Privacy Fundamentalism에 대하여
2021 #6
현재 Privacy에 대한 논의는 (1)정부 단위의 규제(유럽의 GDPR, 캘리포니아의 CCPA)와 (2)테크 플랫폼의 새로운 정책(iOS의 ATT, Google의 Privacy Sandbox)이 주도하고 있는 모양새다. 이에 대한 마케팅 업계에서의 반응을 살펴보니 ‘(2)를 어떻게 우회/극복할 것인가’, ‘(2)에 영향받지 않는 영역(예: 1st-party data)을 어떻게 더 강화할 것인가’와 같은 실무 영역에서의 고민이 주를 이루고 있는 것 같다. 개인적으로도 공감하는 부분이고, 비즈니스 관점에서 당연히 이런 단기적/장기적 대응책이 필요하다고 생각한다.
한 가지 공감하기 어려웠던 반응은, ATT나 Privacy Sandbox와 같은 테크 플랫폼 주도의 정책에 대해 이미 윤리적으로 정당하다는 판단을 내린 경우였다. 아직 새로운 정책의 효과가 드러나지 않은 상황에서 ‘이제 privacy-first의 시대가 되었으니 ATT와 Privacy Sandbox를 받아들이고 유저 데이터에 연연하지 말자’와 같은 주장에 동의하기는 어렵다. 더 나아가 ‘Ad Tech에 대한 의존도를 줄이고 마케팅의 철학과 본질로 돌아가자’와 같은 환원론적 주장을 펼친다면, 우리는 Privacy에 대한 더 이상의 논의를 진전시킬 수 없을 것이다.
오늘 소개하는 글들은 Privacy에 대한 더 종합적이고 입체적인 논의를 위한 것으로, 현재의 (1)정부 단위의 규제와 (2)테크 플랫폼의 새로운 정책에 대한 근본적인 문제의식을 잘 드러내고 있다.
1.Ben Thompson, Stratechery
저명한 independent analyst인 Ben Thompson의 이야기를 먼저 들어보자. 기본적으로 그는 자칭 internet optimist로서, 인터넷의 무한한 성장을 믿는 사람이라고 볼 수 있다. 그에게 인터넷이란 ‘넘쳐남’에 대한 것이고 그것은 기존 아날로그 세계의 human scale을 비약적으로 넘어서는 광대한 세계이다.
The Internet, after all, is about abundance, not scarcity.
그런 ‘넘쳐남’의 세계에서 컴퓨터와 인터넷은 인간이 결코 따라잡을 수 없는 빠른 속도로 데이터를 생산하고 광범위하게 퍼뜨린다. 이것은 인간에게 인터넷이 유용한 근본적인 이유이기도 하다. 그러나 Privacy에 대한 현재의 규제는 이러한 scale의 차이를 고려하지 못한다. 이를테면 "Your data belongs to you, and it has value, and it must be private, and we need data sovereignty..." 와 같은 말에서 우리는 그 정치적 의미를 쉽게 이해할 수 있다. 그러나 computer scale에서 data, value, private, sovereignty가 구체적으로 어떤 의미를 갖는지 파악하기란 결코 쉽지 않다. 나의 웹사이트 방문 기록(아마도 visit id, visitor id, browser, OS, device model 같은 값들의 스냅샷으로 남아있을)가 갖는 value는 무엇인가? 그것이 private하다는 의미는 또 무엇인가? 그 기록에 대한 sovereignty를 주장한다는 것은 또 어떤 의미인가?
이에 대해 그의 글 Privacy Fundamentalism에서 사례로 들었던 NYT기사(I Visited 47 Sites. Hundreds of Trackers Followed Me. by Farhad Manjoo)를 살펴보도록 하자. 이 기사는 웹상의 수많은 tracker들이 유저를 감시하고 있다는 인상을 심어주는데, Ben Thompson은 이것이 wrong characterization이라고 지적한다.
This narrow critique of Manjoo’s article — wrongly characterizing multiple resources as “trackers” — gets at a broader philosophical shortcoming: technology can be used for both good things and bad things, but in the haste to highlight the bad, it is easy to be oblivious to the good. Manjoo, for example, works for the New York Times, which makes most of its revenue from subscriptions; given that, I’m going to assume they do not object to my including 3rd-party resources on Stratechery that support my own subscription business?
NYT기사에서 지칭하는 ‘tracker’들은 근본적으로 인터넷이 작동하는 -데이터가 생성되고 전달되는- building block들이지 surveillance device가 아니라는 것이다. 그리고 그 building block들은 수많은 회사가 각자의 경제적 이익을 위해 스스로 유지하는 것이고 우리는 이를 통해 인터넷의 효용을 누릴 수 있다는 것이 그의 생각이다(여기서도 그의 internet optimism을 확인할 수 있다).
Indeed, that is why my critique of Manjoo’s article specifically and the ongoing privacy hysteria broadly is not simply about definitions or philosophy. It’s about fundamental assumptions. The default state of the Internet is the endless propagation and collection of data: you have to do work to not collect data on one hand, or leave a data trail on the other. This is the exact opposite of how things work in the physical world: there data collection is an explicit positive action, and anonymity the default.
이러한 wrong characterization은 결국 규제에 영향을 미치는데, 그 부작용에 대해 Ben Thompson은 아래와 같은 사례를 든다.
Cambridge Analytica 사건으로 Facebook API 사용을 막은 결과 소셜미디어상에서의 disinformation 전파와 같은 현상에 대한 분석이 어려워짐(Facebook Shuts the Gate after the Horse Has Bolted, and Hurts Real Research in the Process by Axel Bruns).
GDPR이 페이스북과 구글의 시장 지배력을 더 강화시킴(Mark Zuckerberg’s Proposal, The Copyright Directive and Sunk Costs, You Say You Want Some Regulation by Ben Thompson).
테러리즘이나 아동학대와 같이 소셜미디어를 통해 번성하는 범죄 네트워크를 발견하더라도, 관련 컨텐츠를 차단하는 것 외에 소셜미디어 회사가 능동적으로 law enforcement와 협력해야 할 유인이 없음(규제에 의해 소셜미디어 회사들이 능동적인 증거 수집을 하기 어려워졌으므로).
여기서 우리는 다시 data, value, private, sovereignty 등과 같은 단어의 모호함을 마주하는 동시에, 이 모든 것이 trade-off의 문제가 된다는 것을 알게 된다. Human scale 관점에서의 새로운 규제는 disinformation의 문제 해결을 의도했지만, 사실 그것을 더욱 이해하기 어려운 문제로 만든다. 페이스북과 구글의 (추정된) surveillance를 금지하는 것처럼 보이지만, 사실 그것은 새로운 경쟁자의 출현을 차단하는 방식으로 두 회사의 시장 지배력을 더 강화한다. 이것은 우리가 규제를 통해 기대하던 결과일까?
그래서 Ben Thompson은 아래와 같이 privacy debate 자체가 이 trade-off를 고려해야 한다고 주장하는데, 그 주장의 타당성을 떠나서 현실적으로 널리 (그리고 빠르게) 수용되기는 어렵겠다는 생각이 들었다.
Accept that privacy online entails trade-offs; the corollary is that an absolutist approach to privacy is a surefire way to get policy wrong.
Keep in mind that the widespread creation and spread of data is inherent to computers and the Internet, and that these qualities have positive as well as negative implications; be wary of what good ideas and positive outcomes are extinguished in the pursuit to stomp out the negative ones.
Focus policy on the physical and digital divide. Our behavior online is one thing: we both benefit from the spread of data and should in turn be more wary of those implications. Making what is offline online is quite another.
그렇게 생각하는 이유는(다른 말로, privacy fundamentalist 적인 접근이 훨씬 더 쉬운 이유는) 다음과 같다.
Regulator가 computer scale 관점에서 생각하기 어려움.
테크 플랫폼은 privacy fundamentalism을 오히려 잠재적 경쟁자를 제거하는 기회로 활용할 수 있음(ATT를 통해 보여준 애플의 propagation 능력이 좋은 예시).
지난 10년간 digital economy가 너무나 disruptive 했기 때문에, Ben Thompson의 ‘Increase the GDP of the Internet’과 같은 프레임이 득세하기 어려움.
Privacy Labels and Lookalike Audiences라는 글에서도 엿볼 수 있는 그의 비전은 아래와 같다.
Increasing the GDP of the Internet is important precisely because of all of the upheaval I just described: just because the way in which our economy was organized in an analog world is being upset by the Internet, it does not necessarily follow that what comes next will be better. It is possible to imagine, though, what “better” looks like: individuals and small companies leveraging the Internet to deliver individuals and small groups exactly what they want.
그의 이런 생각은 The Web’s Missing Interoperability라는 글에서도 잘 드러난다.
I worry even more about small businesses uniquely enabled by the Internet; forcing every company to act like a silo undoes the power of platforms to unlock collective competition (a la Shopify versus Amazon), whether that be in terms of advertising, payments, or understanding their users. Regulators that truly wish to limit tech power and unlock the economic potential of the Internet would do well to prioritize competition and interoperability via social graph sharing, alongside a more nuanced view of privacy that reflects reality, not misleading ads; I would settle for at least admitting there are tradeoffs being made.
기본적으로 지속적인 경쟁을 장려하여 빅 테크 플랫폼의 영향력을 견제하고 전체적인 Internet economy를 성장시키자는 게 핵심인데, 이 글에서는 경쟁을 장려하는 수단으로 interoperability라는 개념을 끌어들이고 있다. 소셜미디어를 예로 들면, 그들을 정책적으로 규제하는 것이 아니라 그들의 (가장 소중한 자산일) social graph를 다른 회사가 쓸 수 있게 하자는 것(구체적으로 상상해보자면, 내 클럽하우스에 내 페이스북 친구 리스트를 통합하는 것이 가능. 신생 업체 입장에서는 acquisition cost를 드라마틱하게 낮출 수 있는 방법).
이를 위해서는 개개인의 social graph가 특정 테크 업체의 proprietary asset이 아니라는 사회적 합의가 만들어져야 할 텐데, privacy fundamentalism에 기반하고 있는 현재의 논의를 보면 이 역시 당장 받아들여지기 어려운 주장으로 보인다. 하지만 그의 주장이 Internet economy의 핵심을 찌르고 있는 것만큼은 분명해 보인다.
관련된 Ben Thompson의 글:
The Web’s Missing Interoperability
Privacy Labels and Lookalike Audiences
Portability and Interoperability
2.Benedict Evans
또 다른 저명한 independent analyst인 Benedict Evans의 글도 함께 살펴보고자 한다.
Understanding Advertising이라는 글에서 테크 플랫폼의 새로운 정책(iOS의 ATT, Google의 Privacy Sandbox) 이후의 광고에 대해 critical한 질문들을 던지고 있다.
You can advertise based on what’s on the page (‘context’), and you can advertise based on what else someone did on your site (‘first party’), but advertising based on what someone did on another site is going to look totally different. What does that mean? No-one quite knows…
…though we now have a moral view of ‘tracking’, and a great deal of advocacy (‘ban targeted ads!’), we really don’t have a good public conversation around what will happen next, or even what we want.
Contextual targeting과 1st-party data만이 남는, 새로운 정책 이후의 광고 경험은 어떤 모습일까? (그리고 그것은 우리가 원하는 경험인가?)
If you can’t track someone from A to B to C to purchase to E, where does the acquisition budget go? (Acquisition 예산을 어떻게 분배할 것인가?)
What happens to the quality of ads on Google search, and indeed the quality of search results, without any third party data to combine with context? (구글 검색 광고의 퀄러티는 어떻게 될 것인가?)
What happens to Instagram ads? (인스타그램 광고는?)
Do we also end the transfer of targeting data directly from advertisers to platforms, which is at least theoretically consent-based? (광고주가 광고 플랫폼에 타겟 오디언스 데이터를 업로드하는 것도 금지할 것인가?)
Do we also look at first party data, where Apple, Google or the New York Times track you within the same service? Is that also ‘evil’? (같은 서비스 내에서 1st-party data로 트래킹하는 것은 evil하지 않은 것인가?)
How much advertising will move to purely contextual targeting? (Contextual targeting으로 넘어갈 광고 예산은 얼마나 될까?)
Could you make a federated signed-in model across multiple sites and convert 3P into 1P, or has the privacy campaign killed the competition campaign? (3rd-party를 1st-party로 바꿀 수 있는 federated 콘센트 모델을 만들 수 있을까?)
What does all of this mean for the relative efficiency and market power of the biggest sites with the most context and the most first-party data - is this great for the oligopolies, and which ones? (이 모든 것은 많은 context와 1st-party data를 가진 플레이어들의 시장 지배력에 무엇을 의미하는가? 이것은 과점을 더 공고하게 하는가? 그렇다면 누구에게 더 유리한가?)
이 글에서 드러나는 Benedict Evans의 가장 큰 문제의식은 우리가 이 모든 문제에 대해 부족한 fact를 갖고 논쟁하고 있다는 것이다. 또한 위에서 나열한 질문을 보면, 규제와 새로운 정책을 도입하기 전에 ‘어떤 문제를 해결하려고 하는지’가 명확하게 정의되어있지 않다는 것을 알 수 있다.
마지막으로 그가 던지는 더 어려운 질문은, 규제와 Chrome/iOS 정책이 미치지 못하는 영역에 대한 것. 이 영역의 문제는 또 어떤 fact를 근거로 판단할 것인가?
Finally, a deeper question, perhaps: how much does advertising and data retreat inside silos, where nothing is passed around or shared, most of this regulation doesn’t apply, and Chrome or iOS can’t see or control anything? How does Tiktok or Snapchat revenue fit into this, or a tip-supported Clubhouse room, or a sponsored concert in Fortnite? What problem are we trying to solve?
이어서 Privacy, Ad-tech and Religion이라는 글에서는 Privacy의 모호함에 대해 집중적으로 조명한다.
Privacy, as it relates to tech and the internet, is fundamentally a matter of opinion - of how you think it should work - not an engineering question. You can't benchmark it or measure it.
이런 전제하에 더 private 한 프로덕트/서비스를 만든다는 것은 무엇을 의미하는가?
만약 애플의 on-device 트래킹, 크롬의 FLoC 트래킹, 그리고 (앞으로 사라질) cross-site programmatic 광고가 모두 같은 광고를 보여준다면, 왜 마지막 방식이 더 evil 하다는 것인가?
만약 내 정보를 그 누구도 알아서는 안 된다면, 왜 스마트폰이나 브라우저는 알아도 되고 ad server는 안된다는 건가?
On-device 트래킹을 통해 내 스마트폰이 내가 자동차에 관심이 많다는 것을 알고 자동차 광고를 보여줬다면, 그걸 브라우저가 모르게 할 이유는 무엇인가? 그리고 이 모든 게 결국 자동차 잡지에 자동차 광고를 하는 것과 뭐가 다른가?
크롬 FLoC 트래킹이 내 스마트폰과 랩탑에 있는 정보를 동기화하여 사용했다면, 이건 privacy breach인가? 나의 애플 타겟팅 정보가 iCloud에 있다면 그것도 privacy breach인가? (data portability를 문제 삼는 것에 대한 맥락)
구글 계정에 연결된 profile cohort(FLoC)와, 쿠키에 연결된 관심사 목록이 윤리적으로 다른 점은 무엇인가? 마운틴 뷰에 있는 구글 컴퓨터가 내 관심사를 추측하여 광고를 노출하는 것이 나쁘다면, 왜 내 손에 있는 애플 컴퓨터가 내 관심사를 추측하여 광고를 노출하는 것은 괜찮은가?
이러한 질문들에 대해, 우리는 윤리적으로 그럴듯한 답변을 내놓을 수 있을지도 모른다. 하지만 이것을 정책으로 명문화하는 것은 또 다른 문제이다.
In fact, lawyers in Brussels and perhaps Washington DC will end up writing those rules, probably without realising that's quite what they're doing and certainly without thinking about what it does to your cloud architecture.
Benedict Evans의 말처럼, 이 모든 모호함은 어쩌면 ‘data’라는 단어 때문인지도 모르겠다. "Your data belongs to you, and it has value, and it must be private, and we need data sovereignty..."와 같은 말에서 기술적인 함의 이상의, 천부인권과 같은 어떤 신성한 뉘앙스가 드러나는 것을 보면 말이다. 그리고 그는 이 단어가 과대평가 되었다고 생각하는 것으로 보인다.
But data, used like this, doesn't mean anything. Google doesn't have 'your personal data' - it has a snapshot of some web pages and searches you used. My London power utility doesn't much care what my San Francisco usage looked like, and it certainly isn't worth anything - as Tim O'Reilly said, data isn't oil, it's sand.
관련된 Benedict Evans의 글:
그 외
The Privacy Mirage by Eric Benjamin Seufert(@Mobile Dev Memo)
iOS의 ATT, Google의 Privacy Sandbox에 대한 비판으로, 1st-party ‘mandate’의 모순에 대해 지적하고 있다.
