인터넷 문화의 발달로 개인의 정보가 쉽게 공유되고 있다. 사용자들은 여전히 자신의 개인 정보가 유출되지 않기를 바라지만 온라인 서비스가 나날이 발전하면서 온라인 서비스를 이용할 때 사용자가 기재한 개인 정보는 쿠키, 웹 버그(Web Bugs), 트래킹 소프트웨어, 애드웨어(AdWare), 스파이웨어, 피싱(Phishing) 등으로 인해 유출될 가능성이 있다. 이제 개인의 이름, 주소, 생년월일, 신용카드 정보까지 더는 안전하지 않다.
불과 이삼십 년 전만 해도 인터넷 비즈니스가 활발하지 않아 인터넷상의 개인 정보 보호 정책에 관한 법이 필요치 않았다. 하지만 요즘은 대부분의 비즈니스가 홈페이지나 온라인을 통해 이루어지기에 이와 관련한 규제나 법이 어느 때 보다 중요하게 요구되고 회사들도 그것에 맞게 사업을 운영해야 하는 시대가 되었다.
법은 항상 시대의 변화 보다 앞서갈 수는 없다. 다시 말해 시대가 변해 이전엔 필요치 않았던 규제가 필요해 지면 그 후에 관련 법이 생기고 다듬어진다. 한 예로, 드론이 없던 시대에는 드론에 관한 규제가 없었지만, 드론이 개발되고 사용자가 늘면서 드론에 관한 규제가 생기는 것처럼 말이다. 이처럼 인터넷상 개인 정보 보호에 관한 법도 아직 정립되어 가는 중이다. 앞으로 개인 정보 보호와 관련 법과 규제는 더욱 구체화 되고 까다로워질 예정이다.
따라서 이번 칼럼에서는 미국의 개인 정보 보호 기준에 대해 살펴보겠다. 이전에는 소비자나 사용자들이 알아서 개인 정보를 보호해야 한다는 분위기였지만 이제는 개인 정보를 받는 회사나 단체에 책임을 묻고 안전 조치도 미리 취하라고 요구하고 있다.
I. 미국 연방 통상 위원회
미국 연방 통상 위원회 (Federal Trade Commission, ‘이하 FTC라고 표기함’)에서는 소비자들의 부담을 줄이기 위해 회사들이 아래와 같은 조처를 할 것을 권하고 있다.
매일의 일상 비즈니스를 운영할 때, 사용자나 소비자의 개인 정보를 보호할 수 있는 시스템을 만들어 관리할 것을 권한다. 개인 정보를 관리하는 직원을 따로 고용하거나, 일반 직원들에게도 사용자의 개인 정보 관리를 철저히 할 것을 교육하거나 새로운 상품이나 서비스가 나왔을 때도 개인 정보를 유출하게 될 요인이 없는지 등을 검토하게 한다.
최근, 인터넷상에서 사용자가 어떤 선택을 하는지 어떤 광고를 보는지 등을 트랙해 정보를 모으는 경우가 많은데, 사용자가 인터넷상에서 보는 광고나 방문하는 페이지 등을 트랙하지 않길 원한다면 트랙하지 않게 하는 옵션을 사용자가 쉽게 선택할 수 있도록 해야 한다.
개인 정보를 수집해 어느 목적으로 어떤 용도로 사용하는지 또는 사용할 예정인지를 명확하게 보여줄 수 있도록 공지한다.
어떤 개인 정보가 수집되어 어떤 목적으로 공유되는지, 그리고 사용자가 개인 정보 공유를 원치 않는 경우 어떻게 하면 되는지 등을 알린다. 더욱 자세한 FTC의 개인 정보 보호에 관한 사항은 FTC 웹사이트에서 확인할 수 있다.
II. 사례를 통한 제재 동향 파악
위에서 언급한 대로 아직 개인 정보에 관한 법이 충분히 준비되어있지는 않지만, 사례 등을 통해 동향을 보면 법 규제의 추세를 파악할 수 있다. 실제 사례를 통해 법이 강화되는 추세를 설명하자면 다음과 같다.
1. 데이터 보안에 대한 강화 추세
1991년에 이미 FTC는 온라인 소셜 네트워크 가상 커뮤니티를 운영하는 회사가 사용자들에게 개인 정보를 수집하는 이유를 제대로 또는 사실대로 알리지 않았다는 이유로 제재를 가한 적이 있다. 또한, 다른 경우로, 사용자들에게 개인 정보를 수집하면서 ‘우리 회사는 개인 정보를 다른 곳에 팔거나 공유하지 않았다. 혹시 개인 정보 정책이 바뀌면 공지를 하겠고 공유를 원하지 않는 사용자는 선택할 수 있게 하겠다’라고 알렸지만, 후에 사용자들에게 공지하거나 동의를 받지 않고 사용자들의 개인 정보를 회사가 공유할 수 있도록 보호 정책을 수정했고 또 개인 정보를 실제로 타 회사에 공유를 해서 FTC로부터 제재를 받았다. 어떤 사례에서는 개인 정보 판매를 통한 수익을 사용자에게 모두 돌려주도록 한 일도 있다.
이뿐만 아니라 FTC는 개인 정보 보호를 위한 보완책을 제대로 마련하지 않은 회사에도 제재를 가했다. 미국에 큰 애완동물 용품 회사인 펫코(Petco) 도 신발유통업체인 DSW 도 해커들의 해킹에 쉽게 보안이 뚫려 사용자들의 개인 정보가 유출되도록 내버려뒀다는 이유로 제재를 받았다. FTC에 의하면 제대로 된 적절한 보완책만 사용했어도 이렇게 쉽게 해킹을 당하는 것을 방지했을 것이라는 이유였다. 또 다른 회사는 해킹을 당해 개인 정보가 유출됐는데, 그 뒤로 더욱 강력한 보완책을 사용하지 않았다는 이유로 제재를 받은 사례가 있다.
이처럼, 이전에는 ‘사용자들이 알아서 조심해야 한다’라는 추세에서 ‘회사가 적절한 정보 보호 방법을 마련해 놓지 않았다면 책임을 져야 한다’라는 추세로 바뀌고 있다.
2. 사용자의 개인 정보 공유 책임 강화
초이스포인트(ChoicePoint)라는 회사는 사용자들의 이름, 주민등록번호, 생년월일, 직업, 신용 기록에 관한 개인 정보를 많은 사업자와 공유했고 그 개인 정보를 구입한 회사 중에는 그 개인 정보를 신원 도용 사기에 이용한 사례도 있었다. 결과적으로 사용자 중 상당수가 신원도용 사기의 피해자가 되었다. 이에 FTC는 어느 곳에 개인 정보를 공유하고 개인 정보를 넘겨받는 사업자가 어떤 목적으로 그 정보를 공유 받는지 심사 과정을 거쳐 파악하고 미리 방지할 수 있었다는 이유로 초이스포인트에게 상당 비용(한화 약 100억 원 이상의 비용)을 지불하게 했고 20년 동안 FTC로부터 보안 프로그램에 관한 감사(audit)를 받도록 했다.
사용자들의 동의를 받고 개인 정보를 타 회사와 공유한다 하더라도 공유 받는 회사의 개인 정보 사용 목적을 심사하고 사용자의 개인 정보를 보호해야 한다는 것이 추세고 특히, 사용자들의 개인 정보 중 주민등록번호 등과 같은 민감한 개인 정보를 다루는 사업일수록 더 보완된 프로그램이나 시스템을 마련해야 한다.
3. 금융 관련 업계에 개인 정보 보호 정책 강화
다른 개인 정보보다도 신용카드나 은행 관련 정보가 유출된다면 피해는 더 크고 실제로 금전적인 피해가 사용자들에게 생기게 된다. 따라서 사용자들의 금융 관련 정보를 수집하는 사업의 경우에는 한층 강화된 보안이 요구된다. 해커가 쉽게 해킹할 수 없도록 조처를 해야 하고, 허락되지 않은 접속이 있을 때는 이를 감지할 수 있는 충분한 장치가 있어야 하며, 외부로부터 내부 네트워크에 접속하는 것을 어렵게 하는 적절한 조치가 있어야 하고, 허가되지 않은 개인 정보의 이동이 있는 것을 회사가 모니터할 수 있어야 하고, 신용도용의 조짐이 있을 때 이를 감지하고 대응할 할 수 있어야 한다.
물론 이 모든 것을 다 완벽히 적용하기는 어려울 것이다. 하지만 이를 방지하기 위한 적절하고 타당한 조치를 할 것을 FTC는 요구하고 있고 그 정도는 점점 더 강화하고 있다.
4. 애드웨어(Adware)에 대한 정책
최근, 무료로 소프트웨어를 다운 받는 경우 사용자의 온라인상에서의 행동 패턴을 수집해 각 사용자를 타겟으로 광고를 제공하는 애드웨어를 함께 다운받게 되는 경우가 많다. 이 경우 사용자가 다운받기 전에 애드웨어도 함께 다운 받게 됨을 미리 알리고 선택하도록 해야 한다는 규제가 강화하는 추세다. 애드웨어뿐 아니라 한가지 소프트웨어를 다운 받을 때 함께 따라서 다운 받아지는 추가 프로그램들이 있다면 그것이 어떤 것인지 미리 알려야 함을 강조하는 규제가 많아지고 있다.
III. 캘리포니아 개인 정보 보호법
미국 내에서도 인터넷 법은 실리콘밸리가 있는 캘리포니아가 가장 발달해있기 때문에 다른 주에서도 캘리포니아 주 인터넷 법을 많이 기본으로 삼고 있다. 캘리포니아 주에서 요구하는 인터넷 개인 정보 보호 정책도 간단히 살펴보도록 하겠다.
2003년 캘리포니아 온라인 개인 정보 보호법에 따르면 온라인 서비스를 제공하는 회사는 개인 정보 보호 정책에 다음과 같은 내용을 포함해야 한다.
개인 정보 보호 정책 전문을 볼 수 있는 링크는 웹사이트 내 보이는 곳에 있어야 한다.
어떠한 개인 정보가 수집되는지 수집되는 정보 카테고리를 알려야 한다.
사용자들이 개인 정보 변경을 원할 시 회사는 어떤 절차를 거쳐서 처리되는지를 명시해야 한다. 예를 들어, 이메일 확인을 요청한다든지 보안 질문에 답을 해야 한다든지 등의 처리 절차를 알려야 한다.
개인 정보 보호 정책 내용에 중요한 변화가 있을 때 어떻게 사용자들에게 알릴 것인지를 설명하고 알려야 한다.
사용자가 개인 정보를 외부에 공유하지 않는 것을 원할 때 회사는 어떻게 이를 처리할 것인지를 알려야 한다.
사용자들이 웹사이트를 사용하거나 웹사이트에서 제공하는 서비스를 사용할 때 타 회사가 사용자의 개인 정보나 사용자의 온라인에서의 성향 등에 대한 정보를 파악할 수 있는지 등을 알려야 한다.
개인 정보 보호 정책의 효력 발생 시작 일을 알려야 한다. 캘리포니아 규제에 대해서는 많은 규정이 있지만, 내용이 방대하니 다음 기회로 미루기로 하고 참고로, 개인보호 정책에 관해 알아볼 수 있는 유용한 링크들은 아래와 같다.
모바일 웹 개발 분야에 적용되는 개인 정보 보호 정책에 관한 캘리포니아 주 검찰총장이 권고하는 규제 내용이 잘 정리된 사항은 아래 링크를 통해 확인할 수 있다.
개인 정보 보안 위반 알림 절차에 대한 권고 사항을 정리한 자료는 아래 링크를 통해 확인할 수 있다.
정리하자면, 온라인상에서 웹사이트를 운영하거나 온라인을 통해 사용자에게 서비스를 제공하는 사업이라면 모두 일정한 규정에 맞는 개인 정보 보호 정책을 준비하고 사용자들이 쉽게 볼 수 있는 곳에 링크를 두어야 한다. 개인 정보 공유를 원하지 않는 사용자가 있다면 어떤 다른 선택 사항이 있는지 그리고 회사는 어떤 절차를 거쳐 처리할 것인지를 알려야 한다. 회사는 개인 정보를 보호하기 위해 적절한 기술적인 보완책이 있어야 하고 이에 따른 직원 교육도 있어야 한다. 개인 정보를 공유할 때 정보를 가져가는 회사가 그 정보를 어떤 목적으로 가져가면 어떤 목적으로 사용할 것인지도 심사하고 공유해야 한다.
이제 막 시작한 스타트업이 이 모든 것을 확인하고 개인 정보 보호 정책을 영문으로 작성하는 데는 여러 가지 무리가 있다. 시간도 많이 소요되며, 정작 중요한 업무에 집중할 수 없고, 이렇게 작성한 정책이 필요한 사항을 모두 다룬 것인지 불안한 면도 있다. 따라서, 법률적인 것은 변호사에게 맡기고 스타트업은 개발과 운영, 시장 동향 파악에 집중하는 것이 가장 좋지만, 변호사 비용이 부담되거나 변호사에게 맡기더라도 기본적인 사항을 알고 운영에 참고하기 원하는 스타트업들에게는 위에 언급한 사항이 도움되었으면 한다.
Editor’s Note: 실리콘밸리의 Song & Lee 로펌에서 비석세스 독자들에게 전화와 이메일 상담을 제한 한도 내에 무료로 제공해 드립니다. 연락처는 Song & Lee 로펌 웹사이트를 참조하시기 바랍니다. 본 칼럼의 내용은 Song & Lee로펌에서 감수하였으며, 일반적인 사항에 대한 정보를 나누기 위함이지 개개인의 상황에 맞는 법률 자문을 주기 위해 작성된 것이 아님을 알려드립니다.
이미지 출처: Emailbrain