유럽에서 불어온 태풍, GDPR

사용자들의 불안감과 언론의 비판은 단순한 여론 악화에서 그치지 않았다. 그것은 대서양 건너 유럽의 규제 당국에 강력한 명분을 제공했다. 수년간 거대 테크 기업들의 데이터 독점에 대해 우려의 목소리를 내왔던 유럽연합(EU)은, 마침내 칼을 빼 들었다.

그 칼의 이름은 GDPR (General Data Protection Regulation, 일반 데이터 보호 규정)이었다.

어느 날 아침, 구글 법무팀으로부터 광고 사업 부문 전체에 ‘최고 등급 긴급 알림’이 전달되었다. GDPR의 최종안이 발표되었으며, 2년의 유예 기간 후 전면 시행될 것이라는 내용이었다.

데이비드는 즉시 팀의 핵심 멤버들을 회의실로 소집했다. 회의실 스크린에는 GDPR의 주요 조항들이 요약되어 있었다. 알렉스는 그 조항들을 읽어 내려가며, 사태의 심각성을 깨달았다. 이것은 단순한 가이드라인이나 권고가 아니었다. 인터넷의 작동 방식을 근본부터 뒤바꾸는, 막강한 법적 구속력을 지닌 규제였다.

사라가 가장 핵심적인 조항을 짚었다.

“제7조, ‘동의’에 관한 규정입니다. 여기에는 이렇게 명시되어 있습니다. ‘데이터 처리에 대한 동의는, 자유롭게 주어지고, 구체적이고, 정보에 입각하며, 모호하지 않은 방식으로 명시적으로 표시되어야 한다.’”

그녀는 잠시 숨을 골랐다.
“여러분, 이 문장이 무슨 뜻인지 알겠습니까? 지금까지 우리가 웹사이트 하단에 작은 글씨로 넣어두었던 ‘이 사이트를 계속 사용하면 쿠키 사용에 동의하는 것으로 간주합니다’ 같은 묵시적인 동의 방식은 이제 완전히 불법이 된다는 뜻입니다.”

회의실에 있던 모두가 그 말의 무게를 실감했다.

데이비드가 다른 조항을 가리켰다.
“제17조, ‘잊힐 권리(Right to be forgotten)’. 사용자는 언제든지 자신의 개인 데이터 삭제를 요청할 수 있고, 기업은 ‘부당한 지체 없이’ 해당 데이터를 삭제해야 합니다. 우리 DMP에 저장된 수십억 명의 사용자 데이터를 어떻게 개별적으로 찾아 삭제할 겁니까?”

“가장 무서운 건 이겁니다.” 법무팀에서 파견된 변호사가 말했다. “제83조, 행정적 과징금. GDPR의 중대한 위반 시, 해당 기업의 ‘전 세계 연간 총매출액의 4%’ 또는 ‘2천만 유로’ 중 더 높은 금액을 과징금으로 부과할 수 있습니다.”

전 세계 연간 총매출액의 4%.

그 숫자가 스크린에 뜨자, 회의실은 얼음물이라도 끼얹은 듯 차갑게 식었다. 구글 같은 거대 기업에게는 수십억, 수백억 달러에 달하는 천문학적인 금액이었다. 더 이상 회피하거나 무시할 수 있는 수준이 아니었다. 이것은 회사의 존망을 위협할 수 있는 실존적 위기였다.

알렉스는 자신들이 만들어온 모든 것이 부정당하는 기분이었다.

• 제3자 쿠키를 이용한 행동 추적? 사용자의 ‘명시적 동의’ 없이는 불가능하다.
• DMP에 저장된 세그먼트 데이터? 어떤 목적으로, 어떤 데이터가 수집되는지 ‘구체적으로’ 알리고 동의받지 않았다면 불법이다.
• 제3자 데이터와의 결합? 데이터가 어디서 와서 어디로 가는지 투명하게 공개하고, 각각의 단계마다 동의를 받아야 한다.

그들이 지난 몇 년간 쌓아 올린 프로그래머틱 광고의 거의 모든 기술적 기반이 GDPR이라는 거대한 태풍 앞에 송두리째 흔들리고 있었다.

데이비드는 결연한 표정으로 팀원들을 둘러보았다.
“우리에겐 2년의 시간이 있다. 이 시간 안에, 우리는 우리의 모든 시스템을 GDPR 규정에 맞게 완전히 새로 뜯어고쳐야 한다. 이것은 선택이 아닌, 생존의 문제다.”

개인정보 보호라는 그림자는 이제 단순한 비판이나 여론이 아니었다. 그것은 막강한 법의 힘을 가진 거대한 태풍이 되어, 실리콘밸리를 향해 무섭게 다가오고 있었다. 그리고 그 태풍의 눈 한가운데에, 알렉스와 그의 팀이 서 있었다.