여러분이 오늘 온라인에서 한 행동들을 생각해 보세요. 어떤 검색어를 입력했는지, 어떤 제품 페이지에서 얼마나 머물렀는지, 어떤 뉴스를 클릭했는지. 이 모든 데이터가 수집되고 저장되며 분석됩니다. 당신이 알든 모르든.
2023년 기준, 인터넷에는 매일 약 328만 기가바이트의 데이터가 새로 생성됩니다. 이 데이터의 상당 부분은 우리 각자의 디지털 행동의 흔적입니다. 이 흔적들이 어떻게 수집되고, 누가 보유하며, 어떻게 활용되는지를 이해하는 것이 디지털 시대의 시민으로서 갖춰야 할 핵심 지식이 됐습니다.
개인정보는 어떻게 수집되는가
디지털 환경에서 개인정보 수집은 다양한 경로로 이뤄집니다. 가장 널리 알려진 방법은 쿠키(Cookie)입니다. 웹사이트가 방문자의 브라우저에 저장하는 작은 텍스트 파일로, 로그인 상태 유지나 장바구니 정보 저장 같은 기능적 목적 외에도 사용자의 브라우징 행동을 추적하는 데 사용됩니다.
서드파티 쿠키는 특히 광범위한 추적을 가능하게 합니다. A 사이트를 방문할 때 심어진 광고 네트워크의 쿠키가 B, C, D 사이트에서도 동일 사용자를 인식해, 여러 사이트에 걸친 행동 패턴을 통합적으로 파악합니다. 이를 통해 광고 네트워크는 사용자의 관심사, 구매 의향, 라이프스타일을 추론할 수 있습니다.
쿠키보다 덜 알려진 방법이 핑거프린팅(Fingerprinting)입니다. 브라우저 버전, 설치된 폰트, 화면 해상도, 시간대, 플러그인 목록 등 수십 가지 기기 특성을 조합해 쿠키 없이도 개별 사용자를 식별하는 기술입니다. 쿠키를 삭제해도, 시크릿 모드를 사용해도 핑거프린팅은 작동할 수 있습니다.
앱 사용에서의 데이터 수집은 더 광범위합니다. 스마트폰 앱은 위치 정보, 연락처, 마이크, 카메라, 건강 데이터 등 다양한 권한을 요청합니다. 사용자가 편의를 위해 이를 허용하면, 기업들은 단순한 앱 사용 데이터를 넘어 실생활의 패턴까지 파악할 수 있게 됩니다.
데이터 브로커: 보이지 않는 개인정보 시장
데이터 브로커(Data Broker)는 일반인에게는 생소하지만 개인정보 생태계의 핵심 구성원입니다. 다양한 경로에서 개인 데이터를 수집, 통합, 판매하는 기업들로, 미국에서만 수천 개의 데이터 브로커 기업이 운영되는 것으로 추산됩니다.
이들이 보유한 데이터는 이름, 주소, 전화번호 같은 기본 정보를 넘어 신용 점수, 구매 이력, 의료 기록, 온라인 행동 패턴, 정치적 성향, 종교, 임신 여부, 재정 상태까지 포함할 수 있습니다. 이 데이터는 마케팅 기업, 금융 기관, 고용주, 심지어 법 집행 기관에도 판매됩니다. 자신에 대한 데이터가 어디서 어떻게 거래되는지 당사자는 알지 못하는 경우가 대부분입니다.
법적 보호: GDPR부터 개인정보보호법까지
2018년 시행된 유럽연합의 GDPR(General Data Protection Regulation)은 디지털 개인정보 보호의 글로벌 기준점이 됐습니다. GDPR의 핵심 원칙은 데이터 최소화(필요한 데이터만 수집), 목적 제한(수집 목적 외 사용 금지), 정보 주체의 권리 보장(열람, 정정, 삭제, 이동 권리)입니다.
GDPR의 원칙들은 추상적 규범이 아니라 가입 단계의 정보 위임 절차에서 구체적으로 검증됩니다. 이지벳 가입 같은 온라인 베팅 플랫폼이나 일반 회원제 서비스의 가입 절차에서 동의한 데이터의 보관 기간, 제3자 제공 항목, 마케팅 활용 동의가 약관과 별도로 명료하게 분리되어 있어야, 사용자가 동의 철회 시 자신의 데이터를 추적하고 삭제 요청할 수 있는 실질적 경로가 확보됩니다. 가입 단계에서 한 번 위임된 데이터가 어떤 경로로 어디까지 흘러가는지를 추적할 수 있어야 정보 주체의 권리가 실질적으로 작동합니다.