개인정보위, 구글과 메타의 개인정보 불법 수집 제재...구글 692억, 메타 308억
동의 없이 타사 행태정보를 수집·이용한 행위에 대해 시정조치
온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재
[보안뉴스 원병철 기자] 이용자 동의 없이 개인정보(이용자의 타사 행태정보)를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보 보호법을 위반한 구글과 메타에 대해 시정명령과 함께 약 1,000억 원의 과징금이 부과됐다. 행태정보란 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동정보를 말한다.
▲구글/메타 서비스에 가입한 이용자의 타사 행태정보 수집·이용 절차[자료=개인정보위]
개인정보보호위원회(위원장 윤종인, 이하 개인정보위)는 9월 14일 제15회 전체회의를 개최하여 구글과 메타의 법 위반에 대해 심의하고, 구글과 메타에게 위반행위 시정명령과 함께 구글에는 692억 원, 메타에는 308억 원의 과징금 부과를 의결했다. 이번 조사·처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금이다.
개인정보위는 언론보도, 국정감사 지적 등을 계기로 한국인터넷진흥원(원장 이원태)의 지원을 받아 작년 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태를 점검해 왔으며, 특히 플랫폼이 ‘이용자(회원)가 다른 웹사이트 및 앱을 방문·사용한 행태정보(타사 행태정보)를 수집하여 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받았는지 여부’를 중점 조사했다.
조사결과, 구글과 메타는 자사 서비스 이용자의 타사 행태정보를 수집·분석해 이용자의 관심사를 추론하거나 맞춤형 광고 등에 사용하면서 그 사실을 이용자에게 명확히 알리지 않고 사전에 동의도 받지 않은 것이 확인됐다.
▲구글 옵션 더보기 화면[자료=개인정보위]
구글은 서비스 가입 시 타사 행태정보 수집·이용 사실을 명확히 알리지 않고, 그 설정화면(‘옵션 더보기’)을 가려둔 채 기본값을 ‘동의’로 설정하는 등의 방법을 사용했고, 메타는 계정 생성 시 동의 받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재하였을 뿐, 법정 고지사항의 구체적인 내용을 이용자에게 알리고 동의 받지 않았다.
▲페이스북 가입 시 “데이터 정책” 스크롤 화면에서 나타나는 화면[자료=개인정보위]
타사 행태정보는 이용자가 플랫폼이 아닌 다른 웹사이트 및 앱을 방문·사용하는 과정에서 자동으로 수집되므로 자신의 ‘어떤 정보’(‘어떤 웹사이트 및 앱’에서 한 ‘어떤 행태’에 대한 정보)가 수집되는지 예측하기 어렵다. 특히, 계정정보와 연결해 맞춤형 광고에 이용된 타사 행태정보는 이용자 계정으로 접속한 모든 기기에 걸쳐 활용될 수 있고 지속적으로 축적될 경우 민감한 정보가 생성될 우려가 있음에도, 실제 조사결과 대다수의 한국 이용자가 플랫폼의 타사 행태정보 수집을 허용하도록 설정(구글 82%이상, 메타 98%이상)하고 있어 정보주체의 권리가 침해받을 가능성과 위험이 크다고 할 수 있다.
▲구글은 국내는 “웹 및 앱 활동”을 “옵션 더보기”에 가려놓고, 기본값을 “저장”으로 함[자료=개인정보위]
참고로 이러한 타사 행태정보 등의 수집·이용과 관련해, 구글의 경우 우리나라와는 달리 유럽 이용자가 회원으로 가입할 때는 행태정보 수집, 맞춤형 광고 및 개인정보 보호 설정 등을 이용자가 직접 선택하도록 단계별로 구분하여 동의를 받고 있는 것이 확인됐으며, 메타의 경우 최근 한국의 기존 이용자들을 대상으로 행태정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의방식을 변경하려다 이용자들의 거센 반발을 사기도 했다.
개인정보위는 이번 조사에 1년여의 기간이 소요될 정도로 사실관계 확인 및 판단의 범위가 넓은 만큼, 법 위반이 명확히 입증된 구글과 메타의 개인정보 수집·이용 동의 위반에 대해 우선 처분하여 이용자 피해를 조속히 해결하는 한편, 메타의 최근 동의방식 변경 시도와 관련한 사항을 포함해, 추가조사가 필요한 사안에 대해서는 계속 조사를 이어나갈 계획이다.
윤종인 개인정보위 위원장은 “이용자를 식별하여 수집되는 행태정보가 축적되면, 개인의 사생활을 심각하게 침해할 우려가 있다는 점에서 그 위반행위가 중대하다”라고 강조했다. 윤 위원장은 “이번 처분으로 플랫폼이 무료 서비스를 제공한다는 명목 하에 이용자가 알지 못하는 사이에 개인정보를 무단 수집·이용한 행위를 시정하여 개인정보 자기결정권을 두텁게 보호하는 계기가 되기를 기대한다”라며, “앞으로 대형 온라인 광고 플랫폼이 개인정보를 수집·이용하는 과정에서 투명성을 획기적으로 제고하고, 사회적 책임을 다할 수 있도록 노력해주길 바란다”라고 말했다.
한편, 구글과 메타는 아직까지 공식 입장을 내놓지는 않고 있지만, 이번 조사 결과와 관련해 공통적으로 두 가지를 주장하고 있다. 첫 번째는 이용자의 행태정보 수집에 대한 동의는 플랫폼 사업자가 아니라 웹사이트 및 앱 서비스 사업자가 동의를 받아야 한다는 것과, 두 번째는 설령 플랫폼이 동의를 받아야 한다고 해도 처리방침 등을 통해 이용자들에게 알리고 동의를 받았다는 주장이다.
이와 관련 개인정보위는 사실관계 확인 및 법리검토를 통해 구글, 페이스북 및 인스타그램 이용자의 온라인 활동기록을 추적해 관심사를 추론하거나 맞춤형 광고 등에 사용하는 주체인 구글과 메타가 이용자의 동의를 받아야 함에도 불구하고, 이를 명확하게 알리고 동의 받지 않은 사실을 확인했다고 강조했다.
이번 조사․처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이며, 플랫폼이 무료 서비스를 제공한다는 명목 하에 이용자가 알지 못하는 사이에 개인정보를 무단 수집·이용한 행위를 시정토록 한 것에서 큰 의미를 가진다. 이번 처분을 통해 이용자의 타사 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지해 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고 동의 받도록 하는 계기가 될 것으로 기대된다.
아울러 이번 과징금은 개인정보보호법 제39조의15의 ‘위반행위와 관련한 매출액의 100분의 3이하에 해당하는 과징금 부과’에 따라, 구글 및 메타가 제출한 3개년도 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 위반행위의 중대성과 기간 등을 고려해 책정됐다. 이와 관련 개인정보위는 이미 해외의 감독기구들 역시 구글과 메타가 타사 행태정보 수집 및 맞춤형 광고 활용을 위반했다고 판단했다면서 프랑스와 독일을 예로 들었다. 프랑스 개인정보 감독기구(CNIL)는 구글이 투명성 원칙을 위반하고 이용자로부터 맞춤형 광고에 대한 동의를 받지 않았다고 결정(2019.1)했으며, 독일 경쟁당국(FCO)은 메타가 이용자의 동의 없이 타사 행태정보를 수집·이용한 것으로 판단(2019.2)했다.
개인정보위는 이용자들이 불편을 겪거나 권리가 침해되지 않도록 시정 및 개선에 주력하고 있으며, 앞으로도 국내외 주요 온라인 플랫폼의 개인정보 처리 동의방식에 대하여 지속적인 조사를 이어나갈 계획이라고 밝혔다. 또한, 플랫폼 등 온라인 광고 사업자들이 행태정보를 수집하여 맞춤형 광고에 활용할 때 이용자의 선택권이 제한되지 않도록 이와 관련된 정책·제도 개선을 준비 중이고, 이번 처분의 내용도 여기에 반영되도록 하겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]
동의 없이 타사 행태정보를 수집·이용한 행위에 대해 시정조치
온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재
[보안뉴스 원병철 기자] 이용자 동의 없이 개인정보(이용자의 타사 행태정보)를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보 보호법을 위반한 구글과 메타에 대해 시정명령과 함께 약 1,000억 원의 과징금이 부과됐다. 행태정보란 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동정보를 말한다.
▲구글/메타 서비스에 가입한 이용자의 타사 행태정보 수집·이용 절차[자료=개인정보위]
개인정보보호위원회(위원장 윤종인, 이하 개인정보위)는 9월 14일 제15회 전체회의를 개최하여 구글과 메타의 법 위반에 대해 심의하고, 구글과 메타에게 위반행위 시정명령과 함께 구글에는 692억 원, 메타에는 308억 원의 과징금 부과를 의결했다. 이번 조사·처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금이다.
개인정보위는 언론보도, 국정감사 지적 등을 계기로 한국인터넷진흥원(원장 이원태)의 지원을 받아 작년 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태를 점검해 왔으며, 특히 플랫폼이 ‘이용자(회원)가 다른 웹사이트 및 앱을 방문·사용한 행태정보(타사 행태정보)를 수집하여 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받았는지 여부’를 중점 조사했다.
조사결과, 구글과 메타는 자사 서비스 이용자의 타사 행태정보를 수집·분석해 이용자의 관심사를 추론하거나 맞춤형 광고 등에 사용하면서 그 사실을 이용자에게 명확히 알리지 않고 사전에 동의도 받지 않은 것이 확인됐다.
▲구글 옵션 더보기 화면[자료=개인정보위]
구글은 서비스 가입 시 타사 행태정보 수집·이용 사실을 명확히 알리지 않고, 그 설정화면(‘옵션 더보기’)을 가려둔 채 기본값을 ‘동의’로 설정하는 등의 방법을 사용했고, 메타는 계정 생성 시 동의 받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재하였을 뿐, 법정 고지사항의 구체적인 내용을 이용자에게 알리고 동의 받지 않았다.
▲페이스북 가입 시 “데이터 정책” 스크롤 화면에서 나타나는 화면[자료=개인정보위]
타사 행태정보는 이용자가 플랫폼이 아닌 다른 웹사이트 및 앱을 방문·사용하는 과정에서 자동으로 수집되므로 자신의 ‘어떤 정보’(‘어떤 웹사이트 및 앱’에서 한 ‘어떤 행태’에 대한 정보)가 수집되는지 예측하기 어렵다. 특히, 계정정보와 연결해 맞춤형 광고에 이용된 타사 행태정보는 이용자 계정으로 접속한 모든 기기에 걸쳐 활용될 수 있고 지속적으로 축적될 경우 민감한 정보가 생성될 우려가 있음에도, 실제 조사결과 대다수의 한국 이용자가 플랫폼의 타사 행태정보 수집을 허용하도록 설정(구글 82%이상, 메타 98%이상)하고 있어 정보주체의 권리가 침해받을 가능성과 위험이 크다고 할 수 있다.
▲구글은 국내는 “웹 및 앱 활동”을 “옵션 더보기”에 가려놓고, 기본값을 “저장”으로 함[자료=개인정보위]
참고로 이러한 타사 행태정보 등의 수집·이용과 관련해, 구글의 경우 우리나라와는 달리 유럽 이용자가 회원으로 가입할 때는 행태정보 수집, 맞춤형 광고 및 개인정보 보호 설정 등을 이용자가 직접 선택하도록 단계별로 구분하여 동의를 받고 있는 것이 확인됐으며, 메타의 경우 최근 한국의 기존 이용자들을 대상으로 행태정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의방식을 변경하려다 이용자들의 거센 반발을 사기도 했다.
개인정보위는 이번 조사에 1년여의 기간이 소요될 정도로 사실관계 확인 및 판단의 범위가 넓은 만큼, 법 위반이 명확히 입증된 구글과 메타의 개인정보 수집·이용 동의 위반에 대해 우선 처분하여 이용자 피해를 조속히 해결하는 한편, 메타의 최근 동의방식 변경 시도와 관련한 사항을 포함해, 추가조사가 필요한 사안에 대해서는 계속 조사를 이어나갈 계획이다.
윤종인 개인정보위 위원장은 “이용자를 식별하여 수집되는 행태정보가 축적되면, 개인의 사생활을 심각하게 침해할 우려가 있다는 점에서 그 위반행위가 중대하다”라고 강조했다. 윤 위원장은 “이번 처분으로 플랫폼이 무료 서비스를 제공한다는 명목 하에 이용자가 알지 못하는 사이에 개인정보를 무단 수집·이용한 행위를 시정하여 개인정보 자기결정권을 두텁게 보호하는 계기가 되기를 기대한다”라며, “앞으로 대형 온라인 광고 플랫폼이 개인정보를 수집·이용하는 과정에서 투명성을 획기적으로 제고하고, 사회적 책임을 다할 수 있도록 노력해주길 바란다”라고 말했다.
한편, 구글과 메타는 아직까지 공식 입장을 내놓지는 않고 있지만, 이번 조사 결과와 관련해 공통적으로 두 가지를 주장하고 있다. 첫 번째는 이용자의 행태정보 수집에 대한 동의는 플랫폼 사업자가 아니라 웹사이트 및 앱 서비스 사업자가 동의를 받아야 한다는 것과, 두 번째는 설령 플랫폼이 동의를 받아야 한다고 해도 처리방침 등을 통해 이용자들에게 알리고 동의를 받았다는 주장이다.
이와 관련 개인정보위는 사실관계 확인 및 법리검토를 통해 구글, 페이스북 및 인스타그램 이용자의 온라인 활동기록을 추적해 관심사를 추론하거나 맞춤형 광고 등에 사용하는 주체인 구글과 메타가 이용자의 동의를 받아야 함에도 불구하고, 이를 명확하게 알리고 동의 받지 않은 사실을 확인했다고 강조했다.
이번 조사․처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이며, 플랫폼이 무료 서비스를 제공한다는 명목 하에 이용자가 알지 못하는 사이에 개인정보를 무단 수집·이용한 행위를 시정토록 한 것에서 큰 의미를 가진다. 이번 처분을 통해 이용자의 타사 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지해 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고 동의 받도록 하는 계기가 될 것으로 기대된다.
아울러 이번 과징금은 개인정보보호법 제39조의15의 ‘위반행위와 관련한 매출액의 100분의 3이하에 해당하는 과징금 부과’에 따라, 구글 및 메타가 제출한 3개년도 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 위반행위의 중대성과 기간 등을 고려해 책정됐다. 이와 관련 개인정보위는 이미 해외의 감독기구들 역시 구글과 메타가 타사 행태정보 수집 및 맞춤형 광고 활용을 위반했다고 판단했다면서 프랑스와 독일을 예로 들었다. 프랑스 개인정보 감독기구(CNIL)는 구글이 투명성 원칙을 위반하고 이용자로부터 맞춤형 광고에 대한 동의를 받지 않았다고 결정(2019.1)했으며, 독일 경쟁당국(FCO)은 메타가 이용자의 동의 없이 타사 행태정보를 수집·이용한 것으로 판단(2019.2)했다.
개인정보위는 이용자들이 불편을 겪거나 권리가 침해되지 않도록 시정 및 개선에 주력하고 있으며, 앞으로도 국내외 주요 온라인 플랫폼의 개인정보 처리 동의방식에 대하여 지속적인 조사를 이어나갈 계획이라고 밝혔다. 또한, 플랫폼 등 온라인 광고 사업자들이 행태정보를 수집하여 맞춤형 광고에 활용할 때 이용자의 선택권이 제한되지 않도록 이와 관련된 정책·제도 개선을 준비 중이고, 이번 처분의 내용도 여기에 반영되도록 하겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
