Data Brokers’ and AI Firms’ Opt-Out Forms Are Built to Fail, Report Finds

개요

Electronic Privacy Information Center (EPIC)의 새로운 연구에 따르면, 주요 AI 기업, 데이터 브로커, 데이팅 앱 등 미국의 대형 데이터 수집 기업들이 개인 정보 판매 및 공유를 소비자가 거부하지 못하도록 기만적인 방법을 사용하고 있음이 밝혀졌다.

주요 내용

* EPIC 연구진은 38개 주요 데이터 기업의 옵트아웃(opt-out, 거부권 행사) 프로세스를 감사하여 최소 8가지 유형의 조작적 디자인을 발견했다. 여기에는 실제 데이터 판매 거부가 되지 않는 양식, 찾기 어려운 링크, 단일 요청을 위해 여러 양식을 거치게 하는 방식, 계정 생성 또는 유료 구독 요구 등이 포함된다.
* Google, Meta, OpenAI와 같은 대형 언어 모델(LLM) 제공 기업들은 옵트아웃 양식을 홈페이지나 개인정보처리방침에서 명확하게 연결하지 않으며, 일부는 여러 개의 별도 양식을 제출해야 하는 요구 사항이 있다. OpenAI의 경우, 개인 정보 판매 또는 이전 거부 옵션을 제공하지 않고 "ChatGPT 응답에서 개인 정보 제거" 옵션만 제공하는데, 이는 챗봇 응답에 대한 필터링일 뿐이다.
* 사람 찾기 데이터 브로커(Spokeo, Whitepages, National Public Data)는 소비자가 데이터를 판매 또는 이전하지 않도록 거부할 수 있는 방법을 제공하지 않는다. 대신 개별 목록을 URL별로 하나씩 제거하는 프로세스를 제공하며, 향후 해당 개인 정보를 계속 판매하지 않겠다는 약속이 없다. Spokeo는 개인 정보가 예고 없이 재등장할 수 있다고 명시하고 정기적으로 확인하도록 안내한다.
* 소비자들은 옵트아웃을 위해 각기 다른 양식을 제출해야 하며, Whitepages의 경우 자신의 모든 목록을 식별하기 위해 URL을 제출해야 하고, 전체 보고서를 보려면 유료 구독이 필요하다. Bumble은 기본 설정으로 데이터 공유가 활성화되어 있으며, "Do Not Sell" 옵션이 기본 선택된 것처럼 보이지만 사용자가 클릭해야 하는 방식이다.
* Meta, X, OpenAI, Tinder 등에서는 로그인 없이는 옵트아웃 프로세스를 찾을 수 없었다. HireVue와 DataTrust는 옵트아웃 지침이 캘리포니아 거주자에게만 해당되는 것처럼 안내했지만, 20개 이상의 주에서 거부권 권리를 부여하는 법률을 통과시켰다.
* Palantir는 개인 정보 판매 또는 공유를 거부하는 옵션이 없는 개인정보처리 양식을 제공했으며, TikTok, Amazon, SoundThinking에서도 유사한 문제가 발견되었다. Palantir는 자사가 데이터 수집 또는 마이닝 회사가 아니며 고객의 기존 데이터 세트를 통합하는 소프트웨어 회사라고 반박했다.
* Amazon은 고객 정보를 판매하지 않으며, 기본적으로 옵트아웃 상태라고 주장하며 "Your Ads Privacy Choices", "Advertising Preferences" 페이지 및 장치 설정을 통해 데이터 공유 옵트아웃이 가능하다고 밝혔다.
* OpenAI는 사용자 데이터를 판매하지 않지만, 타겟 광고 및 교차 컨텍스트 행동 광고를 위해 마케팅 파트너와 제한된 데이터를 공유한다고 인정하며, 앱 내 및 개인정보처리 포털을 통해 사용자가 데이터 사용을 제어할 수 있도록 한다고 밝혔다.
* HireVue는 개인 정보처리방침이 마케팅 웹사이트 방문자에게만 적용되며, 고용주가 구성하는 동의 제어 하에 HR 플랫폼을 통해 처리되는 구직자에게는 적용되지 않는다고 반박했다.
* Spokeo는 어떤 주 거주자든 여러 채널을 통해 옵트아웃 요청을 수락하며, URL 기반 방식은 소비자가 자신의 정보가 포함된 특정 목록을 식별할 수 있게 한다고 주장했다.

시사점

EPIC은 효과적인 개인 정보 보호를 위해 기업들이 처음부터 불필요한 개인 정보를 수집하지 못하도록 하는 규제가 필요하며, 단순히 옵트아웃 양식을 개선하는 것만으로는 소비자가 자신의 개인 정보를 보호하기 어렵다고 결론지었다.