페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과

개요	- 개인정보 보호법을 위반한 구글과 메타에 대해 시정명령과 약 1,000억 원의 과징금이 부과 - 사유 : 이용자 동의 없이 개인정보(이용자의 타사 행태정보)를 수집해 온라인 맞춤형 광고에 활용 - 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금 *행태정보 : 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동정보
조사 결과	- 2021. 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태를 점검 - 특히 플랫폼이 ‘이용자(회원)가 다른 웹사이트 및 앱을 방문·사용한 행태정보(타사 행태정보)를 수집하여 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받았는지 여부’를 중점 조사 - 조사결과, 구글과 메타는 자사 서비스 이용자의 타사 행태정보를 수집·분석해 이용자의 관심사를 추론, 맞춤형 광고 등에 사용 및 그 사실을 이용자에게 명확히 알리지 않고 사전에 동의도 받지 않은 것이 확인 * 구글 : 서비스 가입 시 타사 행태정보 수집·이용 사실을 명확히 알리지 않고, '옵션 더보기'를 통해 확인하도록 함, 추가적으로 기본 값을 동의로 설정함 * 메타 : 계정 생성 시 동의 받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재하였을 뿐, 법정 고지사항의 구체적인 내용을 이용자에게 알리고 동의 받지 않음 - 타사 행태정보는 이용자가 다른 웹사이트 및 앱을 방문·사용하는 과정에서 자동으로 수집되므로 자신의 ‘어떤 정보’(‘어떤 웹사이트 및 앱’에서 한 ‘어떤 행태’에 대한 정보)가 수집되는지 예측하기 어려움. - 특히, 계정정보와 연결해 맞춤형 광고에 이용된 타사 행태정보는 이용자 계정으로 접속한 모든 기기에 걸쳐 활용될 수 있고 지속적으로 축적될 경우 민감한 정보가 생성될 우려가 있음 - 실제 조사결과 대다수의 한국 이용자가 플랫폼의 타사 행태정보 수집을 허용하도록 설정(구글 82%이상, 메타 98%이상)되어 있어, 정보주체의 권리가 침해받을 가능성과 위험이 높음 * 구글 : 유럽 이용자가 회원으로 가입할 때는 행태정보 수집, 맞춤형 광고 및 개인정보 보호 설정 등을 이용자가 직접 선택하도록 단계별로 구분하여 동의를 받고 있는 것이 확인 * 메타 : 최근 한국의 기존 이용자들을 대상으로 행태정보 수집 등에 비동의할 경우 서비스를 제한하는 내용으로 동의방식 변경 시도 - 구글과 메타는 아직까지 공식 입장을 내놓지는 않고 있지만, 공통적으로 두 가지를 주장 첫 번째, 이용자의 행태정보 수집에 대한 동의는 플랫폼 사업자가 아니라 웹사이트 및 앱 서비스 사업자가 동의를 받아야 함 두 번째, 설령 플랫폼이 동의를 받아야 한다고 해도 처리방침 등을 통해 이용자들에게 알리고 동의를 받음 - 해외의 감독기구들 역시 구글, 메타가 타사 행태정보 수집 및 맞춤형 광고 활용 위반으로 판단한 사례 有 * 프랑스 : 개인정보 감독기구(CNIL)는 구글이 투명성 원칙을 위반하고 이용자로부터 맞춤형 광고에 대한 동의를 받지 않았다고 결정(2019.1) * 독일 : 경쟁당국(FCO)은 메타가 이용자의 동의 없이 타사 행태정보를 수집·이용한 것으로 판단(2019.2) - 개인정보위는 이용자들이 불편을 겪거나 권리가 침해되지 않도록 시정 및 개선에 주력, 관련된 지속적인 조사를 이어나갈 계획. 또한, 관련된 정책·제도를 이번 처분의 내용을 반영하여 개선 준비 중
관련 법령	- 개인정보보호법 제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다. 2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 - 개인정보보호법 제15조(개인정보의 수집ㆍ이용)  ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. - 개인정보보호법 제16조(개인정보의 수집 제한) ③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2013. 8. 6.> - 개인정보보호법 제22조(동의를 받는 방법) ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. - 개인정보보호법 제39조의15(과징금의 부과 등에 대한 특례) ① 보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.

 

- 보안뉴스

페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과