I. 서론
디지털시대에 정보는 개인과 기업, 그리고 국가의 경쟁력을 좌우하는 핵심요소이자 가치창출의 원천이다. 경제발전의 생산수단이 정보이고 정보를 활용하여 부가가치를 창출할 수 있기 때문이다. OECD는 이를 “지식과 정보를 직접 생산하고 배포하는 산업이 기반인 경제”로 정의한다[16].
그러나 디지털시대에서 정작 정보에 대한 위험은 증가하는 추세다. 불분명한 정보유통 및 사이버위협과 같은 사회적 문제, 그리고 그로 인한 개인정보유출, 정보 오남용 등으로 많은 금융피해와 경제적 피해가 발생한다. 원인이 되는 해킹기술은 개인과 기업뿐만 아니라 국가를 대상으로 공격하는 형태까지 발전하였고, 그 피해 및 파급효과는 매년 증가한다. 이는 정보통신기술의 순기능과 역기능이 동시에 존재하기 때문이다. 디지털시대의 핵심인 정보통신기술의 발전은 사회 전 영역에서 변화를 선도하고 일상생활을 편리하게 해주는 순기능과, 사이버 범죄와 정보격차로 인한 정보소외계층을 발생시키는 역기능이 있다. 정보통신기술의 역기능에서 발생한 문제인 개인정보유출은 편리한 일생상활과 사회의 긍정적인 변화에 악영향을 미친다. 개인정보보호포털에 따르면 원치 않는 광고성 정보로 일상생활이 불편해지는 것뿐만 아니라 범죄행위에 악용될 우려가 있고, 그 과정에서 발생되는 개인의 정신적·물질적 피해의 규모는 측정이 불가능하며 이미 유출된 개인정보의 회수 또한 사실상 불가능하다.
결과적으로 이 현상은 정보주체의 삶의 질을 저하시킴으로써 디지털시대의 발전을 저해한다. 물론, 현재 우리나라에서는 Opt-in(사전동의) 기반의 동의 방식을 적용하고 지속적으로 개인정보와 관련된 법과 지침을 개정하는 등의 다양한 조치를 취하고 있지만, 개인정보의 유출사건은 끊임없이 발생하고 그 위험성을 더한다[3]. 따라서 개인정보의 주체가 되는 정보주체들의 정보에 대한 권리를 강화시킴으로써 상황을 개선할 수 있다는 관점에서 본 논문은 정보주체의 선택능력을 강화함으로써 정보를 보호하는 권리, 즉 개인정보가 아닌 개인의 정보(data)에 대한 권리인 정보권을 보장하고자 한다.
정보주체의 개인정보에 대한 인식실태를 조사하기 위하여 한국인터넷진흥원(KISA)에서 ‘2014 정보보호 실태조사’를 진행한 결과, 정보보호가 중요하다고 인식한 인터넷 이용자는 약 93.9%에 다다르지만, 실제 관련 교육 및 제품에 지출하는 이용자는 8.5%이고 정보보호 소프트웨어를 이용하는 이용자는 평균 32%로 상대적으로 저조한 실태를 보인다[19]. 또한 개인정보보호위원회의 ‘2015 개인정보보호 실태조사’ 결과로 약 89.9%의 이용자가 개인정보보호의 중요성을 인식한 반면, 정보보호활동을 수행하는 이용자는 30%정도로 낮은 수치가 나타난다[22].
즉, 이는 근본적으로 개인정보자기결정권 행사에 대한 개인의 판단력에 문제가 있어 발생한 현상으로 보인다. 이러한 판단력의 문제는 사람들의 프라이버시에 대한 태도(attitude)와 행동(behavior) 사이에 존재하는 괴리를 의미하는 프라이버시 역설(privacy paradox)이 존재하기 때문이고 현대의 디지털시대는 개방성과 다양성, 개인화, 선택중심 등의 특성을 갖고 있으므로 위의 현상이 극대화된다[12].
이에 따라 본 논문은 정보주체의 프라이버시 역설을 해결하고 개인의 정보보호와 활용에 대한 판단 및 결정 능력을 증진하기 위하여 정보주체의 개인정보에 대한 수준을 파악하고자 한다. 이를 통하여 정보주체의 올바른 개인정보자기결정권 행사를 기대한다.
II. 개념 정리 및 선행연구 분석
본 논문은 프라이버시 리터러시의 측정을 통하여 정보주체의 개인정보자기결정권과 관련된 선택능력을 강화하는 것을 목적으로 한다. 이에 본 장을 통하여 개인정보자기결정권과 프라이버시 리터러시 개념을 정리하고 선행연구를 분석하여 개인정보자기결정권의 올바른 행사가 무엇인지 알아볼 것이다.
2.1 개념 정리
2.1.1 개인정보자기결정권의 의미
개인정보자기결정권은 권리로서 적극적인 통제권과 자율적 결정권을 의미한다. 즉, 오늘날 프라이버시권은 정보주체 자신의 정보를 통제할 수 있는 권리와 정보처리에 있어 정보주체의 참여를 보장하고 그 과정에서 체계적 역감시를 요구할 수 있는 적극적인 권리다. 비록 명문으로 정해지지는 않았으나 헌법 제17조에서 사생활의 비밀과 자유의 불가침을 보장하고 있으므로 이를 통하여 정보주체가 자신에 대한 정보가 타인에게 전달되고 이용되는 시기와 방법, 범위에 대한 자율적 결정권, 즉 개인정보자기결정권이 도출된다고 볼 수 있다. 이에 헌법재판소의 판결에 따르면, 개인정보자기결정권의 보호대상은 개인의 인격 주체성을 특징짓는 사항(개인의 신체, 신념, 사회적 지위 등)으로 개인의 동일성을 식별할 수 있게 하는 정보이나, 반드시 개인의 민감한 영역에 속하는 정보 뿐만 아니라 공적 생활에서 형성 또는 이미 공개된 정보까지 포함된다.
이와 같은 개인정보자기결정권에 대하여 정보주체가 제대로 인식하지 못할 경우, 정보유출 혹은 정보유출을 통한 권리침해의 발생을 인지하지 못하므로 적절한 대응 및 구제에 어려움이 생긴다. 특히 개인정보자기결정권은 개인정보에 대하여 정보주체가 열람·정정·사용중지·삭제 등을 청구할 수 있는 능동적·적극적 권리이므로 더 중요하다. 그러나 개인정보와 개인정보자기결정권이 중요함에도 불구하고 기술적 추적 등으로 개인정보가 유출됨으로써 개인정보자기 결정권의 침해는 지속되고 있다. 올바르게 해당 권리를 행사하여 이와 같은 사건의 발생을 줄여야함은 마땅하다.
2.1.2 프라이버시 리터러시의 의미
많은 학자들은 프라이버시 리터러시를 다양하게 정의한다. P.L. Ackerman[24]은 선언적 지식과 절차적 지식의 조합으로 프라이버시 리터러시를 정의하였고, 선언적 지식은 사용자의 관련 법률과 지침, 제도적 관행에 대한 기술적 측면까지 포함하여 보유한지식, 절차적 지식은 개인의 프라이버시 규정 및 정보보호를 위해 전략을 적용할 수 있는 사용자의 능력으로 정의한다. 즉, 프라이버시 리터러시를 사용자의식과 사용자의 능력을 모두 포함하는 의미로 사용한다. J. Langenderfer과 A.D. Miyazaki[14]는 정보특성의 상호작용과 해당 특성 내의 책임을 소비자가 이해하는 것으로 프라이버시 리터러시를 정의하며, 프라이버시에 대한 책임이 대중의 손에 달린 상황을 이해해야 하고, 리터러시의 부족은 중대한 영향을 미칠 것으로 보고 있다. 또한, 모든 참여자들이 동의하는 프라이버시 보호와 정보공개의 균형을 위한 보호장치격인 요소라고 주장한다. F. Brecht et.al[6]은 프라이버시 리터러시를 컴퓨터 리터러시의 일부로서, 개인의 컴퓨터 기술, 자세, 생각에 의해 영향을 받는 것으로 본다. Park[30]은 이용자가 자신의 디지털 정체성에 대한 폭넓은 제어의 의무를 지도록 권한을 부여하고 지원, 촉진하게 하는 원리로 프라이버시 리터러시를 정의한다.
Table 1. Definition of privacy literacy
이에 본 논문에서는 프라이버시 리터러시를 “정보주체가 온라인상 자신의 디지털 정체성에 대하여 관련 법률 및 지침, 제도적 측면을 이해하고, 개인정보 및 프라이버시 보호를 위한 기술적 지식을 보유하여 실제 전략을 수행하는 능력”의 개념으로 본다.
일반적으로 리터러시는 지식, 기술, 적용으로 구분한다[16]. 지식 차원은 실제 정보에 대한 지식과 해당 정보의 가치에 대한 판단, 법/제도와 관련한 사회에 대한 지식, 소통을 위하여 다른 사람에 대한 이해로 구성되고, 기술 차원은 관련된 기술에 대한 제어능력이 포함되며, 적용 차원은 지식적 측면에서 판단된 정보를 기술적 측면을 이용하여 실제 적용하는 능력으로 구성된다. 그러나 프라이버시 리터러시는 개인정보에 대한 통제권과 자율적 결정권인 개인정보 자기결정권의 개념을 포함한다. 기존의 리터러시들이 단순히 정보를 인식하고 분석하여 새로운 정보를 창출하고 해당 내용을 적용하며 사회에 영향을 끼치는 능력으로 구성될 때, 프라이버시 리터러시는 이 모든 과정의 목적이 개인정보의 보호에 있다[27]. 즉, 개인정보를 인식하고 분석하고, 정보보호와 관련하여 사회에 영향을 미치며 정보를 보호함으로써 개인을 더욱 개인답게 만드는 인권의 영역도 포함한다.
이에 본 논문에서는 ‘적용’을 대신하여 의무와 권리 모두를 고려한 실질적인 적용의 의미로서 ‘판단’이라는 개념을 도입한다. 즉 프라이버시 리터러시를 지식, 기술, 판단으로 구분하고 수행능력을 평가한다. 그리고 ‘적용’에 대한 이해와 해석을 단계적 수준으로 세분화하여 인지, 이해, 적용으로 구분한다. 이와 같은 관계를 표현하면 Fig.1.과 같다.
Fig. 1. Privacy literacy relationship diagram
2.2 선행연구 분석
리터러시 수준 측정을 목표로 하는 다양한 기준이 있다. 유럽시청자권익위원회(EAVI: European Association for Viewers' Interests)는 미디어 리터러시의 수준 측정을 위한 모델을 제시하였고 [21], 영국국립도서관협회(SCONUL: Society of College, National and University Libraries)[20]은 정보 리터러시의 7가지 원칙을 도출하고 고등교육을 위한 리터러시 모델을 제안하였다. S. Trepte et al.[27]은 온라인 프라이버시 리 터러시를 측정하기 위한 기준(OPLIS: Online Privacy Literacy Scale)을 제시하며 프라이버시와 데이터를 보호하기 위한 전략을 발표했다. 이 외에도 호주의 ACER에서 ICT 리터러시를 측정하기 위하여 수행형 ICT 리터러시 검사 도구를 개발하였고1), CILIP(Chartered Institute of Library and Information Professionals)에서 정보 리터러시 모델을 개발하였다2).
국내에서는 방송통신위원회[13]가 이용자 및 사업자의 개인정보보호에 대한 인식수준을 분석하기 측정 척도를 개발하였고, 한국교육학술정보원[17]이 디지털 리터러시 지수 개발 연구를 통하여 초등학생의 교과과정에 반영, 수준 측정을 시행하였다.
분석 결과, 국내 기존 연구는 프라이버시 리터러시를 측정하는 것이 아닌 디지털 및 미디어 리터러시를 측정하고, 개인정보보호 수준을 측정함에 있어서도 정보주체가 아닌 사업자 또는 정부 측면에서의 정보 보호를 위한 수준평가가 대다수이다. 또한 기존의 정보주체를 위한 수준 평가는 측정 대상이 대부분 학생들이므로 정보주체와 같은 성인을 대상으로 진행된 연구는 부족하다.
III. 프라이버시 리터러시 측정 지수
리터러시의 수준은 개개인마다 다르다. 과거에는 단순히 글을 읽고 쓰는 능력(文識性)차원의 문제였으나 시대가 변화하면서 중심기술과 핵심가치가 달라지고 리터러시의 영향과 범위도 확장되고 있다. 디지털시대는 정보의 개방성과 다양성이 중시되고 사회특성으로 개인화가 심화되면서 개인의 선택을 중요시한다[3]. 이는 사회에 있어 개인이 가지는 영향이 커졌음을 의미하고, 따라서 개인에 대한 정보 역시 현 시대의 핵심가치로 떠오르고 있음을 반증한다.
본장에서는 이러한 현대사회의 흐름에 맞춰 개인정보를 보호하는 목적을 가진 프라이버시 리터러시의 수준을 측정하기 위한 지수 및 지표를 제시한다.
3.1 프라이버시 리터러시 지수 개발
본 지수는 개인정보자기결정권 및 프라이버시 리터러시의 의미 분석을 통하여 기본적으로 구성영역과 역량수준으로 구성하였다.
구성영역은 프라이버시 리터러시가 구성되는 영역을 구분한 카테고리로 개인정보보호에 대한 지식영역, 기술영역, 개인의 가치판단을 측정하기 위한 판단영역을 포함한다. 역량수준은 구성영역에 대한 정보주체의 수준을 인지, 이해, 적용으로 구성한다. 그리고 지식, 기술, 판단영역과 인지, 이해, 적용수준을 1:1로 매칭하여 총 9가지의 세부항목으로 구성한다(Fig. 2. 참조).
Fig. 2. Privacy literacy index
지수를 구성하는 상세 지표는 방송통신위원회[13]의 개인정보보호 인식수준 분석을 기초로 유럽시청자 권익위원회(EAVI)[21] 및 영국국립도서관협회(SCONUL)의 리터러시 모델[20]과 온라인 프라이버시 리터러시를 측정하기 위한 기준(OPLIS)[27] 등의 측정기준을 참고로 하여 작성하였다. 이러한 구성은 상기 Table 2.와 같다.
Table 2. Components of privacy literacy index
본 지수를 통한 수준평가는 절대평가 형태의 측정값과 상대평가 형태의 측정값을 혼용하여 사용한다. 구성영역에서 지식영역과 기술영역은 절대평가 형태의 기준에 근거하여 정보주체의 실제적인 지식과 능력을 측정한다. 그러나 판단영역은 급변하는 디지털 시대의 특성과 다양성을 반영하여 상대평가 형태로 가치 선택을 파악한다.
측정방법은 주로 3점 및 5점 척도로 진행하는데, 이와 같은 리커트 척도(Likert scale)는 추가적인 응답자의 의견을 파악하기 힘들고 상황에 따라 중립적인 선택으로 솔직한 응답의 회피라는 한계가 있다. 하지만, 프라이버시 리터러시 수준 측정이라는 차원에서 응답자들이 쉽게 응답할 수 있고 측정 강도를 쉽게 나타낼 수 있다는 점에서 본 지수에서는 리커트 척도를 사용한다.
그리고 측정은 일반 성인을 대상으로 하여 주기적으로 시행하며 시대의 흐름에 맞게 항목을 변화하고 지속적으로 측정결과를 비교·분석함으로써 프라이버시 수준을 평가하는 척도로 활용한다.
상세 지표에 대한 구체적인 사항은 다음과 같다.
3.1.1 지식 - 인지
지식영역에서 인지수준을 측정하기 위하여 세 가지 카테고리로 구분한다. 개인정보보호법과 제도, 개인정보보호 권리, 개인정보 피해구제기구에 관한 사항이다.
첫 번째인 개인정보보호 법과 제도는 개인정보보호 관련 법3)과 제도4)에 대한 인지로 구성된다. 두 번째인 개인정보보호 권리는 정보주체가 행사할 수 있는 권리에 대한 인지5), 세 번째인 개인정보 피해구제기구는 개인정보 피해 발생 시 신고기관에 대한 인지6)이다. 자세한 내용은[부록]에서 확인가능하다.
세 가지 카테고리 모두 5점 척도를 이용하여(‘들어 본 적이 없는 경우’ 1점을 획득하고 ‘사례를 설명할 수 있는 경우’에는 5점을 획득) 인지도를 측정한다. 최소 20점, 최대 100점의 점수를 획득할 수 있다.
3.1.2 지식 - 이해
지식영역에서 이해수준을 파악하기 위하여 개인정보보호 기본지식, 웹사이트 내 개인정보보호, 개인정보 유출 및 도용 인식 등 세 가지 카테고리로 구분하여 측정한다.
첫 번째인 개인정보보호 기본지식은 정보보호 주체로서 알고 있어야 할 정보보호 일반사항에 대한 이해12)이다. 두 번째인 웹사이트 내 개인정보보호는 웹사이트 사업자가 개인정보를 보호하기 위하여 수행해야 하는 필수사항 중 정보주체가 알고 있어야 하는 사항에 대한 이해13)이다. 세 번째인 개인정보 유출 및 도용 인식은 개인정보의 유출 혹은 도용의 위험성과 우려, 도용된 경우에 대한 이해14)이다. 자세한 내용은 [부록]에서 확인가능하다.
세 가지 카테고리 모두 5점 척도를 이용하며 개인정보보호 기본지식은 인지 수준을(‘들어본 적이 없는 경우’ 1점을 획득하고 ‘사례를 설명할 수 있는 경우’에는 5점을 획득), 웹사이트 내 개인정보보호와 개인정보 유출 및 도용 인식은 동의 수준을(‘들어본 적 없는 수준’, ‘1~2회 들어본 수준’, ‘단어가 익숙한 수준’, ‘의미를 설명할 수 있는 수준’, ‘사례를 들어 설명을 할 수 있는 수준’) 측정한다. 최소 20점, 최대 100점의 점수를 획득할 수 있다.
3.1.3 지식 - 적용
지식영역에서 적용수준을 파악하기 위하여 두 가지 카테고리로 구분한다. 인지 및 이해 수준을 토대로 정보주체가 회원가입 또는 특정 서비스를 이용하고자 하는 경우에 취하는 이용약관과 개인정보처리방침에 대한 태도 및 행위이다.
첫 번째인 이용약관은 서비스 이용자로서 파악해야 하는 인지 및 이해에 대한 적용15)이다. 두 번째인 개인정보처리방침은 웹사이트 가입 혹은 특정 서비스 이용을 위해 파악해야 하는 개인정보정책의 인지 및 이해에 대한 적용16)이다. 자세한 내용은[부록]에서 확인가능하다.
두 가지 카테고리 모두 5점 척도를 이용하여(이전 척도값과는 역으로 ‘매우 동의하는 경우’ 1점을 획득하고 ‘전혀 동의하지 않는 경우’에는 5점을 획득) 적용도를 측정한다. 최소 20점, 최대 100점의 점수를 획득할 수 있다.
3.1.4 기술 - 인지
기술영역에서의 인지수준은 용어에 대한 이해수준을 측정하는 것으로 기술용어, 환경용어, 공격기법 등 세 가지 카테고리로 구분한다.
첫 번째인 기술용어는 보안관련 용어의 인지17)이다. 두 번째인 환경용어는 디지털시대 환경에 대한 인지18)이다. 세 번째인 공격기법은 정보보호에서 문제시되는 공격상황에 대한 인지19)이다. 본 영역의 경우에 개인정보보호법의 안전성 확보조치 고시와 정보통신망법의 기술적·관리적 보호조치 기준, 한국인터넷진흥원의 2016년 인터넷 및 정보보호 10대 이슈 전망 보고서 등을 참고하여 키워드를 수집하였다. 자세한 내용은[부록]에서 확인가능하다.
세 가지 카테고리에서 기술용어와 환경용어는 3점 척도를 이용하며(해당 용어를 들어본 경우에 1점을 획득하고 해당 용어에 대한 설명이 가능한 경우 3점을 획득) 공격기법은 앞선 두 카테고리 보다 용어 친숙성이 떨어진다고 판단하여 1점 척도만으로(해당 용어를 들어본 경우 1점을 획득) 인지도를 측정한다. 최소 30점, 최대 100점의 점수를 획득할 수 있다.
3.1.5 기술 - 이해
기술영역에서 이해수준을 파악하기 위하여 소셜 네트워크 서비스(SNS) 프라이버시 공개 범위, 웹사이트 개인정보 공개 선택 범위 등 두 가지 카테고리로 구분하여 측정한다.
첫 번째인 소셜 네트워크 서비스(SNS) 프라이버시 공개 범위는 소셜 네트워크 서비스에서 공개하는 개인정보 범위에 대한 이해20)이다. 두 번째인 웹사이트 개인정보 공개 선택 범위는 웹사이트 등 사업자와의 계약(동의 절차)을 통해 이루어지는 정보주체 선택성에 대한 이해21)이다. 본 영역의 경우에 디지털시대 특성을 반영하여 정보주체가 자신의 개인정보를 어느 정도 공개할 것인지 범위를 설정하고 선택한다.
두 가지 카테고리 모두 5점 척도를 이용하나 척도별 배점은 달리하여 소셜 네트워크 서비스(SNS) 프라이버시 공개 범위는 1점과 5점 사이이며(‘전혀 동의하지 않는 경우’ 1점을 획득하고 ‘매우 동의하는 경우’에는 5점을 획득) 웹사이트 개인정보 공개 선택 범위는 2점과 10점 사이로 이해도를 측정한다. 최소 20점, 최대 100점의 점수를 획득할 수 있다.
3.1.6 기술 - 적용
기술영역에서 적용수준을 파악하기 위하여 세 가지 카테고리로 구분한다. 비밀번호 변경, 미사용 웹사이트 정보 처리, 개인정보보호 실천이다.
첫 번째인 비밀번호 변경은 비밀번호 변경 조치에 대한 생각과 조치 행위22)로 구성된다. 두 번째인 미사용 웹사이트 정보 처리는 과거에 가입하였으나 현재 사용하지 않는 웹사이트의 개인정보 파기 관련 인지 및 이해에 대한 적용23)이다. 세 번째인 개인정보보호 실천은 개인정보 처리 관련 인지 및 이해에 대한 적용24)이다. 본 영역의 경우에 정보주체가 자신의 개인정보를 보호하기 위하여 수행하는 행위로 잊힐 권리에 대한 대응도 포함한다. 자세한 내용은[부록]에서 확인가능하다.
세 가지 카테고리에서 비밀번호 변경과 미사용 웹 사이트 정보 처리는 5점 척도를 이용하여(‘전혀 동의하지 않는 경우’ 1점을 획득하고 ‘매우 동의하는 경우’에는 5점을 획득) 적용도를 측정한다. 다만 비밀번호 변경에서 비밀번호 변경 주기는 법정 주기인 1년에 2회 이상을 반영하여 3점 척도를(‘1년에 1회 미만의 경우’ 1점, ‘1년에 1회’ 2점, ‘1년에 2회 이상의 경우’ 3점) 이용한다. 그리고 개인정보보호 실천은 행위의 실행 여부로 1점 척도만으로(해당 항목을 실천한 경우에 1점을 획득) 적용도를 측정한다. 최소 20점, 최대 100점의 점수를 획득할 수 있다.
3.1.7 판단 - 인지
판단영역에서의 인지수준은 개인정보에 대한 가치 측정으로 구성한다. 개인정보에 대한 가치 측정은 개인정보 활용과 보호의 입장을 모두 이해하고 자신의 입장을 정리하는 선택에 대한 인지25)이다. 자세한 내용은[부록]에서 확인가능하다.
선택에 대한 인지는 양측면적으로 구성하여 한편은 정보 보호의 측면을 많이 띄게 하고 다른 한편은 정보 활용의 측면을 많이 띄도록 한다. 균형 있는 정보 보호와 정보 활용을 가장 이상적인 상태로 본다.
3.1.8 판단 - 이해
판단영역에서의 이해수준은 정보주체의 의사결정으로 구성한다. 정보주체의 의사결정은 개인정보 보호와 활용에 대한 국가, 기업, 정부기관, 의료기관, 교육기관의 선택에 대한 이해26)이다. 자세한 내용은 [부록]에서 확인가능하다.
기존에는 국가에서 개인정보를 처리하는 경우가 많았지만, 최근 개인정보의 경제적 가치가 증가하고 디지털시대의 특성상 개인정보를 취급하는 기관 및 영역이 확대되었다. 따라서 국가와 정부기관 외에도 기업과 의료기관, 교육기관에서도 개인정보를 취급하게 되었으며 이에 따른 이점과 문제점들이 각각 발생한다. 본 영역에서는 응답자들이 확장된 개인정보의 취급처에 대하여 경각심을 갖고 자신의 판단기준에 맞는 선택을 하고 있는 지의 측정을 목표로 한다. 다만, 개인의 판단에 근거하기 때문에 절대적인 정답을 제시할 수는 없고, 상황에 따라 정보 보호와 활용의 균형 적용능력을 이상적인 상태로 본다.
3.1.9 판단 - 적용
판단영역에서의 적용수준은 인지 및 이해를 토대로 자신의 개인정보에 대한 현재가치와 미래가치 판단으로 구성한다. 현재가치와 미래가치 측정은 현시점의 활용 중요성과 불편성 감수에 따른 미래가치 보호에 대한 태도 및 행위 적용27)이다. 자세한 내용은[부록]에서 확인가능하다.
실제적으로 정보주체의 개인정보에 대한 가치를 판단하는 최종적인 기준으로, 각 유형별 정보에 따른 가치의 차이를 어느 정도로 생각하는 지의 파악을 이상적인 결과로 본다. 자세한 사항은 부록에서 확인가능하다. 판단영역의 특성상 정보주체의 선택이 곧 성향을 의미하므로 옳고 그름의 판단은 적절하지 않다.
3.2 프라이버시 리터러시 지수 분석
상기에 개발된 프라이버시 리터러시 지수를 통한 정보주체의 프라이버시 리터러시 수준은 절대평가 형태의 측정값을 통해 분석한다. 즉 지식영역의 인지, 이해, 적용수준과 기술영역의 인지, 이해, 적용수준의 최대측정값은 100점으로 동일하므로 각 영역별 측정값을 계산하고 모든 측정값의 평균을 기준으로 정보주체 개인의 프라이버시 리터러시 수준을 파악한다.
지식영역의 경우 인식능력으로 변환하고 기술영역의 경우 수행능력으로 변환하여 사분면의 성향지도로 표시한다. 지식영역과 기술영역을 토대로 구성한 2차원적인 성향지도(Fig. 3. 참조)를 기반으로 판단 영역의 인지, 이해, 적용 수준을 측정하여 판단능력으로 수치를 변환, 3차원적인 성향지도(Fig. 4. 참조)를 구성한다.
Fig. 3. Privacy literacy propensity-map 2D
Fig. 4. Privacy literacy propensity-map 3D
이와 같이 성향지도에 나타나는 수준측정치를 통하여 응답자의 프라이버시 리터러시 수준의 파악이 가능하다. 성향지도는 응답자의 인지능력과 수행능력, 판단능력을 기준으로 4가지 상태로 구분한다.
인지능력은 전반적인 정보보호에 대한 이해 수준을 의미하고, 수행능력은 실제 정보보호를 위하여 행하는 행동의 수준을 의미하며 판단능력은 측정된 인지능력과 수행능력의 실현을 의미한다. 2차원 성향지도에서 인지능력과 수행능력이 모두 낮은 ‘무의식적’ 상태는 지식영역의 인지 및 이해 영역과 능력영역의 인지영역에서 높은 점수를 획득한 정보주체가 포함된다. 인지능력은 뛰어나지만 실제 행동의 수준은 정보보호에 적합하지 않은 정보주체는 ‘역설적’인 상태이고, 현재 가장 많은 분포를 가지고 있을 것으로 추정 된다.28) 정보보호를 위한 행동의 수준은 굉장히 높은 반면 정보보호에 대한 인지 및 이해의 수준이 낮은 정보주체는 ‘직관적’인 상태이다. 다만, 이러한 직관적인 상태의 정보주체는 많지 않다. 마지막으로 가장 이상적인 상태는 ‘가치판단적’인 상태로 정보주체가 정보보호에 대하여 높은 이해도와 더불어 개인의 정보를 보호하는 적절한 방법을 수행하며 우선되는 가치가 무엇인지 판단하고 결정할 수 있는 상태다.
IV. 프라이버시 리터러시 지수 및 지표 타당성
지수 및 지표항목의 타당성을 검증하기 위하여 정부계, 학계, 연구계에서 관련 전문가 총 10명에게 의견을 묻는 델파이 조사를 실시하였다. 해당 조사는 프라이버시 리터러시 수준측정지수의 전체 구조에 대한 적합성을 평가하기 위하여 타당성 지수를 수치화하여 평가하고, 전체구조 항목의 중요성을 평가하기 위하여 영역별, 수준별 항목을 비교하는 상대비교를 하였고, 각 항목별 적합성을 평가하기 위하여 전체 구조에서 대분류, 중분류, 소분류로 구분하여 적합성 수치 및 대체항목에 대한 의견을 받았다.
4.1 수준측정지수의 전체구조에 대한 적합성 평가
전체구조에 대한 적합성을 평가하기 위하여 지수의 타당성을 만점 10점 기준으로 측정하였다. 본 조사에서 타당성 점수 10점이 30%, 9.5점이 10%, 9점 이 30%, 8점이 30%로 조사되었다. 영역별 평균으로 정부계는 타당성을 평균 9.8점, 연구계는 평균 9.5점, 학계는 평균 8.3점으로 평가하였다. 전체 평균 9.1점으로 지수의 전체구조에 대하여 타당하다고 본다.
4.2 전체구조 항목의 상대비교를 통한 중요성 평가
구성영역에서 지식, 기술, 판단영역을 각각 비교한 결과, 지식영역이 기술영역에 비해 중요하다는 응답이 70%로 높고 지식영역과 판단영역이 비등하다는 응답이 60%로 높으며 기술영역에 비해 판단영역이 중요하다는 응답이 70%로 우선시됨이 확인되었다. 세 영역에 대한 우선순위를 나열하면 지식영역, 판단영역, 기술영역 순으로 배열된다.
역량수준에서 인지, 이해, 적용수준을 각 비교한 결과, 인지수준과 이해수준의 중요성이 비등하다는 의견이 70%로 많다. 반면 인지수준과 적용수준에 있어서는 적용수준의 선호가 40%, 비등하다는 의견이 40%로 적용수준의 선호와 동일하고 이해수준과 적용수준을 비교한 결과도 비등하다는 의견이 40%, 적용수준이 더 중요하다는 의견이 40%로 동일하다. 세 수준에 대한 우선순위를 나열하면 인지수준, 적용수준, 이해수준 순으로 배열된다.
Fig. 5. Ranking of capacity level
Fig. 6. Ranking of domain field
4.3 수준측정지수의 각 항목별 적합성 평가
프라이버시 리터러시 지수를 대분류로 구성영역, 중분류로 역량수준, 소분류로 세부지표를 제시하고 항목별 적합성 및 대체항목에 대한 의견을 조사하였다. 그 결과, 구성영역에서 지식영역의 적합성이 9.3점, 역량수준의 적합성이 9.5점으로 높다. 지식영역의 인지수준의 적합성이 9.7점으로 높은 반면에 기술영역의 인지수준의 적합성이 7.9점으로 낮게 조사 되었다(Table 5. 참조). 앞서 언급했듯이(3.1 프라이버시 리터러시 지수 개발) 본 지수는 지속적으로 변화하여 적용되어야 한다. 특히 기술영역은 디지털 시대의 환경변화에 민감한 영역이므로 평가 시마다 개선 및 변경되어야 한다.
Table 3. Assessment for each entry
V. 지수 분석결과의 활용 및 대응방안
본 지수를 활용한 정보주체의 프라이버시 리터러시 수준 측정과 분석을 통해 적절한 교육이 진행되어야 하고 정부 차원에서는 이를 지원할 정책과 제도를 마련하여야 한다. 본 장에서는 각 영역 및 수준에 따라 필요한 교육을 제시하고 성향지도로 파악된 분석결과의 활용 및 대응방안을 제시한다. 이 중 세부항목별 대응방안의 경우 항목의 수준 측정 결과값이 평균 수치 이하로 나온 응답자를 대상으로 진행한다.
5.1 세부항목별 대응 방안
지식영역은 가장 기초가 되는 영역이므로 인지 수준이 낮을 경우 기관(학교, 직장 등)별로 필수적인 교육을 진행함으로써 수준을 향상시켜야 한다. 현재 의무교육으로 분류되는 초등교육·중등교육 과정에서 진행되는 성교육처럼 특수교육으로 관련 지식의 습득을 권장하거나 정보 및 컴퓨터 교육 중 한 파트로써 교육을 진행하는 방법 등을 도입하여 지원하여야 한다.
지식영역의 이해 수준이 낮을 경우 인지 수준을 향상시키기 위하여 진행되는 필수교육과 더불어 웹사이트 상에서 올바른 정보를 제공하도록 지원하여야 한다. 예를 들어, 1~2분 정도의 길지 않은 플래시를 제작하여 회원가입이나 서비스 이용을 위한 정보제공시 필수로 시청하도록 권장하는 등의 방법이 있다.
지식영역의 적용 수준이 낮을 경우는 정보주체가 이용자 약관과 개인정보보호방침을 이해하지 못하거나 이해하지 않기 때문이다. 따라서 네이버에서 현재 진행 중인 개인정보취급방침의 이지버전이나 인포그래픽처럼 정보주체들이 한 눈에 알아 볼 수 있도록 가시성을 확보하거나 지식영역의 이해 수준에서 적용하듯 플래시를 제작하여 시청하도록 하는 방법으로 해당 수준을 향상하도록 지원하여야 한다.
기술영역의 인지 수준이 낮을 경우 IT나 보안, 시스템영역에 대한 관심이 낮다고 파악된다. 따라서 현재 한국인터넷진흥원의 온라인교육장에서 운영 중인 기술적인 교육은 비교적 높은 수준이므로 한 단계 낮은 수준의, 비전문가도 이해할 수 있는 교육프로그램을 제작하여 수준 향상을 지원하여야 한다.
기술영역의 이해 수준이 낮을 경우는 자신에 대한 정보를 공개하는 수준이 최대치임을 의미한다. 따라서 정보공개범위에 대한 교육과 이를 최소한으로 줄이고도 온전히 서비스를 이용할 수 있도록 지원하는 교육이 필요하다. 예를 들어, 지식영역에서 이해 수준이 낮을 경우 활용하는 수단인 플래시를 이용하여 그 방법을 제시하고 교육받도록 시청을 권장하는 것도 하나의 방법이 된다.
기술영역의 적용 수준이 낮은 것은 정보주체로서 자신의 정보를 보호하려는 행위를 적극적으로 수행하지 않는 것으로 판단된다. 또한 본 영역은 일상적으로 접근 가능한 상황이 아닌 미사용 웹사이트나 정기적인 비밀번호 변경 등을 다루므로 평소에 지속적으로 상기시켜주는 활동이 필요하다. 현재 평생교육 등 주민교육을 위하여 이용되는 문화시설에서 정보보호에 대한 교육을 주기적으로 시행하거나 공익광고를 통해서 지속적으로 해당 내용에 정보주체를 노출시키는 방법 등의 활용이 가능하다.
판단 영역의 특성상 정보주체의 선택이 곧 성향을 의미하므로 옳고 그름의 판단은 적절하지 않다. 따라서 극단적인 성향을 띄지 않도록 지원하는 것이 필요하다. 즉 해당 영역의 측정 결과를 활용하여 개인의 프라이버시 가치성향 분포에 따른 개인정보자기결정권 행사방법을 고려하는 정책적 대응방안 마련이 가능하다.
5.2 성향지도 분석결과의 활용 및 대응방안
각 영역의 측정을 마치고 해당 결과를 토대로 성향 지도를 구성한다(3.3, Fig.3.). 세부적으로 알아보면, 무의식적 상태의 사람은 정보보호에 관심이 없는 사람으로 판단된다. 정보보호를 알기 위해 노력하지도 않았고, 실천하고 있지도 않은 사람으로 개인정보를 자신의 이익을 위하여 걱정 없이 쉽게 제공하고 처리 과정이나 추후 관리에 관심이 없으며 개인정보 처리업무수행에 적절하지 않다. 해당 유형의 사람은 지식영역의 인지와 이해수준에 포함된 개인정보보호에 관련된 법과 제도, 권리, 피해구제기구, 개인정보 보호 일반, 유출 및 도용에 대한 인식부분과, 기술영역의 인지와 이해수준에 포함된 기술용어, 환경, 소셜 네트워크 서비스(SNS) 상에서의 정보관리, 정보 공개 방법 및 그 수준에 대하여 알아가야 한다.
역설적인 상태의 사람은 정보보호에 대한 지식은 많지만 실제로 정보보호를 위하여 활동하지 않는 사람으로 판단된다. 정보보호와 관련된 인지능력에서는 높은 점수를 획득했으나 정보보호활동 수행능력에서 저조한 점수를 받은 사람이다. 프라이버시 역설에 적용되는 유형으로 실제 적용되는 기술영역의 인지, 이해, 판단 영역을 학습하며 행동을 개선해야 한다. 특히 기술영역의 판단수준인 미사용 웹사이트에서의 개인정보 파기나 개인정보보호 실천행위에 초점을 맞추어야 한다.
직관적인 상태의 사람은 무의식적 상태의 사람보다는 정보보호활동을 수행하고 있지만, 정보보호에 대한 이해수준이 낮은 유형이다. 어쩌다보니 온라인상에서 자신의 개인정보를 보호하기 위한 행위를 적절하게 수행하고 있지만, 관련하여 별다른 지식이 없고 자신의 행동에 정당한 이유를 제시할 수 없는 사람이다. 현재 개인정보가 잘 보호되고 있는 상태이나 지식 기반이 아니므로 어느 순간 수준이 하락하게 될지 예측할 수 없는 유형이다. 따라서 해당 성향을 지닌 정보주체는 지식영역에서 인지 및 이해 영역에 대한 학습을 이수하면 효과적일 것으로 판단된다.
마지막으로 가장 이상적인 유형인 가치판단적인 상태의 사람은 정보보호 및 개인정보 보호와 관련한 지식을 충분히 인지하고 이해하며 실제적으로 생활에 적용하고 있다. 해당 유형은 지식영역의 인지, 이해 수준뿐만 아니라 적용 수준까지 우수하고, 기술영역의 인지, 이해, 적용 수준에서도 우수한 성적을 보유한 상황이다. 현대 디지털시대에서 가장 이상적으로 여겨지는 유형으로 타 유형의 사람들을 해당 수준으로 발전시키기 위하여 노력해야 하고, 현재 유형의 사람들을 지속적으로 유지, 발전시켜나가야 한다.
VI. 결론
디지털시대의 진전은 정보와 지식이 사회의 핵심자원이자 가치창출의 원천이 되었고 정보주체의 중요성이 강조되었다. 그러나 정작 정보주체의 개인정보자기결정권은 보장받지 못하고 경계가 허물어지고 개방성을 큰 장점으로 꼽는 디지털시대의 특성상 지속적으로 개인정보의 유출사고가 발생한다. 개인정보 유출사고에는 여러 가지 이유가 있지만, 본 논문에서는 그 중 정보주체의 프라이버시 역설에 대한 문제를 해소하고자 연구를 진행하였다.
정보주체의 정보보호에 대한 인식과 실제 행동 사이에서 발생하는 괴리인 프라이버시 역설의 현황을 파악하기 위하여 프라이버시 리터러시를 “정보주체가 온라인상 자신의 디지털 정체성에 대하여 관련 법률 및 지침, 제도적 측면의 이해, 개인정보 및 프라이버시 보호를 위한 기술적 지식을 보유, 실제 전략을 수행하는 능력”으로 정의하고 수준 측정을 위하여 정보 보호의 지식과 능력, 판단영역에서 각각 인지, 이해, 적용 수준으로 프라이버시 리터러시 측정 지수를 구성했다.
각 지수는 총 9가지로 구분되고, 응답자를 대상으로 세부 지표를 활용하여 수준을 측정함으로써 그 결과를 4가지 성향으로 구분한다. 4가지 성향은 인지능력과 수행능력의 고저를 기준으로 무의식적 상태, 역설적 상태, 직관적 상태, 가치판단적 상태로 구분한 2차원적인 성향지도에 판단능력을 기준으로 추가하여 세부적으로 구분한다.
다만, 본 지수는 기본적으로 정보주체가 스스로의 수준을 직접 작성한다는 단점을 가지고 있다. 비용측면과 시간적 측면에서 소모는 적지만 정보주체가 스스로의 수준은 잘못 파악하고 있거나 고의로 높은 수준의 평가결과를 위하여 작성할 우려가 있다. 이를 방지하기 위하여 점수 배점을 달리하는 방법을 적용하였으나 쉽게 파악 가능한 부분이다. 또한 전반적으로 지표가 고정되어 지속적으로 평가를 수행할 시 정확한 결과 도출이 힘들다. 정기적으로 지표를 개선하는 연구가 진행되어야 한다. 향후 실제로 평가를 실행하여 그 결과를 분석함으로써 본 지표의 실효성을 검증하고, 적합하지 않은 항목에 대한 개선이 이루어져야 한다. 또한 본 논문에서는 지수에 대한 타당성 조사로 전문가 10인에게 델파이 조사를 시행하였으나 다양한 영역의 보다 많은 전문가를 통하여 타당성의 근거를 높여야 한다.
결론적으로 본 논문은 측정된 각 수준에 맞는 교육을 수행함으로써 정보주체들의 수준을 이상적인 수준으로 끌어올려, 정보주체가 가진 개인정보의 보호와 활용에 대한 판단력과 결정력, 선택능력이 강화되어 정보통신기술의 역기능인 개인정보의 침해와 피해를 감소 및 정보주체의 삶을 증진하여 개인정보의 자기 결정권을 올바르게 보장함으로써 프라이버시 역설을 해소할 수 있다고 본다.
이를 효과적으로 적용하기 위하여 최종적으로 평가된 정보주체들의 프라이버시 리터러시 수준을 가치판단적인 성향으로 끌어올리거나 유지하기 위한 교육과 정책 및 제도가 필요하다.
[부록] 프라이버시 리터러시 지수
References
- A. De Santo and C. Gaspoz, "Influence of risks and privacy literacy on coping responses to privacy threats," Colloque de l'AIM, May. 2015.
- C. Veghes, M. Orzan, C. Acatrinei and D. Dugulan, "Privacy literacy: what is and how it can be measured?," Annales Universitatis Apulensis Series Oeconomica, vol. 14, no. 2, pp. 704-711, 2012.
- Digital Valley News, "What is a knowledge-based society and its characteristics?," 2012.09.10. http://www.dvnnews.com/news/articleView.html?idxno=7403
- D. Rotman, Are you looking at me: social media and privacy literacy, 4th iSchool Conference 2009, Feb. 2009.
- Estsoft, "2015 The information security awareness survey," Jul. 2015.
- F. Brecht, B. Fabian, S. Kunz and S. Muller, "Communication anonymizers: personality, internet privacy literacy and their influence on technology acceptance," European Conference on Information Systems(ECIS), pp. 214-226, 2012.
- F. Chanchary and S. Chiasson, "User Perceptions of Sharing, Advertising, and Tracking," Symposium on Usable Privacy and Security (SOUPS) 2015, pp. 53-67, Jul. 2015,
- H.M. Rundhovde, "I am not interesting: social media, privacy literacy, and the interplay between knowledge and experience," Master's Thesis, University of Bergen, Jun. 2013.
- H. Taylor, Most people are 'privacy pragmatists' who, while concerned about privacy, will sometimes trade it off for other benefits. Harris Interactive, Mar. 2003.
- Hye-in Song, Hyang-eun Bae, and eung-yong Lee, "A study on economic evaluation of personal information using CVM," Internet & Security Focus 2, pp. 22-45, May. 2014.
- Jeong-muk Gang, Hyo-jin Song and Hyeon seong Kim, "Development and application of the diagnostic instruments for measuring digital literacy in the smart society," Journal of Korea Association for Regional Information Society, 17(3), pp. 143-173, Sep. 2014.
- J. Glossklages and A. Acquisti, When 25 cents is too much: an experiment on willingness- to-sell and willingness to personal information, 6th Workshop on the Economics of Information Security(WEIS), Jun. 2007
- Jin-a Bae, Yeon-ha Cho, Seong-sik Kim, Eun-hee, Choi and Tae-hyun Ha, "A Study on Measuring the Levels of Perception on Privacy (Protection of Personal Information) by Internet Users and Service Providers," Broadcasting and Communications Policy 11-JingHeung-La-12, Korea Communications Commission (KCC), Dec. 2011.
- J. Langenderfer and A.D. Miyazaki, "Privacy in the information economy," Journal of Consumer Affairs, vol. 43, no. 3, pp. 380-388, Sep. 2009. https://doi.org/10.1111/j.1745-6606.2009.01152.x
- Jong-geun Kim, "Challenges and strategic initiatives of knowledge information security industry," Institute Information & Communications Technology Promotion, pp. 12-23 May. 2015.
- J. Stoddart, "Expanding privacy literacy - we all have a part to play," PIPA Conference, Oct. 2011.
- Jung-sun Han, Jung-sook Oh, Sung-mu Jung, Bum-seok Ko and Ju-sung Jeon, "Research and development index digital literacy for the 21st century knowledge and information capabilities enable: configure digital literacy framework," RM 2006-55, Korea Education and Research Information Service(KERIS), 2006.
- Korea Internet & Security Agency(KISA), "2016 Report of information security 10 issue," 2016.
- Korea Internet & Security Agency(KISA), "2014 Report of protection survey," 2014.
- M. Bent and R. Stubbings, "The SCONUL seven pillars of information literacy," Society of College, National and University Libraries(SCONUL), Apr. 2011.
- P. Celot, J. Manuel and P. Tornero, "Study on assessment criteria for media literacy levels - final report," European Association for Viewers Interests(EAVI), Oct. 2009
- Personal Information Protection Commission(PIPC), "2015 Privacy annual report," 2015.
- Personal Information Protection Commission(PIPC), "International privacy enforcement system and the privacy of the key trends survey," Constitutional Court Law Reports 17(1), 2005.
- P.L. Ackerman, "Knowledge and cognitive aging," 3rd Ed., The Handbook of Aging and Cognition, New York: Psychology Press, pp. 443-489, 2008.
- Sang-phil Jang and Jee-il Kim, "Longitudinal investigation on casual relationship between smart-literacy and smart-phone addiction on university students," The Journal of Educational Research 11(4), pp. 67-90, Dec. 2013.
- Sang-young Son, Ji-yeon Yoo, and Tae-won Oh, "Convergence of philosophical and industrial approaches to online privacy," Policy Research 13-50, Korea Information Society Development Institute, Dec. 2013.
- S. Trepte, D. Teutsch, K. Philipp, P.K. Masur, C. Eicher, M. Fischer, A. Hennhofer, and F. Lind, Do people know about privacy and data protection strategies? towards the "online privacy literacy scale"(OPLIS), Reforming European Data Protection Law. pp. 333-365, 2015.
- Sung-eun Cho, Eun-young Han, Geun-young Jang and Sun-hee Kim, "A study on identity of digital self in hyper- connected society," Policy Research 13-51, Korea Information Society Development Institute, Dec. 2013.
- Woo-young Kim and Ji-yeon Yoo, "The analysis of the gap between privacy awareness and actual behavior," Journal of Korea Society of IT Services, pp. 586-589, 2015.
- Yong-jin Park, "Digital literacy and privacy behavior online," Communication Research vol. 40, no. 2 pp. 215-236, Aug. 2013 https://doi.org/10.1177/0093650211418338