동 향 제 25 권 13호 통권 558호 미국 데이터 브로커(data broker) 현황 8) 유 지 연 * 1. 개 요 빅데이터 시대에 접어들면서 미국에서는 데이터 브로커(data broker) 1) 에 대한 관심 이 높아지고 있다. 미국에서 데이터 브로커라는 용어는 이전부터 존재해 왔지만, 최근 데이터 브로커에 의한 은밀하면서 공격적인 데이터 축적과 거래가 이루어지고 있어 프라이버시 침해 우려가 높아져가고 있기 때문이다(Financial Times, 2013. 6. 12). 온라인 상에서 소셜네트워크서비스(SNS), 구매 내역, 공공 기록 등의 정보를 뒤져 개 인의 프로필을 구성한 뒤 판매하며(한국일보, 2013. 6. 13), 수십억 규모의 시장으 로 확대되고 있다(Financial Times, 2013. 6. 12). * 정보통신정책연구원 미래융합연구실 부연구위원, (02)570-4238, jyy@kisdi.re.kr 1) 데이터 브로커(data broker)는 정보 브로커(information broker), 정보 재판매자(information resellers), 정보 솔루션 제공자(information solutions proriders)로도 불린다. 정보 중개자 로 번역할 수 있겠 으나, 정보 중개자 라는 용어는 우리나라에서 1990년대 말부터 사용되기 시작하였으며 도서관 이나 정보센터의 서지탐색 및 원문복사 제공 등까지 포함하는 포괄적 의미로 사용되고 있어서 본 고에서는 단어 사용에 따른 의미 혼동을 최소화하기 위해 영문 표기 그대로 데이터 브로커 라 하 겠다. 정보 중개자(information broker) 는 요금을 받는 것을 기본으로 고객의 요구에 따라 시간당으로 서비스 요금을 받고 이용 가능한 모든 정보원을 동원하여 적시에 필요한 정보를 제공하는 개인이 나 기관을 말한다. 이들이 제공하는 서비스를 시간이 많이 걸리는 서지탐색에서부터 색인작성, 목 록작성, 시장조사, 원문복사 제공에 이르기까지 다양하다(송영희, 1994). 88
미국 데이터 브로커(data broker) 현황 우리나라에서 데이터 브로커 라는 용어는 익숙하지 않지만, 시장 조사 기관 및 마 케팅 업체 등이 유사 서비스를 도모하고 있다. 빅데이터 시장이 년 80%의 고성장을 계속하여 2015년에 3,000억원, 2020년에 1조원 규모로 형성될 것으로 예상되면서 (HelloDD, 2013. 4. 18) 데이터 축적과 분석 및 결합을 통해 개인 데이터를 전문적으 로 판매하는 기업이 확대될 것으로 예측된다. 이에 본고에서는 미국의 데이터 브로커 현황을 간단하게 살펴봄으로써, 데이터 브로커에 대해서 고려해 보고자 한다. 2. 데이터 브로커 개념과 현황 데이터 브로커는 마케팅 및 기타 목적을 위하여 소비자의 오프라인과 온라인 및 모 바일 활동에 대해서 매년 엄청난 양의 정보를 수집하고 분석하고 판매하는 사람이나 기업을 말한다(New York Times, 2012. 7. 24). 데이터 브로커에 대한 관련 정의를 살펴보면, 다음 <표 1>과 같다. <표 1> 데이터 브로커 정의 FTC, 1997 GAO, 2006 데이터 브로커는 두가지 유형이 존재 - 개인에 대한 프로파일링과 기타 개인 기밀정보를 포함하여 판매하는 개인 참조 서비스 제공자(IRSPs: Individual reference service Providers) - 이름, 주소 이메일 주소, 특성, 환경, 생활 행태 등 개인 관련 사항을 판매하는 마케팅 정보 브로커 민간기업과 정부기관 등의 고객에게 정보 재판매를 목적으로 다양한 정보원으로부터 개인데이터를 수집하는 기업 Markle Foundation, 2006 공공영역에서 이용할 수 있는 정보를 수집하고 재조합하여 판매하는 기업 Gina Marie Stevens, 2007 공공영역과 민간영역으로부터 개인정보를 수집하고 국가안보 및 정책 마케팅 혹은 동 목적으로 공공 및 민간 기관에게 정보를 판매하는 회사 대표적인 회사로는 액시엄(Acxiom), 엡실론(Epsilon), 에퀴팩스(Equifax), 엑스페 리안(Experian), 하트행크스(Harte-Hanks), 인텔리우스(Intelius), 피코(FICO), 머클 89
동 향 (Merkle), 메레디스(Meredith Corp), 렉시스넥시스(LexisNexis) 등이 있다(New York Times, 2012. 7. 24). 대표적인 회사들에 대해서 정리하면, 다음 <표 2>와 같다. <표 2> 미국 데이터 브로커 대표 업체 기업 설립 상황 매출 고용 성격 - 마케팅 서비스 회사 - 금융, 보험, 소매, 통신 등 다양 액시엄(Acxiom) www.acxiom.com 1969 (NASDAQ) 11.5억 6,200명 한 업계의 고객을 대상으로 마 케팅을 위한 개인 데이터를 제공 - 1.4억 세대 이상, 약 2.1억 명 이 상의 개인 데이터를 보유하고 있으며 매월 데이터를 갱신 - 마케팅 서비스 회사 - 자체 솔루션을 통해 데이터를 수집하고 데이터의 동적 의미를 엡실론(Epsilon) www.epsilon.com 1975 (NASDAQ) - - 분석하며 해당 데이터를 고객이 직접 확인할 수 있도록 연결 - 전세계 3억 명의 회원 - 미국시장 2.5억 소비자, 2,200만 기업, 1.3억 가구의 데이터 보유 에퀴팩스(Equifax) www.equifax.com 1899 18.60억 (2010) 6,500명 (2010) - 소비자 신용 보고 및 분석 회사 엑스페리안(Experian) www.experianplc.com 1996 (LSE) 44.87억 17,000명 - 소비자 신용 보고 및 분석 회사 하트행크스(Harte-Hanks) www.harte-hanks.com 1923 - - - 마케팅 서비스 회사 인텔리우스(Intelius) www.intelius.com 2003-1.28억 (2008) 350명 (2008) - 정보 거래 회사 - 8백만 명의 고객 - 200억개의 데이터 기록 보유 피코(FICO) www.fico.com 1956 - - - 신용 평가 서비스 회사 90
미국 데이터 브로커(data broker) 현황 기업 설립 상황 매출 고용 성격 - 마케팅 서비스 회사 머클(Merkle) www.merkleinc.com 1988-3.21억 1,700명 - 125개의 마케팅 데이터베이스 를 통해 관리 - 200명의 디지털 전문가, 150명의 마케팅 분석 및 통계 학자, 500 명의 마케팅 기술 전문가로 구성 메레디스(Meredith Corp) www.meredith.com 1902 15.97억 (2006) 3,160명 (2006) - 마케팅 서비스 회사 - 8,500만 명의 소비자 데이터 보유 렉시스넥시스(LexisNexis) www.lexisnexis.com 1966 Wikipedia와 각사 홈페이지를 참조하여 작성 32억 (2007) 15,000명 - 비즈니스 정보 서비스 회사 - 신문, 잡지 등의 기사와 판례 등 에 대한 데이터베이스 기업이었 지만, 2008년 대기업 데이터 브 로커 Choicepoint를 매수해서 거대 기업으로 성장 - 45,000개 이상의 법률, 뉴스, 비 즈니스 정보원에서 50억 개 이 상의 데이터 보유 - 특징적 서비스로, 자동차보험회 사를 위해 개인의 운전 이력 데 이터를 제공하고 있음 그리고 이들 데이터 브로커에 의해 거래되는 개인 데이터의 판매가격은 대체로 1인 당 1(약 1,140원)를 넘지 않는다. 개인의 기본적인 나이 성별 위치 정보는 1인당 0.0005(약 0.57원), 사회적 관계에서 영향력 있는 사람의 정보는 1인당 0.00075달 러(약 0.86원), 소득 세부 사항과 소비 행태에 대한 기록 정보는 1인당 0.001(약 1.14원)에 거래된다. 암, 당뇨, 우울증과 같은 질병을 가진 사람의 정보는 1인당 0.26 (약 29.6원)이다(Financial Times, 2013. 6. 12). 91
동 향 3. 데이터 브로커에 대한 규제 강화 소비자의 프라이버시 보호를 소관하는 연방거래위원회(FTC: Federal Trade Commission, 이하 FTC)는 데이터 브로커에 의한 지나친 데이터 이용이 빈발하게 된 것을 인식하여 데이터 브로커 업계 규제를 강화하는 움직임을 보이고 있다(IT Initiative, 2013. 6. 28). FTC는 2012년 3월에 발표한 급속히 변화하는 시대에 있어서의 소비자 프라이버 시 보호(Protecting consumer privacy in an era of rapid change) 를 통해 데이터 브 로커에 대한 규제를 도모하였다. 데이터 브로커가 소유하는 정보에 소비자가 엑세스 할 수 있도록 할 것과 함께 개인정보와 그 취급방법에 대해서 소비자가 일원적으로 참조할 수 있도록 웹사이트를 구축할 것을 제안하고 있다. 데이터 브로커가 소유하는 정보에 소비자가 엑세스할 수 있도록 하는데 있어서는 소비자 데이터를 수집하거나 이용하는 모든 기업에 적용할 것을 권고하고 있지만, 보고서에는 연간 5,000명 미만의 중요성이 낮은 정보를 수집하고 타사와 공유하지 않는 기업은 대상에서 제외하고 있 다(FTC, 2012. 3). FTC는 현재 데이터 브로커에 의해 기록되는 자신의 데이터를 소 비자가 직접 엑세스 할 수 있는 실질적인 권한을 부여하기 위하여 온라인 포털을 구 상 중이다. 이 구상을 당신의 이름 되찾기(Reclaim your name) 로 명명하고 있다. 당신의 이름 되찾기(Reclaim your name) 는 브로커가 데이터를 어떻게 수집하고 이 용하는지에 대해서 알 수 있도록 소비자에게 권한을 부여한다. 자신의 정보가 데이터 브로커에 의해서 마케팅 목적으로 판매되고 있다는 것을 안다면 사후 거부(opt-out) 를 설정할 수 있으며 신용, 보험, 고용 및 기타 혜택 등과 같은 의사 결정을 위해 이용 되는 정보의 오류를 정정할 수 있는 기회를 제공한다(New York Times, 2013. 6. 26). 그리고 2012년 6월에는 개인 데이터를 부적절하게 활용한 데이터 브로커인 스포키 오(Spokeo)에게 80만 (9억 1,160억원)의 민사제재금을 부과하였다. 스포키오(Spokeo) 는 온라인과 오프라인을 합쳐서 수 백명의 정보원으로부터 데이터를 수집하여 상세한 개인 프로파일 데이터를 작성하고 이를 이력서 이상의 정보라고 내세워 기업의 채용 92
미국 데이터 브로커(data broker) 현황 담당자에게 판매하였다. 개인의 신용에 대한 정확한 정보 작성을 의무화하는 공정신 용정보법(FCRA: Fair Credit Reporting Act) 에 위반으로 처분된 것이다. 소셜미디 어의 정보를 채용 활동에 활용한 행위에 대해 공정신용정보법(FCRA)으로 제재한 최 초의 판례이다(FTC, 2012. 6. 12). 그 후, FTC는 2012년 12월에 데이터 브로커 업계에 있어서 데이터의 수집 이용 실태를 분석하기 위해 Acxiom을 포함한 데이터 브로커 9개 회사 2) 에 대해서 정보 제 공을 요청하였다(FTC, 2012. 12. 18). 또한 FTC는 2013년 5월에 프라이버시 위반 혐의가 있는 데이터 브로커 10개 회 사 3) 에 대해서 경고를 통지하였다. 경고 사유는 신용 판단, 보험 결정, 고용 등의 목적 에 소비자 정보 제공하였기 때문이다(FTC, 2013. 5. 7). 이와 같이 미국에서는 서서히 데이터 브로커에 대한 규제가 강화되고 있는 상황이다. 4. 결 어 우리나라에서는 데이터 브로커 영역이 명확히 구분되어 있지 않다. 하지만 공공데 이터의 제공 및 이용 활성화에 관한 법률 이 6월 27일에 국회 본회의를 통과하여 9월 시행을 앞두고 있으며(뉴스토마토, 2013. 7. 3), 빅데이터 분석 시장이 형성되고 있는 현 시점에서 개인 데이터의 프로파일링과 제3자 제공에 의한 재활용 등에 대해 보다 구체적인 고민이 필요하다. 현재 우리나라에서는 개인정보보호법과 정보통신망법에 의해 정보 주체의 동의를 받거나 필수 목적 범위 내에서 개인정보를 수집 이용하고 제3자에게 제공할 수 있도 록 하고 있다. 하지만, 법제에 의해 개인데이터가 보호받을 수 있는 경우는 개인 데이 터의 식별가능성을 전제로 한다. 결합에 의해 식별 가능해진 데이터를 포함하지만, 여 2) Acxiom, Corelogic, Datalogix, ebureau, ID Analytics, Intelius, Peekyou, Rapleaf, Recorded Future. 3) ConsumerBase, ResponseMakers, BrokersData, US Data Corporation, Crimcheck.com, 4Nannies, U.S. Information Search, People Search Now, Case Breakers, USA People Search. 93
동 향 러 경로를 통해 모여진 개인의 비식별 데이터들이 결합에 의해 식별가능성이 부여되 는 것을 알 수 없으며 개인을 위해 유용하게 활용되고 있는지에 대해서 파악하기 어 렵다. 개인을 보호하면서 동시에 개인을 위해 의미있게 이용될 수 있는 개인 데이터 활용 환경이 마련되어야 한다. 참고문헌 송영희 (1994), 정보 브로커에 관한 연구, 도서관 49(4). FTC(Federal Trade Commission) (2012. 3). Protecting consumer privacy in an era of rapid change. FTC(Federal Trade Commission) (2012. 6. 12). Spokeo to pay $800,000 to settle FTC charges company allegedly marketed information to employers and recruiters in violation of FCRA. FTC(Federal Trade Commission) (2012. 12. 18). FTC to study data broker industry s collection and use of consumer data: commission issues nine orders for information to analyze industry s privacy practices. FTC(Federal Trade Commission) (2013. 5. 7). Warns data broker operations of possible privacy violations. FTC(Federal Trade Commission) (1997. 12). Individual reference services: a federal trade commission report to congress. GAO (2006). Personal information: agency and reseller adherence to key privacy principles. Gina Marie Stevens (2007). Data brokers: background and industry overview, WikiLeaks Document Release. Markle Foundation (2006). The architecture for privacy in a networked health information environment. 94
미국 데이터 브로커(data broker) 현황 뉴스토마토 (2013. 7. 3), 한국정보화진흥원, 공공 빅데이터 지원센터 출범. 한국일보 (2013. 6. 13), 개인 정보 한 개에 0.57원?. HelloDD (2013. 4. 18), 2020년 국내 빅데이터 시장 1조원 전망. Financial Times (2013. 6. 12). Companies scramble for consumer data. IT Intiative (2013. 6. 28). データブローカー に 暗 雲 米 国 で 高 まるパーソナ ルデータ 活 用 の 規 制 強 化 の 機 運. ITPro(2012. 3. 27). FTCがプライバシー 保 護 の 報 告 書 データブローカー 向 け 法 整 備 など 追 加. New York Times (1997. 12. 17). Information industry agrees to keep. New York Times (2012. 7. 24). Congress to examine data sellers. New York Times (2013. 6. 26). F.T.C. member starts reclaim your name campaign for personal data. Wikia data broker http://itlaw.wikia.com/wiki/data_broker 95