페이스북의 개인정보보호법 위반 및 권리 침해,
개인정보보호위원회에 신고(2차)
서비스제공자 변경에도 불구하고 이용자에 대한 고지·동의 부재했음을 페이스북의 답변에서 확인
제3자 앱의 개인정보 접근에 대한 열람청구 무시
1. 경과
법무법인 지향과 진보네트워크센터 (빅테크 공정성x투명성 사업단) 은 지난 6월 7일, 페이스북의 개인정보보호법 위반 및 개인정보주체의 권리 침해 여부에 대한 조사를 요청하는 신고서를 개인정보보호위원회의 개인정보침해 신고센터에 제출한 바 있습니다. 이후 페이스북은 신고인이 6월 1일 신청한 개인정보 열람청구에 대한 답변을 보내왔습니다. 그러나 페이스북의 답변 대부분은 신고인이 열람 신청한 것에 대한 답변이 아니었으며, 이를 회피하기 위한 변명에 불과하였습니다. 또한, 페이스북의 답변으로 미루어보건데 페이스북은 개인정보보호법을 위반하는 방식으로 개인정보를 처리하고 있는 것으로 보입니다. 이에 신고인은 페이스북의 개인정보보호법 위반에 대해 개인정보보호위원회에 재차 신고를 하였습니다.
2. 정보통신서비스제공자 변경시 알릴 의무 위반
지난 1차 신고에서 신고인은, 2018년 7월 14일 페이스북 서비스를 제공하는 주체가 Facebook Ireland에서 Facebook Inc로 변경되었음에도 불구하고 페이스북 이용자에게 개인정보보호법에 따른 고지를 하지 않은 것에 대해 신고를 한 바 있습니다. 이와 관련하여 페이스북은 신고인의 개인정보 열람청구에 대한 답변을 통해 그 사실을 다음과 같이 확인해주었습니다.
Facebook, Inc.는 2018년 7월 14일부터 한국에서 페이스북 서비스를 제공하는 주체이자 한국 이용자의 개인정보 처리자(data controller)입니다. 해당 시점 이전에는 Facebook Ireland Limited가 관련 서비스 제공자였습니다. |
그리고, 이러한 개인정보 처리자 변경에 대해 신고인에게 고지 및 동의를 받았는지 여부 및 고지 및 동의를 요청한 기록(언제 어떠한 수단을 통해 신고인에게 고지하였으며, 신고인이 언제 동의의 의사표시를 했는지)에 대한 열람청구에 대해 다음과 같이 답변하였습니다.
한국에서 페이스북 서비스를 제공하는 주체이자 한국 이용자의 개인정보 처리자는 2018년 7월 영업 양도의 일환으로 Facebook Ireland Limited에서 Facebook, Inc.로 변경되었습니다. 이와 관련하여 서비스 약관 및 데이터 정책이 개정되었습니다. 페이스북은 2018년 4월 4일 뉴스룸(Newsroom)을 통하여 업데이트를 최초로 공지하였고(여기 참조; https://about.fb.com/news/2018/04/terms-and-data-policy/), 2018년 5월 24일에는 모든 페이스북 이용자들에게 개인정보 보호에 관한 정보 및 Facebook에서 이용자 경험을 통제하는 방법에 관해 검토하도록 요청할 것이라고 공지하였습니다(이용자에게 검토 절차를 설명하는 비디오를 포함한 뉴스룸 게시글 참고; https://about.fb.com/news/2018/05/pardon-the-interruption/). 해당 절차의 일환으로, 이용자는 (i) 서비스 약관, 데이터 정책 및 쿠키 정책이 개정 중에 있으며, 2018년 7월 14일 또는 이후 페이스북을 계속 이용하는 경우에는 그러한 개정 내용에 동의하는 것으로 된다는 점에 대해 고지 받았고, (ii) 개정 내용을 검토하고 이에 동의할 것을 요청 받았습니다. 이용자에게 제공된 공지의 예시는 아래 스크린샷을 참고하시기 바랍니다. |
2018년 7월 14일 당시 구 정보통신망법 제26조 제1항에 따르면, 페이스북은
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자의 성명(법인의 경우에는 법인의 명칭을 말한다)ㆍ주소ㆍ전화번호 및 그 밖의 연락처
3. 이용자가 개인정보의 이전을 원하지 아니하는 경우 그 동의를 철회할 수 있는 방법과 절차
를 이용자에게 알렸어야 합니다.
그러나 페이스북이 답변에서 제공한 두 개의 링크 및 위 스크린샷에서는 약관 및 데이터 정책이 변경된다는 내용만 소개하고 있을 뿐, 법에서 요구하고 있는 내용을 포함하고 있지 않습니다. 따라서 페이스북은 영업양수도에 따른 고지 및 동의를 받을 의무, 국외 이전에 대한 고지 및 동의를 받을 의무를 이행한 사실이 없음이 다시 한번 확인되었고, 이러한 사실을 개인정보보호위원회에 신고한 것입니다.
3. 정보주체의 열람권 침해
한편, 지난 2020년 11월 25일 개인정보보호위원회에서는 페이스북(Facebook)이 약 6년여간 국내 이용자들의 개인정보를 외부 제3자 서비스 제공회사에 무단으로 제공한 사실을 밝혀내고 페이스북에 과징금을 부과하고 수사기관에 고발하는 처분을 내린 바 있습니다. 그러나 페이스북의 자료 비협조로 실제 피해자가 누구인지는 밝혀내지 못했습니다. 페이스북의 제3자 앱을 통해 자신의 개인정보 뿐만 아니라 친구의 개인정보조차 유출되었기 때문에 페이스북 이용자 대다수가 잠재적인 피해자입니다.
이에 신고인은 페이스북에 대한 개인정보 열람청구를 통해, 신고인이 선택한 제3자 앱에게 제공된 신고인 및 친구의 개인정보, 친구가 선택한 제3자앱에 제공된 신고인의 개인정보 및 이에 신고인이 동의한 기록, 신고인의 비밀번호가 평문으로 저장된 적이 있는지 여부 등에 대해 알려줄 것을 요청했습니다. 그러나 페이스북은 답변에서 해당 개인정보의 열람 요청이 “개인정보 보호법 제35조에 따른 개인정보 열람 요청의 범위에 속하지 않습니다”라고 주장하며 개인정보 내역을 제공하지 않았습니다.
그러나 개인정보가 개인에 관한 정보, 서비스제공자에 의해 자동으로 생성된 정보까지 모두 포함한다는 점을 고려할 때 제3자 앱에 제공된 신고인 및 친구의 개인정보 등이 모두 개인정보에 해당함은 명확합니다. 페이스북이 개인정보의 범위 혹은 개인정보의 열람 요청 범위를 자의적으로 판단하여 그 제공을 거부하는 것은 개인정보보호법이 보장하고 있는 정보주체의 권리를 침해하는 것입니다.
또한 페이스북은 캠브리지 애널리티카 사건 이후 여러 차례 개인정보 침해에 대해서 사과하고, 철저한 조사와 감사를 하고, 그 결과를 이용자에게 알려 주겠다고 밝혀 왔습니다. 그러나 그 약속은 전혀 지켜지지 않고 있으며, 열람 청구에도 불구하고 묵살당하였습니다. 이에 신고인은 페이스북의 개인정보 열람권 침해에 대해 개인정보보호위원회에 신고하여 엄정한 조치를 취해줄 것을 요청하였습니다.
4. 개인정보보호위원회, 신속한 조사와 엄정한 조치를!
페이스북이 개인정보보호위원회의 자료 요구에도 제대로 응하지 않고 이용자의 권리 요구도 묵살하는 것은 초국적 기업의 오만이라고 하지 않을 수 없습니다. 페이스북은 전 세계 이용자의 개인정보를 남용하여 막대한 수익을 올리면서도, 개인정보 보호법의 준수와 이용자의 권리 요구는 외면하고 있습니다. 또한 초국적 기업의 이러한 횡포를 방치한다면 다른 기업들의 개인정보 남용 규제도 더욱 힘들어질 것입니다. 개인정보 보호위원회는 전 세계 개인정보 감독기구와 협력하여 페이스북의 개인정보 남용에 대해 철저하게 조사하고 엄정한 조치를 취해야할 것입니다. 끝.