How data trusts can protect privacy

데이터 트러스트, 개인정보 보호의 새로운 약속

사람들이 자발적으로 이 혼란스러운 데이터수집 세계를 탐험할 때까지 기다릴 수는 없다. 이제 힘을 합칠 때다.

왜 중요한가

그간 기업과 정부의 개인정보 취급은 허술하기 그지 없었다. 그러나 데이터 트러스트(Data trusts)는 사용자들에게 개인정보의 통제권을 되찾게 해줄 것이다.

핵심 기업-기관

• 데이터 트러스트 이니셔티브(Data Trusts Initiative)
• 디지털 퍼블릭 (Digital Public)
• 오픈 데이터 연구소(Open Data Institute)
• 각국 정부들 (National governments)
• 유럽연합 집행위원회(European Commission)

실용화 시기

2~3년

기업이 개인정보를 요청할 때마다 별 생각없이 ‘예’를 클릭하는가? 그렇다면 그건 당신만의 문제가 아니다. 어떤 서비스를 사용할 때마다 긴 이용약관을 읽거나 모든 위험을 평가할 수는 없다. 이는 우리가 한 모금의 물을 마실 때마다 물의 안전성을 평가하라고 요구하는 것과 같다. 그래서 우리는 ‘예’를 누르고 나쁜 일이 없기를 바랄 뿐이다.

설령 약관의 내용을 살펴 본 이후에 ‘예’를 클릭했더라도 부지불식간에 타인들의 삶에 영향을 미칠 수 있다. 유전자 분석을 해 주는 회사 23andMe와 같은 서비스에 DNA를 공유할 경우, 그 DNA 자료는 당신 가족의 유전적 구성에 관해 많은 정보를 알려준다. 내가 소셜 미디어에서 공유하는 콘텐츠는 친구가 내야하는 보험료를 인상시킬 수도 있다. 급여명세서는 이웃의 대출 한도에 영향을 줄 수 있다. 이러한 정보를 당신의 재량만으로 공개하는 것이 타당할까?

만일 사용자가 개인정보의 제공을 개별적으로 동의하는 방식이 사라진다면 무엇이 남을까? 정치인들에게 데이터 수집에 대한 규제를 맡겨야 할까? 아마 세계 대부분의 정부는 기업이 개인정보 수집 전에 동의를 구하도록 강제하는 개인정보보호체제 (예: 유럽의 GDPR)를 시행하고 있을 것이다. 심지어 개인정보의 오용도 금지하고 있을 것이다. 그러나 다양한 개인정보 수집 방법을 고려할 때 포괄적 규정만으로 목표를 충분히 달성할 수 있다고 보기는 힘들 것이다.

노동조합이 노동권을 옹호하는 것처럼 데이터권리를 옹호할 무언가가 있다면? 그리고 마치 의사가 우리의 건강을 판단하듯, 우리를 대신하여 데이터에 대해 현명한 결정을 내리는 존재가 있다면? 데이터 트러스트(Data trusts)는 그러한 목표달성에 필요한 아이디어들 중 하나다.

데이터 트러스트는 비교적 새로운 개념이지만, 인기가 빠르게 치솟고 있다. 2017년 영국 정부는 인공지능을 훈련할 때 보다 큰 데이터세트를 사용할 수 있는 방법으로 이를 처음 제안했다. 2020년 초 유럽연합(EU) 집행위원회의 제안서에는 연구와 혁신에 보다 많은 데이터를 제공하기 위한 방법으로 이를 언급했다. 2020년 7월, 인도 정부는 데이터 통제권을 높일 방안으로 데이터 트러스트를 전면에 내세운 데이터 처리 방침을 발표했다.

법률적으로 트러스트(신탁)이란 자산을 소유한 타인(수혜자)을 대신하여 제3자(수탁자)가 자산을 관리해 주는 제도다. 데이터 트러스트의 경우, 수탁자는 개인들의 집단의 데이터 또는 데이터 권한을 관리한다. 의사가 환자의 권익을 위해 행동해야 하는 것처럼 데이터 수탁자는 수혜자의 권익을 위해 행동할 법적 의무를 진다.

그렇다면 이러한 접근 방식은 실제로는 어떤 모습일까? 예를 들어, 페이스북 사용자 집단이 데이터 트러스트를 만들 수 있다. 수탁자들은 페이스북이 회원들의 정보를 수집하고 사용할 수 있는 조건을 결정한다. 예를 들어, 수탁자들은 페이스북과 같은 플랫폼이 위탁자에 광고를 노출하는데 사용할 수 있는 타게팅 기법의 유형에 대한 규칙을 설정할 수 있다. 페이스북이 뭔가 잘못된 행동을 보일 경우, 이 회사의 회원정보에 대한 접근권한은 철회된다.

정보 공유가 타인에게 어떤 영향을 미칠 수 있는지 개인이 평가하기는 어렵지만, 정보 수탁자는 개인의 이익을 집단의 이익 및 피해와 비교해서 평가할 수 있다. 이론적으로 데이터 트러스트는 집단을 대표하기 때문에 우리를 대신하여 이용약관을 협상할 수 있다. 따라서 노동조합이 근로 제공자로서의 근로자의 권리 행사를 가능케 하는 것과 유사하게, 이는 우리 스스로가 데이터 생산자로서의 권리를 행사하도록 해 준다.

데이터 트러스트는 좋은 취지지만, 과연 현실적인가? 페이스북이 이에 동의할 것이라고 상상하기는 힘들다. 그리고 사용자인 우리는 이를 강제할 방법이 거의 없다. 우리는 데이터 트러스트를 만들 수는 있지만, 우리 모두가 플랫폼을 함께 떠나려고 하거나 정부가 더 큰 강제 수단을 제공하지 않는 한 그러한 신탁은 거의 영향을 미치지 못할 것이다.

그러나 데이터 트러스트에는 다른 많은 유용한 적용 분야가 있기 때문에 트러스트가 전적으로 무의미한 것은 아니다. 트러스트를 통해 우리는 자신의 데이터를 모아서 공익적 의학 연구 등의 용도로 사용하게 할 수 있다. 개인정보 보호를 인식하고 있음을 보여주려는 기업들은 주요 핵심 정보 결정권을 트러스트에 양도하고 회사의 이익이 아닌 고객의 데이터권리를 보호하도록 지시할 수 있다.

예를 들어 2017년 구글 계열사 사이드워크랩스(Sidewalk Labs)는 토론토 퀘이사이드(Quayside) 해변을 센서가 빼곡히 들어찬 스마트시티로 개발할 권리를 확보했다. 이를 유토피아라고 환영한 사람도 있었지만, 대형 기술 회사들이 공공 영역을 침범하고 그 과정에서 주민들의 개인정보를 획득한 것이라는 비판도 있었다.

사이드워크랩스는 퀘이사이드에서 수집 및 사용되는 데이터가 공공의 이익이 되도록 시민 데이터의 신탁을 구축할 것을 제안했다. 이 제안은 퀘이사이드에 센서를 설치하려는 모든 단체가 데이터의 수집 및 이용 허가를 득해야 한다는 것이다. 커뮤니티 구성원으로 구성된 위원회는 데이터의 수집 및 사용을 감시하고 실시한다.

계획 자체의 결함으로 인해 사이드워크랩스는 2020년 5월 퀘이사이드 프로젝트를 포기했다. 하지만 이 회사의 제안은 데이터 트러스트에 대한 약속의 전형을 보여주었다. 스마트시티나 공중 보건 계획과 같은 공공적 맥락 속에서 수집되는 데이터를 통제하기 위해 트러스트를 만든다는 아이디어는 계속 이어지고 있다.

데이터 트러스트가 당면한 과제의 해결은 그 어느 때보다 시급하다. 내년에 관련 지원금이 늘어나면서, 이에 대한 연구와 실험, 정책 제안들이 급증할 전망이다.

물론 데이터 트러스트만이 개인정보보호 및 보안 문제에 대한 유일한 해결책은 아니다. 데이터 협동조합이나 데이터 조합 등의 다른 방식으로 문제들을 다룰 수도 있다. 이러한 새로운 데이터 거버넌스 모델은 우리가 자신의 정보에 대한 통제권을 되찾고 권리를 행사하며 공공 이익을 위한 데이터 공유 시스템을 정착시키는 데 도움이 될 수 있다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.