[아이뉴스24 김혜경 기자] 지난 14일 개인정보보호위원회는 구글‧메타에 1천억원이 넘는 과징금을 부과했다. 글로벌 플랫폼 사업자의 불법적인 행태정보 수집에 대해 우리나라 개인정보 보호 당국이 처음으로 제동을 걸었다는 점에서 의의가 크다.
다만, 일각에서는 맞춤형 광고와 필수동의 요구, 최소수집 원칙 등 본질적 내용이 제외돼 아쉽다는 지적이다. 개인정보위가 타사 행태정보 수집‧이용 실태에 대한 추가 조사를 예고한 만큼, 국내에서도 개인정보 자기결정권에 대한 실질적인 논의가 본격화될 예정이다.
◆맞춤형 광고와 '최소수집 원칙' 상관관계
개인정보위는 이번 처분에서 구글‧메타가 자사 서비스 이용자의 타사 행태정보를 수집, 맞춤형 광고에 활용하면서 적법한 동의를 받지 않았다고 판단했다.
개인정보보호법 제39조의3 제1항에 따르면 정보통신서비스 제공자는 개인정보를 이용하려고 수집하는 경우 ▲개인정보 수집‧이용 목적 ▲수집하는 개인정보 항목 ▲개인정보 보유‧이용 기간의 모든 사항을 이용자에게 알리고 동의를 받도록 규정하고 있다.
'행태정보'란 웹사이트와 앱 방문·사용 이력 등 이용자 관심과 흥미, 기호, 성향 등을 파악·분석할 수 있는 온라인상의 활동 정보를 뜻한다. 맞춤형 광고란 이 같은 행태정보를 이용해 이용자 성향을 분석, 맞춤형으로 제공하는 온라인 광고다. 타사 행태정보는 이용자가 플랫폼이 아닌 다른 웹사이트와 앱을 방문·사용하는 과정에서 자동 수집되므로 어떤 정보가 수집되는지 예측하기 어렵다는 특징이 있다.
구글·메타 측 주장은 크게 두 가지다. 행태정보 수집 주체는 플랫폼 사업자가 아닌 다른 웹·앱 사업자라는 점과 플랫폼에 동의 의무가 있다고 하더라도 이용자에게 명확하게 알렸다는 것. 특히 한국의 보호법에서 요구하는 동의를 받았다고 주장했다.
그러나 구글은 설정 화면 '옵션 더보기'를 가려둔 채 기본값을 동의로 설정하는 등 서비스 가입 시 타사 행태정보 수집 사실을 명확히 알리지 않았다고 위원회는 강조했다. 또 메타의 경우 계정 생성 시 동의받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재했다.
개인정보위는 2차 전체회의에서 '구글‧메타가 타사 행태정보를 이용하려면 이용자가 쉽고 명확하게 인지해 자유로운 결정권을 행사할 수 있도록 이용자에 알리고 동의를 받아야 한다'는 내용을 시정명령에 포함시켰다.
다만 이번 조사에선 이용자 동의를 받지 않은 문제에만 초점을 맞췄다는 점에서 아쉽다는 지적이다. 앞서 메타의 페이스북‧인스타그램 개인정보 동의 방식 변경으로 불거진 행태정보 수집의 적법성이나 온라인 광고 경매 등의 문제는 다루지 않았다는 지적이다.
당시 메타 측은 '맞춤형 광고 표시를 위한 개인정보 수집‧이용'과 '수사기관에서 요청할 경우 개인정보 제공' 등을 필수 항목으로 제시, 이용자가 동의하지 않을 경우 서비스 이용을 제한하겠다는 방침을 발표했다. 명시적인 동의를 받겠다는 뜻이지만 정보 제공 거부 시 서비스 접근이 제한된다는 점에서 문제가 됐다. 개인정보 처리 방침 변경 이유에 대해 메타 측은 처리 방식의 투명성을 높이기 위한 목적이라고 전했다.
시민단체를 중심으로 논란이 일자 메타는 지난 7월 개인정보위와의 면담 이후 해당 방침을 철회했지만 불씨는 여전하다. 앞서 열린 국회토론회에서 이같은 방침은 현행법 위반이라는 주장이 제기된 바 있다. 메타가 동의를 강제하는 개인정보가 필수 서비스 제공과는 무관하게 '맞춤형 광고' 등 수익 극대화를 위한 목적에 가깝다는 주장이다.
단순 수익창출 극대화를 위한 정보를 확보하기 위해 이 같은 개인정보 제공 동의를 강제한다면 사실상 과잉 수집이자 최소수집 원칙과 충돌한다는 것. 메타 측의 '필수 서비스'가 무엇인지 해당 서비스 제공을 위해 필요한 최소한의 개인정보 범위 등이 쟁점이다.
개인정보위도 이번 조사와는 별개로 메타가 수집하는 개인정보가 서비스 제공을 위해 반드시 필요한 정보인지를 중점적으로 검토하고 있다. 보호법 제39조의3 제3항은 '이용자가 필요 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스의 제공을 거부해서는 안된다'고 규정하고 있다.
장혜영 의원(정의당)은 "이번 위원회 처분에서 타사 행태정보를 수집하는 행위가 필수적인지 여부에 대한 명확한 판단이 없다는 점은 아쉬운 부분"이라며 "글로벌 기업 관련 논란이 불거질 때마다 발생하는 문제는 이 같은 이슈에 대해 논의할 수 있는 국내 파트너가 명확하지 않다는 점"이라고 말했다.
장 의원은 "새로운 기술이 등장할 때마다 선도 기업들이 시장을 독점하고 공정 경쟁을 위반하는 사례는 역사적으로 지속됐다. 이번에도 다양한 쟁점들이 얽혀 있다고 본다"며 "이용자 권리를 보호하고 이용자 이익을 증진할 수 있도록 책임 있는 기관이 나서 문제를 해결해야 한다는 점이 가장 중요하다"고 강조했다.
◆ "끝 아니다"…추가 조사 예고한 개인정보위
개인정보위는 ▲맞춤형 광고 관련 메타 필수동의 요구 ▲정보통신망법 제22조 제1항에 따른 동의 의무 위반 ▲네이버와 카카오를 비롯해 국내 웹‧앱 서비스 제공자에 대한 추가 조사를 진행한다는 방침이다.
지난 14일 열린 개인정보위 브리핑에서 양청삼 조사조정국장은 "메타‧구글을 비롯해 국내 플랫폼 사업자의 타사 행태정보 수집 이용‧실태는 물론, 플랫폼의 행태정보 도구를 자신들이 운영하는 웹 사이트나 모바일 앱에 설치해 사용하는 사업자들도 모두 조사 대상에 포함됐다"고 전했다.
이어 "네이버, 카카오의 경우 타사 행태정보를 수집한다는 사실은 인정하면서도 타사 행태정보 수집이 이용자 식별 기반이 아닌 기기 기반으로 이뤄지고 있으므로 계정정보와는 결합하지 않는다고 답한 바 있다"며 "웹·앱 사업자 등을 포함해 추가 조사를 진행하고 있다"고 덧붙였다.
업계와 학계에서도 이번 위원회 처분이 상징성이 있다고 보고 있다. 다만 보호법 2차 개정안 국회 통과 등 풀어야 할 숙제가 산적한 만큼 이제 시작이라는 평가다.
최진범 바오밥파트너즈 대표는 "그동안 위원회는 침해사고 등으로 인한 개인정보 유출 사건에 상대적으로 집중해왔는데 이번 처분은 개인정보 자기결정권에 대한 실질적인 고민을 시작했다는 신호"라면서 "빅테크 플랫폼 기업들의 개인정보 수집·이용 행위에 대한 개선이 이뤄져 데이터 중심 경제 활성화가 본격화될 것이라고 기대하고 있다"고 말했다.
최 대표는 "이번 조사에선 이용자 동의 여부만 판단했다는 점에서 맞춤형 광고 문제가 제대로 다뤄지지 않은 부분은 아쉽다"며 "특히 경매 과정에서 다양한 애드테크(Ad-Tech) 기술이 적용되는데 민감한 정보들이 다량으로 배포되는 문제도 있다"고 전했다.
최경진 가천대 법학과 교수는 "데이터 수집 경로는 앱이나 브라우저를 통해 이뤄지는데 이번 사례를 봤을 때 실제 정보를 수집한 것으로 보여지는 쪽은 메타나 구글"이라며 "책임 주체에 대해 위원회가 형식적 측면이 아닌 실제 이익을 얻거나 통제권을 가지는 사업자가 누구인지 판단했다는 측면에서 진일보한 처분"이라고 설명했다.
최 교수는 "다만 구체적인 책임 분배를 비롯해 맞춤형 광고 관련 허용 가능한 합리적인 기준을 마련하는 등 제도 개선이 필요하다"며 "이번 처분은 이 같은 논의의 단초를 제공했다고 본다. 보호법 2차 개정을 비롯한 지속적인 보완이 필요하다"고 말했다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기