□ 구글 메타 개인정보 보호법 위반... 韓 정부, 초대 규묘 과징금 부과하고 시정 조치
ㅇ (개요) 이용자 동의 없이 개인정보(이용자의 타사 행태정보※)를 수집해 온라인 맞춤형 광고※※에 활용하는 등 개인정보 보호법을 위반한 구글·메타에 대해 시정명령과 함께 약 1,000억 원의 과징금 부과
* (행태정보) 누리집(웹사이트) 및 앱 방문·사용 이력, 구매·검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동 정보
** (맞춤형 광고) 행태정보를 통해 이용자의 성향 등을 분석·추정하여 이용자에게 맞춤형으로 제공하는 온라인 광고
- 개인정보위는 한국인터넷진흥원 등의 지원을 받아 2021년 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태를 점검
- 특히 플랫폼이 「이용자(회원)가 다른 누리집(웹사이트) 및 앱을 방문·사용한 행태정보(타사 행태정보)를 수집하여 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받았는지 여부」를 중점 조사
- 조사 결과, 구글·메타는 자사 서비스 이용자의 타사 행태정보를 수집·분석하여 이용자의 관심사를 추론하거나 맞춤형 광고 등에 사용하면서 그 사실을 이용자에게 명확히 알리지 않고 사전에 동의도 받지 않은 것이 확인
2-1.PNG
ㅇ (구글의 위반행위) 최소 약 6년간(’16.6~현재) 자사 서비스에 가입한 이용자의 타사 행태정보를 수집하여 맞춤형 광고 등에 이용하면서 그 사실을 해당 이용자에게 명확하게 알리고 동의를 받지 않음
- 서비스 가입 시 타사 행태정보 수집·이용 사실을 명확히 알리지 않고 그 설정화면(‘옵션 더보기’)을 가려둔 채 기본값을 ‘동의’로 설정하는 등의 방법 사용
2-2.PNG
ㅇ (메타의 위반행위) 약 4년간(’18.7.14~현재) 자사 서비스에 가입한 이용자의 타사 행태정보를 수집하여 맞춤형 광고 등에 이용하면서, 그 사실을 해당 이용자에게 명확하게 알리고 동의를 받지 않음
- 페이스북은 계정 생성 시 한 번에 다섯 줄밖에 보이지 않는 스크롤 화면에 행태정보 수집 관련 사항(“파트너가 제공하는 정보”)이 포함된 데이터 정책 전문(694줄)을 게재한 것 외에 별도로 법정 고지사항을 알리고 동의받지 않음
- 인스타그램 계정을 생성하는 과정에서는 “이용 약관에 동의” 화면에서 “데이터 정책(필수)”을 선택하도록 하면서 “더 알아보기”를 누르는 경우 “인스타그램 데이터 정책” 전문을 제공
2-3.PNG
ㅇ (과징금) 보호법 제39조의3 제1항을 위반하여 이용자의 동의 없이 개인정보(이용자의 타사 행태정보)를 수집·이용한 행위에 대해 총 1,000억 4,700만 원의 과징금 부과
※ 구글 692억 4,100만 원, 메타 308억 600만 원
2-4.PNG
- 이번 조사?처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금
※ 개인정보보호법 제39조의15에서는 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정. 구글·메타의 2019~2021년 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 과징금 결정
ㅇ(주요 시정조치 내용) 이용자의 타사 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지하여 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고 동의를 받을 것
□ 구글,, 유럽 지역에서는 회원 가입 시 '선택 화면' 제공... 韓 차별 논란
ㅇ 구글은 해외(유럽)에서는 회원가입 시 국내에서는 보이지 않는 “빠른 맞춤설정(1단계)*” 또는 “수동 맞춤설정(5단계)” 선택 화면을 제공
* (빠른 맞춤설정) “웹 및 앱 활동”, “YouTube 기록”, “광고 개인 최적화” 등 동의받을 내용을 한 번에 보여주며 이러한 설정을 2주 내에 검토할 수 있도록 알림 기능 제공
- 구글은 이러한 선택 화면을 통해 유럽 이용자가 구글이 수집하는 데이터와 사용 방법을 관리할 수 있도록 개인정보 보호 설정 및 맞춤형 광고 등에 대하여 이용자에게 인지하도록 주지
- 특히 이용자가 “수동 맞춤설정”을 선택한 경우, 총 5단계에 걸쳐 단계별로 행태정보 등의 저장 여부와 보유기간, 사용 방식 등을 각각 알려주고 이용자가 직접 선택
2-5.PNG
- (수동 맞춤설정: 1단계) “웹 및 앱 활동”의 저장 여부 및 보유기간을 직접 ‘선택’하도록 하고 사용되는 데이터 종류 및 사용 방식을 구분하여 알리고 있으며 “동의”를 철회할 수 있다고 안내
※ 국내는 “웹 및 앱 활동”을 “옵션 더보기”에 가려놓고, 기본값을 “저장”으로 함
- (수동 맞춤설정: 2단계) “YouTube 기록”의 저장 여부 및 보유기간을 직접 ‘선택’하도록 하고, 사용되는 데이터 종류 및 사용 방식을 구분하여 알리고 있으며 “동의”를 철회할 수 있다고 안내
※ 국내는 “YouTube 기록”을 “옵션 더보기”에 가려놓고, 기본값을 “저장”으로 함
- (수동 맞춤설정: 3단계) “광고 개인 최적화” 사용 여부를 직접 ‘선택’하도록 하고 사용되는 데이터 종류 및 사용 방식을 구분하여 알리고 있으며 국내와 달리 계정 데이터를 관심 분야를 추론하는 데 사용한다고 안내
※ 국내는 “광고 개인 최적화”를 “옵션 더보기”에 가려놓고, 기본값을 “표시”로 설정
- (수동 맞춤설정: 4단계) “옵션 더보기”에 가려져 있던 ‘개인정보 보호 설정에 관한 알림’에 대해 더 구체적으로 설명하고 수신 여부를 선택 가능
- (수동 맞춤설정: 5단계) 이용자가 동의 및 설정한 사항이 무엇인지 한눈에 보여주고 쿠키 및 기기 ID에 대해 안내
□ 메타는 韓 이용자의 동의방식 변경을 시동했으나 철회
ㅇ 최근 한국의 기존 이용자 대상으로 행태정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의방식을 개정하려다 과도한 정보 수집·활용 논란에 휩싸이자 번복
- 페이스북과 인스타그램 서비스에 대한 개인정보 수집에 동의하지 않으면 한국 이용자에게 서비스를 제공하지 않는다고 발표했다가 이를 철회(7.28)
- 변경안은 사용자들에게 △개인정보의 수집 및 이용 △개인정보의 제공 △개인정보의 국가 간 이전 △위치 정보 △개인정보처리방침 업데이트 △이용 약관 등에 동의할 것을 요구, 이에 응하지 않는 사용자의 계정은 8.9일부터 정지시킨다는 내용
- 개인정보위는 ‘이용자가 필요 최소한 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 제공을 거부해서는 안 된다(개인정보보호법 39조의3 3항)’는 규정의 위배 여부 등을 살펴보겠다고 대응
- 결국 메타는 개정안을 철회했지만 개인정보를 불법적으로 수집하는 문제는 여전하며, 아무런 설명없이 개인정보를 수집하는 메타의 행위는 국내 개인정보법 위반 소지가 크다는 것
2-6.PNG
□ 향후 정책방향 및 해외에서도 위반 사례에 강경 대응
ㅇ 이번 조사?처분은 거대 플랫폼이 무료 서비스를 제공한다는 명목하에 이용자가 알지 못하는 사이 개인정보를 무단 수집·이용한 행위에 대해 강경하게 대응했다는 점에 의의
- 이용자의 타사 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지하여 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고 동의받도록 하는 계기가 될 것으로 기대
ㅇ 우리 정부(개인정보위원회)는 이용자들이 불편을 겪거나 권리가 침해되지 않도록 시정 및 개선에 힘쓰는 동시에 국내외 주요 온라인 플랫폼의 개인정보 처리 동의방식에 대하여 지속적인 조사를 이어나갈 계획
ㅇ 또한 플랫폼 등 온라인 광고 사업자들이 행태정보를 수집하여 맞춤형 광고에 활용할 때 이용자의 선택권이 제한되지 않도록 이와 관련된 정책?제도 개선을 준비 중이며 이번 처분 내용도 반영할 예정
ㅇ 해외에서도 구글·메타가 타사 행태정보 수집 및 맞춤형 광고 활용과 관련하여 법적 의무 위반뿐 아니라 기타 개인정보 보호 위반 사례에 대해 엄중하게 처벌
- 아일랜드 정보보호위원회(DPC)는 인스타그램의 청소년 개인정보 관리를 제대로 하지 않았다는 이유로 4억 500만 유로(약 5,500억 원) 과징금 부과(2022.9)
※ 인스타그램에서 13~17세 청소년이 개인 계정이 아닌 기업용 계정을 사용할 경우, 전화번호와 이메일 주소 등 개인정보가 자동으로 공개되는 것이 문제라고 판단
- 룩셈부르크 정보보호국가위원회(CNPD)는 GDPR 위반 혐의로 아마존에 과징금 7억 4,600만 유로(약 1조 원) 부과(2021.7)
※ 아마존의 전자상거래 플랫폼 이용자 개인정보 관리 미흡이 GDPR에 위반된다고 판단
- 프랑스 정보자유국가위원회(CNIL)는 구글에게 GDPR 위반을 이유로 과징금 5,000만 유로(약 642억 원) 부과(2019.1)
※ 구글이 개인정보를 요구하는 과정에서 해당 정보가 자사의 타깃 광고 등에 어떻게 이용될 수 있는지 이용자들에게 충분히 알려주지 않았다는 것
- 독일 연방대법원은 페이스북이 사용자 동의를 거치지 않은 정보 수집에 대한 독일 경쟁당국의 시정 명령을 따라야 한다고 결정(2020.6)
