GDPR 개정 논의: 쿠키 규제 완화와 AI 학습 데이터 활용 확대 논란

유럽연합(EU) 집행위원회가 개인 정보 보호 규정(GDPR)의 대대적인 개정을 준비하고 있습니다. 이번 개정안은 쿠키 추적부터 인공지능(AI) 모델 학습까지 기업의 개인 정보 처리 방식에 큰 변화를 가져올 것으로 예상됩니다. 하지만 일각에서는 이번 개정으로 EU의 개인 정보 보호 체계가 약화될 수 있다는 우려도 제기되고 있습니다.

쿠키 규제, GDPR로 이동 및 완화?

이번 개정안의 핵심은 쿠키 규제를 기존의 e프라이버시 지침에서 GDPR로 옮기고, 웹사이트가 사용자에게 명시적인 동의를 구하지 않고도 쿠키를 설정할 수 있도록 허용하는 것입니다. 현재 e프라이버시 지침 5조 3항은 웹사이트가 사용자 기기에 필수적이지 않은 쿠키를 저장하거나 접근하기 전에 명시적인 동의를 받도록 규정하고 있습니다. 집행위는 이러한 규정이 법적 불확실성을 초래하고 국가 당국의 감독 중복으로 인해 "더 높은 규정 준수 비용"을 발생시킨다고 주장합니다.

개정안에 따르면 웹사이트는 "저위험 목적의 폐쇄형 목록"에 근거하거나, 정당한 이익을 포함한 GDPR 하의 모든 법적 근거에 따라 쿠키를 통해 수집된 데이터를 처리할 수 있게 됩니다. 이는 옵트인(동의 기반) 방식에서 옵트아웃(거부 기반) 방식으로의 전환을 의미합니다. 즉, 기업은 사용자에게 사전 허가를 받는 대신 기본적으로 사용자를 추적하고, 개인은 나중에 추적을 거부할 수 있게 됩니다.

AI 학습, ‘정당한 이익’에 기반한 데이터 활용 허용

개정안은 또한 기업이 개인 데이터를 사용하여 AI 시스템을 학습시킬 수 있는지에 대한 논쟁적인 문제도 다루고 있습니다. 개정안은 기업이 데이터 최소화, 투명성, 무조건적인 거부권과 같은 안전 장치를 구현하는 한, AI 학습, 테스트 및 검증은 GDPR의 "정당한 이익"에 근거하여 수행될 수 있다고 명시하고 있습니다. 집행위는 편향 감지 및 정확한 모델 결과 보장을 "유익한" 목적의 예로 들었습니다. 하지만 개인 정보 보호 변호사들은 AI 처리에 대한 정당한 이익을 주장하는 것은 개인의 동의 없이 대규모 데이터 마이닝의 문을 열어줄 수 있으며, 이는 GDPR이 원래 방지하고자 했던 것이라고 지적합니다.

민감 정보 보호 범위 축소 논란

이번 개정안은 GDPR 9조에 따른 민감 정보의 정의를 좁히는 내용도 포함하고 있습니다. 인종, 종교, 건강과 같은 특징을 직접적으로 드러내는 정보에만 더 강력한 보호가 적용되며, 분석이나 추론을 통해 이러한 특징을 암시하는 데이터는 제외됩니다. 비평가들은 이로 인해 기업이 겉으로는 중립적인 데이터로부터 성적 취향이나 정치적 견해와 같은 보호되는 특징을 추론할 수 있게 되지만, 더 높은 법적 보호를 받지 못하게 될 수 있다고 경고합니다.

각계의 우려와 비판

이번 GDPR 개정안에 대한 논의는 유럽 각계에서 뜨거운 감자로 떠오르고 있습니다. 개인 정보 보호 단체들은 이번 개정안이 개인 정보 보호 기준을 약화시킬 수 있다고 우려하고 있으며, 기업들은 규제 완화가 혁신과 경쟁력 강화에 도움이 될 것이라고 주장합니다. 유럽디지털권리(EDRi)는 "GDPR, e프라이버시 프레임워크 및 AI 법은 혁신에 대한 장애물이 아니라 유럽의 인간 중심 디지털 모델의 기초"라며 "집행위는 일관성을 구실로 e프라이버시 보호를 약화시킬 준비가 된 것으로 보인다"고 비판했습니다.

맺음말

유럽 집행위원회의 GDPR 개정 논의는 개인 정보 보호와 혁신 사이의 균형을 찾는 복잡한 과정입니다. 이번 개정안이 기업의 데이터 활용을 촉진하고 AI 개발을 가속화할 수 있다는 긍정적인 측면도 있지만, 개인 정보 보호 기준 약화에 대한 우려도 간과할 수 없습니다. 향후 개정 과정에서 각계의 의견을 수렴하고 심도 있는 논의를 거쳐 개인 정보 보호와 혁신이 조화롭게 이루어질 수 있는 방향으로 나아가야 할 것입니다.