정보의 시대에 프라이버시는 가장 중요한 사회적 쟁점 중 하나가 됐다. 우리는 이메일, 문자, 소셜미디어, 검색엔진, 온라인 쇼핑, 위치 기반 서비스, 클라우드 저장소를 통해 끊임없이 데이터를 남긴다. 과거에는 가족, 친구, 동료에게만 드러나던 일상의 흔적이 이제는 기업과 정부, 플랫폼과 알고리즘의 데이터베이스 안에 축적된다. 한 번 저장된 과거는 쉽게 삭제되지 않으며, 다양한 데이터가 결합될수록 개인의 취향, 성향, 신념, 건강, 정치적 태도까지 추론될 수 있다.

알레산드로 아퀴스티, 라우라 브란디마르테, 조지 로웬스타인의 논문 Privacy and Human Behavior in the Age of Information은 바로 이 문제를 행동과학의 관점에서 분석한다. 이 논문은 개인정보 보호를 단순히 법적 권리나 기술적 보안의 문제로만 보지 않는다. 핵심 질문은 더 인간적이다. 사람들은 왜 프라이버시를 중요하다고 말하면서도 실제 행동에서는 쉽게 개인정보를 내어주는가. 그리고 이런 모순은 개인의 무지 때문인가, 아니면 정보 환경 자체가 인간의 판단 능력을 넘어설 만큼 복잡해졌기 때문인가.

논문은 프라이버시 행동을 설명하기 위해 세 가지 개념을 제시한다. 첫째는 불확실성이다. 사람들은 자신이 어떤 정보를 제공하고 있는지, 그 정보가 누구에게 전달되는지, 어떤 방식으로 분석되고 활용되는지 정확히 알기 어렵다. 개인정보 제공의 결과는 즉각적으로 드러나지 않는 경우가 많고, 피해도 금융 손실처럼 명확한 형태로 나타나기보다 감시, 차별, 조작, 사회적 낙인처럼 지연되고 비가시적인 방식으로 발생할 수 있다. 이 때문에 사람들은 개인정보 제공의 비용과 편익을 명확하게 계산하기 어렵다.

둘째는 맥락 의존성이다. 사람의 프라이버시 태도는 고정되어 있지 않다. 같은 사람도 어떤 상황에서는 개인정보 노출에 매우 민감하게 반응하지만, 다른 상황에서는 거의 무관심하게 행동한다. 논문은 이를 통해 이른바 ‘프라이버시 역설’을 설명한다. 많은 사람은 설문조사에서 개인정보 보호가 중요하다고 말하지만, 실제 온라인 쇼핑이나 소셜미디어 이용 과정에서는 민감한 정보를 쉽게 제공한다. 이는 사람들이 위선적이기 때문이 아니다. 프라이버시 판단이 상황적 단서, 인터페이스 디자인, 사회적 분위기, 즉각적 보상, 기본 설정에 크게 흔들리기 때문이다.

셋째는 조작 가능성이다. 프라이버시 선호는 쉽게 흔들릴 수 있다. 사람들은 자신의 개인정보 판단이 독립적이고 자율적이라고 생각하지만, 실제로는 플랫폼의 기본 설정, 문구, 디자인, 신뢰감, 다른 이용자의 행동, 정보 제공 방식에 영향을 받는다. 논문은 웹사이트의 디자인이 더 캐주얼하고 친근하게 보일수록 사람들이 더 민감한 정보를 쉽게 공개한 실험을 소개한다. 흥미로운 점은, 해당 사이트가 실제로 더 안전해서가 아니라 단지 더 편안한 분위기를 주었기 때문에 더 많은 공개가 이루어졌다는 점이다.

이 논문에서 특히 중요한 부분은 ‘통제감’에 대한 비판이다. 일반적으로 개인정보 보호 정책은 이용자에게 더 많은 선택권과 통제권을 주는 방향으로 설계되어 왔다. 그러나 연구진은 통제권이 항상 개인정보 보호로 이어지지는 않는다고 지적한다. 오히려 사용자가 자신이 통제하고 있다고 느끼는 순간, 더 많은 민감 정보를 공개할 수 있다. 즉, 통제감은 실제 보호 장치가 아니라 심리적 안전감으로 작동할 수 있으며, 이 안전감이 더 큰 노출을 유도할 수 있다.

프라이버시 정책과 고지 방식에 대한 비판도 날카롭다. 투명성은 개인정보 보호의 핵심 원칙으로 여겨져 왔지만, 실제로 대다수 이용자는 개인정보 처리방침을 읽지 않는다. 설령 읽는다 해도, 법률적이고 복잡한 문장으로 쓰인 정책을 충분히 이해하기 어렵다. 논문은 만약 미국 소비자들이 방문하는 모든 웹사이트의 개인정보 처리방침을 실제로 읽는다면 그 기회비용이 연간 7,810억 달러에 달할 것이라는 기존 연구를 인용한다. 이는 ‘읽고 동의했다’는 형식이 현실적으로 얼마나 취약한 보호 장치인지를 보여준다.

논문은 소셜미디어 환경도 중요한 사례로 제시한다. 페이지 3의 그림 1은 2005년부터 2011년까지 카네기멜런대 Facebook 네트워크 이용자들의 공개 정보 노출 변화 추이를 보여준다. 생일 정보 공개 비율은 2005년 80% 이상에서 2011년 20% 미만으로 크게 줄어들었다. 그러나 고등학교 정보 공개는 Facebook의 기본 공개 설정 변화 이후 다시 증가했다. 이는 이용자의 프라이버시 행동이 개인의 선호뿐 아니라 플랫폼의 설정 변화라는 외부 충격에 따라 달라질 수 있음을 보여준다.

페이지 5의 그림 3도 같은 문제를 더 구조적으로 보여준다. 2005년과 2014년의 Facebook 기본 공개 범위를 비교하면, 시간이 지날수록 프로필 항목이 늘어나고 기본 공개 범위도 더 넓어졌다. 이용자가 직접 설정을 바꾸지 않으면 더 많은 정보가 더 넓은 청중에게 노출되는 구조가 만들어진 것이다. 이는 프라이버시 침해가 반드시 명시적 강요나 해킹을 통해서만 발생하는 것이 아니라, 플랫폼의 기본값과 설계 선택을 통해 조용히 확대될 수 있음을 보여준다.

이 논문의 가장 큰 의의는 프라이버시 문제를 개인 책임의 틀에서 벗어나게 했다는 데 있다. 기존의 많은 논의는 이용자가 충분한 정보를 제공받고 합리적으로 선택하면 된다고 전제했다. 그러나 저자들은 정보 비대칭, 판단의 불확실성, 맥락적 영향, 인터페이스 설계, 심리적 편향을 고려할 때, 개인이 항상 자신의 최선의 이익에 맞게 프라이버시 결정을 내릴 수 없다고 본다. 따라서 개인정보 보호는 단순한 ‘동의’의 문제가 아니라 권력의 문제이며, 데이터 보유자와 데이터 주체 사이의 불균형을 조정하는 정책의 문제다.

생성형 AI 시대에 이 논문은 더욱 중요해진다. 2015년의 논문은 주로 소셜미디어, 온라인 쇼핑, 검색엔진, 행동광고 환경을 다루고 있지만, 오늘날 그 문제는 AI 학습 데이터와 프롬프트 입력, 사용자 대화 기록, 개인화 모델, 자동 추론 시스템으로 확장됐다. 사용자는 자신이 AI에게 입력한 문장이 어떻게 저장되는지, 학습에 쓰이는지, 다른 맥락에서 재사용되는지 명확히 알기 어렵다. 더구나 AI는 단순히 데이터를 보관하는 데 그치지 않고, 개인에 대한 새로운 추론을 만들어낼 수 있다. 이 점에서 아퀴스티와 동료들의 논의는 생성형 AI 프라이버시 연구의 이론적 기반으로 활용될 수 있다.

물론 이 논문은 특정한 하나의 실험 논문이라기보다 기존 행동과학 연구를 종합한 리뷰 논문이다. 따라서 새로운 단일 모형을 검증하기보다는, 다양한 실험과 관찰 연구를 연결해 프라이버시 행동의 복잡성을 설명한다. 이 때문에 실증적 엄밀성은 개별 인용 연구에 분산되어 있으며, 논문 자체가 직접적인 인과모형을 제시한다고 보기는 어렵다. 그러나 바로 그 점이 이 논문의 강점이기도 하다. 이 논문은 프라이버시를 법학, 경제학, 심리학, 커뮤니케이션, 정보시스템 연구가 함께 다루어야 할 다층적 문제로 정리한다.

결국 이 논문이 던지는 메시지는 분명하다. 사람들은 프라이버시를 모르는 것이 아니다. 다만 너무 복잡한 정보 환경 속에서 자신이 무엇을 내어주고 있는지, 무엇을 잃게 되는지, 무엇을 얻는지 정확히 판단하기 어렵다. 그리고 바로 그 불확실성 속에서 기업과 플랫폼은 기본 설정, 디자인, 보상 구조, 통제감의 illusion을 통해 사용자의 공개 행동을 유도할 수 있다.

정보의 시대에 프라이버시는 개인의 선택이지만, 동시에 개인에게만 맡길 수 없는 문제다. 이용자는 불완전하고, 맥락에 흔들리며, 쉽게 조작될 수 있다. 따라서 개인정보 보호 정책은 현실의 인간을 전제로 해야 한다. 완벽하게 합리적이고 모든 약관을 읽으며 장기적 위험을 계산하는 이상적 인간이 아니라, 불확실하고 취약하며 때로는 즉각적 편익에 흔들리는 실제 인간 말이다.

Privacy and Human Behavior in the Age of Information은 바로 그 지점에서 여전히 유효하다. 이 논문은 프라이버시의 위기를 기술의 문제가 아니라 인간 행동과 권력 구조의 문제로 읽어낸다. 그리고 오늘날 생성형 AI 시대의 개인정보 논의는 이 질문에서 다시 출발해야 한다. 우리는 정말 알고 동의하고 있는가. 아니면 알 수 없는 것을 동의했다고 믿도록 설계된 환경 속에 살고 있는가.