개인정보 보호는 분산 학습 시스템에서 특히 중요합니다. 다양한 소스 간에서 학습자의 신뢰를 관리하는 것은 마치 스마트폰 앱의 개인정보를 관리하는 것과 유사하며, 민감한 학습 데이터를 다룰 때 이 과제는 더욱 중요해집니다. 특히, 일부 시스템은 사용자의 모든 활동을 잠재적인 학습 활동으로 간주하며, 학습과 훈련이 단순히 교실 안에서만 이루어지는 것이 아니라 자연스러운 환경에서도 발생하도록 유도합니다.
현대 디지털 학습 시스템은 광범위한 데이터 수집을 통해 개인화된 학습과 광범위한 학습 추천을 가능하게 합니다. 이러한 시스템은 고정적이고 획일적인 커리큘럼을 넘어 학습자의 진행 상황을 세부적으로 추적하고, 이를 바탕으로 후속 학습 활동을 조정합니다. 이는 매우 효율적인 학습 방식을 실현하는 데 큰 도움을 주지만, 데이터 수집과 사용자 모델링 관행은 개인정보 위협을 초래할 수 있으며, 이는 이러한 시스템 채택에 장애물이 될 수 있습니다.
개인화 제공자에 대한 사용자 신뢰가 약화되고 있는 지금, 이러한 데이터 수집 및 학습자 모델링 관행의 개인정보 영향을 조사하는 것이 필수적입니다.
또한, 학습 시스템에 자주 포함되는 소셜 네트워킹 기능 역시 개인정보 보호 문제를 야기할 수 있습니다. 사용자는 소셜 네트워크에서 심각한 개인정보 보호 문제를 제기하고 있지만, 동시에 이러한 네트워크에서 자신의 개인정보를 효과적으로 관리하는 데 어려움을 겪습니다. 따라서 학습 애플리케이션에서는 신중하게 설계된 개인정보 관리 메커니즘을 제공하는 것이 중요합니다.
미래 학습 생태계에서의 개인정보 보호
많은 기존 학습 시스템에서 개인정보 보호 설정은 사후적으로 고려되는 경우가 많으며, 복잡한 개인정보 보호 정책과 몇 가지 설정 옵션이 이를 뒷받침합니다. 이에 반해, 미래 학습 생태계는 개인정보 보호를 설계 단계에서부터 반영하는 Privacy by Design 철학을 채택해야 합니다. 이를 통해 시스템 개발자와 연구자가 사용자 우려를 효과적으로 완화할 수 있는 특성을 선택할 수 있도록 해야 합니다.
또한, 사용자 맞춤형 개인정보 보호(user-tailored privacy)를 구현하면, 시스템이 학습자의 개인정보 우려를 모델링하고 적응형 개인정보 보호 결정 지원을 제공할 수 있습니다. 이는 개발 주기를 다소 길게 만들 수 있지만, 복잡한 개인정보 설정과 사용자가 이해하기 어려운 방대한 개인정보 정책으로 인해 시스템이 혼란을 초래하거나, 더 나아가 개인정보 보호가 전혀 없는 상황이 발생하는 것을 방지합니다.
데이터 수집
디지털 학습 시스템은 학습자의 실행 활동(runtime activity), 역량(competencies), 그리고 맥락(context)을 포함한 다양한 데이터를 제공할 수 있습니다. 이러한 데이터는 익명으로 수집되거나 학습자의 프로필에 식별 가능하게 연결될 수 있습니다. 디지털 학습 애플리케이션의 데이터 수집 방식은 수집되는 데이터의 유형, 출처, 그리고 데이터의 식별 가능성 여부에 따라 고유한 개인정보 보호 문제를 일으킬 수 있습니다.
이 섹션에서는 디지털 학습 애플리케이션의 데이터 수집 방식을 정의하고 개발할 때 이러한 요소들을 어떻게 고려해야 하는지에 대해 설명합니다.
개인정보 결정 과정
분산 학습 시스템을 개발하는 데 있어 가장 중요한 조언 중 하나는 잠재적 사용자들의 개인정보 보호 우려와 행동 방식을 연구하는 것입니다. 개인정보 보호 연구에서 일관되게 나타나는 결과는, 사람들이 정보 공개 방식에서 광범위한 차이를 보인다는 점입니다. 일반적으로 디지털 시스템 사용자들은 개인화를 위한 데이터 수집의 이점을 인정하지만, 데이터 수집이 지나치게 이루어질 경우 사용자가 시스템 사용을 꺼리거나 완전히 사용하지 않게 될 수도 있습니다. 이러한 임계점은 사용자마다 다릅니다.
사용자들이 개인정보 관련 결정을 내리는 방식을 이해하면 이러한 문제를 완화하는 전략을 수립하는 데 도움이 됩니다.
사용자들의 의식적인 정보 공개 결정을 설명하는 데 자주 사용되는 개념 중 하나는 ‘프라이버시 계산’(privacy calculus)입니다. 이 개념에 따르면 사람들은 선택 가능한 옵션의 위험과 이점을 균형 있게 고려하여 개인정보 결정을 내립니다. 따라서 디지털 학습 시스템은 요청된 정보 공개 행동의 중요성을 명확히 제시하고, 관련성이 명확하지 않은 경우 정보를 요구하지 않는 것이 중요합니다.
또한, 연구는 사용자의 신뢰가 디지털 시스템에서 정보 공개 행동에 상당한 영향을 미친다는 점을 보여줍니다. 따라서 신뢰를 구축하는 것은 현대 디지털 학습 시스템에서 데이터 수집과 추적 관행의 수용도를 높이는 중요한 전략입니다. 신뢰는 학습 애플리케이션이 신뢰할 수 있는 출처에서 제공되고, 처음부터 합리적이고 투명한 데이터 수집 방식을 채택함으로써 구축될 수 있습니다.
그러나 사람들은 항상 합리적으로 개인정보를 결정하지는 않습니다. ‘휴리스틱’ 개인정보 결정은 위험과 이점을 신중하게 따지지 않고, 웹사이트의 평판, 명시된 개인정보 보장, 디자인 품질과 같은 표면적이고 쉽게 접근할 수 있는 단서를 기반으로 이루어집니다. 디지털 학습 시스템은 이러한 휴리스틱 결정 과정이 정보 공개에 부정적인 영향을 미칠 수 있음을 인식하고 사용자 설문을 통해 이를 더 잘 이해해야 합니다.
또한, 학습자는 합리적인 기본 설정(default settings)을 제공받고, 논리적 신뢰 자료(예: 개인정보 정책)와 휴리스틱 신뢰 자료(예: 개인정보 인증서나 보증 마크)를 통해 자신의 결정 과정을 지원받아야 합니다.
특히 개인정보 보호에 대한 관심(동기)이 낮거나 개인정보 보호에 대한 이해도(자기 효능감)가 낮은 학습자는 휴리스틱 방식으로 결정을 내릴 가능성이 높습니다. 합리적인 개인정보 결정을 요구하는 경우, 디지털 학습 시스템은 문맥화된 개인정보 제어 옵션과 쉽게 이해할 수 있는 개인정보 정보를 제공하여 사용자들에게 동기와 역량을 부여할 수 있습니다. 예를 들어, 만화나 그림으로 제작된 설명서를 제공하는 방식이 이에 해당합니다.
커뮤니케이션 방식
디지털 학습 시스템에서 개인정보 보호는 개인화의 영역을 넘어, 이러한 시스템의 대인 간 상호작용(소셜 네트워킹) 측면과도 관련이 있습니다. 소셜 네트워크는 정보 공개를 관리할 수 있는 다양한 메커니즘을 제공하며, 연구에 따르면 사용자는 정보 공개를 제한하기 위해 다양한 전략을 활용합니다. Pamela Wisniewski와 그녀의 동료들이 발견한 여섯 가지 개인정보 관리 전략8(그림 8-1 참조)이 이러한 전략의 예시로, 이는 소셜 네트워크 기반 시스템이나 학습 시스템에서 소셜 네트워크를 활용한 애플리케이션 및 기능에도 적용될 수 있습니다.
인터넷 사용자는 자신이 선호하는 커뮤니케이션 방식에 따라 소셜 네트워크를 선택합니다. 연구9에 따르면 암묵적인 사회적 신호(예: 위치 공유 소셜 네트워크)를 전달하는 서비스는 주로 상태 업데이트를 게시하거나 읽으면서 다른 사람들과 소통하기를 선호하는 ‘FYI(FYI Communicators)’ 커뮤니케이터들이 사용합니다. 이들은 방송 기반의 소셜 네트워크 시스템에서 제공하는 암묵적인 사회적 상호작용 메커니즘으로부터 혜택을 받는 경향이 있습니다.
반면, FYI 커뮤니케이터가 아닌 사람들은 전화 통화나 직접적인 방식으로 소통하는 것을 선호합니다. 이들은 보다 직접적인 상호작용을 촉진하는 시스템에서 더 많은 혜택을 누립니다.
두 유형의 커뮤니케이터를 모두 만족시키기 위해, 디지털 학습 시스템은 자동화된 소셜 네트워크 스타일 공유(FYI 커뮤니케이터를 위해)와 직접적인 채팅 스타일 상호작용(FYI 커뮤니케이터가 아닌 사용자들을 위해)을 모두 제공해야 합니다.
더 나아가, FYI 커뮤니케이터와 비-FYI 커뮤니케이터의 커뮤니케이션 방식이 서로 충돌할 가능성이 있으므로, 개발자는 하나의 애플리케이션 내에서 서로 다른 커뮤니케이션 방식이 통합될 때의 영향에도 주의를 기울여야 합니다.
소셜 네트워크 구성 요소를 활용하거나 구현하는 디지털 학습 시스템은 다양한 개인정보 관리 방식에 맞게 개인정보 보호 기능을 조정해야 합니다.
식별 가능성의 수준
학습자의 개인 식별 정보(PII)의 사용과 공유는 특별한 주의가 필요합니다. PII는 단독으로 또는 다른 세부 정보와 결합하여 개인을 식별하거나, 연락을 취하거나, 위치를 확인하거나, 특정 맥락에서 개인을 식별하는 데 사용될 수 있는 모든 정보를 의미합니다. PII와 관련된 개인정보 보호 문제는 디지털 학습 시스템 사용자가 완전히 익명성을 유지할 수 있도록 함으로써 완화할 수 있습니다.
완전한 익명성은 사용자와 관련된 영구 식별자가 전혀 존재하지 않음을 의미합니다. 그러나 대부분의 학습 활동은 여러 상호작용을 거치는 경로를 따르기 때문에, 시스템이 이러한 상호작용 전반에 걸쳐 학습자를 인식해야 한다는 점에서 디지털 학습 시스템에서 이를 완전히 구현하기는 어렵습니다. 보다 현실적인 대안으로, 사용자가 디지털 학습 시스템에 가명(pseudonym)으로 참여하도록 허용할 수 있습니다.
하지만 가명 및 기타 비식별화 방법의 효과성에 대해 의문이 제기되고 있습니다. 특히, 디지털 학습 시스템이 고차원(high-dimensional) 및 희소(sparse) 데이터를 수집하는 경우, 이러한 데이터는 여전히 재식별(re-identification)의 위험에 노출될 수 있습니다. 그럼에도 불구하고 서버 데이터의 비식별화는 여전히 좋은 보안 관행으로 간주되며, 서버가 손상되더라도 모든 사용자를 재식별하는 데 상당한 노력이 필요하다는 점에서 유용한 보안 조치가 될 수 있습니다.
학습자 데이터 수집
디지털 학습 시스템은 사용자의 다양한 데이터를 수집할 기회를 가지고 있습니다. 장기적이고 지속적인 데이터 추적은 학습 시스템이 개인화된 학습 환경을 제공하고, 학습자 그룹에 대한 유용한 통찰을 발견하는 데 도움을 줄 수 있습니다. 하지만 각 데이터 유형은 고유한 개인정보 보호 문제를 수반하므로 이를 신중히 고려해야 합니다. 가장 세부적인 수준에서, 디지털 학습 시스템은 사용자의 단계별 행동을 기록하는 ‘학습자 실행 활동(runtime activity)’ 데이터를 수집할 수 있습니다. 이는 사용자의 진행 상황을 추적하고, 학습 경험을 사용자의 능력, 지식, 학습 속도에 맞게 조정하는 데 활용될 수 있습니다.
그러나 지속적인 추적은 디지털 판옵티콘(디지털 감시체제)을 만들어 사용자의 자유를 제한할 수 있습니다. 따라서 사용자에게는 여가와 학습의 경계를 관리할 수 있는 간단하고 편리한 알림 및 제어 메커니즘이 제공되어야 합니다. 또한 사용자의 실행 활동 데이터는 엄격한 접근 제어, 비식별화, 난독화, 암호화, 또는 클라이언트 측 개인화(client-side personalization)와 같은 방법으로 신중히 보호되어야 합니다.
추론 데이터(Inferences)
학습 시스템이 학습자에 대해 생성하는 추론 데이터 또한 개인정보 보호 문제에 영향을 미칠 수 있습니다. 개인화 시스템은 사용자를 잘못 판단했을 때 부정적인 영향을 줄 수 있습니다. 심지어 추론이 정확할지라도, 학습자가 이를 원하지 않거나 학습자에게 최선이 아닐 수도 있습니다. 예를 들어, 연구에 따르면 사람들은 웹사이트가 자신의 데이터를 추적하는 것에 본능적으로 불편함을 느끼는 것으로 나타났습니다. 이러한 불편함은 신뢰를 감소시키고, 결과적으로 데이터 공개 행동에 부정적인 영향을 미칠 수 있습니다.
따라서 자가 학습(self-regulated learning) 이론과 권장사항을 개발 단계에서 신뢰 구축 요건에 포함시켜야 합니다. 이는 사용자가 시스템을 신뢰하도록 돕고, 추적 및 데이터 사용에 대한 거부감을 줄이는 데 기여할 수 있습니다.
출력 방식과 장치
미래의 디지털 학습 시스템은 스마트폰, 스마트 TV, 전자책, 스마트워치 및 기타 다양한 장치를 포함한 다중 장치 경험으로 예상됩니다. 이러한 장치는 각각 고유한 개인정보 보호 문제를 제기합니다. 스마트폰 및 웨어러블과 같은 개인 장치는 실시간 학습에 이상적이지만, 방해 요소가 될 수도 있습니다. 따라서 이러한 장치에서 학습 경험을 설계할 때 학습자를 방해하거나 학습자에 대한 정보를 통제되지 않은 방식으로 노출하지 않도록 해야 합니다(예: 스마트폰에서 그룹에 화면을 투사하면서 팝업 알림으로 학습 정보를 표시하는 경우). 이를 달성하기 위한 전략에는 알림을 신중히 계획하고, 학습자의 현재 작업을 방해하지 않으며, 학습자의 맥락에 맞게 알림 시간을 조정하는 것이 포함됩니다.
여러 사용자가 공유하는 장치(예: 스마트 TV)의 경우, 사회적 환경에서 개인 정보를 노출하지 않도록 해야 합니다. 이를 위해, 이러한 장치의 알림은 세부 정보가 요청될 때까지 숨기고, 일반적인 추천만 표시해야 합니다.
데이터 위치와 소유권
분산 플랫폼에서 학습 경험을 통합하는 일반적인 이유는 학습 경험 전반에 걸친 추천 및 적응 기능을 제공하기 위함입니다. 이를 위해 데이터 수집 및 저장 시설, 통신 채널, 적응 기능의 구현이 필요합니다. 대부분의 시스템에서 이러한 구성 요소는 중앙 집중식으로 설계되므로 학습자와 구성 요소 간의 신뢰를 구축하는 것이 매우 중요합니다. 이를 달성하는 한 가지 방법은 이러한 구성 요소를 신뢰할 수 있는 지역 단체(예: 부서나 조직)의 관리하에 두는 것입니다. 그러나 이는 다양한 인스턴스 전반에서 수집된 데이터에서 얻을 수 있는 중요한 통찰을 제한할 수 있으며, 학습자 데이터 이동성을 어렵게 만들 수 있습니다.
대안으로, 모든 사용자, 부서 및 조직이 동일한 중앙 집중화된 구성 요소를 공유하는 학습 플랫폼을 구축할 수 있습니다. 그러나 모든 사용자의 데이터를 수집하는 단일 엔티티는 해커들에게 매력적인 목표가 될 수 있습니다. 가장 적절한 절충안은 학습자가 신뢰할 수 있을 만큼 낮은 수준이면서, 데이터 이동성과 사용자 모델링 시너지를 효과적으로 활용할 수 있을 만큼 높은 수준에서 이러한 구성 요소를 배치하는 것입니다. 즉, 데이터/통찰력 이동 문제는 휴대성 요건과 표준화된 API를 통해 줄일 수 있습니다.
우리는 데이터를 생태계 개념으로 개방할 수 있는 큰 기회가 있다고 생각합니다. 예를 들어, 예측 분석은 특정 학생이 과목에서 좋은 성과를 낼지, 혹은 나쁜 성과를 낼지를 식별하는 데 도움을 줄 수 있습니다. 하지만, 이러한 정보를 학생들에게 보여주는 것이 맞을까요? 이는 자기실현적 예언(self-fulfilling prophecy)을 만들어낼 가능성이 있습니다. 이러한 윤리적으로 부적절한 활용 가능성을 고려하는 것이 중요합니다. 이를 방지하는 방법은 데이터를 관리하기 위한 거버넌스 시스템을 사용하고, 이러한 과정을 신중하게 계획하는 것입니다.
Phill Miller, Chief Learning
and Innovation Officer, Blackboard
또 다른 질문은 플랫폼에 있는 각 학습 애플리케이션이 학습자의 데이터에 어떻게 접근할 수 있는지입니다. 사용자는 각 애플리케이션에 대해 신뢰 수준이 다를 가능성이 높으므로, 액세스 제어 메커니즘이 필요합니다. 이를 통해 애플리케이션이 학습자의 개인정보 보호 설정을 존중하면서도 데이터를 최적으로 활용할 수 있도록 해야 합니다.
적응 시스템의 최근 발전 중 하나는 계산을 중앙 서버가 아닌 클라이언트 측에서 수행하는 것입니다. 연구에 따르면 이러한 클라이언트 측 방식은 개인정보 보호 문제를 완화합니다. 그러나 클라이언트 측 적응 방식은 제한된 추론 방법(예: if-then 규칙, 간단한 분류)을 사용할 수 있으며, 장치가 도난당했을 때 데이터가 해킹되거나, 장치를 분실하거나 손상했을 경우 사용자 모델이 영구적으로 손실될 수 있다는 우려가 있습니다.
이러한 고려 사항과 한계를 바탕으로, 3단계 데이터 관리 및 개인화 접근 방식을 제안합니다.
-
1단계: 플랫폼은 학습자의 역량 데이터를 사용하여 사용자가 어떤 학습 애플리케이션을 추천받아야 할지를 결정합니다(메타 적응).
-
2단계: 개별 애플리케이션은 유사한 데이터를 사용하여 앱 수준에서 적응을 수행합니다(매크로 적응). 이때 접근 권한은 규제되어야 합니다.
-
3단계: 클라이언트 측 메커니즘은 세부적인 학습자 실행 데이터와 행동 추적을 사용하여 학습 경험에 미세한 조정을 가합니다(마이크로 적응).
데이터 소유권과 관리
대부분의 현대 온라인 서비스의 최종 사용자 라이선스 계약(EULA)은 사용자에 대한 개인 정보를 수집하여 완전히 소유한다고 주장합니다. 그러나 이러한 주장의 합법성은 의문입니다. “정보 소유”라는 법적 개념은 아직 새로운 영역이며, 이 주제와 관련된 법률은 여전히 작성 중입니다. 게다가, 사용자들에 대한 초기 조사에 따르면, 최종 사용자에게 개인 정보 소유권을 부여하는 것이 장점이 있으며, 이는 서로 다른 디지털 학습 시스템 간의 데이터 이동을 촉진할 수 있습니다.
그러나 데이터 소유권은 독점적이지 않으며, 다른 주체(예: 애플리케이션, 고용주, 연구자)에게 개인 데이터에 대한 부분적인 공동 소유권을 부여하는 것이 바람직할 수 있습니다. 이러한 공동 소유자는 데이터 요청 시 최소한의 데이터를 요청하고, 중복 저장을 피하며, 가능한 경우 데이터를 비식별화해야 합니다.
데이터 소유권은 학습자에게 중요한 책임을 부여합니다. 이를 통해 사용자는 자신의 데이터 공유 결정에 적극적으로 참여할 수 있지만, 모든 사용자가 이 책임을 감당할 동기와 역량을 갖춘 것은 아닙니다.
401(k) 모델에서는 학습자가 공식적으로 데이터를 소유하지만, 데이터와 관련된 결정권 일부를 교사나 관리자와 같은 신탁자(fiduciary)에게 위임할 수 있습니다. 이 신탁자는 “데이터 관리자(data steward)” 역할을 하며, 학습자를 대신해 결정을 내릴 수 있습니다. 하지만 이러한 권한의 한계를 명확히 규정하는 엄격한 정책이 필요합니다. 이 정책은 항상 허용되는 관행, 절대 허용되지 않는 관행, 그리고 사용자 명시적 동의가 필요한 관행을 명시할 수 있습니다. 특히, 동의가 필요한 경우 단순히 “옵트아웃(opt-out)” 옵션이 포함된 통지로 끝나지 않고, 제안된 관행에 대해 사용자가 공식적으로 “옵트인(opt-in)“하도록 요청해야 합니다. 이는 학습자가 정보에 입각한 결정을 내릴 가능성을 높입니다.
마지막으로, 특정 데이터의 공개 및 사용에 대해 둘 이상의 당사자가 발언권을 가질 경우, 개인 평등 테스트(Private Equality Testing)를 사용하여 2인 개념(Two-Person Concept) 솔루션을 도입할 수 있습니다. 이 개념은 (미국 공군 지침 91-104[16]에서 제안된 바와 같이) 어떤 개인도 데이터를 의도적 또는 비의도적으로 유출하거나, 협박 또는 사회 공학 공격의 희생자가 되는 것을 방지합니다.
데이터 공유
디지털 학습 시스템에서 수집된 데이터는 시스템 외부에서도 활용될 수 있습니다. 이러한 활용 중 하나는 학습자 본인에게 데이터를 제공하는 것으로, 이는 자기 측정(quantified self)과 같은 혁신을 가능하게 합니다. 이 외에도 학습 시스템은 학습 자료, 활동, 결과를 동료 학습자와 공유하여 사회적 학습 경험을 지원하거나, 연구자와 공유하여 학습 혁신을 촉진하거나, 고용주와 공유하여 조직 의사결정에 정보를 제공할 수 있습니다.
이 섹션에서는 디지털 학습 시스템이 수집하고 생성한 데이터의 사회적, 학문적, 조직적 사용과 관련된 개인정보 보호 문제를 다룹니다.
정량적 자아(Quantified Self)
학습자 데이터가 학습자 본인에게 공유됨으로써, 디지털 학습 시스템은 학습자가 자신의 데이터를 탐구할 수 있는 “정량적 자아(quantified self)” 경험을 제공합니다. 예를 들어, 신중하게 설계된 개인화된 인포그래픽은 개인이 자신의 정체성에서 공통적이거나 독특한 면을 탐구할 수 있도록 돕습니다. 이러한 통찰은 많은 사람들이 웨어러블 기술과 지속적인 추적에 따른 잠재적인 개인정보 침해를 수용하는 중요한 이유가 됩니다. 따라서 정량적 자아는 디지털 학습 시스템의 데이터 수집 노력을 정당화하는 동기 요인이 될 수 있습니다. 또한, 정량적 자아는 학습의 촉매제가 될 수 있습니다. 자가 추적 데이터를 게임 같은 구조로 번역하면 사용자가 스스로를 더 발전시키도록 격려하고 지원하는 새로운 동기부여 및 자기주도 학습(heutagogy) 구조를 창출할 수 있습니다.
사회적 학습 경험
학습 환경 간에 학습자 데이터를 공유하는 것은 경우에 따라 가족교육권리및프라이버시법(FERPA)이나 일반 데이터 보호 규정(GDPR)과 같은 규정을 위반하는 것으로 간주될 수 있습니다. 따라서 학습자(시스템이 아닌)가 정보 공개 여부를 결정하도록 주의해야 합니다. 정보를 공유할 의향이 있는 학습자조차도 모든 연락처와 데이터를 공유하기를 원하지 않을 수 있으며, 이는 과도한 사회적 활동으로 인해 부담이 될 수 있습니다. 이에 따라 사용자는 공유를 위한 연락처의 일부를 선택할 수 있어야 하며, 학습 시스템은 이 과정을 적극 지원해야 합니다.
연구 및 조직적 의사결정
학습 데이터는 연구 및 조직적 의사결정을 위해서도 사용될 수 있습니다. 개인정보 보호 전문가들은 정보의 2차적 사용은 사용자에게 명확히 전달되어야 하며, 그렇지 않으면 사용자가 이를 알게 되었을 때 놀라거나 개인정보가 침해되었다고 느낄 수 있다고 주장합니다. 또한, 연구 및 고용 관련 관행에 대한 법률과 규정을 준수해야 합니다. 예를 들어, 고용 차별은 불법이지만, 알고리즘 기반 결정이 원치 않는 편향을 포함하는 것으로 나타난 사례가 있습니다. 따라서 승진 결정 등에서 기계적 판단을 사용할 때 윤리적 고려가 반드시 이루어져야 합니다.
프라이버시 지원 메커니즘
디지털 학습 시스템에서는 프라이버시 지원을 위한 다양한 기술을 구현할 수 있습니다. 이 마지막 섹션에서는 이러한 기술의 장점과 단점을 다룹니다.
프라이버시 공지
온라인 프라이버시 정책은 종종 법률적이고 복잡한 방식으로 작성되며, 대학 수준의 독해력을 요구합니다. 사실 많은 사람들이 온라인 프라이버시 정책을 읽는다고 주장하지만, 실제로는 이를 제대로 검토하지 않거나 이해하지 못하는 경우가 많습니다. 이에 따라 프라이버시 정책을 요약하려는 노력이 많이 이루어졌지만, 요약된 프라이버시 공지는 종종 너무 단순화되어 정책의 내용을 정확히 반영하지 못합니다. 이를 개선하기 위한 방법 중 하나로 강조를 추가해 텍스트를 더 읽기 쉽게 만드는 “텍스처드 동의” 방식이 있습니다. 그러나 이 방식은 사람들이 동의서를 읽는 데 걸리는 시간을 줄이기보다는 오히려 늘린다는 연구 결과가 있습니다. 사람들이 직면하는 프라이버시 결정을 이해하도록 돕는 것이 중요하다는 합의가 있지만, 실제로는 이러한 공지가 사람들을 더 두렵게 하거나 결정을 내리는 것을 주저하게 만드는 경우가 많습니다. 따라서 결론적으로, 프라이버시 공지에 의존하기보다는 프라이버시 결정을 더 간단하게 만드는 것이 낫습니다.
제어 메커니즘
간단한 프라이버시 제어 기능은 사용자가 자신의 프라이버시 설정을 관리할 수 있도록 도와줍니다. 예를 들어, 소셜 공유 설정에서 수신자를 그룹화하면 결정 과정을 단순화할 수 있으며, 제어 매트릭스의 그래픽 표현은 사용자가 공유 패턴을 이해하고 관리하는 데 도움을 줄 수 있습니다. 선택적 정보 공유는 사용자가 프라이버시 문제를 완화하기 위해 사용할 수 있는 많은 전략 중 하나입니다. 마찬가지로, 프라이버시 제어는 전통적인 “공유 매트릭스” 방식 외에도 더 다양하고 직관적인 방식으로 제공될 수 있습니다. 연구에 따르면, 사용자가 원하는 프라이버시 기능을 제공하지 않으면 연결성이 감소하고 사회적 자본을 놓칠 수 있습니다.
안타깝게도, 사용자는 자신들의 데이터에 대한 완전한 통제권을 원한다고 주장하지만, 실제로는 이러한 통제권을 활용하는 번거로움을 피하려는 경향이 있습니다.
과도하게 허용적인 기본 설정과 사용자들이 제어 메커니즘을 회피하는 경향은 과도한 정보 공유로 이어집니다. 따라서 디지털 학습 시스템은 스마트 기본 설정을 사용하고, 이용 가능한 제어 기능을 가능한 한 간단하게 만들어야 합니다.
프라이버시 넛지
넛지는 사람들이 특정 방향으로 결정을 내리도록 유도하는 미묘하지만 설득력 있는 단서입니다. 프라이버시 넛지의 한 예로는 개인이 프라이버시 결정을 더 쉽게 합리화할 수 있도록 돕는 정당성을 제공하는 것이 있습니다. 이러한 정당성에는 정보 요청 이유를 제공하거나, 정보 공개의 이점을 강조하거나, 사회적 규범에 호소하거나, 수신자의 신뢰성을 상징적으로 나타내는 요소(예: “프라이버시 인증 마크”)를 제공하는 방식이 포함됩니다. 또 다른 방식으로는 합리적인 기본 설정을 제공하여 사용자가 이를 그대로 따르도록 유도하는 것이 있습니다.
그러나 지금까지 평가된 프라이버시 넛지는 일부 사용자에게만 효과가 있으며, 다른 사용자들에게는 영향을 주지 않거나 오히려 불만족을 초래하기도 합니다. 일부 연구자들은 이러한 현상이 넛지가 프라이버시 문제를 “모두에게 적합한 방식(one-size-fits-all)“으로 접근하기 때문이라고 주장합니다. 이러한 넛지는 모두에게 적합하지 않을 경우 소비자의 자율성을 위협할 수 있습니다. 따라서 학습자들 사이에서 프라이버시에 대한 합의가 있을 때만 넛지를 사용하는 것이 가장 좋습니다. 이러한 경우에는 기본적으로 프라이버시 보호 설정을 적용하되, 학습자가 원하는 경우 다른 설정을 선택할 수 있는 옵션을 제공해야 합니다.
사용자 맞춤형 프라이버시
사용자 맞춤형 프라이버시는 사용자의 프라이버시 의사결정 방식을 지원하기 위한 새로운 방법입니다. 사용자 맞춤형 프라이버시 기반 시스템은 먼저 사용자의 프라이버시 관련 특성과 행동을 측정한 후, 이를 입력 데이터로 활용하여 사용자의 프라이버시 선호도를 모델링하고, 마지막으로 이러한 선호도에 맞춰 시스템의 프라이버시 설정을 조정합니다(그림 8-2 참조).
사용자 맞춤형 프라이버시의 첫 번째 단계는 학습자의 프라이버시 관련 특성과 행동을 측정하는 것입니다. 이를 위해 학습 시스템 개발자는 사용자의 의사결정 방식이 다차원적이고 다양하다는 점을 인정해야 합니다. 또한, 학습자의 프라이버시 관행은 다양하지만, 대개 간결한 “프라이버시 프로필”로 포착할 수 있으며, 마찬가지로 잠재적 데이터 수신자도 종종 여러 그룹 또는 “서클”로 구성할 수 있다는 점을 인지해야 합니다.
다음 단계는 프라이버시를 모델링하는 것입니다. 이는 학습자의 현재 프라이버시 관행에 맞추어 진행될 수 있지만, 어떤 경우에는 학습자의 현재 관행을 보완하는 프라이버시 관행을 제안하는 것이 더 나을 수 있으며, 또 다른 경우에는 학습자의 현재 관행을 완전히 넘어서도록 제안하는 것이 바람직할 수도 있습니다. 이 모델은 사용자가 속한 조직의 관행과 제약 사항을 고려할 수도 있습니다. 마지막으로, 이 사용자 모델을 활용하여 사용자 맞춤형 프라이버시는 디지털 학습 애플리케이션의 프라이버시 설정, 특정 정보 요청의 정당성 설명 방식, 프라이버시 설정 인터페이스, 학습 추천 방식 등을 개인화할 수 있습니다.
사용자 맞춤형 프라이버시는 학습자에게 적절한 프라이버시 관련 정보와 적당한 수준의 프라이버시 통제권을 제공함으로써 학습자의 프라이버시 의사결정 부담을 덜어줄 수 있다고 볼 수 있습니다. 이는 학습자가 과도한 정보로 압도되거나 오도되지 않도록 하는 데 도움이 됩니다.
구현 권장 사항
학습 생태계 설계에 직관적인 개인정보 보호 제어를 구축하고 학습자를 안내할 개인정보 보호에 민감한 추천 에이전트를 생성하기 위한 몇 가지 개발 단계가 권장됩니다.
- 의사 결정
• 신뢰 구축: 학습 애플리케이션이 신뢰할 수 있는 출처에서 비롯되었는지 확인하십시오. 합리적인 데이터 수집 관행을 적용하고 처음부터 개인정보 보호 설계 철학을 채택하십시오. 마지막으로, 맥락화된 개인정보 보호 제어 메커니즘과 이해하기 쉬운 개인정보 보호 정보를 제공하십시오.
- 커뮤니케이션 스타일
• 다양한 개인정보 관리 전략에 맞춤화: 선택적 공유자(Selective Sharers)에게 특정 애플리케이션과 그룹에 데이터를 선택적으로 노출할 수 있는 기능을 제공하십시오. 자기 검열자(Self-Censors)에게는 학습 자료를 선택하고 공유 형태를 제한하기 위한 비개인화 메커니즘을 제공하십시오. 시간 절약자(Time Savers)가 능동적인 알림과 소셜 기능을 옵트아웃할 수 있도록 허용하십시오. 프라이버시 극대화자(Privacy Maximizers)에게는 모든 기능을 제공하고, 프라이버시 균형자(Privacy Balancers)에게는 큐레이션, 차단, 직접 상호작용을 피할 수 있는 메커니즘을 제공하십시오. 또한 프라이버시 최소화자(Privacy Minimalists)에게는 생태계 내 적응적 및 소셜 기능을 제공하십시오.
“우리가 FAA를 조사했을 때 발견한 것은 훈련과 운영의 경계가 점점 흐려지고 있다는 점입니다. …항공기는 분석 기능을 가진 센서를 가지고 있어 프로파일을 생성하고, 파일럿이 위험한 행동을 했는지 여부를 알릴 수 있습니다. 이를 통해 FAA는 해당 프로그램을 검토하고 파일럿에게 정보를 제공할 수 있게 됩니다. 그러나 조합에 의해 운영되고 구조화된 파일럿들은 ’우리를 감시할 수 없다!’고 반발했습니다. 그래서 조합이 그 데이터를 중재하는 보호자 역할을 하기로 했습니다. 이를 통해 문제가 발생했을 경우 일련의 승인 절차와 데이터 보호 절차가 마련되어 파일럿이 처벌을 받지 않으면서도 필요한 정보를 제공받을 수 있도록 했습니다.”
– Michael Smith, Senior Technical Specialist, ICF
- 식별 수준 설정
• 적절한 식별 수준을 설계: 익명화 기술에 의존하지 않고 프라이버시를 보호하면서 창의적이고 (자체) 평가적인 환경에서는 가명을 사용할 수 있도록 허용합니다. 공식적이거나 외교적인 환경에서는 실명 정책을 강제합니다.
- 데이터 유형 수집
• 학습자의 실행 활동 보호: 무분별한 맥락 추적을 줄여 디지털 판옵티콘의 형성을 방지하고, 여가와 학습 간 경계를 관리하기 위한 간단한 알림 및 제어 메커니즘을 제공합니다. 액세스 제어, 암호화, 익명화 및 데이터 난독화를 통해 학습자의 실행 데이터를 보호하며, 가능한 경우 로컬에서 데이터를 처리하고 사용합니다.
- 출력 형식과 장치
• 사용자를 방해하지 않기: 알림을 신중하게 계획하고, 알림의 긴급도를 제어할 수 있는 간단한 기능을 제공합니다. 학습자의 맥락에 맞게 알림 시기를 조정합니다.
• 사회적 환경에서 개인정보 유출 방지: 민감한 세부 정보를 드러내지 않는 일반적인 알림을 제공하며, 근처 사람 수에 따라 알림에 포함된 정보의 양을 조정합니다.
- 적응 관리
• 학습 플랫폼의 중앙 구성 요소를 적절한 수준에서 구현: 중앙 학습 구성 요소를 신뢰할 수 있는 기관의 관할 하에 두고 학습 모델의 이동성을 지원합니다. 표준화된 API를 통해 학습 애플리케이션 간 상호 운용성을 허용합니다.
• 중앙에 수집된 데이터에 대한 개별 학습 애플리케이션의 액세스 규제: 학습 애플리케이션이 자체 적응을 수행하도록 허용하고, 중앙 데이터 사용을 규제하는 액세스 제어 메커니즘을 구현합니다.
• 클라이언트 측 미세 적응 사용: 학습자의 실행 데이터를 클라이언트 측 애플리케이션에서 수집하고 분석합니다. 이러한 데이터를 불필요하게 저장하지 않으며, 데이터 손실이나 도난을 방지하기 위해 일시적으로 처리합니다.
- 데이터 소유권 및 관리
• 학습자에게 데이터 소유권 부여: 학습자가 자신의 원시 데이터와 사용자 모델을 검토하고, 학습 기관이나 고용 조직 간 데이터를 이동할 수 있도록 합니다.
• 고용주와 학습 애플리케이션에 제한된 공동 소유권 부여: 고용주와 학습 애플리케이션이 적절한 데이터에 대해 공동 소유권을 가지되, 최소한의 데이터만 요청하고 중복 저장을 피하며 데이터를 익명화합니다.
• 학습자가 ‘데이터 관리인’을 지정할 수 있도록 허용: 학습자가 자신의 데이터를 관리할 책임을 ‘데이터 관리인’에게 위임할 수 있도록 하며, Private Equality Testing을 활용한 ‘2인 개념’을 구현합니다.
- 사회적 학습 경험
• 공유할 데이터를 사용자가 제어하도록 허용: 기본적으로 학습 결과를 공유하지 않으며, 공유 전에 학습자가 명시적인 결정을 내리도록 요구합니다. 학습자가 관련성이 높은 사람들로 연결을 제한할 수 있도록 하고, “학습 동료” 추천 시스템을 구현합니다.
- 연구 및 조직적 의사결정
• 2차 데이터 사용에 대해 학습자에게 알림: 2차 데이터 사용 관행을 학습자에게 명확히 전달하고, 사용된 데이터와 그 목적을 명확히 밝힙니다.
• 연구 및 조직적 의사결정을 책임감 있게 수행: 연구 데이터를 익명화하고, 승진 결정이 차별 없이 이루어지도록 보장합니다.
- 프라이버시 공지
• 학습자가 프라이버시 공지를 읽을 가능성을 높임: 프라이버시 영양 라벨을 사용하여 학습자가 간략히 개요를 확인할 수 있도록 하고, 공지를 직관적이고 매력적으로 만듭니다. 이를 만화 형식으로 제공하거나 결정 과정을 단순화하여 공지가 필요 없을 정도로 간단하게 만듭니다.
- 제어 메커니즘
• 접근 가능한 그래픽 프라이버시 제어 사용: 제어를 명확하고 쉽게 접근 가능하게 만듭니다. 그래픽 방법을 사용하여 사용자가 접근 권한을 넘어서 이해하고 관리할 수 있도록 돕습니다.
- 프라이버시 넛지
• 학습자 간 합의가 있을 경우 넛지 사용: 거의 모든 학습자가 동의하는 최적의 프라이버시 설정이 있을 경우 정당성과 기본값을 사용하여 넛지를 구현하고, 학습자가 다른 설정을 원할 경우 선택의 여지를 제공합니다.
- 사용자 맞춤형 프라이버시
• 학습자의 프라이버시 의사결정을 지원하기 위해 사용자 맞춤형 프라이버시 채택: 학습자의 프라이버시 선호도를 측정하고, 현재의 관행, 보완적인 관행, 또는 새로운 관행을 추천하며, 이를 바탕으로 학습 시스템을 조정합니다.