윤종인 개인정보보호위원회 위원장이 14일 오전 서울 종로구 정부서울청사에서 개최된 제15회 개인정보보호위원회 전체회의를 진행하고 있다. 개인정보보호위원회 제공
개인정보보호위원회는 14일 전체회의를 열어, 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 구글과 메타에 시정명령과 함께 약 1천억원의 과징금을 부과하기로 의결했다. 구글에는 692억원, 메타에는 308억원을 부과하기로 했다.
이번 처분은 온라인 맞춤형 광고 플랫폼의 이용자 행태정보 수집·이용과 관련된 첫번째 제재이자, 개인정보 보호 법규 위반으로는 가장 큰 규모의 과징금이다. 구글과 메타는 개인정보보호위 조사 및 제재 심의 과정에서 “개인정보 보호에 최선을 다해왔다”며 반발해왔다. 같은 혐의로 조사를 받고 있는 네이버 등 다른 사업자들은 잔뜩 긴장하는 분위기다.
개인정보보호위원회가 구글·메타 조사·제재 내용을 문답 형태로 만들어 보도자료에 첨부한 설명자료를 요약 정리했다.
— 이번 처분의 대상이 된 구글과 메타의 위반행위는?
“구글과 메타는 자사 서비스에 가입한 이용자가 다른 웹사이트 및 앱을 방문·사용한 행태정보를 수집하여 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받지 않아 개인정보보호법(제39조의3 제1항)을 위반했다. 구글은 서비스 가입 시 타사 행태정보 수집·이용 사실을 명확히 알리지 않고, 그 설정 화면(‘옵션 더보기’)을 가려둔 채 기본값을 ‘동의’로 설정하는 등의 방법을 사용하였다. 메타는 계정 생성 시 동의받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재하였을 뿐, 법정 고지사항의 구체적인 내용을 이용자에게 알리고 동의받지 않았다.”
— 플랫폼 이용자(회원)의 타사 행태정보 수집·이용이 정보주체인 이용자에게 미치는 영향은?
“타사 행태정보는 이용자가 플랫폼이 아닌 다른 웹사이트 및 앱을 방문·사용하는 과정에서 자동으로 수집된다. 이 과정에서 통상의 이용자는 자신의 ‘어떤 정보’(‘어떤 웹사이트 및 앱’에서 활동한 ‘어떤 정보’)가 플랫폼에 수집되는지 예측하기 어렵다. 특히 플랫폼이 이용자(회원)를 식별하여 타사 행태정보를 수집·이용하는 행위는 이용자 계정으로 접속한 모든 기기를 추적하고, 온라인 활동을 모니터링하여 익명성을 상실시키며, 이용자의 사상·신념과 정치적 견해, 건강, 신체적·생리적·행동적 특징 및 민감한 정보를 생성하고 식별할 가능성이 높다. 따라서 자사 서비스에 가입한 이용자의 타사 행태정보를 수집·이용하려는 플랫폼은 그 구체적인 내용을 정보주체인 이용자가 인지할 수 있도록 명확히 알리고 동의받을 필요가 있다.”
— 개인정보보호위원회 심의 과정에서 구글과 메타의 입장은 무엇인지?
“구글과 메타가 공통적으로 주장하는 주요 내용은 2가지였다. 첫째, 이용자의 행태정보 수집에 대한 동의는 플랫폼 사업자가 아니라 웹사이트 및 앱서비스 사업자가 동의를 받아야 한다는 것이었다. 플랫폼이 행태정보 수집도구(SDK, 픽셀 등)를 제작·배포하긴 하지만, 웹·앱 사업자가 이를 설치할지 여부를 스스로 결정하고, 수집되는 항목을 선택한다는 점을 근거로 들었다. 또한 설령 플랫폼이 동의를 받아야 한다고 해도 처리방침 등을 통해 이용자들에게 알리고 동의를 받았다고 주장한다.
위원회는 사실관계 확인 및 법리 검토를 통해, 구글·페이스북·인스타그램 이용자의 온라인 활동기록을 추적해 관심사를 추론하거나 맞춤형 광고 등에 사용하는 주체인 구글과 메타가 이용자의 동의를 받아야 함에도 불구하고, 이를 명확하게 알리고 동의받지 않은 사실을 확인하였다.”
— 최근 메타의 필수동의 관련 사항의 진행상황은?
“최근 메타가 동의방식을 변경하려다 철회한 내용( ’타사 행태정보 수집‘ 및 ’맞춤형 광고 표시‘ 등 필수동의 요구)도 조사를 진행 중이다. 해당 건은 메타가 이용자의 타사 행태정보 등을 그간에도 필수로 수집·이용하고 있던 사실을 이용자가 인식할 수 있도록 눈에 띄게 표시함으로써 이용자들의 불만을 샀던 사항이다. 개인정보보호법(제39조의3 제3항)은 이용자가 필요 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스의 제공을 거부해서는 안된다고 규정하고 있으며, 이에 근거해 메타가 수집하는 타사 행태정보 등이 서비스 제공을 위해 반드시 필요한 정보인지를 중점적으로 검토하고 있다.”
— 이번 조사·처분의 의미와 향후 정책 방향은?
“이번 조사·처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫번째 제재이며, 플랫폼이 무료 서비스를 제공한다는 명목으로 이용자가 알지 못하는 사이에 개인정보를 무단 수집·이용한 행위를 시정토록 한 것이다. 이번 처분을 통해 이용자의 타사 행태정보를 수집·이용하려면, 이용자가 쉽고 명확하게 인지하여 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고 동의받도록 하는 계기가 될 것으로 기대한다. 위원회는 이용자들이 불편을 겪거나 권리가 침해되지 않도록 시정 및 개선에 주력하고 있으며, 앞으로도 국내외 주요 온라인 플랫폼의 개인정보 처리 동의 방식에 대해 지속적인 조사를 이어나갈 계획이다. 또한, 플랫폼 등 온라인 광고 사업자들이 행태정보를 수집하여 맞춤형 광고에 활용할 때 이용자의 선택권이 제한되지 않도록 관련 정책·제도 개선을 준비 중이고, 이번 처분의 내용도 반영되도록 하겠다.”
— 과징금은 어떻게 산정되었는지?
“개인정보보호법(제39조의15)에서는 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 하고 있다. 구글 및 메타가 이와 관련해 제출한 3개년도(2019~21년) 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 위반행위의 중대성과 기간 등을 고려하여 최종 과징금을 부과했다.”
— 해외 유사 처분 사례가 있는지?
“해외 감독기구 또한 타사 행태정보 수집 및 맞춤형 광고 활용과 관련해 잇따른 결정을 통해 구글과 메타가 법적 의무를 준수하지 않았다고 판단했다. 주요 사례로는, 먼저 프랑스 개인정보 감독기구(CNIL)는 구글이 투명성 원칙을 위반하고 이용자로부터 맞춤형 광고에 대한 동의를 받지 않았다고 결정하였고(2019년 1월), 독일 경쟁당국(FCO)은 메타가 이용자의 동의 없이 타사 행태정보를 수집·이용한 것으로 판단(2019년 2월)했다.”
정인선 기자
ren@hani.co.kr