정보의 상품화 : 데이터 중개인(Data Broker)

개인정보보호법에 따르면 개인의 건강에 관한 정보는 정보주체의 사생활을 침해할 우려가 있어 민감정보로 규정하고 있으며, 일반적인 개인정보에 비해 더욱 엄격한 규제 아래에서 이용할 수 있습니다. 건강정보의 이용목적을 공적인 목적과 상업적 목적으로 나눌 때, 보통 상업적 목적과 비교하면 공적인 목적을 위한 정보이용이 쉽게 수용됩니다. 그러나 그렇다고 해서 건강정보의 상업적 이용이 아예 불가능한 것은 아닙니다. 실제로 꽤 폭넓은 그곳에서 건강정보는 상업적 목적으로 이용되고 있습니다. 대표적으로 민간기업의 건강관리 애플리케이션이나, 웨어러블 디바이스를 이용하는 경우와 같이, 해당 서비스나 기기를 이용하기 위해 우리는 기업에 일종의 건강정보를 제공합니다. 축적된 개인정보는 제공되는 서비스를 개선하기 위한 연구자료로써 이용되기도 하고, 각 기업의 마케팅 수단으로써 개인 맞춤형 광고를 제작하는 데 이용되기도 합니다.

원칙적으로 민감정보는 개인의 동의를 받아 처리하여야 합니다. 여기서 동의 개념은 개인을 식별할 수 있는 정보를 이용하는 인간대상연구가 생명윤리법의 규제 아래에서 행해지는 경우에 필요한 충분한 정보에 의한 동의(Informed Consent) 개념으로 이해되고는 합니다. 그러나 이 동의 개념은 연구대상자의 인간으로서 존엄성을 보호하기 위한 장치로서 계약 당사자들이 동등한 계약과는 다른 특징을 갖고 있습니다. 바로 ‘동의 철회’입니다. 임상연구에서 연구대상자는 어떤 불이익 없이 언제든지 동의를 철회할 수 있습니다. 동의철회는 연구대상자가 어떤 물질적인 대가가 없이 기증과 선의에 기반하여 연구에 참여하기 때문에 마련한 보호장치입니다. 그런데 상업적 목적의 연구에서 인간대상연구에서 사용하는 기증에 기반한 동의 개념을 그대로 적용하는 경우, 동의 철회라는 요건으로 인해 수익 창출에 문제가 생기게 됩니다. 따라서 미국에서는 수익사업의 원자재인 정보를 안전하게 확보하는 등가교환의 거래방식을 도입하였습니다.

미국에는 정보를 구매하고, 가공하여, 판매하는 ‘데이터 브로커(Data Broker)’가 있습니다. 이미 정보 관리체계인 데이터 거버넌스를 소개하는 글에서 데이터 브로커와 유사한 이름을 가진 ‘어니스트 브로커(Honest Broker)’를 소개한 바 있습니다. 어니스트 브로커가 정보주체와 연구자 사이를 연결하는 반면에, 데이터 브로커는 정보를 팔고자 하는 판매자(정보주체)와 정보를 구매하고자 하는 소비자(기업 등)를 이어주는 중개역할을 합니다. 어니스트 브로커가 주로 하는 일은 정보주체의 식별정보를 지우는 비식별화라는 보안 조치를 수행하는 것입니다. 이 과정에서 주목되는 것은 정보주체의 프라이버시 보호입니다. 데이터 브로커도 비식별화 조치 또는 재식별이 불가능하도록 식별정보에 가짜정보를 추가하는 등의 보안 작업을 수행합니다. 하지만 두 중개자의 다른 점은 어니스트 브로커는 보안 처리를 한 정보를 연구자에게 전달하는 반면 데이터 브로커는 구매자에게 정보를 판매하여 수익을 창출한다는 점입니다. 대표적인 데이터 브로커 대기업으로 LexisNexis, Acxiom, 그리고 Hu-manity.co. 등이 있습니다.

한국에는 아직 존재하지 않는 데이터 브로커가 미국에 존재할 수 있는 이유는 무엇일까요? 바로 민간기업은 미 보건복지부(Department of Health & Human Services, HHS) 또는 국립보건원(National Institutes of Health, NIH)의 자금을 지원받지 않기 때문입니다. 미국에서는 연방정부의 45CFR46, 즉 공동 규정(Common rule)으로서 연구를 규제하고 있습니다. 이 법률은 HHS에서 자금을 지원받거나, 정부가 자금을 지원하는 NIH를 통해 자금을 지원받는 연구를 적용대상으로 하고 있습니다. 따라서 HHS와 NIH에서 자금을 지원받지 않는 민간기업의 경우에는 건강정보를 이용하고자 할 때, 인간을 대상으로 하는 연구에 필요한 동의를 하거나 기관윤리위원회 심의를 거치지 않게 됩니다. 그래서 인간대상연구의 동의 개념이 아니라, 거래의 개념 아래에서 건강정보를 사고파는 데이터 브로커 기업이 등장할 수 있었습니다.

건강정보를 상업적 목적으로 이용한다고 할 때, 마치 인간 생명에 대한 정보를 상품화하는 것 같이 직관적으로 거부감이 들기 쉽습니다. 그러나 이미 미국에서는 인간대상연구에 대해서도 비식별화를 한 정보는 정보주체에 미치게 될 악영향이 미미하다고 보아 규제에 포함하지 않습니다. 데이터 브로커와 어니스트 브로커 모두 정보주체에게 미칠 피해를 최소화하기 위한 조치를 수행합니다. 단 데이터 브로커가 어니스트 브로커가 다른 점은 수집한 정보를 처리한 후, 목적에 따라 재가공하여 상품화하는 것입니다. 또한, 이미 정보주체에게 정보이용에 대한 비용을 지급했기 때문에, 동의철회로 인해 수익 창출의 원자재인 정보를 잃는 불상사를 방지할 수 있습니다. 그러나 아무리 정보주체에게 정보를 구매했다고 하더라도, 재식별로 인한 개인식별 등으로 인해 정보주체에게 실질적인 프라이버시 침해가 일어나면, 인간대상연구에서와 마찬가지로 피해보상을 해야 합니다.

때로 민간기업은 도덕적으로 해이해지기 쉽다고 여겨지고는 합니다. 하지만 건강정보의 상업적 이용에 대해 논할 때 최우선으로 필요한 것은 바로 어떻게 정보를 이용하는 것이 도덕적으로 수용되는지에 대해 합의를 형성하는 것입니다. 그리고 기업이 법적·도덕적 원칙 하에 정보를 관리하여, 정보주체들의 신뢰를 이끌어 낼 수 있는지 합리적으로 고려해 봐야 합니다. 궁극적으로는 한국 사회에 윤리적인 정보이용에 대한 성숙한 문화를 구축해야 공익적·상업적 목적에 좌우되지 않고 언제든지 윤리적으로 정보를 이용할 수 있을 것입니다.

< 참고문헌 >

정보의 상품화 : 데이터 중개인(Data Broker)”에 대한 1개의 생각

  1. 국내에도 데이터 브로커가 없는 것은 아닙니다. 비교 대상이 된 외국보다 덜 활발할 뿐이지요.

    데이터 브로커 문제도 결국은 개인정보에 대한 보호 문제와 직결되는 현상입니다. 그런데 예로 든 미국처럼 데이터 브로커가 활발해지려면 개인 정보가 자기의 의사 또는 자기 의사와 무관하게 거래되고 활용되는데 대하여 시민들의 거부감도 적어야 한다는 것이 전제가 되어야 할 것입니다

    혹시 미국에 비교적 장기간 살고 있는 친구나 친척이 있으면 google 에서 이름과 사는 동네를 입력해서 검색해보기 바랍니다. 현재 사는 집, 같이 사는 동거 가족, 전화 번호 등 매우 많은 개인정보가 “합법적”으로 검색된다는 점에 놀랄 것입니다. 다 공개된 정보를 이용해서 가공한 것이므로 합법이지요.

    우리나라에서 (또는 어느 나라든) 데이터 브로커리지가 활발하려면 이런 현상이 당연하고 어쩔 수 없음을 수용할 수 있어야 할 것입니다. 어느 사회가 옳다는 것이 아니라 데이터를 재료로 하는 산업은 결국 그 사회가 개인정보 활용에 따라 어느 정도로 프라이버시를 양보할 마음의 준비가 되어있는지의 함수라고 생각합니다.

    좋아요

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google photo

Google의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중