-개인정보위, 구글‧메타에 역대 최대 과징금 1000억원 부과 -이용자 동의 없이 개인정보 수집, 맞춤형 광고에 사용 -온라인 맞춤형 광고 플랫폼 행태정보 수집‧이용 첫 제재
[디지털데일리 최민지 기자] ‘서울 호캉스’ ‘반려동물 용품’ ‘간에 좋은 영양제’ 등 이용자 속내를 마치 읽은 것처럼 인터넷에서 최근 관심 있는 주제 관련 맞춤형 광고들이 나타나는 것을 본 적 있는가? 혹시나 했더니 역시나, 이용자 동의 없이 개인정보를 수집한 결과로 나타났다.
개인정보보호위원회(이하 개인정보위)는 14일 제15회 전체회의를 열고 이용자 동의 없이 개인정보를 수집한 구글과 메타를 대상으로 위반행위 시정명령과 함께 1000억원 과징금을 부과했다. 구글은 692억원, 메타는 308억원이다.
이번 조사‧처분은 온라인 맞춤형 광고 플랫폼 행태정보 수집‧이용 관련된 첫 번째 제재다. 특히, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금이다. 개인정보보호법 제39조의15에 따르면 위반행위와 관련한 매출액 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 이에 개인정보위는 구글‧메타가 제출한 2019~2021년 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 위반행위 중대성‧기간 등을 고려해 최종 과징금을 부과했다.
이날 윤종인 개인정보위 위원장은 “이용자를 식별해 수집되는 행태정보가 축적되면, 개인 사생활을 심각하게 침해할 우려가 있다는 점에서 그 위반행위가 중대하다”며 “이번 처분으로 플랫폼이 무료 서비스를 제공한다는 명목하에 이용자가 알지 못하는 사이 개인정보를 무단 수집·이용한행위를 시정해 개인정보 자기결정권을 두텁게 보호하는 계기가 되기를 기대한다”고 강조했다.
구글과 메타는 반발하고 있다. 구글은 유감을 표명했고, 메타는 적법한 절차였음을 주장하며 개인정보위 제재에 동의할 수 없다는 입장이다. 이에 개인정보위 결정에 불복하고 행정소송에 나설 것으로 전망된다.
◆구글 유럽과 달리 한국에선 설정화면까지 가리고 기본값 ‘동의’=이용자가 특정 기기에서 플랫폼에 로그인하는 경우, 해당 기기에 이용자를 식별할 수 있는 값을 생성한다. 이는 모바일 광고 식별자 등을 수집해 이용자 계정과 결합하기도 한다. 행태정보 수집 도구가 설치된 사업자 웹·앱을 사용하면, 식별 값 및 정보를 이용자 기기에서 플랫폼으로 직접 수집‧분석해 이용자에게 맞춤형 광고를 송출하는 방식이다.
구글과 메타는 자사 서비스에 가입한 이용자가 다른 웹사이트 및 앱을 방문‧사용한 행태정보를 수집해 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받지 않았다. 보호법 제39조의3 제1항을 위반한 것이다.
구글은 지난 2016년부터 현재까지 최소 6년간 서비스에 가입한 이용자의 타사 행태정보를 수집해 맞춤형 광고 등에 이옹하면서, 그 사실을 명확하게 알리고 동의를 받지 않았다. 이를 위해 구글은 설정화면(옵션 더보기)을 가려둔 채 기본값을 ‘동의’하는 방법을 사용했다.
그런데 해외에서 구글은 국내와 달리 이용자가 개인정보를 설정할 수 있도록 조치했다. 유럽에서는 국내에서는 보이지 않는 ‘빠른맞춤설정(1단계)’ 또는 ‘수동 맞춤설정(5단계)’ 선택 화면을 제공한다. 이를 통해 ▲웹 및 앱 활동 ▲유튜브 기록 ▲광고 개인 최적화 등 동의받을 내용을 한 번에 보여주며 이러한 설정을 2주 내 검토할 수 있도록 알림 기능을 지원한다. 이용자는 행태정보 등 저장여부와 보유기간, 사용방식 등을 직접 선택할 뿐 아니라 동의를 철회할 수 있음을 알게 된다.
구글이 한국에서 웹 및 앱 활동과 유튜브 기록, 광고 개인 최적화 등을 옵션 더보기에 가려놓고 기본값으로 저장하고 있는 것과 대조적이다.
◆페북‧인스타하려면 개인정보 내놓으라던 ‘메타’, 동의방식 왜 이래?=2018년부터 현재까지 약 4년간 메타는 이용자 타사 행태정보를 수집해 맞춤형 광고 등에 이용했다. 그러면서도 메타는 계정 생성 때 동의받을 내용을 이용자가 알아보기 쉽지 않은 형태로 게재했다.
페이스북은 계정 생성 때 한 번에 다섯 줄밖에 보이지 않는 스크롤 화면에 행태정보 수집 관련 사항(파트너가 제공하는 정보)이 포함된 데이터 정책 전문(694줄)을 게재한 것 외에 별도로 법정 고지사항을 알리고 동의받지 않았다.
인스타그램 계정을 생성하는 과정에서는 ‘이용 약관에 동의’ 화면에서 ‘데이터 정책(필수)’을 선택하도록 하면서 ‘더 알아보기’를 누르는 경우 데이터 정책 전문을 보여줬다.
타사 행태정보는 다른 웹사이트‧앱 방문‧사용하는 과정에서 자동으로 수집된다. 플랫폼이 이용자를 식별해 타사 행태정보를 수집·이용하는 행위는 이용자 계정으로 접속한 모든 기기를 추적, 온라인 활동을 모니터링할 수 있다. 익명성을 상실시키고, 이용자 사상·신념, 정치적 견해, 건강, 신체적·생리적·행동적 특징 및 민감한 정보를 생성하고 식별할 가능성이 높다.
그런데, 이러한 타사 행태정보를 수집하는 플랫폼이 정보주체인 이용자가 인지할 수 없도록 전문을 게재하는 형태로 동의를 구했다는 것이다.
메타는 최근 한국 이용자 대상으로 행태정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의방식을 변경하겠다고 밝힌 후 여론 뭇매에 방침을 철회한 바 있다. 개인정보를 내놓지 않으면 페이스북과 인스타그램을 사용할 수 없다는 뜻이었다.
개인정보위는 메타가 동의방식을 변경하려다 철회한 내용도 조사 중이다. 메타는 변경 시도한 데이터 정책 내용이 기존과 달라진 게 없다고 하지만, 보호법 제39조의3 제3항에서는 이용자가 필요 최소한의 개인정보 이외 개인정보를 제공하지 않는다는 이유로 서비스 제공을 거부해서는 안된다고 규정하고 있다.
◆구글‧메타, “행태정보 수집 동의는 플랫폼 사업자 역할 아냐”=구글과 메타는 이용자 행태정보 수집에 대한 동의는 플랫폼 사업자가 아니라 웹사이트 및 앱서비스 사업자가 동의를 받아야 한다고 주장하고 있다. 플랫폼이 행태정보 수집도구를 제작‧배포하긴 하지만, 웹·앱 사업자가 이를 설치할지 여부를 스스로 결정하고 수집되는 항목을 선택하기 때문이다.
하지만, 통상적으로 플랫폼의 이용자 식별자와 타사 행태정보는 사업자를 거치지 않고 이용자 기기에서 플랫폼으로 직접 전송된다. 이와 관련 구글과 메타는 설령 플랫폼이 동의를 받아야 한다고 해도 처리방침 등을 통해 이용자에게 알리고 동의를 받았다고 반박했다.
해외에서도 비슷한 사례에서 구글과 메타가 법적 의무를 준수하지 않았다고 판단했다. 프랑스 개인정보 감독기구(CNIL)는 지난 2019년 1월 구글이 투명성 원칙을 위반하고 이용자로부터 맞춤형 광고에 대한 동의를 받지 않았다고 결정했으며, 같은 해 2월 독일 경쟁당국(FCO)은 메타가 이용자 동의 없이 타사 행태정보를 수집·이용한 것으로 판단했다.
개인정보위는 “이번 처분을 통해 이용자의 타사 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지해 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고 동의받도록 하는 계기가 될 것”이라며 “플랫폼 등 온라인 광고 사업자들이 행태정보를 수집해 맞춤형 광고에 활용할 때 이용자의 선택권이 제한되지 않도록, 이와 관련된 정책․제도 개선을 준비 중이다. 이번 처분 내용도 반영되도록 하겠다”고 말했다.
참여연대는 개인정보가 보호되는 온라인 광고 첫걸음이라고 평가하며, 구글과 메타에게 이번 결정을 즉각 수용하고 이용자 개인정보 보호를 위해 서비스 정책을 개편할 것을 촉구했다.
참여연대는 ”수 년동안 만연해왔던 불법적인 행태정보 수집에 대해서 개인정보위가 처음으로 제동을 걸었다는 점에서 이번 결정을 환영한다. 맞춤형 광고 과정에서 발생하는 다른 개인정보 침해에 대해서도 적절한 조치가 취해질 것을 기대한다“며 ”말로는 개인정보를 보호한다고 하면서도 실제로 각국 감독기구와 이용자 요구를 무시한다면, 구글과 메타에 대한 전 세계적인 저항과 규제는 커질 수밖에 없을 것“이라고 전했다.