Skip to content

계산되는 시민의 권리

데이터 환경의 시민권은 자신을 계산하고 분류하며 통치하는 체계의 정당성에 개입하는 공동 통치권으로 확장되어야 한다. 여기서 공동 통치권은 개인이 자기 정보의 처리 결과를 다투는 수준을 넘어, 공적 영향력을 갖는 계산 체계의 목적·범위·평가 기준·책임 구조에 시민이 절차적으로 관여할 수 있는 권리 묶음을 뜻한다. 이 글에서 데이터 시민권은 접근권·정정권·이의제기권으로 발전해 온 기존 데이터 권리를, 계산 질서에 대한 공동 통치권으로 재배열한 개념이다. 행정, 금융, 노동, 복지, 치안, 플랫폼 추천은 사람을 점수화하고 예측하며 위험군과 우선순위로 배치한다. 시민권의 질문은 정보의 은폐 가능성에 머물 수 없다. 어떤 체계가 나를 어떻게 읽고, 그 읽기가 기회와 의무를 어떻게 재배치하며, 그 체계의 기준을 누가 정하는지를 묻는 권리가 필요하다.

개인정보 보호는 데이터 권리의 첫 세대였다

개인정보 보호의 초기 역사는 데이터 수집이 개인의 자유를 위축시킬 수 있다는 인식에서 출발했다. 1980년 OECD 프라이버시 가이드라인은 개인이 자신에 관한 데이터의 존재를 확인하고, 내용을 전달받고, 오류를 다툴 수 있어야 한다는 개인참여 원칙을 제시했다. 1981년 유럽평의회 협약 108은 개인정보 자동처리를 다루는 최초의 구속력 있는 국제협약으로 출범했다. 1983년 독일 연방헌법재판소의 인구조사 판결은 개인이 자기 정보의 공개와 이용을 스스로 통제할 수 있어야 한다는 정보자기결정권을 확립했다. 이 계보가 보여주는 것은 분명하다. 데이터 권리는 비밀 유지의 요구에서 출발했지만, 곧 자신에 관한 정보 흐름을 통제하는 시민적 자유의 형식으로 성장했다.

이 초기 권리 체계는 국가와 기업이 개인에 관한 정보를 대량으로 수집할 때 생기는 비대칭을 완화하는 데 목적이 있었다. 정보가 축적될수록 개인은 자신이 어떤 방식으로 보이는지 알기 어려워지고, 제도는 그 사람을 더 쉽게 식별하고 관리한다. 그래서 초기 데이터 보호는 수집 제한, 목적 제한, 접근권, 정정권을 중심으로 발전했다. 시민은 데이터베이스 안의 대상으로 고정되지 않기 위해 자기 정보의 흐름에 개입하는 권리를 요구했다.

권리는 정보의 보관에서 처리의 방식으로 이동했다

개인정보 보호가 제도적으로 성숙하자 권리의 초점은 저장된 정보 자체에서 정보가 처리되는 방식으로 이동했다. 유럽연합 GDPR은 접근권, 정정권, 삭제권, 처리 제한권, 이의제기권을 정리했다. 제22조는 전적으로 자동화된 처리에 근거하면서 법적 효과 또는 이와 유사하게 중대한 효과를 낳는 결정에 대해 정보주체를 보호하는 규정을 둔다. 이 조항은 자동화 판단 일반을 일괄적으로 포괄하는 규칙이 아니라, 중대한 효과를 갖는 특정 유형의 결정에 적용되는 보호 장치이며, 일정한 예외와 보완 절차도 함께 설정한다. 이 권리 구조는 데이터 권리가 침해 이후의 보상 장치에 그치지 않고, 정보 처리 과정에 개입하는 절차적 권리로 확장되었음을 보여준다.

권리의 초점이 처리 과정으로 이동한 이유는, 적법하게 수집된 데이터도 특정 결합과 해석을 거치면 삶의 조건을 바꿀 수 있기 때문이다. 복지 신청자는 부정수급 위험군으로 추정될 수 있고, 구직자는 자동 선별 시스템에서 탈락할 수 있으며, 신용평가 모델은 한 사람의 미래 선택지를 좁힐 수 있다. 권리의 대상은 정보 조각에 머물지 않는다. 그 조각들을 이어 붙여 사람을 특정한 유형으로 구성하는 처리 방식 전체가 권리의 문제로 들어온다.

플랫폼은 사람을 기록에서 예측 가능한 유형으로 바꾼다

플랫폼 경제는 데이터 권리의 문제를 다시 바꾸었다. 플랫폼은 사람이 명시적으로 제출한 정보 외에도 클릭, 체류 시간, 이동 경로, 구매 주기, 반응 속도, 친구 관계 같은 흔적을 결합한다. 이 흔적은 취향, 취약성, 이탈 가능성, 지불 의사, 정치적 관심을 추론하는 재료가 된다. 핵심은 수집된 정보의 양보다, 그 정보가 미래 행동을 예측하는 분류 체계로 전환된다는 데 있다.

이 변화는 개인정보 보호 중심 권리론의 경계를 드러낸다. 저장된 데이터의 목록을 확인하는 권리만으로는 분류 체계의 작동을 설명할 수 없다. 어떤 데이터가 어떤 범주와 점수로 변환되었는지, 그 결과가 추천과 배제의 근거로 어떻게 쓰였는지, 나와 비슷한 사람들의 평균값이 어떤 방식으로 나를 설명하는지까지 알아야 한다. 시민은 자기 정보의 소유자이면서 동시에 타인의 데이터와 결합된 추론 결과의 영향을 받는 존재가 되었다. 데이터 환경의 권리는 개인 단위의 통제권과 집합적 분류 권력에 대한 검증권을 함께 요구한다.

알고리즘 통치는 권리의 대상을 계산 체계로 넓혔다

알고리즘 통치는 사람에게 직접 명령하지 않아도 사회적 결과를 만든다. 어떤 신청서를 우선 검토할지, 누구에게 추가 서류를 요구할지, 어떤 지역을 집중 단속할지, 누구에게 광고를 덜 보여줄지를 결정하는 과정에서 계산 시스템은 행정과 시장의 실질적 문턱을 세운다. 이 문턱은 법적 제재처럼 명시적으로 드러나지 않더라도, 기회의 분배를 바꾼다.

네덜란드의 SyRI 사건은 이 문제를 압축한다. 정부는 여러 행정 데이터를 결합해 복지 사기 위험을 탐지하는 시스템을 운용했지만, 2020년 헤이그 지방법원은 관련 제도가 사생활권 보호와 공익 사이에서 공정한 균형을 충족하지 못한다고 판단했다. 이 사건의 핵심은 데이터 수집량의 많고 적음이 아니었다. 시민이 어떤 위험 모델 안에서 분류되는지 충분히 알기 어렵고, 그 분류 결과가 공적 대우를 바꿀 수 있다는 점이 문제의 중심이었다. 데이터 환경의 권리는 여기서 새로운 단계에 들어선다. 시민은 기록의 주체로 보호받는 동시에, 자신을 판단하는 계산 체계의 설계·운용 조건을 다툴 수 있어야 한다.

규범은 계산 권력을 제도적 감시 대상으로 옮기고 있다

최근의 규범 변화는 데이터 권리가 계산 체계의 책임 구조를 다루는 방향으로 확장되고 있음을 보여준다. 유럽연합 AI Act는 위험 기반 규제를 통해 일부 AI 관행을 금지하고, 고위험 AI 시스템에 문서화·인간 감독·위험관리 같은 의무를 부과한다. 유럽연합 집행위원회는 2026년 5월 기준 투명성 관련 규칙이 2026년 8월 2일부터 적용될 예정이라고 설명하고 있다. AI Act 제27조의 기본권 영향평가 의무는 모든 고위험 AI 운영자에게 일률적으로 부과되는 규칙이 아니다. 공공법상 기관, 공공서비스를 제공하는 민간 주체, 그리고 신용평가나 생명·건강보험 위험평가와 관련된 일부 고위험 AI 배포자에게 요구되는 절차다. 이 구분은 계산 체계의 공적 영향력이 커지는 영역에서 권리 보호가 어떤 방식으로 제도화되는지를 보여준다.

유럽평의회의 AI 기본협약도 같은 방향을 가리킨다. 이 협약은 인공지능 활동이 인권, 민주주의, 법치주의와 일치해야 한다는 국제적 원칙을 제시한다. 투명성, 책임성, 평등, 개인정보 보호, 위험과 영향의 평가가 협약의 핵심 축을 이룬다. 여기서 중요한 변화는 권리 침해가 결과 발생 이후의 구제 문제로만 다뤄지지 않는다는 점이다. 시스템 설계와 운용 단계에서 정당성을 묻는 권리 감각이 제도화되고 있다.

공동결정권은 규제 기술이 아니라 시민권의 일부다

이 글이 제안하는 감시권은 계산 체계의 설계와 운용을 공적으로 점검할 권리이고, 공동결정권은 그 체계의 기준 형성에 시민이 제도적으로 참여할 권리다. 이 두 권리에 대한 가장 강한 반론은 감시권과 공동결정권을 시민권으로 묶는 발상이 과도하다는 주장이다. 이 입장에 따르면 개인에게 필요한 것은 접근권, 설명 요구권, 정정권, 이의제기권 같은 절차적 권리다. 반면 시스템 감시와 도입 기준의 설정은 독립 규제기관, 법원, 의회, 전문 감사기구가 맡아야 한다. 시민 참여를 권리로 격상하면 책임 소재가 흐려지고, 고도의 전문성이 필요한 기술 판단이 정치적 선호에 과도하게 좌우될 수 있다는 우려도 뒤따른다.

이 반론은 규제기관과 전문 감시의 필요성을 정확히 짚는다. 계산 체계의 감사를 전적으로 일반 시민의 직접 판단에 맡기는 제도는 현실적이지도 바람직하지도 않다. 그러나 공적 영향력이 큰 계산 체계의 목적과 허용 범위를 정하는 일은 전문성만으로 닫히지 않는다. 복지 위험 예측, 채용 자동화, 신용평가, 공공서비스 우선순위화는 사람을 어떤 기준으로 평가할지 정하는 문제이며, 그 기준은 곧 시민의 지위와 기회의 배치를 바꾼다. 독립기관의 기술 감사는 필요하지만, 감사 대상을 정하고 감시 기준을 설계하며 공적 정당성을 부여하는 절차에는 시민적 관여가 필요하다. 공동결정권은 전문가를 대체하는 권리가 아니라, 계산 권력이 작동하는 공적 경계를 민주적으로 설정하는 권리다.

데이터 시민권은 다섯 권리의 묶음으로 제도화되어야 한다

이 계보를 따라가면 데이터 환경의 시민권은 다섯 권리로 정리된다. 첫째, 알 권리는 어떤 시스템이 나를 계산하고 분류하는지, 그 판단이 어떤 데이터와 기준을 활용하는지 설명받을 권리다. 둘째, 거부권은 중대한 효과를 낳는 자동화 판단이 개인의 삶을 좌우할 때 인간의 재검토와 실질적 이의제기를 요구할 권리다. 셋째, 수정권은 잘못된 원자료뿐 아니라 오류를 낳는 추론, 부정확한 프로필, 부당한 위험 분류를 다툴 권리다. 넷째, 감시권은 시민사회, 언론, 독립기관이 계산 시스템의 편향과 남용을 검증할 수 있도록 제도적 접근성을 확보하는 권리다. 다섯째, 공동결정권은 공공부문과 필수 서비스 영역에서 어떤 자동화 시스템을 도입할지, 어떤 기준을 금지하거나 허용할지 시민이 절차적으로 관여하는 권리다.

이 다섯 권리는 시민권의 작동 단위를 바꾸는 제안이다. 데이터 사회의 권력은 개인을 개별적으로 호출하면서도 집합적 분류를 통해 작동한다. 따라서 대응 권리도 개인 청구권과 공적 감시권을 함께 갖춰야 한다. 접근권과 정정권은 개인이 자기 삶을 다투는 통로를 제공한다. 감시권과 공동결정권은 계산 체계가 사회 전체의 기준을 바꾸는 순간 그 기준을 공론의 장으로 되돌린다. 데이터 시민권은 이 두 층위를 결합해 계산 권력의 책임 구조를 시민권의 언어로 재배열한다.

시민은 계산 질서의 공동 설계자가 되어야 한다

데이터 환경의 시민권은 사람을 해석하는 체계의 정당성을 묻는 정치적 권리다. 정보자기결정권은 데이터베이스 시대의 자유를 지켰고, 데이터 시민권은 알고리즘 통치 시대의 민주주의를 지켜야 한다. 계산 체계가 기회와 위험, 정상성과 이상, 우선순위와 배제를 조직하는 사회에서 시민은 그 체계의 기준을 검토하고 수정하며 감시하는 주체로 자리 잡아야 한다. 시민은 자신을 해석하는 시스템의 정당성을 함께 결정하는 공동 설계자가 되어야 한다.

참고자료

  • OECD, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data.
  • Council of Europe, Convention 108 and Protocols.
  • Bundesverfassungsgericht, Judgment of 15 December 1983.
  • Regulation (EU) 2016/679, Article 22, Automated individual decision-making, including profiling.
  • European Data Protection Board, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679.
  • District Court of The Hague, ECLI:NL:RBDHA:2020:1878.
  • European Commission, AI Act | Shaping Europe’s Digital Future.
  • European Commission, Navigating the AI Act.
  • Council of Europe, The Framework Convention on Artificial Intelligence and Human Rights, Democracy and the Rule of Law.

인포그래픽

작성일: 2026년 5월 19일