대한민국은 세계적으로 가장 엄격한 개인정보 보호 체계를 갖춘 국가 중 하나다.

2011년에 '개인정보 보호법'을 전면 제정하고 2020년에는 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법) 개정을 통해 개인정보 보호 체계를 강화했다. 유럽연합의 GDPR(General Data Protection Regulation)과 더불어 높은 수준의 개인정보 보호 기준을 갖춘 국가로 평가받고 있다. 개인정보의 수집, 이용, 제공에 대한 명확한 동의 원칙, 정보주체의 권리 강화, 법규 위반 시의 엄격한 제재 등을 통해 높은 수준의 보호를 지향한다.

실제로「개인정보 보호법」 제15조 및 제17조에 따르면, 개인의 개인정보를 수집·이용하거나 제3자에게 제공하기 위해서는 정보주체의 명확한 동의가 필수적이며, 이 동의는 사전에 구체적인 목적·항목·보유기간을 고지한 후 얻어야 한다. 

또한 동의 없이 정보를 수집하거나 목적을 벗어난 활용을 할 경우, 「개인정보 보호법」 제70조에 따라 최대 5년 이하의 징역 또는 5천만 원 이하의 벌금이 부과될 수 있다.

또한 「개인정보 보호법」 제39조의15(과징금) 및 제39조의16(위반행위의 유형 및 과징금 부과기준)에 따라 과징금 부과 규정이 명시되어 있다. 

특히 개인정보위는 위반 행위의 유형, 위반 정도 등을 고려하여 위반 관련 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.

이처럼 법은 개인정보를 엄격하게 보호하고 있지만, 현실 속 우리는 이 원칙과 반대되는 행동을 반복하고 있다. 아이러니하게도, ‘개인’이 자신의 정보를 가장 손쉽게 넘기고 있는 것이다.

커피 한 잔을 무료로 받기 위해, 혹은 단 500원의 할인이나 당첨 가능성이 희박한 이벤트에 참여하기 위해, 우리는 깊은 고민 없이 “개인정보 수집 및 마케팅 활용에 동의합니다”에 무의식적으로 체크하고 있지는 않을까 되돌아본다.

동의의 경제학 — 500원짜리 개인정보의 현실

요즘 카페에 가면 이런 안내 문구가 낯설지 않다.

“앱 설치하고 마케팅 수신 동의하면 아메리카노 한 잔 무료!”
“이벤트 응모를 위해 이름, 생년월일, 휴대폰 번호, 주소를 입력해주세요.”

기업의 입장에서는 이는 단지 ‘광고’가 아니라 정밀 타겟 마케팅을 위한 핵심 자산을 수집하는 절차다. 반면, 사용자 입장에서는 단지 한 번의 클릭, 작은 보상처럼 느껴진다.

하지만 그 클릭은 단순한 할인이나 커피 쿠폰 이상의 파급력을 가진다.

동의한 정보는 「개인정보 보호법」 제15조 제1항에 따라 특정 목적에만 사용되어야 하지만, 현실에서는 이 정보가 광고 메시지, 텔레마케팅, 제3자 제공, 심지어는 관리 미비로 인한 2차 유출 위험에 노출되는 일이 비일비재하다.

한 번 제공된 정보는 사용자의 ‘잊힐 권리’가 작동되기 전까지, 여러 비즈니스 시스템 속에서 순환·보관될 수 있다.

공공부문은 매년 개인정보 보호 교육, 캠페인, 가이드북을 통해 ‘정보 주체의 권리’를 강조하고 있지만,
정작 현실 속 개인은 단돈 500원, 혹은 커피 한 잔의 유혹 앞에서 그 원칙을 너무 쉽게 포기하고 있다.

중국 앱은 안전한가? 사용은 끊이지 않는다

중국발 쇼핑 앱 알리익스프레스와 테무(Temu)는 개인정보 수집 문제로 논란의 중심에 서 있다.

알리익스프레스와 테무는 앱 설치 시 과도한 기기 권한 요구(사진, 연락처, 마이크, 카메라 등 접근), 방대한 양의 개인정보 수집, 그리고 수집된 정보의 중국 서버 전송 가능성 등으로 인해 국내외에서 끊임없이 개인정보 침해 및 보안 논란에 휩싸여 왔다. 특히 중국의 국가정보법 등과 연계되어 수집된 정보가 중국 정부에 넘어갈 수 있다는 우려가 제기되기도 한다.

2023년 9월 15일부터 시행된 개정된 「개인정보 보호법 시행령」 제29조의2(개인정보 국외 이전 시 정보주체 동의를 얻지 않아도 되는 경우 등) 및 제29조의3(개인정보 국외 이전의 중지 등)에 따라, 한국은 정보주체의 개인정보가 이전되는 국가 또는 지역의 개인정보 보호 수준을 고려하여 위험도가 높은 국가를 지정하고, 해당 국가로의 개인정보 이전을 제한하거나 중지시킬 수 있는 근거를 마련했다.

해당 시행령 개정 자체로 특정 국가를 '고위험 국가군'으로 명시적으로 지정한 것은 아니다. 다만, 이 조항은 개인정보 국외 이전 시 심사 기준에 개인정보 보호 수준이 낮은 국가를 포함하며, 사실상 중국 등을 염두에 둔 것으로 해석된다. 

방송통신위원회도 중국 앱들의 과도한 기기 권한 요구와 개인정보 수집 행태에 대해 여러 차례 경고와 조사를 진행해왔다. 개인정보보호위원회 또한 중국 기업들의 개인정보 국외 이전 문제와 국내 이용자들의 개인정보 보호에 대한 우려를 표명하고 관련 조사 및 가이드라인 마련을 추진해 왔다. 2024년 3월에는 개인정보보호위원회가 해외 온라인 플랫폼의 개인정보 수집·이용 실태를 점검하겠다고 밝히기도 했다.

하지만 우리의 현실은 이러한 엄격한 법과는 사뭇 다른 모습이다. 위험을 인지하고 있음에도, 가격의 유혹과 편리함은 규범보다 앞서고 있는 것이다. 

2024년 기준 알리익스프레스는 국내 쇼핑 앱 다운로드 수 상위권을 차지했고, 테무 역시 초저가 마케팅을 통해 단기간에 사용자 수를 폭발적으로 늘렸다.

“싸게 사고 싶은 마음”과 “정보가 넘어간다는 불안” 사이에서, 많은 이용자는 묻는다.

“그래도 이 정도면 괜찮지 않을까?”

보호는 법으로, 노출은 선택으로… 이 모순을 어떻게 설명할 수 있을까

대한민국은 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「위치정보의 보호 및 이용 등에 관한 법률」 등 복수의 법률을 통해 디지털 공간에서의 개인정보 보호 장치를 촘촘히 마련해왔다.

개인정보의 수집과 이용은 법적 근거에 따라야 하고, 사용 목적과 범위는 명확히 고지되어야 하며, 사용자의 사전 동의 없이는 제3자 제공도 금지된다.

그러나 아무리 법의 그물이 촘촘해도, 스스로 그 그물 밖으로 나가기를 선택하는 개인까지 막을 수는 없다.

“동의합니다”를 누른 건, 누군가의 강요가 아니라 나 자신이다.

“이 정도는 괜찮겠지”라고 위안을 건넨 것도 나였고, “이벤트 끝나면 앱 지우면 되지”라고 안일하게 넘긴 것도 나다.

그러나 삭제 버튼을 누른 그 순간에도, 개인정보는 이미 기업 서버에 백업되어 분석되고 있을 가능성이 크다.

문제는 법이 아니다. 문제는, 우리가 그 법의 존재를 너무 ‘멀리서’ 생각하고 있다는 데 있다.

이제는 묻고 싶다

개인정보는 정말 내 것인가? 아니면, 기업이 동의 버튼 하나로 '소유권 유사한 권리'를 취득한 데이터 상품인가?
우리는 그 클릭 하나가 "나 자신"의 어떤 조각을 넘기는 행위인지를 충분히 인식하고 있는가?
공공 캠페인이 ‘교육’에 머무르지 않고, 소비 습관과 디지털 행동 양식을 바꾸려면 무엇이 더 필요할까?
 
법은 ‘보호 장치’를 제공할 뿐, ‘보호의 선택’은 우리 몫이다

법은 우리를 보호할 준비가 되어 있다. 그러나 우리는 과연, 스스로를 지킬 의지를 갖고 있는가?

보호를 위한 마지막 문은 늘 ‘사용자’의 손끝에 달려 있다.

그리고 그 문을 열지 말아야 할 순간, 우리는 얼마나 자주, 스스로 그 문을 열고 있지는 않은가.

[저작권자ⓒ META-X. 무단전재-재배포 금지]