프라이버시행정소송

페이스북 상대 개인정보 소송의 의미와 전망, 온라인 기자간담회

By 2021/11/05 11월 10th, 2021 No Comments
  1. 법무법인 지향과 진보네트워크센터는 ‘빅테크 공정성x투명성 사업단’을 구성하고 2021년 4월 16일, 페이스북(최근 ‘메타’로 사명 변경)을 상대로 페이스북 이용자의 개인정보 침해에 대해 개인정보분쟁조정위원회에 집단분쟁조정을 신청한 바 있으며, 지난 10월 29일 분쟁조정위원회는 신청인에게 각 30만원의 손해배상금을 지급할 것과 신청인의 개인정보를 제공받은 제3자의 신상과 제공된 개인정보 유형 및 내역을 열람하도록 하는 내용의 조정안을 제시한 바 있습니다. 페이스북이 조정안을 수용하지 않을 경우 우리는 법원에 손해배상청구소송을 제기할 예정입니다.
  2. ‘빅테크 공정성x투명성 사업단’은 페이스북의 불법적인 이용자 개인정보 제3자 제공에 대한 문제제기 외에도 페이스북의 얼굴인식 시스템, 이용자 인터넷 및 앱 이용내역의 불법적 수집 등 다른 불법행위에 대해서도 문제를 제기해나갈 예정입니다. 나아가 페이스북 뿐만 아니라 빅테크 전반의 사회적 폐해 및 불법행위를 고발하는 활동을 전개할 것입니다.
  3. 이에 지금까지 페이스북을 둘러싼 분쟁조정/소송의 경과, 쟁점이 되고 있는 페이스북의 불법행위가 무엇인지, 그리고 빅테크 공정성x투명성 사업단의 향후 사업 방향에 대해 설명하는 기자간담회를 다음과 같이 온라인으로 개최하고자 합니다.

 

  • 일시 : 2021년 11월 10일 (수) 오전 11시
  • 장소 : 온라인 (줌)

[기자간담회 자료] 페이스북 상대 개인정보 소송의 의미와 전망 

– 개인정보집단분쟁조정 최초로 신청인당 30만원 집단배상 조정 결정

– 신청인 측 오늘 조정결정 수용 의견서 접수 예정

– 페이스북(메타)에 조정 결정 수락 및 전체 피해자(1800만명 추산)에 배상 촉구

PDF로 보기

주요 경과 

  • 2020.11.25. 개인정보위, 페이스북의 제3자 앱을 통한 개인정보 무단 제공에 대해 과징금 부과
  • 2021.4.16. 빅테크 공정성x투명성 사업단, 페이스북을 상대로 개인정보분쟁조정위에 집단분쟁조정 신청 (참가자 모집 사이트:  https://act.jinbo.net/wp/facebookmediation  )
  •  2021.6.7. 페이스북의 개인정보보호법 위반에 대해 개인정보위에 신고(1차)
  • 2021.7.8. 개인정보 분쟁조정위, 개인정보 집단분쟁조정에 대해 절차 개시 결정
  • 2021.8.18. 페이스북의 개인정보보호법 위반에 대해 개인정보위에 신고(2차)
  • 2021.8.25. 개인정보위, 개인정보보호 법규 위반 해외기업에 약 66억 원의 과징금 부과 등 시정조치
  • 2021.10.29 개인정보분쟁조정위원회, 페이스북 대상 개인정보 집단분쟁조정에 대한 조정안을 제시.

페이스북 이용자 개인정보 제3자 불법 제공 

페이스북이 뭘 잘못했나요?

  • 페이스북은 그간 제3자 앱 개발자가 사용자의 방대한 개인정보에 접근하여 이를 수집하고 활용할 수 있도록 허용해왔습니다. 이러한 개인정보 제3자 제공은 특히 2018년 초 캠브리지 애널리티카 사건이 보도되며 세계적 문제로 대두되었습니다. 이후 미국 연방거래위원회(FTC)는 페이스북에 대한 조사에 착수했고, 2019년 7월 FTC 는 50 억 달러의 민사 벌금 (civil penalty) 을 납부하기로 하는 것을 포함한 동의 의결 (consent order) 로 합의를 하였습니다. 한국의 개인정보 보호위원회 또한 2020년  11월 67억원의 과징금 부과와 고발 처분을 내렸습니다.

제3자 제공? 페이스북이 사용자의 개인정보를 어떻게 침해했나요?

  • 2007년, 페이스북은 제3자 개발자가 페이스북과 통합되는 자체 앱 또는 서비스를 만들 수 있도록 일종의 도구와 서비스를 제공하는 ‘페이스북 플랫폼’을 출시했습니다. 이를 통해 페이스북은 캔디크러시, 타이니팜과 같은 다양한 게임, 심심풀이 퀴즈를 비롯해 페이스북 로그인을 제공하는 각종 모바일 앱, 웹 서비스 등 다양한 서비스를 자사 플랫폼에 유치시켰으며 결과적으로 더욱 다양하고 방대한 개인정보를 수집할 수 있게 되었습니다. 사용자 증가는 물론이구요. 그러나 제3자 개발자에게 페이스북의 인프라를 넘어 사용자의 개인정보까지 동의 없이 제공하게 됨에 따라 다양한 문제가 발생하게 되었습니다. 이스북은 이용자에 대한 적법한 고지와 동의없이 이용자의 개인정보, 나아가 이용자 친구의 개인정보까지 제3자 앱 개발자에게 접근할 수 있도록 허용하였습니다.

페이스북이 어떤 개인정보를 침해했나요?

  • 페이스북은 사용자의 개인정보를 ‘소셜 그래프(social graph)라고 부릅니다. 페이스북은 단순히 사용자의 실명, 생년월일, 고향, 거주지, 근무지, 결혼/연애 상태, 정치적 견해, 성적 지향, 건강 등에 관한 정보만 수집하는 것이 아니라 사용자의 포스트, 댓글, 사진, 체크인, 좋아요 및 플랫폼 내외부 활동을 연결시키고 분석해 사용자들 간의 연결 관계까지 형성합니다. 페이스북이 사실상 실명 기반 서비스인 점을 고려하면 사람들이 소통하고 정보를 공유하는 실제 연결 네트워크를 파악하고 있는 것이죠. 페이스북을 통해 제3자 개발자가 접근할 수 있었던 개인정보가 바로 이 소셜 그래프입니다. 현재 페이스북이 이를 은폐하고 있기에 어떤 정보가 유출된 것인지 정확히 파악할 수는 없으나 개인정보보호위원회의 조사에 의하면 학력·경력, 출신지, 가족 및 결혼/연애상태, 관심사 등이 포함된 것으로 밝혀졌습니다.

페이스북 회원입니다. 저도 피해자일까요?

  • 페이스북은 소위 페이스북 플랫폼을 구축한 2007년 5월 이래로 제3자 앱 개발자에게 이용자의 개인정보를 불법적으로 제공해왔습니다. 제3자 앱 개발자에게 제공된 개인정보는 해당 앱을 이용한 이용자의 개인정보 뿐만 아니라 이용자의 친구의 개인정보를 포함합니다. 불법적인 개인정보 제3자 제공에 대한 문제제기가 이루어지자, 페이스북은 Graph API V1을 V2로 변경하면서 2015년 4월 30일 이후에는 제3자 개발자가 친구 정보에 접근하는 것을 허용하지 않겠다고 했습니다. 그러나 그 이후에도 소위 ‘화이트리스트’ 앱 개발자에 대해서는 계속 친구 정보에 대한 접근 권한을 비공개로 부여했습니다. 이러한 접근 허용은 2018년 초 캠브리지 애널리티카 사건이 보도되고 FTC의 조사가 개시된 2018년 6월까지 이어졌습니다.
  • 따라서 2015년 4월 30일 이전에 페이스북에 가입하여 제3자 앱을 사용했거나 친구가 제3자 앱을 사용한 경우, 즉 사실상 페이스북 이용자 대부분의 개인정보가 제3자에게 제공되었다고 볼 수 있습니다. 2015년 4월 30일 이후에도 화이트리스트 앱을 사용하는 이용자의 경우에는 그 이용자의 친구 정보가 앱 개발자에게 지속적으로 제공되었을 수 있습니다.
  • 한국의 페이스북 이용자 역시 예외가 아닙니다. 개인정보보호위원회는 지난 조사를 통해 2012년 5월부터 2019년 6월까지 약 6년 간 페이스북의 불법 행위가 이어져 왔으며 국내 페이스북 이용자 1,800만 명 중 최소 330만 명 이상의 개인정보가 제공된 것으로 확인되고 ‘페이스북 친구’ 정보가 최대 1만여 개의 앱을 통해 제공될 수 있었던 상태를 고려하면 더 많은 피해자가 있을 거라고 추정했습니다. 개인정보보호위원회가 확인한 330만 명의 피해자는 단지 Cambridge Analytica에 개인정보를 제공하는데 활용된 <This is your digital life 앱>과 또 다른 앱 등 단 2개 앱만을 대상으로 한 것입니다. 대한민국 제3자 개발자가 개발한 제3자 앱 중에서 친구 정보 접근 권한이 있는 10,272개 제3자 앱의 한국인 사용자는 중복을 포함하여 총25,461,468명이라고 하며, 화이트리스트 개발자가 개발한 68개 제3자 앱의 앱의 대한민국 사용자는 중복을 포함하여 2,290,418명이라고 합니다. 이를 고려하면, 사실상 한국 페이스북 사용자 모두를 개인정보 무단 제공의 피해자라 볼 수 있습니다.

(출처 : 개인정보보호위원회의 페이스북에 대한 심의의결서)

전체 피해자의 규모를 알 수 있나요? 

  • 페이스북은 개인정보보호위원회의 조사에서도 2015년 4월 30일 이전 Graph API V1을 사용해 개발된 제3자 앱을 설치한 이용자의 총 수는 신뢰할 수 있는 수치를 제공할 수 없다고 자료를 제출하지 않았고, 제3자 앱이 보유하고 있는 친구의 수 역시 확인할 수 없다며 자료를 제출하지 않았습니다. 그래서 전체 피해자의 규모를 현재로서는 정확하게 파악할 수 없습니다.

구체적으로 나와 내 친구의 어떤 개인정보가 누구에게 제공되었는지 확인할 수 있나요? 

  • 분쟁조정의 신고인들은 페이스북에 자신이 설치한 제3자 앱을 통해서 어떠한 개인정보가 제공되었는지, 그리고 내 친구가 설치한 제3자 앱을 통해 내 개인정보가 누구에게 제공되었는지에 대해 열람청구를 하였습니다. 그러나 페이스북은 정보주체의 열람권을 무시하고 이러한 정보를 제공하지 않았습니다. 따라서 구체적으로 내 개인정보가 어떻게 침해되었는지 파악하기는 힘듭니다.

정보주체는 자신의 개인정보에 대한 열람권이 있지 않나요? 

  • 우리나라 개인정보보호법 제4조는 개인정보의 처리에 관한 정보를 제공받을 권리, 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람을 요구할 권리 등 정보주체의 권리를 인정하고 있습니다. 제35조는 구체적으로 개인정보의 열람절차를 규정하고 있습니다. 페이스북이 제3자 앱에 어떠한 내 개인정보를 제공(혹은 접근 가능하도록)했는지, 내 친구의 어떠한 개인정보가 제공되었는지 역시 나의 개인정보입니다. 내 친구가 이용하는 제3자 앱을 통해 내 개인정보가 제공되었는지 여부 역시 내 내인정보의 처리에 관한 정보이자 내 개인정보입니다.
  • 그러나 페이스북은 “친구들에 의한 이러한 정보 공유가 개인정보 보호법상 제3자 제공에 해당하지 않으며”, “(청구인) 요청은 개인정보 보호법 제35조에 따른 개인정보 열람 요청의 범위에 속하지 않는다”고 하면서 정보제공을 거부하고 있습니다. 이는 정보주체의 권리를 보장하지 않는 것일 뿐만 아니라, 한국의 개인정보보호법을 무시하는 오만한 행태라고 하지 않을 수 없습니다.

페이스북의 불법적인 개인정보 제3자 제공이 해외에서도 문제가 되고 있나요?

  • 앞서 언급한 바와 같이, 페이스북의 불법적인 개인정보 제3자 제공은 오래 전부터 해외에서도 문제가 되었습니다. 이미 2008년에 캐나다 프라이버시 커미셔너는 페이스북이 이용자의 동의를 얻지 못한 채 제 3 자인 응용 프로그램 개발자에게 사용자의 개인정보를 무단으로 접근할 수 있게 했으며, 이는 캐나다 개인정보보호에 관한 법률인 PIPEDA 위반이라고 결정하였습니다.
  • 미국 연방거래위원회(FTC)는 2011년 11월 29일, 페이스북과 동의 의결(Consent Order)을 합의하였는데(이 동의 의결은 2012년 8월 10일에 최종 확정되었습니다),  FTC가 정리한 페이스북의 8가지 기만행위 혐의사실에는 페이스북이 이용자의 개인정보를 무단으로 제 3 자인 앱 개발자들에게 제공했다는 점이 포함되어 있습니다.
  • 2018년 초 캠브리지 애널리티카(Cambridge Analytica)가 페이스북 이용자의 개인정보를 무단 이용해 미국 대선 등 정치에 개입했음이 드러난 이후, FTC는 페이스북에 대해 다시 조사를 했습니다. 이 조사에서도 페이스북이 정보주체의 동의를 받지 않고 제3자 앱 개발자들에게 무단으로 개인정보를 제공한 사실이 드러났으며, 2019년 7월 FTC 는 50 억 달러의 민사 벌금 (civil penalty) 을 납부하기로 하는 것을 포함한 동의 의결 (consent order) 로 합의를 하였습니다. FTC의 조사에 따르면 2012년 동의의결 이후 페이스북은 프라이버시 설정을 변경했지만 이 때에도 적법한 고지와 동의를 받지 않았습니다.

집단분쟁조정

집단분쟁조정을 신청한 이유는 무엇인가요?

  • 개인정보보호위원회가 67억원의 과징금을 부과했음에도 불구하고 페이스북은 그 피해자인 페이스북 회원들에게 손해배상이나 사과는 커녕 불법적으로 제공된 정보가 무엇인지, 정확히 누가 피해자이고 피해의 규모는 어떻게 되는지 등 최소한의 정보조차 통보하지 않았습니다. 또한 개인정보보호위원회의 조사 과정에서도 허위 자료를 제출하거나 정보 제공을 거절하는 등 불법 행위 사실을 지속적으로 은폐해왔습니다. 페이스북의 불법 행위가 반복되지 않도록 정보주체인 사용자들 또한 적극적으로 문제를 제기하며 나설 필요가 있었습니다.

집단분쟁조정이 일반적인 분쟁조정과 어떤 점에서 다른가? 

  • 피해자가 50명 이상인 경우 집단분쟁조정을 신청할 수 있다. 여러 명의 당사자가 하나의 분쟁조정으로 처리된다. 또한 분쟁조정위원회가 집단분쟁조정 절차를 개시하면, 애초에 분쟁조정위원회에 분쟁조정을 신청한 당사자 외에도 분쟁조정위원회를 통해 동일한 피해를 입은 사람들이 추가로 신청할 수 있게 된다. 이번 사안의 경우 법무법인 지향이 대리한 피해자는 162인이었으며, 분쟁조정위원회의 절차 개시 이후 따로 신청하신 분들이 19명이었다. 만일 집단분쟁조정이 활성화된다면 많은 피해자들이 간소한 절차로 피해를 구제받을 수 있게 될 것이다.

집단분쟁조정의 결과는?

  • 개인정보분쟁조정위원회는 집단분쟁조정 참가자(181명)에게 각 30만원의 손해배상금을 지급할 것, 신청인들의 개인정보를 제공받은 제3자의 신상과 제공된 개인정보 유형 및 내용을 신청인들에게 열람하게 할 것의 내용을 담은 조정안을 제시했습니다.

집단분쟁조정 청구인들은 조정안을 수락하실 계획인가요?  

  • 개인정보분쟁조정위원회의 조정안 발표 이후 대리인인 조정안에 대해 청구인의 의견을 수렴하였습니다. 저희는 개인정보분쟁조정위원회가 청구인의 요구를 수용한 것으로 보고 있으며, 따라서 조정안을 수락할 것입니다.

이제 어떻게 되나요?

  • 페이스북이 조정안을 수락해야 합니다. 집단분쟁조정은 당사자 한 쪽이 조정안을 수락하지 않으면 결렬되고, 신청인들은 다시 소송을 제기하여 피해 인정을 받아야 합니다. 페이스북의 불법 행위가 세계 각국에서 이미 입증되고 인정된만큼 페이스북이 조정안을 수락하길 바랍니다.

만일 페이스북이 조정안을 수락하지 않으면 어떻게 하실 계획인가요? 

  • 페이스북이 조정안을 수락하지 않을 경우, 법원에 손해배상 청구소송을 제기할 예정입니다.

페이스북의 개인정보보호법 위반 신고 

개인정보의 불법적인 제3자 제공 외에도 다른 법 위반 사항이 있나요? 

  • 저희 사업단은 지난 6월과 8월, 두 차례에 걸쳐 페이스북의 개인정보보호법 위반행위를 신고하였습니다. 페이스북의 개인정보보호법 위반 행위는 다음과 같습니다. 1) 2018년 7월 14일 Facebook Ireland에서 Facebook Inc로 서비스 제공 주체가 변경되었음에도 불구하고 페이스북은 이를 이용자에게 제대로 고지하지 않았습니다.  정보통신서비스 제공자 변경으로 이용자들의 개인정보가 타인에게 이전된 것이라면 당시 시행중이던 정보통신망법 제26조에 따라 이용자들에게 이 사실을 알리고, 이전을 원하지 않는 경우 동의를 철회할 수 있는 방법과 절차를 제공했어야 합니다. 2) 개인정보 처리지가 국외인 아일랜드(Facebook Ireland)에서 다른 국외인 미국(Facebook Inc)으로 변경되었음에도 국내 페이스북 이용자들은 이에 대한 고지나 동의 요청을 받지 못했습니다. 이러한 개인정보의 국외 이전을 위해 정보통신서비스 제공자는 정보통신망법 제63조에 따라 소정의 사항을 알리고 동의를 받아야만 합니다. 페이스북의 개인정보처리방침에도 이와 관련된 구체적인 내용이 없습니다. 3) 앞서 언급한 바와 같이 페이스북은 정보주체의 열람권을 보장하지 않고 있습니다. 이 역시 개인정보보호법 위반입니다.

이러한 신고에 대해 개인정보보호위원회는 어떻게 처리하였는지요? 

  • 2021년 8월 25일, 개인정보위는 페이스북, 넷플릭스, 구글 등 3개 사업자에게 총 66억 여원의 과징금 등 시정조치를 의결했습니다. 이에 따르면, 페이스북은 2018년 4월부터 2019년 9월까지 약 1년 5개월간 이용자의 동의 없이 「얼굴인식 서식(템플릿)」을 생성, 수집하였으며, 개인정보위는 이러한 위반행위에 대해 64억 4천만원의 과징금을 부과하였습니다.
  • 이 외에도 ①위법한 주민등록번호 수집, ②개인정보 처리주체 변경 미고지, ③개인정보 처리위탁 및 ④국외이전 관련 내용 미공개, ⑤자료 미제출 등에 대해 총 2천 6백만 원의 과태료를 부과하였는데, 이에는 우리 사업단이 신고한 위반 사항이 포함되어 있습니다.
  • 정보주체의 열람권을 보장하지 않은 행위 등 아직 개인정보보호위원회가 처리하지 않은 문제에 대해서는 개인정보위의 후속 처분을 기대하고 있습니다.

빅테크 공투단

2021년 초 법무법인 지향과 진보네트워크센터는 ‘빅테크 공정성x투명성 사업단’을 구성하고, 빅테크의 여러 문제에 대한 연구 및 대응을 수행하고 있습니다. 페이스북, 구글, 아마존, 애플 등 해외 업체 뿐 아니라, 네이버와 카카오 등 국내 기업에 이르기까지 갈수록 비대해지는 빅테크의 권력 남용에 대한 문제제기가 이루어지고 있습니다. 개인정보의 독점에 기반한 공정경쟁의 훼손, 개인정보 자기결정권의 침해, 미디어의 다양성 훼손, 노동자의 권리 보장, 공정한 조세 등의 문제가 그것입니다. 빅테크 공투단은 빅테크가 야기하는 사회적인 문제를 연구하고 이에 대한 문제제기를 해나고자 합니다. 페이스북에 대한 집단분쟁조정, 손해배상청구 소송, 개인정보보호법 위반 신고 등은 그러한 활동의 일환이며, 향후에 페이스북 뿐만 아니라 다른 빅테크 기업들에 대해서도 문제제기할 예정입니다.

빅테크 공정성x투명성 사업단

(법무법인 지향, 진보네트워크센터)