개인정보와 쿠키, 수집 동의 서비스

제1장. 강화되고 있는 개인정보보호

2010년대 대형쇼핑몰/은행사발 개인정보 유출사고들이 일어나면서부터 지금까지 개인 정보 보호 법은 계속 발전에 발전을 거듭하고 있고, 온라인 시장에서도 개인정보보호에 대한 이슈를 해결하기 위해 다양한 노력들을 벌여오고 있다. 

 

먼저, 대표적인 민감정보였던 주민등록번호가 회원정보 입력란에서 삭제되었고, 모든 등록정보들은 수집 목적에 따라 분류되어 회원가입 대상자들에게 안내되고 있으며, 단발성으로 개인정보가 꼭 필요한 경우 (택배 배송등의 사유) 필요한 경우에만 쓰일 수 있도록 개별 입력으로 관리되고 있다. 

또한 서비스 운영에 꼭 필요한 정보가 없을 경우 네이버, 카카오 등 sns 로그인 기능을 넣어 개인정보관리에 대한 문제를 최소화하기도 한다. 

위에 언급한 내용처럼 이름 , 주민등록번호, 생년월일, 전화번호, 주소지. 이런 정보들만 잘 관리한다면 개인정보를 잘 보호하고 있는 걸까?? 

 

제2장. 법에 명시된 개인정보

개인정보 보호법에 따르면  "살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 혹은 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보."로 정의하고 있다.  

 

사실 국내의 개인정보보호에 관한 법률을 제대로 이해하려면 데이터 3 법을 알아야 하는데, 데이터 3법이란 개인정보보호법, 정보통신망법, 신용정보보호법을 모아 지칭한다.  

 

데이터 3법에서는 개인정보를  "개인을 알아볼 수 있는 정보나 다른 정보를 결합하여 개인으로 특정할 수 있는 정보로 이동단말장치 내에 있는 정보도 개인정보로 포함"되고 있다.

개인정보 보호법	정보통신망이용촉진및정보보호등에관한법률	신용정보보호법
개인을 알아볼 수 있는 정보혹은 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보.	서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 설치된 기능	컴퓨터 등 정보처리장치에서 처리할 수 있도록변환한 문자, 번호, 기호 또는 그 밖에 이와 유사한 정보로서 특정 개인을 식별할 수 있는 정보

법령을 근거 하여 모든 서비스들의 개인정보보호정책이 정해졌으며 잘 운영되고 있는 것이 아닌가?라는 의문이 들 수 있다. 

 

하지만, 운영되고 있는 서비스들에서 받고 있는 개인정보는 개인정보보호법에 입력된 최소한의 항목에 지나지 않는다.

위에서 언급한 해당정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 결합하여 알아볼 수 있는 정보, 이동통신 단말장치에 저장되어 있는 정보와 설치된 정보와 같은 넓고 포괄적인 범위의 개인정보들에 대한 내용은 찾아보기 힘들다.

 

그렇다면. 특정 개인을 다른정보와 결합하여 알아볼 수 있고 이동통신 단말장치 등에 저장되어 있는 정보에는 어떤 것이 있을까? 

 

제3장. 쿠키

누군가 계속 나를 따라다니고 몰래 훔쳐보고 있다면 어떻까?

 

내가 방문한 맛집, 재밌게 본 드라마, 많이 듣는 노래, 그리고 오래전 장바구니에 담아놓은 원피스까지. 오프라인에서 누군가가 나를 지켜보며 저런 정보를 수집하고 있다면 우리는 경찰을 불러야 한다. 스토커가 여기 있노라고.

 

하지만 위에 나열한 항목이 어딘가 익숙하지 않은가??

당장 유튜브만 들어가도 알 수 없는 알고리즘에 내 취향에 꼭 맞는 영상이 나오고, 신문기사를 보러 갔던 웹사이트의 기사 옆 배너에서는 내가 장바구니에 담아놓은 원피스가 세일 중이다.

 

멜론, 넷플릭스, 인터파크, 쿠팡, 네이버. '알 수 없는 알고리즘'으로 혹은 'ooo님이 좋아할 만한 콘텐츠'라고 지칭하는 이 서비스들은 어떻게 하는 것일까?? 

 

바로 내가 갔던 홈페이지, 내가 본 제품의 정보를 핸드폰 혹은 브라우저에 저장되는 쿠키 데이터로 수집하여 가져오는 것이다. 이런 광고 이외에도 광고/마케팅 시장에서 쿠키 정보를 활용하여 다양한 형식으로 마케팅을 진행하고 있는데. 내가 갔던 홈페이지, 봤던 드라마. 장바구니의 원피스 정보 등 내 정보가 담긴 쿠키는 개인정보가 아닌 걸까??? 

 

제4장. 쿠키는 개인정보인가? 

국내/국외의 개인정보 중 쿠키에 대해 언급한 부분은 아래와 같다.

신용정보의 이용 및 보호에 대한 법률	GDPR : 유럽 2016.04 제정
컴퓨터 등 정보처리장치에서 처리할 수 있도록 변환한 문자, 번호, 기호 또는 그 밖에 이와 유사한 정보로서 특정 개인을 식별할 수 있는 정보	본인이 사용하는 기기 ,애플리케이션, 툴,프로토콜을 통해 제공되는 인터넷 프로토콜주소, 쿠키 식별자 또는 전파식별태그 등의 기타 식별자인 온라인 식별자와 연결 될 수 있다.

* GDPR의 경우 여러 해외 국가/지역에서 제정한 법령 중 온라인 개인정보보호에 관해 가장 먼저 제정된 법이며, 넓은 지역, 사람까지로 범위를 넓혀 보다 범용적인 특성을 가지고 있다. 또한 국내 인터넷 진흥원에서는 해외로 진출할 서비스를 위해 개인정보정책에 대한 대응 표준으로 사용 중이며 GDPR만을 비교한 이유는 많은 개인정보 보호법들이 GDPR를 차용하고 있기 때문이다. 

 

국내 법의 경우 쿠키에 대한 직접 언급 없이 여러 경우의 수단과 방법을 포괄적으로 나타내고 있어 법률적 이슈가 생겼을 때 판례 등으로 추후 정의될 가능성이 있으며,  국외 정책인 GDPR의 경우 쿠키를 직접 언급하여 개인정보로 명확하게 정의하고 있다. 

 

다만, 국내의 경우 개인정보를 수집하기 위해서는 당사자에게 직접 동의를 받으라고 되어 있기 때문에, 추후 쿠키도 개인정보로 정의될 경우 쿠키 데이터를 사용하는데 사용자의 동의가 반드시 필요할 것이다.

 

제5장. 국외 서비스에서의 쿠키 수집 동의 서비스

국내에서는 안타깝게도 아직은 쿠키가 개인정보라는 인식이 약해 어떠한 이슈도 발생하고 있지 않고 있고 시장의 반응도 미온적이다. 하지만 외국의 경우 4장에서 설명한 GDPR을 기준으로 한 법령들이 자리를 잡고 있기 때문에 쿠키 정보 수집에 대한 사례들을 쉽게 발견할 수 있다. 

 

벤치마킹 등을 하기 위해 해외 사이트를 살펴보게 되면 간혹 아래와 같은 팝업이 생기는데 이 팝업의 노출이 바로 가장 대표적인 사례로 사파리, 파이어폭스, 크롬과 같은 브라우저가 아닌 사이트에서 개별적으로 쿠키를 저장함을 안내하고 동의를 받는 서비스이다.

 

 

해당 서비스에서 수집하는 쿠키 종류

1. 기본 쿠키

2. 성능 쿠키

3. 통계 쿠키

4. 마케팅 쿠키

 

※ 동의를 거부하더라도 사용엔 문제없음 

 

 

 

사용자에서는 위의 내용처럼 기본, 성능, 통계, 마케팅으로 구분하여 쿠키 수집을 동의하며 동의 내용을 언제든지 수정, 철회할 수 있고, 관리자에서는 범용적인 사용을 위한 다양한 언어, 지역, 기준을 설정할 수 있고, 데이터 수집을 위한 쿠키들을 관리하여 사용자에게 동의받을 내용을 관리할 수 있다. 

 

 

 

서비스에서 제공중인 공통 기능들

1. 동의내용 저장 후 수정 철회 가능 

2. 설정 지역에 따른 언어별 팝업 노출 

3. GDPR외 범용적 기준 설정 가능 

4. 쿠키 관리 

 

 

 

 

당장에 서비스를 도입해서 홈페이지 방문만으로 동의를 받는다고 하면 당장의 사용자들은 매우 귀찮아할 것이다. 당장에 동의를 받지 않는다고 아무도 피해를 보고 있지 않고 유별나다고 할지도 모른다. 

 

하지만, 해외에서는 OneTrust, Osano Consent Manager, Cookiebot등 이미 쿠키 및 데이터 수집 동의에 대한 서비스들이 서비스를 진행 중이며, 글로벌 시장을 타깃으로 하는 기업들에서는 인터넷진흥원을 통해 GDPR. 즉, 쿠키가 개인정보로 포함된 개인정보보호법을 대비하고 있으니.... 

 

쿠키 정보 수집서비스의 경우,  빠른 시간 내에 국내에 유입될 가능성도 염두해 볼 필요는 있어 보인다.

 

제5장. 맺음

개인정보보호에 범위에서는 명확히 명시된 내용인 이름, 성명, 주민등록번호와 같은 민감한 정보가 우선시 되어야 하는 것은 누구나 반대할 수 없는 사실이다. 그러나 그 내용만을 정의 하기에는 정의되지 않은 개인정보를 이용한 각종 범죄나 이슈들이 생겨나고 있는 것 또한 사실이다.

온라인 시장에서의 기업 혹은 서비스들은 이러한 이슈로부터 먼저 대비하기 위한 준비가 필요하고 개인정보동의 서비스가 그중 하나가 될지도 모를 일이다.