페이스북에 올라오는 모든 업데이트들은 일단은 사적인 사용 private use only를 위해서 올린 것인데, 만약 이것이 신문기사에 인용이 된다거나 제 3자에 의해서 편집되어서 제3의 공간에서 공개가 된다면 문제가 됩니다. 누가 어떤 정보를 공개했느냐를 뜻하는 프라이버시 통제권의 측면에서 쥬커버그의 접근에 원론적인 동의를 하지만, 누구에게 공개될 것인가를 무시한 현재의 접근법에는 당연히 반감을 가질 수 밖에 없습니다.
물론, 사업자의 입장에서는 우리는 프라이버시 세팅을 사용자들이 변경할 수 있는 옵션을 줬다고 말합니다. 물론 어떤 정보를 공개할 것인가와 누구에게 공개할 것인가는 페이스북의 세팅부분에 들어가면 변경할 수가 있습니다. 그런데, 앞의 McKeon의 그래프에서 보듯이 기본설정 default setting에 문제가 있습니다. 보통 말하는 기본선택 opt-in 또는 기본해제 opt-out의 문제입니다. Opt-in이란 사용자의 동의를 구할 때, 사업자/제공자가 미리 체크박스를 체크를 해둔 상태로서 사용자가 마음에 들지 않으면 체크상태를 off로 돌려놓을 수 있도록 해두는 것입니다. 반대로, opt-out은 처음에는 체크상태가 off인데 사용자가 마음에 들면 on으로 바꿀 수 있도록 하는 것입니다. <넛지 Nudge>라는 책에서도 설명하듯이, 이런 기본설정에 따라서 on/off의 비율이 현격히 차이가 난다는 것입니다. 보통 opt-in방식으로 제공하면 최종 결과에서도 여전히 on의 비율이 높고, 반대로 opt-out인 경우 off의 비율이 상대적으로 높아진다고 알려져있습니다. 현재 페이스북의 기본설정에 문제가 있는 것은 처음부터 모든 (대부분)의 개인정보를 opt-in방식으로 공개하도록 설정이 되어있고, 만약 공개를 꺼리는 항목이 있으면 사용자들이 설정창에 들어가서 체크를 제거하도록 한 것입니다. 짧게 생각하면 별로 문제가 될 것이 없지만, 사용자들은 기본설정이 잘 되어있다고 믿는 이들도 많고, 또 어떤 경우는 기본설정이 모두 공개가 되어있다는 것을 인지하지 못하는 경우도 있고, 또 그런 설정 자체가 있는지도 모르는 사용자들도 있고, 또는 그런 설정창이 존재하는지도 모르는 사용자도 있고, 또 설정을 어떻게 변경해야하는지도 모르는 사용자도 있고, 또 그런 설정을 변경하는 것을 매우 꺼리는/귀찮아하는 사용자들도 있는 등, 매우 다양한 사용자들이 존재하기 때문에 페이스북이 처음부터 제공하는 기본설정인 모두 공개가 영원히 그래로 이어질 가능성이 높아진다는 것입니다.
비슷한 문제는 구글이 Buzz라는 실시간 공유서비스를 오픈할 때도 벌어졌습니다. 구글은 G메일에 포함된 개인의 연락처와 최근의 송수신 기록을 분석해서, 처음 Buzz에 접속하는 사용자들에게 임의로 친구로 생각되는 이들의 opt-in방식으로 following하도록 만들어두었습니다. 즉, 사용자가 원하는 경우 unfollowing/unfriending을 하라는 것입니다. 여기서, 단순히 opt-out방식을 취하지 않은 것도 문제이고, 또 개인의 연락처 및 송수신기록을 무단으로 분석을 했다는 것 모두에 문제가 있습니다. 옵트아웃방식을 취하지 않은 것은 위에서 이미 설명이 된 부분이니 넘어가겠습니다. 서비스 사업자가 개인의 정보를 무단으로 분석해서 활용해도 되는가?에 대한 문제는 여전히 남아있습니다. 많은 경우, 사업자의 측면에서 개인들이 개인정보를 올리는 것은 그런 정보를 활용하라는 신호로 받아들인다는 것입니다. 반대로, 사용자의 측면에서는 그냥 내 정보를 단순히 기입하는 의미 이상이 없는 경우가 많습니다. 단지 내 주소를 적고, 내 관심사를 적고, 내 친구를 명시하는 것입니다. 이렇게 개인정보를 제공하면서, 많은 경우, 이런 정보를 서비스개선에 활용해도된다는 사용자동의를 해주는 것이 아닙니다. 그런데, 사용자의 동의없이 개인의 연락처 및 송수신기록을 사용했다는 점에서 구글과 같은 대기업의 저지런 실수 아닌 악행을 어떻게 봐야할지... (여담으로, 구글은 초기부터 자신들은 '순진하다'는 것을 은연중에 많이 내보였습니다. 그런데, 현재의 규모로 발전한 지금도 여전히 '나는 순진하다. 그러니 잘못없다.'는 식으로 민감한 문제들을 피해나간다면 더 큰 불행을 초래할 것입니다.) 비록, 사용자들이 자신의 정보를 활용해서 서비스 개선을 바란다고 하더라도, 민감한 정보를 활용할 때는 늘 조심해야 합니다.
그리고, 어떤 이가 말한 '개인정보의 공개와 효용'이라는 문제도 생각해봐야 합니다. 내 정보를 조금 포기함으로써 더 나은 서비스를 받을 수 있다는 측면에서 많은 이들이 개인정보를 공개하는 것입니다. CNN에서 다룬 'In digital world, we trade privacy for convenience.' 칼럼을 주의깊게 읽어보시기 바랍니다. 하나를 포기함으로써 둘을 얻을 수 있지만, 둘을 포기함으로써 셋을 얻는 것은 아닙니다. 개인정보 통제권의 측면에서 프라이버시포기와 효용/편의 사이의 트레이드오프를 생각해야 합니다.
요약하면, 21세기/인터넷의 시대에 프라이버시란 단순히 개인 신상정보에 관한 것이 아니라, 그런 정보의 통제권이 누구에게 있느냐의 문제입니다. 그런 통제권이란 누가 어떤 정보를 공개할 것인가에 대한 측면도 있지만, 누구에게 공개될 것이고 어떻게 사용될 것인가에 대한 측면도 있습니다. 현재 많은 인터넷 서비스들이 전자의 통제권에는 많은 합의가 이뤄졌지만, 후자의 통제권에 대해서는 제대로된 선례 best practice가 없는 상태인 듯합니다. 하나를 포기해서 얻을 수 있는 수많은 효용/편의가 있습니다. 그러나 한번 포기된 것이라고 해도, 누군가에 의해서 무단으로 사용이 된다면 그 수많은 효용이 무슨 가치가 있겠습니까? 낡은 규칙은 바뀌어야 하지만, 그렇다고 해서 임의로 그런 규칙을 무시해서도 안 됩니다. 이는 서비스 제공자와 서비스 사용자 모두에게 던지는 화두입니다. (사용자들은 자신의 정보를 공개함에 있어서 더욱 주의를 기울려야 합니다.)
반응형