역대 최대 과징금 규모, 제3자 서비스 ‘행태정보’ 수집 위법성 최초 인정

▲ 이용자 개인정보 유출 논란이 잇따른 구글과 페이스북. 디자인=이우림 기자. ⓒ gettyimagesbank
▲ 이용자 개인정보 유출 논란이 잇따른 구글과 페이스북. 디자인=이우림 기자. ⓒ gettyimagesbank

이용자 동의를 받지 않고 개인정보를 수집해 온라인 맞춤형광고에 활용한 메타(구 페이스북), 구글에 역대 최대 규모 과징금이 부과됐다. 맞춤형광고를 위한 개인정보 수집에 개인정보보호위원회가 내린 최초의 ‘제재’이기도 하다. 

개인정보보호위원회는 14일 전체회의를 열고 제3자 서비스의 행태정보를 수집해 맞춤형광고에 활용해온 구글과 메타에 시정명령과 함께 1000억 원의 과징금을 부과했다. 구글에는 692억 원, 메타에는 308억 원의 과징금을 부과했다. 개인정보보호법 위반으로 역대 가장 높은 과징금 액수다. 시정명령은 관련 정보 수집시 이용자 동의를 받도록 제도를 변경하도록 하는 내용이다.

▲ 윤종인 개인정보보호위원장이 14일 회의에서 발언하고 있다. 사진=개인정보보호위원회
▲ 윤종인 개인정보보호위원장이 14일 회의에서 발언하고 있다. 사진=개인정보보호위원회

행태정보는 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동정보를 말한다.

제3자 서비스 ‘행태정보’ ‘위법적’ 수집
구글, 유럽에선 제대로 동의 받았다

앞서 개인정보보호위는 온라인 맞춤형광고 플랫폼의 행태정보 수집·이용 실태를 점검했다. 이 과정에서 이용자가 해당 서비스가 아닌 웹사이트나 앱을 방문해 남긴 ‘행태정보’까지 수집해 활용하는 데 적법한 동의를 받았는지를 중점 조사했다.

개인정보보호법상 개인정보를 수집할 때는 당사자 동의를 받아야 하고, 무엇을 어떤 목적으로 수집하고, 제3자에 제공하는지, 보유 기간은 어떻게 되는지 등을 명확하게 고지해야 한다.

▲ 페이스북 제3자 서비스 행태정보 수집 현황
▲ 페이스북 제3자 서비스 행태정보 수집 현황

구글과 메타는 해당 서비스가 아닌 앱과 웹 활동도 수집해 광고에 활용해왔다. 페이스북(메타)의 경우 이용자의 ‘배달의 민족’ 주문내역, ‘쿠팡’의 거래 내역, 장바구니 내역, ‘야놀자’ 앱 사용 내역 등을 수집해 맞춤형광고에 활용했다. 

그러나 구글과 메타는 자사 서비스 이용자의 타사 행태정보를 수집·분석하면서도 이를 당사자에게 명확히 알리지 않고 사전에 동의도 받지 않은 것으로 나타났다.

구글은 서비스 가입시 타사 행태정보 수집·이용 사실을 명확히 알리지 않았다. 관련 설정화면은 ‘옵션 더보기’를 누르지 않는 이상 알 수 없는 상황에서 기본값을 ‘동의’로 설정해 동의를 유도했다. 메타는 계정을 만들 때 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재했을 뿐 고지사항의 구체적인 내용을 이용자에게 알리며 동의를 받지 않았다.

▲ 구글 행태정보 수집 현황
▲ 구글 행태정보 수집 현황

사실상 ‘동의’를 받지 않았다는 점은 이용자 대다수가 관련 설정을 허용했다는 점에서 드러나기도 한다. 개인정보보호위에 따르면 국내 기준 구글 이용자의 82% 이상, 메타 이용자의 98% 이상이 타사 행태정보 수집을 허용하도록 설정하고 있었다.

구글은 한국과 달리 유럽 이용자가 회원 가입할 때는 행태정보 수집, 맞춤형 광고 및 개인정보 보호 설정 등을 이용자가 직접 선택하도록 단계별로 구분해 동의를 받고 있는 것으로 나타나기도 했다. 
 

제3자 서비스 행태정보 수집 “민감 정보 드러날 우려”

개인정보보호위가 제3자 서비스의 행태정보 수집 행위에 심각성이 크다고 판단한  대목에 주목할 필요가 있다. 개인정보보호위는 ‘예측 가능성이 떨어지는 점’과 ‘민감한 정보가 수집될 수 있는 점’을 문제로 언급했다.

개인정보보호위는 “이용자가 플랫폼이 아닌 다른 웹사이트 및 앱을방문·사용하는 과정에서 자동으로 수집되므로 자신의 ‘어떤 정보’가 수집되는지 예측하기 어렵다”며 “이용자 계정으로 접속한 모든 기기를 추적, 온라인 활동을 모니터링하여 익명성을 상실시키고, 이용자의 사상·신념, 정치적 견해, 건강, 신체적·생리적·행동적 특징 및 민감한 정보를 생성하고 식별할 가능성이 높다”고 지적했다. 

단순히 이용자가 남긴 대략적인 정보를 토대로 맞춤형 광고를 하는 게 아니라 개인의 여러 활동을 구체적으로 추적하면서 ‘익명성’이 사라지고, 개인에 대해 수집해선 안 되는 민감한 정보까지 드러날 수 있다고 본 것이다.

메타 ‘약관 강제’ 문제는 별도 조사

개인정보보호위는 메타가 맞춤형광고에 활용되는 개인정보 수집 약관에 이용자가 동의하지 않으면 서비스 이용을 못하게 한 행위는 별도 조사를 진행 중이라는 입장이다. 메타는 기존에 수집해오던 정보를 ‘동의’ 형태로 바꿨으나, 사실상 이를 강제해 반발이 이어진 끝에 철회했다.

개인정보보호위는 “최근 메타가 동의방식을 변경하려다 철회한 내용도 조사를 진행 중”이라며 “개인정보보호법 제39조의3 제3항은 이용자가 필요 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스의 제공을 거부해서는 안된다고 규정하고 있으며, 이에 근거해 메타가 수집하는 타사 행태정보 등이 서비스 제공을 위해 반드시 필요한 정보인지를 중점적으로 검토하고 있다”고 밝혔다.

이 기사를 후원합니다.

관련기사 더보기

저작권자 © 미디어오늘 무단전재 및 재배포 금지