그동안 테크 업계 대기업과 세계 각국의 중앙정부와의 다툼에서 테크 기업이 유리한 위치에 놓였다. 지난 몇 년간 테크 업계 대기업은 혁신과 함께 성장세를 선보였다. 그와 동시에 정치계 지도자는 테크 기업을 대상으로 규정을 준수하도록 강행하려 했으나 강제성이 없었다. 종종 규제로 차이를 만들기에는 너무 느린 모습을 보였다. 드디어 호주와 유럽 전역에서 정부가 테크 기업에 맞서 싸우고, 미국에서는 반독점 조사를 시행하기 시작했다. 그러나 테크 업계 대기업의 장악에 직접적으로 가장 크게 주목할 만한 효과를 만드는 것은 바로 다소 제한적인 법안 추진이다. 또, 테크 업계 대기업의 플랫폼도 반독점 문제를 직접 언급하기 싫어한다.
적정 연령 지정 규정(Age Appropriate Design Code, 이하 ‘AADC’)은 2020년 6월, 의회에 발의되었을 당시 엄격하지 않은 법안으로 보였다. 적정 연령 지정 규정은 테크 기업 규제 측면에서 가장 강력한 권력을 지니지 않은 영국 정보위원회 사무국(ICO)이 2018년, 데이터 보호법(Data Protection Act)에서 요구하는 바에 따라 고안한 시행 규정이다. 적정 연령 지정과 관련, 총 15가지 주요 기준을 정하며, 기업에 “제공하는 서비스가 안전한 아동 개인 데이터 보호 및 적절한 처리 과정을 제대로 지킨다는 사실을 확인할 것”을 요구한다.
AADC 규정은 기본적으로 아동 사용자의 프라이버시 설정 수준을 매우 높은 수준으로 지정하고, 사용자 데이터 수집과 보관 범위를 최소화하면서 기본적으로 위치 정보 수집 기능을 비활성화하여 사용자가 원하는 때만 허용하도록 할 것을 규정한다. 데이터 수집 및 보관, 위치 정보 추적 등 각종 프라이버시 설정을 어렵게 유도하는 기법 적용은 금지이며, 아동이 이해할 수 있는 방식으로 부모의 통제 기능을 시행해야 한다.
AADC의 규정에 따라 아동 프라이버시 보호 규정을 준수할 특별한 장점이 없었던 당시 기업에는 AADC의 요구사항을 시행과 관련, 1년 간의 유예기간이 주어졌다. 아동 자선단체 NSPCC의 아동 안전 온라인 정책 총괄인 앤디 버로우스(Andy Burrows)는 “그동안 아동 프라이버시 보호 규정은 크게 주목받지 못했다”라고 지적했다. 그러나 9월 2일(현지 시각), AADC 시행과 함께 이제는 온라인 상에서 아동의 프라이버시 보호를 본격적으로 준수하면서 규정의 실질적인 영향을 지켜볼 때가 되었다.
[사진=Pixabay]
AADC가 미치는 영향은 예측할 수 없다. 심지어 AADC 제정을 도운 기관도 그 효과를 예측할 수 없다. 2014년부터 2019년까지 임기 종료 시기가 가까워질 때까지 여러 디지털부 장관의 자문 기관 역할을 한 공공 정책 컨설팅 기업 타소 어드바이저리(Taso Advisory)의 창립자인 벤 그린스톤(Ben Greenstone)은 “AADC 시행과 관련, 한 가지 기쁜 점은 정부와 기업 간 아동 프라이버시를 위한 타협을 했다는 사실이다”라고 말했다. 아동 지원에 집중하는 자선단체 5라이트 파운데이션(5Rights Foundation) 회장인 배로니스 키드론(Baroness Kidron)은 데이터 보호법안(현 ‘데이터 보호법’)이 의회에 제출될 때, 법안 지지를 거부했다. 영국 정부는 키드론 회장의 승인이 있어야 데이터 보호법안을 통과할 수 있었기 때문에 작은 선물을 보내면서 법안 승인을 요청했다.
그린스톤은 “개인적으로 아동 프라이버시 관련, 인정하기를 원한 것 이상으로 정부가 AADC 규정 시행을 위해 더 많은 조치를 취했다. 정부는 데이터 보호법안이 통과할 수 있는 방식으로 우연히 정책을 구상했다”라고 말했다. 이어, 데이터 보호법안 통과 과정을 정부의 전형적인 법안 통과 사례라고 설명했다. 대중은 법안의 전 영역을 완전히 이해하지 못하며, 의회가 시행하기 어려운 법안이 있다. 따라서 ICO에 승인 규정을 제정하도록 요구하는 상대적으로 간단한 수정 사항을 추가했다. 그린스톤은 “AADC 규정은 모든 이해당사자를 고려하지 않는다. 간혹 정부가 추진하는 법이 끔찍하다고 생각할 수 있다. AADC 규정을 준수하지 않는다면, 유럽연합의 개인정보보호 규정(GDPR)도 위반하게 된다는 점을 예측할 수 있다. 또, GDPR을 준수하지 않는 상황이라면, 거액의 과징금 부과 대상이 된다. 따라서 AADC를 준수해야 한다”라고 덧붙였다.
또, 다수 테크 기업이 아동 프라이버시 보호 관련 규정을 준수했다. 다만, AADC 규정 때문에 준수한 것이라는 사실은 인정하지 않는다. 최근 들어 틱톡의 18세 미만 미성년자의 다이렉트 메시지 통제 규정부터 구글의 부모나 법적 보호자가 검색 결과로 발견할 수 있는 자신의 사진을 등록한 사실을 알게 된 미성년자 대상 ‘잊을 권리’ 제공, 8월 30일(현지 시각), 인스타그램이 발표한 사용자의 생년월일 정보 제공 의무화까지 주요 테크 기업의 여러 규정 변화 모두 ‘아동 규정(Children’s Code)’으로 명칭이 변경된 AADC 규정을 준수하고자 마련한 규정이다. 버로우스 국장은 “주요 테크 기업 모두 중대한 안전 보호 규정을 발표하는 추세이다. 또한, 미성년자 보호 규정 변경 사유를 생략한다는 점이 흥미롭다. 사실, 테크 업계가 정책 변경에 나서는 이유는 아동 규정 법률 시행 때문이다”라고 설명했다.
테크 기업 플랫폼 중, 새로이 시행하는 미성년자 보호 기능을 발표하면서 의도적으로 아동 규정 관련 사항을 명확하게 언급하는 기업은 없다. 모두 “미성년자 보호가 중요하다고 판단해 새로운 규정을 시행한다. 영국의 법률 규정 준수는 물론이고, 영국 이외에 다른 여러 국가에서도 프라이버시 보호 측면에서 이익이 될 것이다”라고만 주장한다. 버로우스 총괄은 테크 기업이 미성년자 보호 관련 새로운 기능과 정책 변경 사항을 발표할 때, 아동 규정 준수를 인정하지 않는다는 사실을 우려해야 한다고 생각한다. 그는 “영국은 각종 온라인 피해로부터 아동을 보호하기 위한 규제와 과감한 단계 추진 방안을 보여준다”라고 언급했다. 테크 업계 대기업이 미성년자 보호 기능 및 정책 변경 사항과 아동 규정 간의 공개적인 관련성을 명시한다면, 다른 입법 기관도 테크 업계 대기업을 대상으로 아동 규정과 비슷하게 강력한 행동을 취하면서 영향력을 줄이기 위한 과감한 조치를 택하게 될 것이다.
그러나 그린스톤은 주요 테크 기업 플랫폼이 아동 규정을 우려하는지 확신하지 못한다. 그는 “아동 규정이 테크 업계에 타격을 주지 못한다고 본다. 행정적 비용 측면에서 성가신 부분이지만, 대기업은 아동 규정과 관련된 자체 정책 변경 이후 다른 기업이 경쟁을 펼치기 매우 어려워지리라 판단한다”라고 주장했다.
그런데도 버로우스 총괄은 주요 테크 기업이 자체적으로 선보이는 별도의 변화가 강조하는 원칙이 있다고 말한다. 바로 아동과 아동의 권리를 사용자 구성 집단의 중요한 요소로 보는 기업의 문화 변화 구성을 시도한다는 원칙이다. 단순히 상업적 이익 측면에서만 기업이 아동을 통해 이익을 취하는 데 그치지 않고 실제 아동을 보호하기도 한다. 버로우스 총괄은 “기업 차원의 미성년자 보호 정책 시행은 매우 중대한 과정이다. 오랜 시간이 걸리는 여정이기도 하지만, 현재의 변화가 최종 목표는 아니다”라고 말했다.
그러나 테크 기업의 미성년자 보호 규정 변화는 영국이 국가 차원으로 아동 보호 관련 규정을 채택하면서 이어진 압박과 관련된 것은 확실하다. 또, 테크 기업의 규정 강행과 관련, 영국의 행보가 상대적으로 사소한 변화라는 사실이 충격적이다. 디지털 시대의 아동 권리를 연구 중인 런던경영대학원의 사회심리학 교수인 소니아 리빙스톤(Sonia Livingstone)은 “여러 기업이 생각하는 것 이상으로 아동 보호를 위한 변화를 시행할 수 있다”라고 말했다. 리빙스톤 교수는 아동 규정과 함께 규정이 없었을 당시 예측할 수 없었던 두 가지 요소를 부각하게 되었다고 주장한다. 그는 “아동 규정을 통해 새로 부각하게 된 요소 중 하나는 아동 보호는 인터넷상의 전 영역에서 변화를 시행해야 할 사항이라는 점이다. 다른 하나는 데이터 보호가 개인의 안전 관리 수단이 됐다는 사실이다. 두 가지 모두 대중에게 충격을 안겨준 사항이지만, 이제는 인터넷의 본질이 되었다”라고 설명했다.
테크 기업은 영국에서 아동 규정을 준수하는 것이 중요하다는 사실을 알고 있어, 법률 규정을 따랐다. 그러나 단순히 법률 규정이 요구하는 변경 사항을 영국에만 통합한 이유를 설명하지 않고, 영국 이외 다른 국가에서는 제품 및 서비스 관련 정책을 그대로 유지한다. 리빙스톤 교수는 “테크 기업은 아동 보호와 관련된 점에서 문제가 어려워질 것이라는 사실을 알게 될 것이다”라고 언급했다. 영국의 아동 프라이버시 보호 강화 추진은 주요 테크 기업의 장악력을 단속하면서 길들이려는 전 세계 각국 정부가 시행하는 여러 노력 중 한 가지 노력으로 등장했다. 또, 상당수 테크 기업 플랫폼이 이를 인지하고 있다. 그린스톤은 “온라인 기업 관련 각종 논쟁과 아동 데이터 관련 윤리 문제를 살펴보고 영국에서 이미 그와 관련된 변화를 시행하고 있다면, 다른 여러 국가에도 변경 사항을 똑같이 적용해야 한다. 아동 보호 규정 변화가 서비스 자체를 변경하는 것이 아니기 때문이다”라고 주장했다.
물론, 아동 규정에 대한 잘못된 조치를 판단할 수 있는 ICO의 능력을 문제로 지적할 수 있으며, 버로우 총괄과 그린스톤 모두 이를 지켜보고 있다. 버로우스 총괄은 “ICO는 가장 심각한 피해 원인을 살펴볼 것이라고 주장하며, 영국과 캘리포니아에서는 ICO가 아동 프라이버시 보호 강화를 위해 얼마나 빨리 변화를 가져오는지 지켜보려는 데 혈안이다”라고 말했다. 그린스톤은 ICO가 매우 온건한 접근방식을 택한 사실을 지적하며, 확고한 행동 부족은 ICO의 인력 800여 명이 의미 있는 법안을 마련하는 능력에 문제가 있다는 사실을 시사한다는 견해를 피력했다.
그러나 테크 업계 대기업의 아동 보호 관련 새로운 윤리적 지표는 환영할 만한 변화이다. 또한, 영국의 아동 규정 준수가 정책 변화에 영향을 미쳤다는 사실을 인정하는가를 떠나 의회 통과에 어려움이 있는 법안에 대한 반대 의사를 지닌 이들을 설득하고자 고안된 영국의 법률은 테크 플랫폼이 미성년자 대상 접근방식을 변경하도록 이끌었다.
리빙스톤은 세계 각국의 아동 권리 옹호 세력이 주요 테크 기업의 변화 이후 힘을 잃은 사실에 놀랐다. “테크 기업이 많은 인력을 채용하고, 기업 차원에서 원하는 사업 이익이 정당한 일이라고 설득한다. 테크 업계 대기업은 ‘가정에 도움을 주고, 사회를 지원하고자 한다. 아동 보호라는 가치관을 염두에 두고 있다’라는 주장을 펼치며, 이는 기업의 홍보 방식이 되었다. 기업이 투자한 부분은 알 수 없다. 어쩌면 테크 기업이 각국 정부의 권력을 우려할 수도 있다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202109/3378_4466_4016.jpg)
뉴스레터 신청