미국, 행태정보 기반의 온라인 광고에 대한 자율규제 원칙 강조
일본, 개인정보보호법에 개인관련정보 개념 신설해 행태정보 통제권 강화
한국, 지난 1월 행태정보 보호정책 발표... 맞춤형 광고 가이드라인 개정 예정
[보안뉴스 김경애 기자] 최근 맞춤형 광고 활용과 관련한 온라인 행태정보에 대해 프라이버시 보호를 강화하는 추세다. 특히 유럽, 미국, 일본 등은 이미 몇 년 전부터 관련법을 시행하며 행태정보 통제와 보호를 강화하고 있어 관심이 모아지고 있다.
[이미지=gettyimagesbank]
온라인 행태정보는 웹 사이트와 앱 등 방문 이력, 구매, 검색 이력 등 개인의 관심, 흥미, 기호, 성향 등을 추론하거나 분석할 수 있는 온라인 활동 정보다. 온라인 맞춤 광고 뿐만 아니라 서비스 성능 개선, 부정행위 방지, 보안, 통계 산출 등 다양한 목적으로 활용될 수 있다.
이에 따라 동일한 행태정보라 해도 처리방법, 처리환경 등에 따라 개인 식별성에 관한 판단이 달라질 수 있어 온라인 행태정보를 보호하려는 움직임이 전 세계 주요 국가 중심으로 확산되고 있다.
1. 유럽연합(EU), 개인정보보호 규정 등 통해 행태정보 통제 강화
EU는 개인정보보호 규정과 개인정보보호 지침, 디지털 시장법을 통해 행태정보 통제를 강화하고 있다. EU의 일반 개인정보보호법(GDPR: General Data Protection Regulation)에서는 온라인 식별자 등을 참고해 직·간접적으로 식별될 수 있는 정보를 개인정보로 규정하고 있다.
또한 개인정보보호지침(e-Privacy Directive)에서는 웹페이지 운영 사업자가 이용자의 기기에 쿠키를 설치하려면 동의가 필요하다고 규정하고 있다. 이와 함께 디지털 시장법(Digital Markets Act)에서는 2022년 11월부터 게이트키퍼 플랫폼(대형 플랫폼 규제 대상)에서 수집된 이용자의 데이터를 다른 서비스에서 수집된 이용자의 사전동의 없이 결합하는 것을 금지하고 있다. 특히 미성년자를 대상으로 하거나 민감한 개인정보를 활용한 맞춤형 광고는 금지하는 등 통제를 강화하고 있다.
2. 미국, 행태정보 기반 온라인 광고 자율규제
미국도 행태정보 통제를 강화하고 있다. 미국 연방거래위원회(FTC: Federal Trade Commission)는 행태정보 기반의 온라인 광고에 대한 자율규제 원칙을 지난 2009년 2월 발표했다. 쿠키 등을 통해 트래킹하는 경우, 개인정보보호 정책(Privacy Policy)을 통해 고지하도록 안내하고 있다.
미국 온라인광고연합단체인 DAA(Digital Advertising Alliance)는 FTC 자율규제 원칙에 따라 산업계가 지켜야 할 DAA 자율규제 원칙(DAA Self-Regulatory Principles)을 지난 2009년 7월 발표했다. DAA의 역할은 자율규제 준수에 대한 모니터링과 시행을 담당하는 책임 파트너(Accountability Partners)의 역할을 담당하고 있다. 책임 파트너는 자율규제를 준수하지 않은 기업을 FTC 등 적절한 기관에 회부할 수 있다. 이처럼 미국 광고업계에서는 자율규제가 중요한 역할을 하고 있으며, 광고를 둘러싼 많은 분쟁들이 자율규제 분쟁 처리 매커니즘을 통해 해결되고 있다.
미국 캘리포니아주는 캘리포니아 소비자프라이버시 보호법(CCPA: California Consumer Privacy Act)을 개정한 CPRA(California Privacy Rights Act)를 발표한 바 있다. 행태정보 수집·제공에 대한 소비자의 통제권 강화(2023년 1월 시행)로 맞춤형 광고 목적의 행태정보 제공에 대해 이용자에게 선택권(옵트아웃)을 부여하도록 규정하고 있다.
3. 일본, 개인관련정보 개념 신설해 행태정보 통제권 강화
일본은 개인정보보호법에서 개인관련정보 개념을 신설해 2022년 4월부터 행태정보 통제권 강화조치를 시행하고 있다. 개인관련정보는 개인에 관한 정보 중 그 자체로는 개인 식별이 어려운 정보로 개인정보, 가명가공정보, 익명가공정보 중 어디에도 해당하지 않는 정보를 뜻한다. 이러한 개념을 신설해 개인관련정보를 제공 받으려면 미리 정보주체로 부터 동의를 얻도록 규정해 행태정보 통제권을 강화하고 있다.
뿐만 아니라 일본은 2023년 6월 시행한 전기통신사업법을 통해서도 행태정보 보호를 강화하고 있다. 쿠키 등을 사용해 이용자에 관한 정보를 전송하고자 하는 사업자는 관련 정보를 이용자가 쉽게 알 수 있도록 통지해야 한다.
4. 한국, 온라인 행태정보 보호 민·관 협의체 구성 및 가이드라인 개정 예정
국내 역시 개인정보보호위원회(이하 개인정보위) 중심으로 행태정보 보호를 강화하는 분위기다. 이와 관련 개인정보위는 지난 2017년 2월 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’을 발표한 바 있다. 이를 통해 수집·이용의 투명성, 이용자의 통제권 보장, 행태정보의 안전성 확보, 인식확산 및 피해구제 제시 등 개인의 행태정보 보호를 위한 규제를 강화하고 있다.
뿐만 아니라 2024년 1월에는 ‘맞춤형 광고에 활용되는 행태정보 보호를 위한 정책 방안’도 발표하며 행태정보 보호를 위해 산업계의 고삐를 바짝 죄고 있다. 주요 내용은 △이해관계자별 역할과 책임 명확화 △정보주체 인식 및 보호 역량 강화 △온라인 맞춤형 광고 현황 조사 △개인정보 처리방침 평가 △행태정보 민·관 협의체 운영이다.
개인정보위 이동일 사무관은 “맞춤형 광고의 주요 이해관계자인 광고 사업자 및 광고매체 사업자별로 역할과 책임을 명확화했다”며 “개인을 식별해 처리하려는 경우와 개인을 식별하지 않고 처리하려는 경우에 대한 처리기준을 제시했다”고 밝혔다.
행태정보 보호를 위한 개인정보위의 향후 추진방향은 맞춤형 광고의 주요 이해관계자들인 광고 사업자, 광고매체 사업자에게 처리 유형별 행태정보 처리기준과 보호조치 등을 제시하고 정보주체의 행태정보 이해 및 보호 역량 강화, 현황조사 및 개인정보 처리방침 평가, 민·관 협력을 통한 가이드라인을 개정할 방침이다.
개인정보위 이동일 사무관은 “올해 12월 안으로 ‘온라인 행태정보 보호 민·관 협의체’를 구성하고, 운영 결과를 반영해 ‘맞춤형 광고 가이드라인’을 개정·발표할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>