빅테크와 정보인권 (2){/}페이스북과 프라이버시 이슈

페이스북, 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다. 그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다.

페이스북은 서비스 초기부터 개인정보와 프라이버시 침해에 대한 다양한 우려를 가져왔음. 특히 페이스북은 사용자에 대한 실명제 정책 등 오프라인의 신원과 관계망 등을 그대로 가져와 연결시켜주는 특성을 갖고 있어 보다 큰 위험성을 갖고 있었음. 또한 추적광고를 비롯한 수많은 광고를 집행하기 위해 사용자로부터 수집된 개인정보를 최대한 활용하는 페이스북의 사업 모델은, 사용자 프라이버시에 대한 위험에도 불구하고 경제적 이득을 위해 부당한 정책을 강제하고 개인정보를 공유하는 등 실질적인 침해와 악용으로 이어졌음. 본 문서는 페이스북의 서비스 정책 변화 및 강제, 개인정보 공유 관행 등으로 논란이 되었던 대표적인 사례를 정리한 것임.

• 페이스북은 2006년 뉴스피드(News Feed)기능을 업데이트함. 뉴스피드 기능은 사용자의 게시글 뿐만 아니라 프로필 정보나 관계 등 상태 변경, 가입한 그룹, 업로드한 사진과 같은 개인정보와 페이스북 내 활동 정보를 사용자의 인지 및 동의없이 뉴스피드에 노출시켜 공개시키는 것임.
• 뉴스피드 업데이트는 적용 후 곧바로 페이스북 이용자의 큰 반발을 샀으며 페이스북 내에서 “페이스북 뉴스피드에 반대하는 학생들(Students against Facebook News Feed)” 과 같은 그룹이 구축되었고 그 구성원은 74만명에 달했음.
• 논란이 커지자 마크 저커버그는 이용자에 대한 공개 사과 서한을 게시함. 그러나 뉴스피드 기능을 완전히 비활성화시킬 수 있는 선택지는 제공되지 않았고 뉴스피드에 공개될 정보에 대한 일부 통제권만이 제공됨.

페이스북 비컨(Beacon)은 일종의 광고 서비스로, 페이스북 이용자가 페이스북 외부 웹사이트에서 활동한 기록(상품 구매 및 결제, 게임 플레이, 특정 페이지 방문 등)이 자동으로 페이스북 뉴스피드 및 프로필 페이지에 자동으로 게시되는 것임. 예를 들어 사용자가 페이스북과 제휴한 사이트에서 어떠한 상품을 구매하거나 결제한다면 해당 기록이 페이스북에 자동으로 게시됨.

2009년 9월, 비컨 기능과 관련 페이스북을 상대로 한 집단 소송이 제기되며 해당 기능은 종료됨.

페이스북 이용자의 집단소송 (Lane v. Facebook)

• 이용자 집단을 대표하는 원고 숀 레인은 아내를 위한 깜짝 선물로 웹사이트에서 반지를 구매함. 그러나 해당 웹사이트는 비컨과 페이스북에 연결되어 있었고 결과적으로 페이스북을 통해 아내를 포함한 수백명의 사람들에게 해당 반지 구매 사실이 알려짐. 비컨 기능은 옵트아웃할 수 있었으나 이를 위해 페이스북 내 복잡한 개인정보 통제 사항 뿐만 아니라 40개 이상의 비컨 제휴 사이트 모두를 알고 있어야 했음. 또한 서비스를 영구적으로 비활성화시키는 선택지 또한 없었으며 이는 페이스북의 의도적 설계였음.
• 원고는 페이스북이 비컨 기능을 통해 이용자의 온라인 활동을 감청 및 공개하여 전자통신프라이버시법(Electronic Communications Privacy Act), 비디오 프라이버시 보호법(Video Privacy Protection Act) 등을 위반하였다고 주장함.
• 2010년 합의를 통해 페이스북은 총 이용자 및 변호인단 비용으로 9.5만달러 배상

2011년 초, 페이스북은 이용자의 좋아요, 체크인, 댓글 등 페이스북 내 활동을 광고 게시글로 활용하는 ‘스폰서 스토리(Sponsored stories)’를 출시함. 예를 들어 어떤 이용자가 기업, 브랜드, 제품과 같은 상업적인 페이지에 ‘좋아요’를 누른다면 페이스북이 해당 이용자의 친구들의 뉴스피드에 ‘XX님이 XX페이지를 좋아합니다.” 등의 형식으로 노출시킴. 여기에는 회원의 이름 뿐만 아니라 프로필 사진도 활용되었으며 해당 기능을 거부할 수 있는 옵트아웃 기능은 제공되지 않았음.

페이스북 이용자의 집단소송 (Fraley v. Facebook)

• 2011년 4월, 5명의 원고는 페이스북이 스폰서 스토리를 통해 광고에 사람들의 사진과 이름을 부당하게 사용했다며 소송을 제기했음. 원고는 페이스북의 이러한 행위가 동의 없이 사람들의 사진이나 이름을 광고에 사용하는 걸 금지하는 캘리포니아 법을 위반했다고 주장했으며 또 18세 미만 이용자의 사진과 이름을 사용하기 위해서는 보호자의 동의가 필요하다고 주장함.
• 페이스북 측은 페이스북 이용자가 좋아요 등 페이스북 내 활동이 이용자 친구의 뉴스피드에 노출되는 것을 알고 있기 때문에 스폰서 스토리 활용에도 동의한 것이며, 동의된 내용이 단순히 다른 형태로 표시되는 것에 불과하다고 주장
• 2013년, 약 2,000만 달러의 소송 합의안이 마련되었고 61만여명의 페이스북 이용자에게 총 900만 달러 배상과 법원 비용 및 기부금 등에 1,100만 달러를 지불하는 것으로 합의됨.

페이스북의 광범위하고 침습적이며 불공정한 개인정보처리방침 및 이용약관의 개정과 개인정보 제3자 제공 행위는 당시 페이스북의 주된 사용자가 있던 미국과 캐나다의 사용자 및 규제당국과 지속적으로 마찰을 빚어왔음.

• 2008년, 캐나다 시민단체인 캐나다 인터넷 정책과 공익 클리닉(CIPPIC)는 페이스북이 필요하지 않은 사용자의 개인정보를 수집하고 처리하며 이 과정에 제대로 된 동의가 없다는 것을 주요 내용으로 한 신고서를 캐나다 개인정보보호 당국(OPC)에 제출함.
• 당국은 페이스북이 제3자 앱 개발자가 페이스북 사용자의 개인정보에 무단으로 접근하는 것을 막기 위한 적절한 안전장치가 없으며, 그러한 접근에도 불구하고 사용자의 의미있는 동의가 없었다는 사실 등을 조사 과정에서 확인하였으며 캐나다 개인정보보호법 및 전자문서법을 위반한다고 밝혔음. 당국은 페이스북에 1년의 기간을 주고 사용자의 개인정보에 대한 통제권 보장 등 조사 결과를 준수하라는 결정문을 발표함.
• 2009년 2월, 페이스북은 사용자가 게시한 콘텐츠를 어떤 목적으로든 페이스북이 사용할 수 있게끔 이용약관을 변경함. 또한 해당 이용약관에서 사용자는 자신의 계정과 정보를 온전히 삭제할 수 없었으며 단지 ‘비활성화’할 수 있을 뿐이었음. 이는 사용자와 시민단체의 신고 등 반발 후 철회됨.
• 2009년 12월, EPIC(Electronic Privacy Information Center) 등 9개의 시민단체는 페이스북의 개인정보처리방침을 문제 삼으며 FTC에 제소하였음. 페이스북의 개인정보처리방침은 사용자가 비공개로 설정해둔 개인정보를 ‘공개정보’ 상태로 강제 적용시켰으며, 사용자의 동의 없이 제3자 개발자에게 개인정보를 공유하는 등 기만적인 앱 개발자 정책을 갖고 있었음.
• 2010년 5월, EPIC 등 14개 시민단체는 미국의 연방거래위원회(FTC)에 두번째 제소를 진행하였음. 이는 페이스북의 “즉각적 개인화(Instant Personalization)” 기능과 “소셜 플러그인” 등 페이스북이 사용자의 인터넷 활동을 추적하고 제3자와 공유하기 위한 쿠키 및 추적코드 등을 주된 문제로 삼았음.
• “즉각적 개인화” 기능은 페이스북과 제휴한 제3자 웹사이트 개발자가 페이스북 사용자의 페이스북 데이터(이름, 사진, 성별, 위치정보, 친구목록, 좋아요한 페이지 등 페이스북이 ‘공개정보’라고 분류한 모든 것, 소셜그래프라고도 불리움)를 공유받아 이를 활용할 수 있게 하는 기능임. 해당 기능을 포함한 개인정보처리방침 개정이 있자 페이스북 사용자들은 ‘Quit facebook day’를 지정하여 탈퇴하는 운동을 벌이기도 했음.
• 2011년 11월, 미국 연방거래위원회는 페이스북의 사용자 프라이버시와 관련된 기만적 관행에 대해 합의를 마쳤다고 발표하였고, 2012년 8월 동일한 내용의 동의 명령(consent order)을 내렸음. 연방거래위원회가 발표한 페이스북의 불법적 문제는 다음과 같음.

• 2009년 12월, 페이스북은 페이스북 사용자의 친구 목록 등 사용자가 비공개로 설정해둔 정보가 공개되게끔 서비스를 변경하였으며 이 과정에 사용자의 동의 과정 및 공지는 없었음
• 페이스북은 페이스북 사용자가 설치한 제3자 앱 개발자 등이 운영에 필수적인 사용자 개인정보에만 접근할 수 있다고 주장했으나, 제3자 개발자는 필수적이지 않은 거의 모든 사용자 개인정보에 접근할 수 있었음
• 페이스북은 ‘친구공개’와 같은 기능을 통해 사용자의 개인정보를 제한된 사용자만이 접근할 수 있다고 주장했으나, ‘친구공개’를 선택했다고 해서 해당 개인정보가 사용자의 친구가 사용하는 ‘제3자 앱 개발자’와 공유되는 것을 막지 않았음
• 페이스북은 ‘인증된 앱’ 등 과정을 통해 제3자 앱의 보안을 인증했다고 주장했으나, 하지 않았음
• 페이스북은 광고주에게 사용자의 개인정보를 공유하지 않겠다고 약속했으나, 공유했음
• 페이스북은 사용자가 계정을 비활성화하거나 삭제하면 사진이나 동영상 등 그 데이터에 접근할 수없다고 주장했으나, 그렇지 않았음
• 페이스북은 미국과 유럽연합 간의 개인정보 이동을 관리하는 미국-EU 세이퍼하버 프레임워크를 준수한다고 주장했으나, 그렇지 않았음

• 페이스북은 연방거래위원회와의 합의를 통해 사용자에게 명시적이며 확실한 공지를 하고, 사용자가 설정한 개인정보 보호 설정을 넘어 개인정보를 공유하기 전 명시적 동의를 얻고, 포괄적인 개인정보 보호 체계를 갖추고, 2031년까지 2년마다 제3자가 감사를 실시하는 데 동의했으며, 위반 사항 하나 당 최대 16,000달러의 벌금 부과에 합의함. 그러나 연방거래위원회는 케임브리지 애널리티카 스캔들이 폭로된 2018년까지 어떠한 벌금 부과도 행하지 않았음.

케임브리지 애널리티카(이하 CA)는 영국의 정치 컨설팅 회사로, 동의없이 수집된 방대한 양의 페이스북 사용자 개인정보를 활용하여 2015년과 2016년 미국 대통령 선거 시기 테드 크루즈 및 도널드 트럼프의 선거운동, 영국 브렉시트 국민투표 등에 개입한 것이 밝혀지며 논란이 되었음. 2018년 3월, 스캔들이 폭로되자 페이스북은 CA에 페이스북 사용자 5천만 명의 데이터가 불법적으로 전달되었다는 사실을 인정하였음. 이후 그 숫자는 8,700만 명으로 증가해 페이스북 역사상 가장 큰 개인정보 유출 스캔들이 됨.

• 2010년, 페이스북은 제3자 개발자가 페이스북 사용자의 개인정보(사용자의 친구관계 등 소셜그래프 포함)에 접근할 수 있도록 하는 ‘오픈그래프(Open Graph API version 1.0)’ API를 도입하고 출시함. 이는 페이스북 외부 개발자들에게 페이스북과 통합되는 자체적인 앱이나 서비스를 만들 수 있게 해주었고 이를 통해 페이스북은 각종 게임, 모바일 서비스, 웹 서비스 등을 페이스북 플랫폼에 유치할 수 있었음. 한편, 제3자 개발자는 이를 통해 페이스북 내 앱을 개발하며 사용자의 특정한 개인정보가 필요한 이유를 설명하지 않더라도 수많은 개인정보를 제공받을 수 있게 됨. 이에는 사용자의 공개적인 프로필, 친구의 이름, 생년월일, 학력, 정치적 견해, 인간관계, 종교 등이 포함되었으며, 해당 사용자 뿐만 아니라 사용자의 페이스북 친구의 개인정보 또한 제공될 수 있었음.
• 2013년, 데이터 과학자 알렌산드르 코건 등은 “This Is Your Digital Life’ 라는 페이스북 내 성격퀴즈 앱을 개발함. 해당 앱은 사용자에게 일련의 심리 테스트를 제공하는 앱으로 보였지만, 동시에 사용자 및 사용자와 연결된 친구의 개인정보까지 모두 수집하였고 이는 이후 CA와 공유되었음. 해당 앱의 사용자는 27만 명에 불과했지만, 최종적으로는 사용자의 페이스북 친구를 포함 약 8,700만 명의 페이스북 사용자가 유출의 피해자로 확인됨.

• 2015년, 언론사 가디언(The Guardian)지는 CA가 테드 크루즈의 선거 캠프에 함께 하고 있음을 보도. 대통령 후보 경선 과정에서 수천만 명의 페이스북 사용자 데이터를 기반으로 한 연구 및 심리학적인 데이터가 사용되고 있음이 밝혀짐. 보도 이후 페이스북은 데이터 유출을 확인하고 알렉산드르 코건과 CA 양측에 부적절하게 수집한 데이터를 모두 삭제하도록 법적 압력을 가했으며 결국 데이터가 삭제되었다고 발표
• 2018년 3월, 가디언지와 뉴욕타임즈는 내부고발자 크리스토퍼 와일리(Christopher Wylie)와 함께 2016년 미 대선 당시 트럼프 캠프에 수천만 명의 페이스북 사용자 데이터와 분석 데이터가 전달되었고 지속적으로 사용되었다는 사실을 보도함.
• 이후 세계 각국의 개인정보보호 당국과 의회 등은 조사를 진행하고 청문회를 개최하고 벌금을 부과하는 등 적극적인 대응에 나섰음. 대표적으로는 2018년 10월 영국 개인정보보호 당국(ICO)는 법정 최고벌금인 50만 파운드(약 7억 5천만원)을, 2019년 7월 미국 연방거래위원회는 50억 달러(약 5조 8900억원)의 벌금과 시정조치를 부과하고 합의함. 연방거래위원회의 해당 벌금은 지난 2012년 동의명령의 위반에 대한 것이며, 위원회가 기술 기업을 대상으로 부과한 벌금 중에서는 가장 높은 액수였지만 근본적으로 페이스북의 프라이버시 침해 행태를 변화시키기에는 부족하다는 여론이 다수였음.
• CA 스캔들을 가능케 했던 근본적 원인인 페이스북의 사용자 개인정보 제3자 공유 관행은 이후 세계 각국 시민단체와 사용자들의 집단소송으로 이어졌음.
• 2020년 11월, 한국의 개인정보보호위원회 역시 페이스북의 제3자 앱을 통한 개인정보 무단 제공에 대해 과징금 67억원을 부과함.

• 2010년 12월, 페이스북은 자사의 딥페이스(DeepFace) 프로그램을 기반으로 한 얼굴인식 기능을 도입함. 해당 얼굴인식 기능은 이용자가 게시한 사진 속 얼굴을 자동으로 인식하여 이용자의 프로필을 ‘태그’하기를 제안하는 방식으로 도입됨. 또한 도입 시 이용자에게 어떠한 공지도 없이 활성화되어 얼굴인식 후 태그를 추천하는 옵트아웃 방식으로 작동했으며, 논란이 일자 설정을 통해 태그되지 않도록 이용자들이 선택할 수 있다고 주장함.
• 이는 일반적인 프라이버시 침해와 더불어 페이스북이 축적한 얼굴인식 데이터가 정부나 법 집행기관의 수사나 개인 신상을 추적하는 등의 방식으로 악용될 수 있다는 우려를 가져옴.
• 2012년, 페이스북의 유럽연합 내 본사가 위치한 아일랜드의 개인정보보호 당국은, 페이스북의 개인정보 보호와 투명성 등 문제를 조사한 보고서를 통해 페이스북이 얼굴인식 기능을 통해 확보한 데이터(얼굴인식 템플릿) 등을 삭제하라는 권고안을 제시했으며 페이스북은 이를 수용, 유럽연합 내에서 얼굴인식 기능을 중단함.
• 2018년, 유럽연합 일반 개인정보보호법 GDPR 시행 후, 이용자들에게 명시적 동의를 구할 것을 약속하며 기능을 다시 도입함.
• 한편, 2015년 미국 일리노이 주의 생체정보 보호법(BIPA) 위반 혐의로 소송이 제기됨. 각 3명의 일리노이 주 페이스북 이용자가 제기한 개별 사건은 통합되어 이후 집단소송으로 발전하였음
• 2021년, 총 6억 5천만 달러의 소송 합의안이 마련되었고 합의금 청구서를 제출한 150만 명 이상의 일리노이 주 페이스북 사용자에게 각각 최소 345달러의 합의금을 배상하게 되었고 일리노이 주에서 얼굴인식 기능을 중단하게 됨.
• 2021년 11월, 얼굴인식 기술 일반에 대한 전세계적 우려와 경각심이 높아지자 페이스북 내 얼굴인식 기능을 중단하고 10억명 이상의 얼굴사진 템플릿을 삭제할 것을 발표함. 다만 휴면계정을 해제하는 등 1:1 개인 신원 식별에 대해서는 지속적으로 사용할 것이라고 발표했음.