그렇게 얻어진 정보는 소비자에게 꼭 맞는 맞춤 서비스를 제공하고자 하는 e-소매업체의 개인화 애플리케이션처럼 부드러운 무언가에 의해 분석될 수도 있고, FBI의 감청 프로그램인 카너보어(Carnivore) 프로그램처럼 위험성이 내포된 무언가에 의해 분석될 수도 있다.
이런 이슈들이 수렴되는 곳에 기업의 데이터 웨어하우스가 있다. 데이터 웨어하우스는 웹을 비롯한 여러 소스들로부터 데이터를 수집해서 그 정보를 사내외 시스템들에 퍼뜨리기 때문이다. 데이터 웨어하우스는 그야말로 적절히 구현된 프라이버시 보호 정책의 최전방에 자리하고 있다.
최근 출판된 「클릭스트림 데이터 웨어하우징(Clickstream Data Warehousing)」이라는 책에서 필자와 공동 집필자들은 웹 환경에서 수집될 수 있는 데이터의 유형들과 거기에 포함된 프라이버시 이슈들을 다루는데 100쪽 이상을 할애했다. 이 글에서는 그 내용을 요약 제공하려 한다.
효율적이고 개인화된 서비스를 바라는 사용자들의 요구를 충족시키는 것과 그런 서비스를 제공하기 위해서 요구되는 데이터의 프라이버시를 유지하는 것 사이에는 태생적인 갈등이 존재한다. 사람들은 그런 서비스가 제공하는 혜택을 정말로 원하지만 개인정보를 공유하는 것은 꺼리고 있다. 오프라인 세계에서는 비슷한 정보를 거리낌 없이 제공하면서도 말이다.
개인화된 서비스 대 개인정보의 프라이버시
방대한 양의 개인정보가 매일 기업이나 정부 기관들에 의해 거래 또는 판매되고 있다. 이런 정보의 대부분은 신디케이트형 데이터 제공 업체들(Equifax, Acxiom, Experian 등)에 의해 관리 및 매매되고 있다. 데이터 웨어하우스 내부에서는 종종 신디케이트 정보가 온라인으로 수집된 데이터와 합쳐지고 있다. 이런 정보의 노출로 인해 고의성 없는 보안침해와 신뢰성 없는 비즈니스 프랙티스들은 기업의 명성에 심각한 피해를 줄 수 있고, 더 심하면 민형사 소송으로 이어질 수도 있다.
프라이버시는 소비자를 대상으로 하는 비즈니스에만 문제가 되는 것이 아니다. 프라이버시는 개인 소비자를 상대하는 비즈니스든, 엔터프라이즈만을 상대하는 비즈니스든 모든 비즈니스에 영향을 미친다. 산업에 따라서는 정부가 법률로 프라이버시 보호를 강제하는 경우도 있다. 미국 정부는 금융 업체들(그램-리치-블라일리 법)과 의료 및 보험 업체들(HIPAA)에게 프라이버시 보호 요건들을 지시하고 있다. 여러분의 산업이 다음 차례가 될 수도 있다.
유감스럽게도, 웹 사이트에 프라이버시 보호 정책을 고시해놓은 업체가 반드시 적절한 프라이버시 보호 장치나 법적 요건들을 준수하고 있다는 뜻은 아니다. 사실 경우에 따라서는 아무런 공식적인 정책도 없는 것이 고시는 했으되 내부적으로 무시당하는 정책보다 더 나을 수도 있다.
지금은 파산한 토이스마트닷컴(Toysmart.com)의 경우를 생각해보자. 이 회사의 자산 중 하나로 꼽히던 고객 데이터베이스가 회사 형편상 2000년에 매물로 나왔다. 하지만 미 연방무역위원회(FTC)와 몇몇 주 검찰 총장들은 토이스마트가 고시했던 프라이버시 정책을 위반했다는 이유로 고객 데이터베이스의 판매를 막기 위한 소송을 제기했었다. 토이스마트의 프라이버시 정책은 자사가 보유한 개인정보를 제3자와 「결코」 공유하지 않는다고 약속했다.
법 체계에서는 프라이버시 보호 정책을 기업과 대중간에 법적 구속력을 갖는 계약으로 보는 것이 일반적이다. 프라이버시 보호 정책에 포함된 기준을 충족시키지 못하는 것은 사기행위로 여겨지고 있으며, 그렇게 되면 소송이나 벌금부과로 이어질 수 있다. 비즈니스에 따라 차이는 있지만, 프라이버시 보호 정책은 개인 소비자 뿐 아니라 기업 사용자에 관한 정보에도 적용될 수 있다. 게다가 엔터프라이즈의 정보 프라이버시 정책은 모든 엔터프라이즈 애플리케이션들을 커버한다. HIPAA에서 보듯이 어떤 산업에서는 온라인과 오프라인 프라이버시 보호장치들이 주와 연방 법에 의해 강제되기 때문에 비켜갈 도리가 없다.
