산더미 같은 페이스북의 위법행위, 개인정보보호위원회에 신고
모호하고 불명확한 개인정보 처리방침과 위법적 개인정보 제3자 제공
페이스북 너머의 인터넷 활동 정보도 페이스북이 수집
1. 법무법인 지향과 진보네트워크센터 (빅테크 공정성x투명성 사업단) 는 5월 3일, 페이스북(메타 플랫폼스)의 개인정보 수집 및 제3자 제공의 위법성에 대한 신고서를 개인정보보호위원회에 제출했습니다.
2. 그간 페이스북은 국내 개인정보보호법에서 규정하는 개인정보 수집, 이용, 제공을 위한 적법 요건을 갖추지 않고 이용자의 개인정보를 처리해왔습니다. 그 내용은 아래와 같습니다.
(1) 개인정보 수집, 제공, 목적 외 이용제공 등의 전제로서 개인정보 수집, 제공, 처리의 대상, 목적, 제3자 등이 명확하게 설명, 고지되지 않음 (제15조 제2항, 제17조 제2항, 제18조 제3항, 제22조 위반)
(2) 개인정보 수집 이용에 대한 동의가 고지사항이 위법하며, 사전 동의로 설정되어 있음 (제15조, 제22조, 제23조 위반)
- 대다수의 ‘개인정보 수집’이 동의한 것으로 사전 설정되어 있음.
- 동의를 얻기 전에 고지해야 할 사항이 적법하게 고지되지 않았음(고지사항 – 수집항목, 목적이 명확하지 않고, 제3자가 명확하지 않고, 보유기간도 명확하지 않음)
- 필수 정보와 추가 정보의 구분이 되지 않고, 최소수집 정보 외의 정보 수집에 대한 선택 동의 사항이 제시되지 않음.
- 민감정보의 수집에 대해서 별도 고지와 동의가 없음
(3) 개인정보 제3자 제공에 대한 동의가 고지사항이 위법하고, 사전 동의로 설정되어 있고, 거부할 수 없음 (제17조, 제18조, 제22조 위반)
- 대다수의 ‘개인정보 제3자 제공’이 동의를 받기 전에 미리 제3자 제공을 할지 여부에 대한 선택권이 주어지지 않고, 동의한 것으로 사전 설정되어 있음(예를 들어, 기본을 친구공개로 설정하고, 개인정보를 활용하는 것에 대하여 옵트 아웃을 하도록 함.).
- 그러나, 동의를 얻기 전에 고지해야 할 사항이 적법하게 고지되지 않았음(고지사항 – 제3자 제공되는 항목, 목적이 명확하지 않고, 제3자가 명확하지 않고, 보유기간도 명확하지 않음)
- 제3자인 계열사(인스타그램 등)에게 개인정보를 공유하는 것이 강제됨.
(4) 영리, 홍보 목적의 개인정보 활용에 대한 동의가 개인정보보호법을 위반함
- 영리, 홍보 목적의 개인정보 활용에 대한 ‘개인정보 수집’, ‘제3자 제공’이 동의한 것으로 사전 설정되어 있음.
- 그러나, 동의를 얻기 전에 고지해야 할 사항이 적법하게 고지되지 않았음(고지사항 – 수집항목, 목적이 명확하지 않고, 제3자가 명확하지 않고, 보유기간도 명확하지 않음)
- 영리, 홍보 목적의 개인정보 제3자 제공에 대해서도 적법한 고지가 이루어지지 않았으며, 대부분 동의한 것으로 사전 설정되어 있어서 위법함.
(5) 페이스북 로그인, 픽셀, SDK 등을 통한 제3자로부터의 개인정보 수집은 개인정보보호법을 위반함
- 페이스북이 페이스북 로그인, 픽셀, SDK 등을 통해서 개인정보를 제공받을 때, 개인정보 주체로부터 자신의 개인정보가 페이스북에게 제공된다는 것에 대한 동의를 받지 않고도 개인정보를 수집함.
- 특히, 이 경우 페이스북 회원이 아닌 경우나, 페이스북 로그인을 하지 않은 경우, 페이스북이 아닌 다른 제3자의 웹사이트에서의 개인정보가 페이스북에게 제공됨.
(6) 최소한 정보 외의 개인정보 수집에 동의하지 않으면 서비스 제공을 거부함
- 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니하거나, 선택에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 안됨에도 서비스 제공을 거부함
3. 특히 주목할 만한 지점은 페이스북이 정보주체의 사전 동의 없이 페이스북 웹사이트나 페이스북 앱으로부터 뿐만 아니라 광범위한 제3자 사이트 또는 앱으로부터 개인정보를 수집하고 있다는 것입니다. 페이스북은 페이스북 소셜 플러그인(좋아요, 공유 버튼), 페이스북 로그인, 페이스북 픽셀, SDK 등을 이용해 다양한 방식으로 제3자로부터 개인정보를 제공받거나 개인정보를 제3자에게 제공하고 있습니다.
예를 들어 페이스북 픽셀은 웹사이트 방문자들이 취한 행동을 파악하는 일종의 코드로, 페이스북 픽셀이 설치된 제3자의 웹사이트에 방문한 인터넷 이용자의 여러 정보(결제정보 추가, 장바구니 담기, 위시리스트 추가, 매장 위치 찾기, 구매 및 예약, 상품 검색 등)를 수집하여 페이스북에 전송합니다. 이러한 제3자 사이트 또는 앱의 이용자로부터 개인정보를 수집하기 위해서는 정보주체에게 개인정보의 수집, 이용의 목적을 명확하게 알리고 선택권을 부여하며 동의를 받아야 하며 그렇지 않았다면 이는 위법한 개인정보 제공임과 동시에 이를 활용하는 것도 위법한 행위로 볼 수 있습니다. 또한 페이스북의 ‘비즈니스 파트너’에 해당하는 웹사이트나 앱에서는 페이스북 계정 보유 여부나 페이스북 로그인 여부와 무관하게 페이스북에게 개인정보를 제공한 것으로 확인됩니다.
4. 이러한 페이스북의 위법한 개인정보 처리는 페이스북의 개인정보보호정책, 쿠키 및 기타 스토리지 기술, 개발자를 위한 페이지 등에서 확인할 수 있으며 페이스북 이용자의 경우 설정 -> 내 Facebook 정보 -> Facebook 외부 활동을 통해 제3자 웹사이트 및 앱에서의 활동 정보가 페이스북에 집적되고 있음을 직접 확인할 수 있습니다.
5. 페이스북의 개인정보 처리에 대한 위법성과 정보주체의 권리 침해에 대해서는 이미 세계 각국 개인정보감독기구의 제재를 통해 확인된 사실입니다. 2015년과 2017년 벨기에 개인정보 보호 당국은 페이스북의 개인정보 처리 방침이 “정보주체로부터 유효한 동의를 얻지 못하고 있다”며 페이스북의 전반적인 개인정보 처리에 법 위반의 문제가 있음을 지적했습니다. 스페인의 개인정보 보호 당국도 페이스북이 동의 없이 광고 목적으로 민감한 개인정보를 처리한 것, 제3자 웹사이트에서 페이스북이 개인정보를 수집하고 사용하는 방법에 대해 명확하고 투명한 통지를 제공하지 않음 등을 지적하며 120만 유로의 벌금을 부과했습니다. 프랑스, 독일(함부르크), 네덜란드 등에서도 대동소이한 결정이 내려졌으며 2018년 GDPR 시행 이후에는 수많은 신고가 이루어져 조사가 진행 중에 있습니다.
6. 본 신고서를 기반으로 개인정보보호위원회가 페이스북의 법 위반 및 정보주체의 권리 침해 여부를 철저하게 조사하고 불법 행위가 다시금 반복되지 않도록 적절한 처분을 취해줄 것을 요청합니다. 끝