개인정보 보호 관점에서 본 프로파일링 거부권 – 유럽 vs 한국
디지털 서비스는 이제 단순한 맞춤 추천을 넘어, 소비자의 행동 데이터를 분석하고 예측하는 ‘프로파일링’ 기술을 활용하고 있다. 사용자의 클릭, 검색, 구매 이력 등 다양한 데이터가 수집되어 자동화된 알고리즘을 통해 개별 사용자에 맞는 광고, 가격, 콘텐츠가 노출된다. 그러나 이런 프로파일링은 잘못 설계되거나 감시 없이 운영될 경우, 사생활 침해, 차별, 오판 등의 위험을 동반한다. 유럽은 이를 방지하기 위해 GDPR을 통해 소비자가 ‘프로파일링을 거부할 권리’를 명시적으로 보장하고 있으며, 실제 서비스 설계에 이를 반영하도록 강제하고 있다. 반면 한국은 아직 이 권리를 구체적으로 보장하지 않으며, 실무에서도 사용자 통제권이 거의 없는 상태다. 이 글에서는 유럽과 한국의 프로파일링 관련 법제, 실무 적용, 사용자 권리 보장 수준을 비교 분석한다.
GDPR에서의 프로파일링 개념과 사용자 권리
GDPR은 제4조(4)항에서 프로파일링을 “개인의 특정 측면을 평가하기 위해 개인정보를 자동 처리하는 행위”로 정의한다. 예를 들어, 한 사용자의 나이, 위치, 검색 기록, 구매 이력을 바탕으로 ‘관심사’, ‘소득 수준’, ‘신용 위험도’ 등을 자동으로 추론하는 것은 모두 프로파일링에 해당한다. 이러한 기술은 사용자 경험을 개선하거나 광고 효율을 높이는 데 활용될 수 있지만, 동시에 차별적 가격 책정, 자동 탈락, 금융 기회 제한 등 부정적 영향을 줄 수도 있다.
이에 따라 GDPR 제22조는 ‘자동화된 결정’에 사용되는 프로파일링에 대해 사용자가 이를 거부하거나 인간의 개입을 요구할 수 있는 권리를 명확히 보장한다. 이는 단순한 정보 접근이 아니라, 사용자의 데이터가 어떻게 해석되고 판단되는지를 통제할 수 있는 권리로서, 매우 강력한 정보 주체 보호 수단이다. 특히 프로파일링이 법적 효과나 유사한 중대한 영향을 미칠 경우, 기업은 이에 대해 사전 설명, 투명한 구조, 대체 수단 제공을 반드시 준비해야 한다.
실제 유럽의 서비스들은 이 조항을 기반으로, 사용자에게 프로파일링 거부 권한을 기술적으로 제공하고 있다. 예를 들어 페이스북은 유럽 사용자에게 광고 설정 페이지에서 ‘관심사 기반 광고 중단’을 선택할 수 있도록 하고 있으며, 넷플릭스 역시 알고리즘 추천을 비활성화하거나 ‘비 개인화 콘텐츠 제공’을 선택할 수 있는 구조를 갖추고 있다. 이처럼 GDPR은 데이터 수집 아니라, 수집된 데이터를 해석하고 활용하는 방식까지 법적으로 통제하고 있는 점이 특징이다.
한국 개인정보보호법에서의 프로파일링 개념 부재
한국의 개인정보보호법은 아직 ‘프로파일링’이라는 용어 자체를 명시적으로 정의하거나 규제하지 않는다. 관련 내용을 간접적으로 유추할 수 있는 조항으로는 개인정보의 자동화된 처리 및 결과 통지 의무(개인정보보호법 시행령 제30조) 정도가 있으며, 이 역시 금융, 공공 부문 중심의 제한적인 범위에서만 논의되고 있다. 민간 서비스 영역에서 ‘내 정보가 어떤 기준으로 해석되어 자동화된 결정에 사용되고 있는가?’를 사용자 스스로 확인하거나, 그 결과를 거부할 수 있는 법적 기반은 아직 부족하다.
예를 들어 한 쇼핑몰에서 사용자의 검색·클릭 이력을 바탕으로 추천 상품이 달라진다거나, 금융 앱에서 소득 추정치에 따라 자동 한도가 설정되는 경우, 사용자는 이러한 판단의 기준과 작동 원리를 알기 어렵다. 더 나아가 해당 프로파일링을 중단해 달라고 요청하더라도, 기업은 이를 수용할 법적 의무가 없고, 실제 시스템상 이를 구분하거나 비활성화하는 기능조차 갖추고 있지 않은 경우가 대부분이다.
또한 사용자 권리를 보장할 별도의 기술적 체계도 미흡하다. 유럽은 정보 주체가 자신의 데이터가 프로파일링에 사용되고 있는지를 열람·이의 제기할 수 있도록 기술적 수단을 제공하도록 요구하고 있지만, 한국은 개인정보 처리 방침에 단지 “당사는 이용자의 정보를 마케팅, 맞춤 추천에 활용할 수 있습니다” 정도로 고지하면 법적으로 문제가 되지 않는다. 이는 이용자가 실질적으로 자신의 데이터 흐름과 해석 과정을 통제할 수 없는 상태를 만든다.
실제 서비스 내 구현 방식 차이
유럽에서는 사용자 인터페이스(UI) 수준에서도 ‘프로파일링에 대한 선택권’을 구조적으로 제공한다. 예를 들어 구글 계정 설정 메뉴의 ‘광고 맞춤 설정’에서는 사용자의 활동 데이터를 기반으로 한 광고 프로파일을 확인할 수 있으며, 이를 비활성화할 수 있다. 페이스북은 ‘광고 환경 설정’ 메뉴를 통해 관심사, 상호작용 내, 광고주 목록 등을 사용자가 직접 열람하고 ‘프로파일링 거부’를 선택할 수 있도록 한다. 넷플릭스는 추천 알고리즘의 기반이 되는 시청 기록을 삭제하거나, 개인화 추천을 초기화할 수 있는 기능을 제공한다.
이처럼 유럽 서비스는 GDPR에 따라 자동화된 판단과 관련된 데이터를 투명하게 공개하고, 이를 사용자 스스로 조정할 수 있는 구조를 마련하고 있다. 사용자는 프로파일링 결과가 자신에게 불리하게 작용한다고 판단할 경우, 해당 기능을 중단시키거나, 데이터 자체를 삭제 요청할 수 있다. 더 나아가 프로파일링 결과가 신용 점수, 보험료, 채용 등 중대한 의사결정에 사용될 경우, 기업은 반드시 인간이 개입한 검토 절차를 제공해야 한다.
한국의 주요 서비스는 이와 다르다. 대부분의 플랫폼에서 맞춤형 광고나 추천 콘텐츠를 제공하면서도, 사용자에게 이를 끄거나 조절할 권한을 제공하지 않는다. 설정 메뉴에서 “광고 설정”이나 “관심사 관리” 같은 항목을 찾아보기 어렵고, 있다 하더라도 단순히 “광고 수신 동의/거부” 수준에 머무른다. 이는 사용자 데이터가 단순한 수집을 넘어 해석되고 활용되는 단계에서도 실질적인 통제가 불가능한 구조를 의미한다. 결국 같은 플랫폼이라도 유럽과 한국에서의 사용자 경험은 근본적으로 다르게 설계되어 있다.
법 집행력과 기업의 대응 차이
GDPR은 프로파일링에 대한 사용자 권리를 단지 선언적으로 규정하는 데 그치지 않고, 위반 시 실질적인 과징금과 시정명령을 부과할 수 있는 법 집행 체계를 갖추고 있다. 프랑스 CNIL은 사용자가 프로파일링을 거부했음에도 불구하고 이를 무시하고 개인화 광고를 계속 노출한 글로벌 플랫폼 기업에 6천만 유로 이상의 과징금을 부과한 바 있으며, 독일 BfDI는 자동화된 결정 시스템에서 인간 개입이 없었던 금융기관에 시정 명령을 내렸다.
이러한 집행력은 기업들이 서비스 설계 단계에서부터 개인정보 보호 및 프로파일링 통제 기능을 고려하도록 유도한다. 기업은 내부적으로 프로파일링 판단 알고리즘의 설명 가능성, 사용자 요청에 대한 대응 프로세스, 동의 철회 시 즉시 반영되는 시스템 등을 갖춰야 하며, 이러한 체계를 갖추지 않으면 법적 리스크에 직면할 수 있다. 유럽의 DPO(데이터 보호 책임자)는 단순한 이름만 아니라, 실제로 이와 같은 프로파일링 통제 구조를 운영하고 감시하는 역할을 수행한다.
반면 한국은 프로파일링에 대한 제재 사례가 거의 없고, 감독기관 역시 해당 이슈를 독립적으로 조사하거나 규제할 법적 수단이 부족하다. 개인정보보호위원회는 특정 서비스의 과도한 자동화 결정 구조를 조사할 수 있지만, 현재까지는 마케팅 목적의 데이터 활용이나 개인화 추천 시스템에 대한 규제 사례가 전무하다. 기업은 법적 위험을 느끼지 않기 때문에 사용자 권리를 중심으로 시스템을 설계할 동기가 없다. 이에 따 데이터 주권이라는 개념이 한국에서는 이론적 권리에 머무르고 있는 현실이다.
프로파일링은 이제 모든 디지털 서비스의 기본 요소가 되었지만, 그것이 개인의 권리를 위협하는 요소로 작용하지 않도록 통제하는 것은 국가의 책임이자 기업의 의무다. 유럽은 GDPR을 통해 데이터 수집 아니라 해석과 활용 단계까지 사용자 권리를 확장하게 시켰고, 기술적으로도 이를 구현할 수 있는 기반을 마련했다. 사용자는 자신의 정보가 어떻게 자동화된 판단에 쓰이고 있는지를 확인하고, 그 판단에 동의하지 않을 자유를 가진다.
반면 한국은 아직 프로파일링을 명확히 정의하지 않았고, 사용자에게 실질적인 거부 권리나 통제 수단도 제공되지 않는다. 결과적으로 같은 서비스를 이용하더라도 한국 사용자는 자신의 데이터가 어떻게 해석되고 있는지조차 알 수 없으며, 거부할 방법도 없는 상황에 놓여 있다. 이제는 단지 개인정보를 ‘수집하지 말자’는 논의에서 벗어나, 수집된 정보를 누구의 기준으로, 어떤 판단에 사용하느냐를 통제하는 구조로의 진화가 필요하다. 정보는 곧 권력이고, 자동화된 판단의 흐름에서 벗어날 수 있는 권리는 디지털 시대의 핵심 인권으로 자리 잡아야 한다.