마이데이터 서비스를 쓸 때 동의 화면을 꼼꼼히 읽는 사람이 얼마나 될까. 솔직히 나도 그냥 '전체 동의'를 누른 적이 있다. 찾아보니 이건 나만 그런 게 아니었다. 개인정보보호위원회와 행정안전부의 실태조사 결과에서 응답자 중 59.8%가 '동의서를 확인하지 않는다'고 답했고, 그 이유로 '내용이 많고 이해하기 어렵다'는 답변이 주를 이뤘다. 2019년 조사라 지금은 조금 나아졌을 수도 있지만, 크게 달라졌을 것 같진 않다.
이게 그냥 이용자의 귀차니즘 문제냐 하면, 그렇게만 볼 수 없다. 사업자들이 제시하는 동의서가 더 길고 복잡해질수록 정보주체의 동의가 형식적으로 이루어지는, 이른바 '동의규제의 역설'이 발생한다. 동의를 더 촘촘하게 받으려 할수록 오히려 아무도 읽지 않는 문서가 된다는 얘기다. 마이데이터 맥락에서 이 역설이 특히 날카롭게 보이는 건, 여기서 다루는 데이터가 금융·건강·통신 등 꽤 민감한 영역까지 넘나들기 때문이다.
전송요구권은 '동의'와 다르다는 것부터
마이데이터를 정리하다 처음엔 헷갈렸던 게, 전송요구권이 기존의 개인정보 수집 동의랑 어떻게 다르냐는 지점이었다. 개인정보 이동권은 정보주체가 개인정보처리자에게 자신의 개인정보를 본인뿐 아니라 지정하는 제3자에게 전달해줄 것을 요구할 수 있는 권리로, EU에서 처음 도입했다. 한국에서는 이게 개인정보 보호법 제35조의2에 담겼고, 2023년 3월 개정된 법에 도입되어 2025년 3월부터 본격 시행됐다.
전송요구권은 정보주체의 수동적인 정보활용 동의라기보다 보다 적극적인 자기결정권의 행사라는 점에서 구분된다. 즉, 사업자가 정보를 '가져가도 되냐'고 묻는 게 아니라, 내가 '내 정보를 저기로 보내줘'라고 요구하는 구조다. 방향이 반대인 셈이다. 그런데 실제 동의 화면 설계를 보면 이 차이가 사용자에게 거의 전달되지 않는 경우가 많다. 어떤 정보가 어디서 어디로 흐르는지, 그 흐름의 주체가 나라는 게 시각적으로 드러나지 않으면, 결국 이용자는 그냥 '또 동의하는 거구나'로 인식한다.
동의 화면에서 자주 빠지는 것들
동의 설계를 생각하면서 세 가지 지점이 계속 눈에 걸렸다.
첫째, 어떤 정보를 어디로 보내는지가 구체적으로 보이지 않는다. 전송요구 시 정보주체는 전송 요구 목적, 전송 요구를 받는 자, 개인정보를 전송받는 자, 전송을 요구하는 개인정보 등을 담은 전송요구서를 작성해 제출하도록 되어 있다. 절차상으로는 이 내용이 다 들어가게 되어 있는 것이다. 그런데 실제 화면에서 이걸 긴 텍스트 블록에 몰아 넣으면 아무도 읽지 않는다. '보내는 정보 항목'과 '받는 곳'을 시각적으로 분리해서 보여주지 않으면, 형식 충족이지 실질 고지가 아니다.
둘째, 철회가 언제든 가능하다는 사실이 묻힌다. 정보주체는 개인정보 전송 지원 플랫폼을 통해 언제든지 정기적 전송을 철회할 수 있다. 이건 사실 꽤 중요한 권리인데, 동의를 받는 화면에서 이 내용이 작은 글씨로 처리되거나 아예 빠지는 경우가 있다. 동의를 받는 순간만 신경 쓰고, 철회 경로는 나중에 어딘가에 묻어두는 구조다. 개인정보 이동권이 정보주체에게 실질적 효용이 있으려면, 정보주체가 개인정보가 이동됨에 있어 어떻게 처리되고 있는지 명확히 인지하는 것이 전제가 된다. 철회 경로를 눈에 띄게 보여주는 것도 그 '명확한 인지'의 일부다.
셋째, 분석·가공 정보는 전송 대상이 아니라는 게 설명되지 않는다. 개인정보처리자가 수집한 정보를 기초로 분석·가공하여 별도로 생성한 정보는 전송 요구 대상에서 제외된다. 이용자 입장에서는 '내 데이터를 다 가져올 수 있겠구나'라고 기대했다가, 막상 서비스가 자체 분석해 만든 신용점수나 추천 결과 같은 건 포함되지 않는다는 걸 나중에야 알게 된다. 처음부터 범위를 솔직하게 고지하는 게 맞는데, 그게 서비스 입장에서는 '기대치를 낮추는 일'처럼 느껴지니까 빠지기 쉽다.
'알고 하는 동의'라는 말이 쉽지 않은 이유
신용정보법은 금융기관이 동의 절차를 간소화하고 시각화하여 잠재적인 개인정보 보호 위험과 소비자 혜택을 설명하는 '정보 활용 동의 등급'을 제공하도록 요구하는데, 이는 금융 소비자가 '정보에 기반한 동의'를 할 수 있도록 지원하는 것을 목적으로 한다. 말은 좋다. 그런데 이걸 화면에 실제로 구현하는 건 다른 이야기다. 설명을 늘리면 텍스트가 길어지고, 텍스트가 길어지면 읽히지 않고, 읽히지 않으면 동의는 형식이 된다. 이 구조 자체가 어렵다.
개인적으로는, 동의 화면 설계에서 가장 자주 빠지는 건 어떤 조항이나 항목이 아니라 '사용자가 이걸 실제로 이해할 수 있냐'는 질문 자체인 것 같다. 법적 요건을 채우는 것과, 정보주체가 진짜로 뭘 허락하는지 알게 만드는 것은 같은 일이 아니다. 전송요구권 행사에 따른 효과와 위험을 정보주체에게 충분히 알리고 동의를 받도록 하는 것은 아무리 강조해도 지나치지 않다. 그 말이 공허하게 들리지 않으려면, 결국 동의 화면을 설계하는 사람이 '나라면 이 화면을 읽겠나'라는 질문을 스스로에게 먼저 던져야 한다.
'privacy > 국내' 카테고리의 다른 글
| [privacy] 쿠팡 개인정보 유출 사태 정리 (0) | 2026.06.14 |
|---|---|
| [privacy] 가명정보와 익명정보, 헷갈리는 이유 (0) | 2026.05.17 |
| [privacy] 사후 처벌에서 사전 예방으로 (0) | 2026.05.16 |
| [privacy] 동의서에 저렇게까지 써야 하나 싶었던 문구들 (0) | 2026.05.08 |
| [privacy] 처리방침의 '제3자 제공'과 '위탁' (0) | 2026.04.21 |