빅테크

빅테크와 정보인권 (1){/}한국에서 메타(Meta)의 개인정보보호법 위반 논란

By 2022/08/05 No Comments

페이스북, 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다. 그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다.

메타는 세계 여러 국가에서 개인정보 침해 및 개인정보보호법 위반 논란을 야기하고 있는데, 유사한 문제제기가 국내에서도 이루어지고 있음.

2020년 11월, 개인정보보호위원회는 페이스북의 제3자 앱을 통한 개인정보 무단 제공에 대해 과징금 67억원 부과
  • 2007년, 페이스북은 제3자 개발자가 페이스북과 통합되는 자체 앱 또는 서비스를 만들 수 있도록 일종의 도구와 서비스를 제공하는 ‘페이스북 플랫폼’을 출시했음. 이를 통해 페이스북은 캔디크러시, 타이니팜과 같은 게임, 심심풀이 퀴즈를 비롯해 페이스북 로그인을 제공하는 각종 모바일 앱, 웹 서비스 등 다양한 서비스를 자사 플랫폼에 유치하였음. 이를 통해 이용자가 확대되었을 뿐 아니라 다양하고 방대한 개인정보를 수집할 수 있게되었음. 그러나 이 과정에서 페이스북 이용자와 ‘친구’의 개인정보가 당사자의 인지 및 동의없이 제3자에게 제공되었음.
  • 개인정보 제3자 제공은 특히 2018년 초 캠브리지 애널리티카 사건이 보도되며 세계적 문제로 대두되었음. 이후 미국 연방거래위원회(FTC)는 페이스북에 대한 조사에 착수했고, 2019년 7월 FTC 는 50 억 달러의 민사 벌금 (civil penalty) 을 납부하기로 하는 것을 포함한 동의 의결 (consent order) 로 합의를 하였음.
  • 페이스북은 소위 페이스북 플랫폼을 구축한 2007년 5월 이래로 제3자 앱 개발자에게 이용자의 개인정보를 불법적으로 제공해왔음. 여기에는 해당 앱을 이용한 이용자의 개인정보 뿐만 아니라 이용자의 친구의 개인정보도 포함됨. 불법적인 개인정보 제3자 제공에 대한 문제제기가 이루어지자, 페이스북은 Graph API V1을 V2로 변경하면서 2015년 4월 30일 이후에는 제3자 개발자가 친구 정보에 접근하는 것을 허용하지 않겠다고 밝혔음. (Graph API는 제3자 개발자가 페이스북 이용자의 개인정보 등을 제공받아 서비스할 수 있도록 프로그램간 상호작용을 돕는 인터페이스를 의미함) 그러나 그 이후에도 소위 ‘화이트리스트’ 앱 개발자에 대해서는 계속 친구 정보에 대한 접근 권한을 비공개로 부여하였는데, 이러한 접근 허용은 2018년 초 캠브리지 애널리티카 사건이 보도되고 FTC의 조사가 개시된 2018년 6월까지 이어졌음. 따라서 2015년 4월 30일 이전에 페이스북에 가입하여 제3자 앱을 사용했거나 친구가 제3자 앱을 사용한 경우, 즉 사실상 페이스북 이용자 대부분의 개인정보가 제3자에게 제공되었다고 볼 수 있음. 2015년 4월 30일 이후에도 화이트리스트 앱을 사용하는 이용자의 경우에는 그 이용자의 친구 정보가 앱 개발자에게 지속적으로 제공되었을 수 있음.

(개인정보 제공 구조도, 출처 : 개인정보보호위원회 보도자료. 2020.11.26)

  • 캠브리지 애널리티카 사건에 대한 보도를 계기로 국내 개인정보보호위원회의 조사를 시작하였음. 개인정보보호위원회의 조사 결과,
    • 페이스북은 당사자 동의를 받지 않고 다른 사업자에게 개인 정보를 제공하였음.
    • 이용자가 페이스북 로그인을 통해 다른 사업자의 서비스를 이용할 때 본인 정보와 함께 “페이스북 친구”의 개인정보가 동의 없이 다른 사업자에게 제공되었으며, “페이스북 친구”는 본인의 개인정보가 제공된 사실조차 모르는 상태였음.
    • 페이스북의 위법 행위로 인한 피해규모는 페이스북이 자료를 제출하지 않아 정확히 알 수 없으나, 2012년 5월부터 2018년 6월까지 약 6년간 위반행위가 이어져왔으며 국내 페이스북 이용자 1,800만 명 중 최소 330만 명 이상의 개인정보가 제공된 것으로 확인됨. “페이스북 친구” 정보가 최대 1만여 개의 앱을 통해 제공될 수 있었던 상태인 점을 고려하면 더 많은 개인정보가 넘어갔을 것으로 추정됨.
    • 다른 사업자에게 제공된 페이스북 친구의 개인정보 항목은 학력·경력, 출신지, 가족 및 결혼/연애상태, 관심사 등이 포함됨
    • 개인정보보호위원회가 확인한 330만 명의 피해자는 단지 Cambridge Analytica에 개인정보를 제공하는데 활용된 <This is your digital life 앱>과 또 다른 앱 등 단 2개 앱만을 대상으로 한 것임. 대한민국 제3자 개발자가 개발한 제3자 앱 중에서 친구 정보 접근 권한이 있는 10,272개 제3자 앱의 한국인 사용자는 중복을 포함하여 총25,461,468명이라고 하며, 화이트리스트 개발자가 개발한 68개 제3자 앱의 앱의 대한민국 사용자는 중복을 포함하여 2,290,418명이라고 함. 이를 고려하면, 사실상 한국 페이스북 사용자 모두를 개인정보 무단 제공의 피해자라 볼 수 있음.
  • 또한, 개인정보위에 따르면 페이스북은 조사과정에서 거짓으로 자료를 제출하거나 불완전한 자료를 제출하는 등 조사를 방해했다고 함.
  • 개인정보위는 당사자 동의를 받지 않고 제3자에게 개인정보를 제공한 행위를 중대한 위반행위로 보고 페이스북에 67억 원의 과징금 부과와 함께 시정조치를 명령하고 수사기관에 고발하였음. 또한 ▲이용자의 비밀번호를 암호화하지 않고 저장한 행위, ▲이용자에게 주기적으로 이용내역을 통지하지 않은 행위, ▲거짓자료 제출 등 행위에 대해서도 총 6천6백만 원의 과태료를 부과함.
  • 페이스북은 제재에 불복법해 행정소송 제기
  • 관련 자료
2021년 4월, 진보네트워크센터와 법무법인 지향, 페이스북을 상대로 개인정보분쟁조정위원회에 집단분쟁조정 신청
  • 법무법인 지향과 진보네트워크센터는 2021년 4월 16일, 개인정보 유출로 인한 피해자들에게 손해를 배상할 것을 내용으로 하는 집단분쟁조정신청서를 개인정보분쟁조정위원회에 접수하였음.
  • 페이스북 이용자들의 개인정보 열람청구
    • 이용자들은 페이스북에 자신이 설치한 제3자 앱을 통해서 어떠한 개인정보가 제공되었는지, 그리고 내 친구가 설치한 제3자 앱을 통해 내 개인정보가 누구에게 제공되었는지에 대해 열람청구를 하였음. (개인정보보호법 제4조는 개인정보의 처리에 관한 정보를 제공받을 권리, 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람을 요구할 권리 등 정보주체의 권리를 인정하고 있고, 제35조는 구체적으로 개인정보의 열람절차를 규정하고 있음)
    • 그러나 페이스북은 “친구들에 의한 이러한 정보 공유가 개인정보 보호법상 제3자 제공에 해당하지 않으며”, “(청구인) 요청은 개인정보 보호법 제35조에 따른 개인정보 열람 요청의 범위에 속하지 않는다”고 하면서 정보제공을 거부하였음. 이는 정보주체의 권리를 보장하지 않는 개인정보 보호법 위반 행위임. 이에 따라 페이스북 이용자들은 구체적으로 내 개인정보가 어떻게 침해되었는지 파악하기는 힘든 상황임.
  • 개인정보보호위원회가 페이스북의 불법 행위를 확인하였기 때문에, 이용자들은 분쟁조정 신청을 통해 불법행위로 인한 피해를 배상 받고자 한 것임. 특히, 피해자가 50명 이상인 경우 집단분쟁조정을 신청할 수 있는데, 이 제도를 이용하면 여러 명의 당사자가 하나의 분쟁조정으로 처리될 수 있음. 또한 분쟁조정위원회가 집단분쟁조정 절차를 개시하면, 애초에 분쟁조정위원회에 분쟁조정을 신청한 당사자 외에도 분쟁조정위원회를 통해 동일한 피해를 입은 사람들이 추가로 신청할 수 있게 됨. 이번 사안의 경우 법무법인 지향이 대리한 피해자는 162인이었으며, 분쟁조정위원회의 절차 개시 이후 따로 신청하신 분들이 19명이었음.
  • 2021년 7월 8일, 개인정보분쟁조정위원회는 개인정보 집단분쟁조정에 대해 절차 개시를 공고하였음.
  • 2021년 10월 29일, 개인정보분쟁조정위원회는 집단분쟁조정 참가자(181명)에게 각 30만원의 손해배상금을 지급할 것, 신청인들의 개인정보를 제공받은 제3자의 신상과 제공된 개인정보 유형 및 내용을 신청인들에게 열람하게 할 것의 내용을 담은 조정안을 제시하였음. 이에 대해 청구인측은 분쟁조정위가 청구인의 요구를 수용한 것으로 보고 조정안을 수락하였음. 그러나 11월 25일, 메타는 조정안을 거부하였음. 이에 따라 분쟁조정은 결국 불성립하였으며, 이용자들은 손해배상 소송을 제기하기로 함.
    • 개인정보 분쟁조정위원회 보도자료 (2021.10.29)
페이스북의 개인정보보호법 위반에 대한 개인정보보호위원회 신고
  • 2021년 6월 7일, 법무법인 지향과 진보네트워크센터는 페이스북의 개인정보보호법 위반 및 개인정보주체의 권리 침해 여부에 대한 조사를 요청하는 신고서를 개인정보보호위원회의 개인정보침해 신고센터에 제출하였음.
    • 2018년 7월 14 페이스북은 국내 이용자에게 페이스북 서비스를 제공하는 주체를 Facebook Ireland에서 Facebook Inc로 변경하였지만, 국내 페이스북 이용자들은 이에 대한 고지를 받지 못했음. 당시 시행 중이던 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제26조는 정보통신서비스 제공자가 변경되어 이용자들의 개인정보가 타인에게 이전될 경우 이용자들에게 이 사실을 알리고, 이전을 원하지 않는 경우 동의를 철회할 수 있는 방법과 절차를 제공하도록 하고 있음.
    • 개인정보 처리지가 국외인 아일랜드(Facebook Ireland)에서 다른 국외인 미국(Facebook Inc)으로 변경되었음에도 국내 페이스북 이용자들은 이에 대한 고지나 동의 요청을 받지 못했음. 이러한 개인정보의 국외 이전을 위해 정보통신서비스 제공자는 정보통신망법 제63조에 따라 소정의 사항을 알리고 동의를 받아야 함.
  • 2021년 8월 18일, 법무법인 지향과 진보네트워크센터는 페이스북의 ‘정보통신서비스제공자 변경시 알릴 의무 위반’과 이용자의 개인정보 열람권을 무시한 것에 대해 다시 개인정보보호법 위반으로 개인정보보호위원회에 신고하였음.
    • 2021년 6월 1일, 법무법인 지향과 진보네트워크센터는 페이스북이 ‘정보통신서비스제공자 변경시 알릴 의무’를 준수했는지 여부와 신청인의 개인정보를 제3자에게 무단 제공한 구체적인 내역에 대해 구체적으로 알려줄 것을 요구하며 ‘개인정보 열람청구’를 하였음. 페이스북은 이에 대한 답변을 보내왔지만 실제 요구 사항에 대한 답변은 담겨있지 않았음.
    • ‘정보통신서비스제공자 변경시 알릴 의무’를 준수했는지에 대해서는 약관 및 데이터 정책이 변경된다는 공지사항을 보내왔지만, 여기에는 정보통신망법에서 고지할 것을 요구하는 내용이 포함되어 있지 않았음.
    • 신고인이 선택한 제3자 앱에게 제공된 신고인 및 친구의 개인정보, 친구가 선택한 제3자앱에 제공된 신고인의 개인정보 및 이에 신고인이 동의한 기록, 신고인의 비밀번호가 평문으로 저장된 적이 있는지 여부 등에 대한 개인정보 열람신청에 대한 답변으로 페이스북은 해당 개인정보의 열람 요청이 “개인정보 보호법 제35조에 따른 개인정보 열람 요청의 범위에 속하지 않습니다”라고 주장하며 개인정보 내역을 제공하지 않았음.
  • 2021년 8월 25일, 개인정보보호위원회는 페이스북 등 3개 사업자에게 과징금 등의 시정조치를 의결하였고, 페이스북의 일부 위법 사항에 대해 과태료를 부과하였는데, 여기에는 개인정보 처리주체 변경 미고지, 국외이전 관련 내용 미공개 등 진보넷 등이 신고한 위법 사항이 포함되어 있음.

개인정보 열람청구에 대한 페이스북의 답변

당사는 개인정보 보호법 제35조에 따른 귀하의 개인정보 열람 요청을 접수하였습니다.
당사는 귀하의 문의사항에 대하여 아래와 같이 답변 드립니다.
질의 1, 4, 5, 6, 7항은 개인정보 보호법 제35조에 규정된 개인정보의 열람 요청 범위에 속하지 않습니다만, 당사는 일부 질문들에 대해 해당 정보가 열람 요청 대상에 해당하지 않는 이유를 설명 드리거나 아니면 귀하에게 도움이 될 수 있도록 정보를 드리고자 노력하였습니다.

1.Facebook, Inc. 및 Facebook Ireland Limited가 각각 개인정보 처리자로서 본인의 개인정보를 처리한 기간

– Facebook, Inc.는 2018년 7월 14일부터 한국에서 페이스북 서비스를 제공하는 주체이자 한국 이용자의 개인정보 처리자(data controller)입니다. 해당 시점 이전에는 Facebook Ireland Limited가 관련 서비스 제공자였습니다.

2.Facebook Ireland Limited로부터 Facebook, Inc.로 개인정보처리자가 변경된 것에 대해 본인에게 고지 및 동의를 받았는지 여부, 고지 및 동의를 요청한 기록(언제 어떠한 수단을 통해 본인에게 고지하였으며, 본인이 언제 동의의 의사표시를 했는지)

– 한국에서 페이스북 서비스를 제공하는 주체이자 한국 이용자의 개인정보 처리자는 2018년 7월 영업 양도의 일환으로 Facebook Ireland Limited에서 Facebook, Inc.로 변경되었습니다. 이와 관련하여 서비스 약관 및 데이터 정책이 개정되었습니다. 페이스북은 2018년 4월 4일 뉴스룸(Newsroom)을 통하여 업데이트를 최초로 공지하였고(여기 참조; https://about.fb.com/news/2018/04/terms-and-data-policy/), 2018년 5월 24일에는 모든 페이스북 이용자들에게 개인정보 보호에 관한 정보 및 Facebook에서 이용자 경험을 통제하는 방법에 관해 검토하도록 요청할 것이라고 공지하였습니다(이용자에게 검토 절차를 설명하는 비디오를 포함한 뉴스룸 게시글 참고; https://about.fb.com/news/2018/05/pardon-the-interruption/). 해당 절차의 일환으로, 이용자는 (i) 서비스 약관, 데이터 정책 및 쿠키 정책이 개정 중에 있으며, 2018년 7월 14일 또는 이후 페이스북을 계속 이용하는 경우에는 그러한 개정 내용에 동의하는 것으로 된다는 점에 대해 고지 받았고, (ii) 개정 내용을 검토하고 이에 동의할 것을 요청 받았습니다. 이용자에게 제공된 공지의 예시는 아래 스크린샷을 참고하시기 바랍니다.

3.본인의 개인정보가 대한민국 이외의 국가로 이전되었는지 여부, 이전되었다면 이에 대해 본인의 동의를 받은 기록

– 서비스 약관 및 데이터 정책에 공개된 바와 같이, 페이스북은 전세계적으로 정보를 공유하고, 당사의 전 세계 데이터 센터 및 시스템에 저장된 콘텐츠와 데이터를 배포합니다. 가입 시, 이용자들은 서비스 약관 및 데이터 정책에 동의하도록 요청받습니다.

4.본인이 페이스북에 가입한 이후 현재까지, 본인의 개인정보가 제공된 제3자 앱의 이름, 제공된 개인정보의 항목, 개인정보가 제공된 일시 및 기간, 제3자 앱이 본인의 개인정보를 이용 및 보유한 기간, 개인정보 제공에 대해 본인이 동의한 기록, 해당 제3자 앱에 본인의 친구의 개인정보가 제공되었는지 여부, 개인정보가 제공된 친구의 목록 및 제공된 친구의 개인정보(각 제3자 앱별)

– 귀하는 제3자 앱 및 웹사이트를 귀하의 페이스북 계정과 연결하여 귀하의 정보에 대한 접근을 허용하였을 수 있습니다. 페이스북은 이를 개인정보 보호법상 페이스북이 귀하의 개인정보를 제3자에게 제공한 행위로 판단하지 않으며, 본 요청은 개인정보 보호법 제35조에 따른 개인정보 열람 요청의 범위에 속하지 않습니다. 다만, 페이스북은 귀하가 귀하의 페이스북 계정과 연결한 제3자 앱 및 웹사이트의 현황을 확인하고 그들과 공유한 정보를 관리할 수 있는 도구를 ‘설정 – 앱 및 웹사이트(Settings – Apps and Websites)’ 메뉴를 통해 제공하고 있다는 점을 말씀드립니다.

5.본인이 페이스북에 가입한 이후 현재까지, 친구의 제3자 앱 사용 과정에서 본인의 개인정보가 제3자 앱에 제공되었는지의 여부, 제공되었다면 어떠한 친구를 통해서 어떠한 제3자 앱에 제공되었는지, 제3자 앱에 제공된 본인의 개인정보 항목, 제공된 일시 및 기간, 제3자 앱이 본인의 개인정보를 이용 및 보유한 기간, 개인정보 제공에 대해 본인이 동의한 기록(각 친구 및 제3자 앱별)

– 귀하의 페이스북 친구들은 과거에 귀하의 개인정보 설정에 따라 귀하가 그들과 공유하는 정보 중 일부를 제3자 앱과 공유하기로 선택하였을 수 있습니다. 페이스북은 귀하의 친구들에 의한 이러한 정보 공유가 개인정보 보호법상 제3자 제공에 해당하지 않으며 본 요청은 개인정보 보호법 제35조에 따른 개인정보 열람 요청의 범위에 속하지 않는다고 보고 있습니다.

6.귀 사는 2019년 3월 21일 페이스북 뉴스룸(newsroom.fb.com)을 통해 “2019년 1월 정기 보안검토 과정에서 일부 이용자의 비밀번호가 내부 데이터 저장 시스템에 읽을 수 있는 형식(평문)으로 보관된 사실을 확인하였다”고 밝힌 바, 본인의 비밀번호가 평문으로 저장된 적이 있는지 여부

– 본 요청은 개인정보 보호법 제35조에 따른 개인정보 열람 요청의 범위에 속하지 않습니다.

7.본인의 ‘Facebook 외부 활동’ 정보를 수집하는 법적 근거, 귀 사가 수집한 본인의 ‘Facebook 외부 활동’의 각 정보에 대해 본인에게 고지하거나 본인이 동의한 내역(각 앱 및 웹사이트 별)

– ‘Facebook 외부 활동’은 광고주들 및 기타 파트너들이 자신들의 웹사이트와 앱에서 이루어진 귀하의 활동과 관련하여 수집하고 페이스북에게 제공하는 정보입니다. ‘Facebook 외부 활동’은 개인정보 보호법에 따라 페이스북이 수집하는 정보가 아니기 때문에, 본 요청은 개인정보 보호법 제35조에 따른 개인정보 열람 요청의 범위에 속하지 않습니다.

Privacy Operations
Facebook

2021년 8월, 개인정보보호위원회, 메타의 동의없는 얼굴인식정보 활용에 64억 4천만원의 과징금 처분
  • 2021년 8월 25일, 개인정보보호위원회는 페이스북과 넷플릭스, 구글 등 3개 사업자에게 총 66억 6천만 원의 과징금과 2천 9백만 원의 과태료를 부과하고, 시정명령‧개선권고‧공표 등 시정조치를 의결하였음.
  • 페이스북의 경우,
    • 2018년 4월부터 2019년 9월까지 약 1년 5개월간 이용자의 동의 없이 얼굴인식 템플릿을 생성, 수집하였음. 이에 대해 64억 4천만원의 과징금을 부과.
    • ①위법한 주민등록번호 수집, ②개인정보 처리주체 변경 미고지, ③개인정보 처리위탁 및 ④국외이전 관련 내용 미공개, ⑤자료 미제출에 대해서는 총 2천 6백만 원의 과태료 부과
    • 개인정보보호위원회는 동의 없이 수집된 얼굴정보를 파기하거나 동의를 받을 것, 법적 근거 없는 주민등록번호 처리를 금지하고 수집된 자료는 파기할 것, 개인정보 국외이전 관련 내용과 개인정보 처리위탁 내용을 공개할 것 등에 대해 시정명령
    • 개인정보 추가 수집 시 법정 고지사항을 이용자가 쉽게 확인할 수 있도록 개선할 것을 권고하였음.
  • 개인정보보호위원회 보도자료 (2021.8.25)
2022년 1월, 메타의 개인정보 침해(동의없는 제3자 제공)에 대한 손해배상 청구소송 제기
  • 2022년 1월 26일, 법무법인 지향과 진보네트워크센터는 메타(구 페이스북)를 상대로 서울지방법원에 페이스북의 이용자 개인정보 침해에 대한 손해배상을 청구하는 소송을 제기함.
  • 메타 플랫폼스는 2012년 5월부터 2018년 6월까지 약 6년 간 페이스북 이용자 및 이용자 친구의 개인정보를 제3자 앱 개발자에게 불법적으로 제공하였고, 2020년 11월, 개인정보보호위원회는 이에 대해 과징금 67억원 부과하였음. 2021년 4월, 진보네트워크센터와 법무법인 지향, 페이스북을 상대로 개인정보분쟁조정위원회에 집단분쟁조정 신청하였으나, 메타는 조정안을 거부함. 이에 이용자들은 메타에 손해배상 청구 소송을 제기하게 된 것임. 이번 소송에 참가한 원고는 162명으로 1인당 50만원의 손해배상을 청구하였음.
  • 그러나 법원이 메타의 국내 대리인인 ‘프라이버시 에이전트 코리아’로 보낸 소장이  ‘수취인불명’(해당 주소지에 아무도 없거나 연락이 안 되는 상태) 등으로 세 차례나 송달에 실패하면서 (2022년 8월 현재) 재판이 열리지 못하고 있는 상황임.
2022년 5월, 메타의 개인정보 수집 및 제3자 제공의 위법성에 대해 개인정보보호위원회에 신고
  • 2022년 5월 3일, 법무법인 지향과 진보네트워크센터는 메타의  개인정보 수집 및 제3자 제공의 위법성에 대한 신고서를 개인정보보호위원회에 제출했음. 위법성이 지적된 부분은 아래와 같음.

메타의 개인정보 처리의 위법성

(1) 개인정보 수집, 제공, 목적 외 이용제공 등의 전제로서 개인정보 수집, 제공, 처리의 대상, 목적, 제3자 등이 명확하게 설명, 고지되지 않음 (제15조 제2항, 제17조 제2항, 제18조 제3항, 제22조 위반)

(2) 개인정보 수집 이용에 대한 동의가 고지사항이 위법하며, 사전 동의로 설정되어 있음 (제15조, 제22조, 제23조 위반)

  • 대다수의 ‘개인정보 수집’이 동의한 것으로 사전 설정되어 있음.
  • 동의를 얻기 전에 고지해야 할 사항이 적법하게 고지되지 않았음(고지사항 – 수집항목, 목적이 명확하지 않고, 제3자가 명확하지 않고, 보유기간도 명확하지 않음)
  • 필수 정보와 추가 정보의 구분이 되지 않고, 최소수집 정보 외의 정보 수집에 대한 선택 동의 사항이 제시되지 않음.
  • 민감정보의 수집에 대해서 별도 고지와 동의가 없음

(3) 개인정보 제3자 제공에 대한 동의가 고지사항이 위법하고, 사전 동의로 설정되어 있고, 거부할 수 없음 (제17조, 제18조, 제22조 위반)

  • 대다수의 ‘개인정보 제3자 제공’이 동의를 받기 전에 미리 제3자 제공을 할지 여부에 대한 선택권이 주어지지 않고, 동의한 것으로 사전 설정되어 있음(예를 들어, 기본을 친구공개로 설정하고, 개인정보를 활용하는 것에 대하여 옵트 아웃을 하도록 함.).
  • 그러나, 동의를 얻기 전에 고지해야 할 사항이 적법하게 고지되지 않았음(고지사항 – 제3자 제공되는 항목, 목적이 명확하지 않고, 제3자가 명확하지 않고, 보유기간도 명확하지 않음)
  • 제3자인 계열사(인스타그램 등)에게 개인정보를 공유하는 것이 강제됨.

(4) 영리, 홍보 목적의 개인정보 활용에 대한 동의가 개인정보보호법을 위반함

  • 영리, 홍보 목적의 개인정보 활용에 대한 ‘개인정보 수집’, ‘제3자 제공’이 동의한 것으로 사전 설정되어 있음.
  • 그러나, 동의를 얻기 전에 고지해야 할 사항이 적법하게 고지되지 않았음(고지사항 – 수집항목, 목적이 명확하지 않고, 제3자가 명확하지 않고, 보유기간도 명확하지 않음)
  • 영리, 홍보 목적의 개인정보 제3자 제공에 대해서도 적법한 고지가 이루어지지 않았으며, 대부분 동의한 것으로 사전 설정되어 있어서 위법함.

(5) 페이스북 로그인, 픽셀, SDK 등을 통한 제3자로부터의 개인정보 수집은 개인정보보호법을 위반함

  • 페이스북이 페이스북 로그인, 픽셀, SDK 등을 통해서 개인정보를 제공받을 때, 개인정보 주체로부터 자신의 개인정보가 페이스북에게 제공된다는 것에 대한 동의를 받지 않고도 개인정보를 수집함.
  • 특히, 이 경우 페이스북 회원이 아닌 경우나, 페이스북 로그인을 하지 않은 경우, 페이스북이 아닌 다른 제3자의 웹사이트에서의 개인정보가 페이스북에게 제공됨.

(6) 최소한 정보 외의 개인정보 수집에 동의하지 않으면 서비스 제공을 거부함

  • 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니하거나, 선택에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 안됨에도 서비스 제공을 거부함
2022년 7월, 메타의 개인정보처리방침 개정과 개인정보보호법 위반 논란
  • 2022년 5월 26일, 메타는 개인정보처리방침이 개정된다는 것을 고지하였음. 이 개정은 전 세계적으로 적용되는 것이지만, 한국에서는 △개인정보의 수집 및 이용 △개인정보의 제공 △개인정보의 국가 간 이전 △위치정보 서비스 약관 △개인정보처리방침 업데이트 △서비스 약관 등 모든 정책을 ‘필수’로 선택하도록 하고, 이에 동의하지 않을 경우 7월 26일 이후 관련 계정을 사용하지 못할 것이라며 사실상 동의를 강요하였음. 이에 이용자들이 광범위한 개인정보를 수집하면서 이에 대한 동의를 ‘강제’하는 것에 불만을 제기하면서 국내에서 큰 논란이 되었음.
  • 2022년 7월 22일, 정의당 배진교, 장혜영 의원과 시민사회단체들은 공동으로 국회토론회를 개최하여 맞춤형광고를 목적으로 광범위한 개인정보 수집에 대해 동의를 강요하고 이용자의 행태정보를 동의없이 수집한 것은 개인정보보호법 위반이라며 분석, 비판하였음.
  • 39개 인권, 시민사회단체들은 메타를 비판하는 성명을 발표함. 단체들이 비판한 것은 첫째 메타가 광범위한 개인정보를 필수정보로 두고 이에 동의하지 않을 경우 서비스를 거부하는 것은 개인정보보호법 제39조의3 위반이라는 점, 둘째 메타는 이용자가 전혀 인지하지 못하는 사이에 이용자 웹사이트 및 모바일 앱 이용 기록(행태정보)를 수집하여 맞춤광고에 활용하고 있는데, 이는 동의없는 개인정보 수집으로서 역시 개인정보보호법 제39조의3 위반이라는 점, 셋째 메타의 이번 동의 강요행위는 시장지배적 사업자의 소비자 이익을 저해하는 불공정 행위로서 공정거래법 위반이라는 점, 넷째 메타는 정보기관으로의 개인정보 제공에 필수 동의를 하도록 하고 있는데, 메타와 같은 소셜 네트워크가 보유한 개인정보가 방대해질수록 국가에 의한 시민감시의 우려도 커질 수밖에 없다는 점 등임. 이에 메타에 개인정보 침해행위를 중단할 것을 요구하는 한편, 개인정보보호위원회에는 이에 대해 조사하고 시정 조치를 취하며,  점점 활성화되어 가는 맞춤형광고와 관련된 개인정보 침해가 발생하지 않도록 전반적인 현황을 조사하고 금지행위를 포함한 명확한 기준을 제시할 것을 요구하였음.
  • 2022년 7월 22일, 개인정보보호위원회는 2021년 2월부터 주요 온라인 광고 플랫폼의 행태정보 수집 및 맞춤형 광고 활용실태를 점검하고 있으며, 메타의 동의 방식 변경과 관련된 내용(맞춤형 광고를 위해 행태정보를 필수로 수집)도 조사 내용에 포함되어 있다는 점, 그리고 보호법 제39조의3 제3항은 “이용자가 필요 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스의 제공을 거부해서는 안된다”라고 규정하고 있는데 이에 근거하여 메타가 수집하는 이용자의 개인정보가 서비스 제공을 위해 반드시 필요한 정보인지를 중점적으로 검토하고 있다고 해명하였음.
  • 2022년 7월 28일, 시민사회단체들은 광화문에 위치한 메타 국내 대리인 사무실 앞에서 기자회견을 열고 이용자의 입장을 전달하고 면담을 요청하였음.

  • 그런데 같은 날 메타개인정보보호위원회와 면담을 진행하고 강제적인 동의절차를 철회하기로 했다고 발표하였음. 그러나 이는 동의를 하지 않아도 개정된 개인정보처리방침과 약관이 사실상 적용되는 것이나 마찬가지이기 때문에 불법성을 둘러싼 논란이 근본적으로 해결되었다고 볼 수 없음.
  • 이에 시민사회단체는 7월 29일, 논평을 발표하여 메타의 동의강요 철회는 당연한 일이지만, 실질적으로 바뀐 것은 없으며 메타의 위법한 개인정보 처리와 실시간 경매를 통한 맞춤형 광고 방식이 개인정보보호법을 위반한 위법행위임을 비판하였음. 또한 국회에도 이용자 개인정보를 침해하는 맞춤형 광고의 문제를 해결하고 이용자의 광고 선택권을 보장하기 위한 대책을 마련할 것, 독점적 빅테크 기업들의 공정경쟁 저해행위와 소비자 이익 침해행위를 규제할 수 있는 대책을 마련할 것, 허울뿐인 국내대리인 제도를 실질화하기 위한 대책을 마련할 것을 촉구하였음.