EU '디지털 옴니버스' 패키지, 규제 간소화 명목으로 GDPR을 해체하려 함

EFF가 유럽위원회(EC)의 "디지털 옴니버스(Digital Omnibus)" 패키지를 분석한 글. GDPR을 대폭 개정하겠다는 건데, 간소화라더니 실상은 개인정보 보호를 크게 약화시키는 내용임.

개인정보의 정의 자체를 바꾸겠다고?

• 현행 GDPR에서 개인정보는 "누군가를 합리적으로 식별할 수 있는 정보"라는 비교적 단순한 기준임. 새 제안은 이걸 "특정 주체가 합리적으로 할 수 있거나 할 가능성이 있는 것"에 따라 판단하는 가변적 기준으로 바꾸려 함
• 같은 데이터가 A 기업에겐 개인정보이고 B 기업에겐 아닌 상황이 생김. 기업이 식별자를 다른 정보와 분리하는 조직 개편만으로 GDPR 의무를 회피할 수 있는 길이 열리는 거임
• 어떤 데이터가 "비식별 가명처리 데이터"인지 정의하는 권한을 정치적 행정기관인 유럽위원회가 갖게 됨

AI에 특권을 부여

• AI 개발을 "정당한 이익(legitimate interest)"으로 취급해서, 개인이 능동적으로 거부하지 않는 한 AI 기업이 광범위하게 개인정보를 처리할 수 있는 법적 근거를 줌
• 민감한 개인정보(건강, 인종 등)까지 AI 시스템에서 사용할 수 있는 새 예외 조항도 만듦. "기술적·조직적 조치"를 취해야 한다고는 하는데, 뭐가 적절하고 비례적인 조치인지는 불분명함
• 결과적으로 AI 시스템은 민감 데이터를 처리할 수 있는데, 같거나 더 낮은 위험을 가진 비AI 시스템은 못 하는 역설이 생김

쿠키 동의 자동 신호: 유일하게 괜찮은 아이디어

• 브라우저에서 자동 동의 신호(consent signal)를 보내 모든 웹사이트에서 쿠키를 일괄 거부할 수 있게 하는 제안은 좋음. 다크 패턴(dark pattern)으로 점철된 쿠키 팝업 지옥에서 벗어날 수 있음
• 문제는 세부 사항에 있음. 신호 포맷을 기술 표준화 기구에서 정하는데, 빅테크가 자기들에게 유리한 표준을 로비해온 전력이 있음
• 모바일 OS는 이 요구사항에서 빠져 있음. 웹에서는 프라이버시 권리가 있는데 앱에서는 없다? 말이 안 됨
• 미디어 서비스 제공자도 면제 대상이라, 언론사가 성가시거나 기만적인 배너로 계속 동의를 뜯어낼 수 있는 허점이 남음

간소화가 아니라 "복잡화(complification)"

• GDPR만 건드리는 게 아니라 e-프라이버시 지침, 사이버보안 규칙, AI법, 데이터법까지 한꺼번에 손대겠다는 거임
• 자동 의사결정 관련 규칙 완화(기업이 서비스에 필요하다고 주장하기 쉬워짐), 투명성 요건 축소(데이터 사용 설명 의무 감소), 데이터 접근 권리 수정 등 우려스러운 변경이 다수 포함
• 원래 이전 제안에서는 GDPR 자체는 건드리지 않고 중소기업의 기록 보관 의무를 완화하는 정도였는데, 이번에 갑자기 구조적 대수술로 확대됨. 기본적인 입법영향평가(Better Regulation) 원칙도 안 지켰다는 비판
• noyb(유럽 개인정보보호 NGO)의 상세 분석도 같은 결론: 간소화하겠다더니 오히려 더 복잡해지고, 개인정보 보호만 약해진다는 거임