빅테크프라이버시

빅테크와 정보인권 (3){/}구글과 프라이버시 이슈

By 2022/08/29 No Comments

페이스북, 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다. 그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다.

구글은 1998년 검색엔진으로 시작해 온라인 광고, 메일, 유튜브와 블로그 등 미디어 매체, 웹 트래픽 분석도구, 지도, 문서도구, 웹브라우저, 운영체제, 스마트스피커와 클라우드 등  웹서비스와 앱부터 플랫폼과 디바이스에 이르기까지 다양한 영역의 온라인 서비스를 제공하는 기업임. 구글은 특히 수백억에 달하는 연 매출의 70~80퍼센트 이상을 광고로부터 얻는데, 이러한 광고 집행 등에 있어 자사 서비스 및 전반적인 웹 공간에서 수집하고 추적한 개인정보를 통합적으로 활용하고 있어 페이스북과 함께 인터넷의 빅브라더라고 불리움.

다양한 서비스를 제공하는만큼 프라이버시를 침해하는 수많은 관행과 사건들이 있었고 현재도 진행중이지만, 본 문서는 그중 소송 또는 법적 처벌에 대한 결과가 나온 일부 사건을 살펴봄.

구글 지메일 내용 스캔 (2004~2017)

구글은 자사의 이메일 서비스인 지메일에서 스팸 메일 및 악성코드를 필터링하기 위해 모든 이메일을 자동으로 스캔하고 있음. 나아가 이메일 내용 속 문맥을 분석하여 사용자에 대한 추적(맞춤형) 광고를 집행하기 위한 목적으로도 이메일을 스캔해왔음. 예를 들어 이메일 내용에 구직 관련한 대화가 있다면 구직과 관련된 광고가 표시되는 것임. 이러한 관행은 2004년 지메일 런칭부터 광고 목적을 위한 이메일 내용 스캔 중단을 발표한 2017년까지 이어졌음.

  • 2004년, 지메일 서비스가 시작된 이후 31곳의 정보인권 및 시민권 단체는 지메일의 정책으로 인한 프라이버시 침해에 우려를 표하며 광고 목적을 위한 이메일 내용 스캔 중지, 데이터 정책의 명확화를 요청하는 서한을 발표하였음.
  • 구글은 지메일 내 광고의 집행을 위해 모든 이메일을 스캔함. 이는 메일 서비스 제공업체에 대한 암묵적인 신뢰를 배반하는 것임.
  • 구글의 일반적인 데이터 보존 관행 및 정책은 그 내용이 명확하지 않으며 범위 또한 명확하지 않음. 사용자 계정, 이메일 등 관련 데이터를 보유하는 기간에 구체적 제한이 없으며, 구글 내 다른 서비스 및 사업 간 데이터 공유에 대한 정책 또한 설정되어 있지 않음. 이는 제3자의 오용 등 불필요하거나 의도치 않은 위험을 만들어냄.
  • 지메일의 관행이 선례가 되어 이메일 통신 자체에서의 개인정보 보호에 대한 기대치가 낮아지는 효과를 가져올 수 있음. 이러한 선례가 다른 기업이나 정부기관에서 채택될 가능성이 있음
  • 구글은 이러한 스캔이 사람이 읽는 것이 아니라 컴퓨터를 통해 자동으로 스캔되기 때문에 안전하다고 반박했으나, 인간보다 훨씬 더 큰 저장장치, 기억 및 연산 능력을 가진 컴퓨터 시스템은 인간이 통신을 감청하는 것보다 침해가 클 수 있음
  • 지메일의 관행은 (2004년 당시의) 유럽연합 개인정보 보호 지침(Directive 95/46/EC)을 위반하고 있음. 해당 지침은 특히 사용자에 대한 동의를 요구하며 정책은 구체적이고 모호하지 않아야 한다는 것을 명시하고 있음.
  • 한편 지메일의 내용 스캔 관행은 지메일을 사용하지 않는 제3자 사용자의 프라이버시 또한 침해하고 있다는 우려가 지적되었음. 지메일 사용자에게 이메일을 보내는 제3자 사용자는 구글의 어떠한 정책에도 동의하지 않았지만 내용 스캔 및 분석의 대상이 되며, 그럼에도 불구하고 그 사실 자체를 인지하는 것도 어려움.
  • 관련하여 지메일 출시 직후 유럽연합과 미국 등 각국에서 개인정보 보호 지침 위반통신비밀과 관련한 법률 위반 등으로 관할 당국에 신고와 민원이 접수되었음.
  • 2010년 이후 미국 내 일부 사용자들로부터 사생활 침해와 통신법 위반 등으로 일련의 소송이 제기되었으나, 광역 집단소송으로 통합되거나 병합될 수 없는 것으로 판결되며 구글의 정책에 큰 영향을 미치진 못함. 2017년, 구글은 지메일 내용 스캔을 통한 광고를 중단할 것을 밝힘.
구글 스트리트뷰 (2007)

구글 스트리트뷰는 구글 지도와 구글 어스를 위한 기능 중 하나로, 360도 촬영이 가능한 카메라로 촬영된 실제 거리의 고해상도 사진을 상호작용 가능한 연결된 파노라마로 제공해 지도를 입체적이고 정밀하게 보여주는 서비스임. 2007년 미국 일부 도시에서 먼저 서비스가 시작된 후 세계 각국 도시로 확장되었으며 스트리트뷰에 찍힌 사진을 통해 주택 내부가 보이거나 일광욕하는 사람, 특정한 장소에서 시위하는 사람, 특정한 매장을 오가는 사람의 모습이 그대로 찍혀있는 등 서비스 개시부터 각국에서 프라이버시에 대한 침해 우려를 가져왔음. 이후 구글은 사람의 얼굴과 자동자 번호판 등을 자동으로 블러 처리하는 방안을 발표했지만 항의문제는 계속되었으며 각국 개인정보보호당국의 조사와 시민단체의 신고 등이 이어짐. 또한 각국의 법률에 따라 서비스를 중단하거나 촬영 차량의 진입이 금지되거나 수집한 데이터를 삭제해야 했음. 이후 스트리트뷰 촬영 차량을 통해 거리와 사람들 사진 뿐만 아니라 무선네트워크(Wi-Fi)와 관련된 데이터를 수집해 MAC 주소, 네트워크SSID 및 이메일 주소, 온라인 상 검색 정보, 암호 등 사람들의 온라인 활동 개인정보를 수집하고 있는 것으로 밝혀져 논란이 확대됨.

  • 2008년, 미국 펜실베니아 주의 한 시민은 자신의 사유지 도로(private road)에 침입해 주택을 촬영한 것에 대해 구글에 소송을 제기함. 판결을 통해 무단침입의 사실은 인정되었지만 스트리트뷰에서 사진을 제거하기 위한 합리적인 조치(삭제요청 등)을 취하지 않은 점, 해당 주택은 지역 등기부 열람을 통해 확인할 수 있는 점, 재산상 및 정신적 손해가 증명되지 못한 점 등을 들어 1달러의 배상이 이루어짐.
  • 2010년, 독일 함부르크 주 개인정보보호 당국의 감사를 통해 구글이 스트리트뷰 촬영을 위해 전 세계 30개국의 거리를 촬영하며, 촬영 차량에 설치된 기기를 통해 가정 및 사무실 등의 사설 무선네트워크 사용자로부터 방대한 양의 개인정보를 수집했다는 사실이 밝혀짐.
  • 구글은 자사 엔지니어 중 한 명이 작성한 코드가 우발적으로 스트리트뷰 소프트웨어에 삽입되어 발생한 실수라고 주장해왔으나 미국 연방통신위원회(FCC)의 조사 결과 일부 직원은 개인정보가 수집되는 사실을 알고 있었다고 밝혀졌고 이후 구글은 사과와 함께 데이터를 삭제하겠다고 발표.
  • 스트리트뷰 차량이 무선네트워크 정보를 수집한다는 사실이 밝혀지며 각국에서 손해배상 청구 소송 및 당국의 조사가 활발히 진행됨. 2010년 미국에서는 집단소송이 제기되었으며 이후 판결을 통해 1,300만 달러(한화 약 153억원)의 배상금을 지불하는 것으로 최종 합의됨. 다만 피해자와 피해 규모 및 피해의 정도를 입증하는 것이 어려워 배상금은 9개의 독립적인 정보인권단체에 기금으로 분배.
  • 이후 미국 연방통신위원회는 25,000달러 벌금을 부과하였음. 그러나 무선네트워크를 통한 개인정보 수집에 대한 판단과 결론은 없었으며 벌금은 구글이 고의적으로 FCC의 조사를 지연시킨 것에 대한 것임. 캐나다 개인정보보호당국(OPC)은 조사를 통해 구글이 캐나다 개인정보보호법(PIPEDA)를 위반한 것으로 결론, 관련되어 수집한 데이터의 삭제 및 법을 준수할 수 있는 개인정보 보호 절차 등을 갖출 것을 명령.
  • 유럽연합 소속 국가들 중 프랑스 개인정보보호당국(CNIL)은 프랑스 개인정보보호법 위반을 사유로 10만 유로 (한화 약 1억 6천만원), 독일의 개인정보보호당국은 14만 5천 유로 (한화 약 2억 1천만원)의 벌금을 부과하였으며 그외 영국, 체코, 아일랜드, 덴마크 및 일본 등 18개 국가에서는 데이터의 삭제와 서비스 중지 명령들을 내림.
  • 한국에서는 2011년 경찰청의 수사를 통해 동일한 침해 사실이 확인되었으며, 2014년 방송통신위원회가 2억 1,230만원의 과징금을 부과함.
구글버즈(2010)

2010년, 구글은 소셜네트워크서비스인 구글 버즈를 공개했음. 구글 버즈는 구글 지메일과 연결된 서비스로, 서비스 공개 직후 지메일 사용자들에게는 구글 버즈가 자동으로 활성화되었음. 구글 버즈는 지메일에 포함된 주소록/연락처를 구글 버즈 친구 목록에 자동으로 팔로우/등록하도록 설정되었고 이로 인해 시작부터 프라이버시 침해 논란에 휩싸임. 구글 버즈는 2011년 말 구글의 새로운 소셜네트워크서비스인 구글+가 공개되며 서비스가 종료됨.

  • 2010년 2월 9일, 지메일 사용자를 대상으로 구글 버즈 서비스가 시작되자마자 프라이버시 침해 논란이 시작됨. 구글 버즈는 지메일을 통해 자주 메일을 주고 받은 사용자를 자동으로 팔로우하도록 제공되었으며 이러한 목록은 다른 지메일 사용자가 공개적으로 접근하고 볼 수 있었음. 이를 통해 가정폭력 가해자, 소송 상대방, 별거 중인 배우자에게 사용자의 현재 연인, 직장 동료, 변호사, 의사의 이름과 이메일 주소를 포함한 개인정보가 자동으로 공개되는 등 즉각적인 침해가 이어짐.
  • 2010년 2월 16일, 미국의 정보인권 단체 EPIC은 연방거래위원회에 구글 버즈를 제소함. EPIC은 구글 버즈가 지메일 사용자를 대상으로 의미 있는 개인정보의 통제나 옵트인 방식의 동의절차를 제공하지 않은 채 이메일 서비스를 소셜네트워크서비스로 전환하였다고 주장. 특히 이러한 구글의 사업 관행과 이용약관 변경이 사용자가 예상할 수 있는 개인정보 보호에 대한 기대에 반하고 개인정보를 침해하며 구글 스스로가 갖고 있는 개인정보보호 정책에도 어긋난다고 주장.
  • 같은 달, 사용자들의 집단 소송도 제기됨. 원고는 구글이 연방 전자통신 사생활 보호법(Federal Electronic Communications Privacy Act) 등 여러 연방법과 일반법을 위반하였다고 주장. 특히 구글 계정을 가진 3천만 명 이상의 미국 지메일 사용자들에게 잠재적으로 큰 권리 침해를 끼쳤다고 언급.
  • 2010년 11월, 구글은 850만 달러로 집단 소송에 합의했음. 다만 일반 사용자에 대한 광범위한 보상이 아닌, 일부 승소자 배상 및 법률 비용과 기금 조성을 통한 프라이버시 단체 후원금으로 돌아감
  • 2011년 3월, 연방거래위원회는 구글과의 동의명령을 합의하고 발표함. 연방거래위원회는 구글이 구글 버즈를 출시하며 행한 불공정하고 기만적인 관행을 인정했으며, 포괄적인 개인정보보호 계획의 구현 및 향후 20년 동안 정기적이고 독립적인 개인정보보호 감사를 요구.
구글 vs 애플 사파리 브라우저 쿠키 논란 (2012)
  • 2012년 2월, 구글이 악의적인 방법으로 애플의 모바일 웹브라우저인 사파리(Safari) 사용자의 개인정보를 불법적으로 수집했다는 사실이 보도됨.
  • 당시 사파리 등 일부 웹브라우저는 제3자 쿠키 차단 설정이 기본으로 설정되어 제공되었음. 이를 통해 사용자는 웹브라우징 과정에서 다양한 웹사이트에 설치된 자사쿠키 외 구글 등의 제3자 쿠키를 차단, 개인정보의 추적과 수집을 손쉽게 피할 수 있었음.
  • 그러나 구글은 제3자 쿠키 차단을 우회하는 기만적 코드를 온라인 광고에 심어 사용자의 기기에 쿠키를 설치함. 구글은 사실이 보도되자 곧바로 해당 코드를 비활성화해 중단시킴. 또한 광고 쿠키가 사용자의 개인정보를 수집하는 것은 아니라고 주장.

  • 해당 사실이 보도된 후 조사에 착수했던 연방거래위원회에 따르면 구글은 1. 사용자가 구글이 운영하는 광고회사 중 하나인 더블클릭(Double Click)사와 제휴한 특정 사이트를 방문할 시 사용자가 더블클릭 웹사이트에 방문한 것처럼 처리하는 방식으로 쿠키를 설치 2. 구글이 특정 자바스크립트 코드가 삽입된 파일을 사파리 브라우저에 요청, 사파리는 사용자가 직접 더블클릭 사이트에 쿠키 허용을 요청한 것으로 착각하고 이를 통해 쿠키를 설치하였음.
  • 연방거래위원회는 이러한 구글의 개인정보 침해에 대해, 2011년 구글 버즈로 인해 합의했던 동의명령의 위반으로 판단하여 고발. 이후 2,250만 달러의 벌금 부과로 최종 판결. 구글은 해당 관행으로 인한 프라이버시 침해를 인정하며 사파리 이용자 등 기기에 설치된 추적 쿠키를 삭제하는 것에 합의.
구글 서비스 개인정보 통합 논란 (2012)

검색 엔진으로 시작한 구글은 현재 온라인 광고, 미디어, 트래픽 분석도구, 지도, 메일, 문서도구, 크롬브라우저, 안드로이드, 스마트스피커, 클라우드 등 웹 서비스와 앱부터 플랫폼과 디바이스에 이르기까지 다양한 영역의 온라인 제품을 제공하며 수많은 종류의 개인정보를 수집하고 처리함. 또한 구글은 자사의 서비스와 연동되거나 제품을 이용하는 서비스 및 웹사이트에 설치된 구글 애널리틱스 등의 추적기(tracker)를 통해 수백만 개의 웹사이트에서 데이터를 수집하는데, 2020년 연구에 의하면 상위 50,000개의 웹사이트 중 85%의 웹사이트에 구글의 추적기가 설치된 것으로 알려졌음. 이러한 구글의 전방위적인 온라인 상 개인정보 수집 행태는 맞춤형 콘텐츠 제공 및 추적광고 집행을 위해 모두 통합되어 하나의 계정으로 처리되고 집적되며 또 분석된다는 점에서 크게 문제적임.

  • 2012년 3월 1일, 구글은 당시 60여개의 서비스와 제품마다 별도로 적용되었던 이용약관과 개인정보 정책을 통합시키는 새로운 개인정보 정책 개정을 발표. 구글은 개별 정책이 복잡하기 때문에 하나의 통합된 정책으로 전환시켜 보다 쉽고 분명히 설명할 수 있다고 주장.
  • 그러나 실질적으로는 구글이 제공하던 수많은 서비스에서 각각 수집된 개인정보를 서로 공유하고 교차시켜 사용하겠다는 게 주된 내용이었음. 예를 들어 이전에는 유튜브에서 수집된 개인정보로 유튜브 내의 추적광고 집행이나 맞춤형 콘텐츠 추천에 사용되었고 다른 구글 서비스인 검색이나 지메일 등에서 사용될 수 없었음. 통합된 새로운 개인정보정책은 유튜브, 검색, 지메일와 같은 구글 서비스 간의 분리를 없애고 단일한 사용자로 취급함으로써 개인정보를 처리하겠다는 것으로, 개인정보의 공유를 새롭게 하겠다는 것이었음. 한편 통합된 정책 강요에 선택지는 없었고 동의하지 않는다면 실질적으로는 계정 탈퇴 외 방법이 없었음.
  • 구글의 통합된 개인정보정책이 발표되고 각국의 규제당국과 시민단체는 즉각적인 우려의 목소리를 발표, 미국 하원의원 일부는 구글 CEO인 래리 페이지에게 통합된 정책에 대해 보다 구체적인 내용을 밝히라는 서한을 보냈으며 당국에 조사를 촉구. 서한은 특히 전세계 구글의 사용자가 각각 서비스와 제품 별로 데이터가 공유되는 것에 대해 거부할 수 있는지 권한이 필요하며, 그 권한의 행사 또한 단순하고 간단해야 한다는 것이었음. 미국 36개 주의 법무장관 또한 통합된 개인정보 정책이 정부측 구글 사용자와 안드로이드 운영체제 스마트폰 소유자에게 미칠 잠재적 영향을 우려하며 ‘스마트폰을 버리는 것 외 구글의 정책을 벗어날 방법이 없다’며 사용자에게 선택권을 달라는 서한을 보냄.
  • 유럽연합의 27개 회원국을 대표하여 프랑스 개인정보보호당국(CNIL)은 통합된 개인정보정책의 시행을 연기할 것을 구글에 요청하고 조사에 착수. 당국은 구글의 새로운 정책이 “정보주체에게 제공되는 설명 및 정보와 관련해 개인정보 보호에 관한 유럽지침의 요구사항을 충족하지 못한다”고 설명.  해당 요청은 특히 개정을 목표로 하고 있던 유럽연합의 개인정보 보호규칙에 반할 것으로 보고 있었음.
  • 한국의 방송통신위원회 또한 통합된 정책의 시행 전 구글에 대해 정보통신망법 일부를 위배할 소지가 있으므로 개선할 것을 권고. 그러나 해당 권고는 구글의 개인정보 통합 자체를 제한하거나 이용자의 선택권을 보장하는 것과는 거리가 있었음.
  • 구글은 논란에도 특별한 개정이나 철회없이 예고한 날짜부터 통합된 정책을 적용.
  • 2012년 10월, CNIL은 조사 보고서를 발표. 보고서에 의하면 구글은 – 개인정보 처리에 대한 충분한 정보를 사용자에게 제공하지 않았으며 – 수많은 서비스에 걸친 개인정보의 통합에 대한 통제권과 기능을 사용자에게 제공하지 않았고 – 개인정보의 보유 기간을 알리지 않았음. 또한 다음과 같이 구글이 사용자의 개인정보를 통합시키는 8가지 목적을 확인함
  1. 사용자가 개인정보의 통합을 요청하는 서비스의 제공 (예 : 연락처와 지메일의 결합)
  2. 사용자가 요청했지만, 사용자의 직접적인 인지 없이 개인정보가 통합 적용되는 서비스의 제공 (예 : 검색 결과의 개인화)
  3. 보안 목적
  4. 제품 개발 및 마케팅 혁신 목적
  5. 구글 계정 제공
  6. 광고 목적
  7. 분석 목적
  8. 학술 연구 목적
  • 보고서는 일부 목적에서 개인정보 통합의 합법성을 인정했지만 2, 4, 6, 8번 등의 목적은 사용자의 유효한 동의가 없어 유럽연합의 유럽연합의 개인정보 보호규범을 위반한다고 주장하며 이와 같은 방식으로 개인정보를 수집하고 처리하기 위해선 사용자의 동의와 통제권이 필요하다고 발표.
  • CNIL의 조사에 이어 영국, 이탈리아, 독일, 스페인, 네덜란드 당국도 조사에 착수했으며 위법 사항을 지적하고 개인정보 정책의 개정을 요구. 프랑스 당국은 2014년 1월 당시 법률상 최대인 15만 유로의 벌금을 부과. 2013년 스페인은 총 90만 유로의 벌금을 부과.
  • 한편, 2018년 5월 유럽연합 일반개인정보보호법 (GDPR)이 발효된 후, 정보인권 단체 NOYB (None Of Your Business)LQDN (La Quadrature du Net)은 구글의 불투명한 개인정보처리 정책과 추적 광고의 법적 근거 부족 등을 사유로 CNIL에 신고. 2020년 CNIL은 5,000만 유로의 벌금을 부과했으며 최종 판결이 됨. CNIL은 사용자가 구글의 개인정보 정책에 쉽게 접근할 수 없으며, 정책 또한 구글이 개인정보로 무엇을 하는지 현실적으로 이해할 수 없는 등 애매하고 모호하며 포괄적이라 지적. 동시에 추적 광고와 관련해 얻은 사용자 동의가 (1) 구체적이지도 명확하지도 않아 충분한 정보가 제공된 동의라고 할 수 없음 (2) GDPR은 동의가 각 처리 목적에 대해 명확하게 주어지는 경우를 구체적이라고 하는데, 구글은 개인정보 처리 동의를 포괄적으로 요청했음을 확인.
구글 애널리틱스와 EU-미국 간 개인정보 국외전송 논란

2005년 출시된 구글 애널리틱스(Google Analytics)는 웹사이트에 대한 방문자 정보 및 트래픽을 추적하고 보고하는 웹 분석 서비스임. 사용자가 자신의 웹사이트에 구글이 제공하는 코드를 삽입하고 그 쿠키를 통해 웹사이트 방문자의 활동과 정보를 추적하는 것임. 구글 애널리틱스는 구글 플레이, 리캡챠(reCAPTCHA), 구글 폰트 등 구글이 제3자 개발자에게 제공하는 다양한 추적 도구와 함께 전반적인 인터넷 사용자에 대한 광범위한 개인정보 수집과 공유로 지속적인 비판을 받아옴. 2020년 유럽연합과 미국 간 개인정보 국외이전에 대한 보호 프레임워크인 프라이버시 실드 불법 판결이 내려진 이후 오스트리아, 프랑스, 독일 등에서 구글 애널리틱스에 대한 과징금 부과와 사용금지 조치 등을 내리고 있음.

유럽연합 – 미국 간 개인정보 갈등 배경 :
유럽연합 – 미국 간 개인정보 전송에 관한 협정인 세이프하버 협정(Safe Harbor Agreement)이 페이스북의 위법한 개인정보 수집 및 미국 정부의 감시 가능성 등으로 2015년 무효화 (슈렘스I) 된 이후, 2016년 미국으로 전송되는 개인정보에 보다 많은 법률적 보호수단을 마련토록 하는 프라이버시 실드(Privacy Shield) 협약이 승인됨. 그러나 프라이버시 실드에 대한 후속 소송 (슈렘스II) 이 제기된 후, 2020년 유럽사법재판소는 프라이버시 쉴드를 통한 미국으로의 데이터 이전은 유럽연합의 법률이 요구하는 수준의 개인정보에 대한 적절한 보호가 아니라고 판단하며 협정은 무효화됨.

  • 뉴스 사이트 등 일반 웹사이트 개발자는 웹사이트 방문자의 활동을 추적하기 위해 구글 애널리틱스를 설치. 이를 통해 방문자의 사이트 상 활동, 접속시간, 기기정보, 브라우저 및 온라인 식별정보, IP주소와 이를 통한 대략적인 위치정보가 수집됨. 이렇게 수집된 정보는 구글 서버 즉 미국으로 전송되며 미국 법률에 따라 정보기관의 감시대상이 될 수 있음.
  • 프라이버시 실드를 무효화시킨 슈렘스II 판결 이후, 구글 애널리틱스 등 유럽에서 미국으로 전송되는 개인정보에 대한 GDPR 위반 가능성에 대한 문제가 커짐. NYOB는 유럽경제지역에 유럽경제지역을 기반으로 하고 미국으로 데이터를 전송하는 웹사이트와 데이터를 전송받는 구글을 대상으로 각국 개인정보보호당국에 진정을 제기. GDPR 제44조인 개인정보 전송(이전)을 위한 원칙을 위반했다는 것이 주된 주장이었음.
  • 2021년 오스트리아 개인정보보호당국(DSB)는 ‘구글 애널리틱스 도구를 통해 특정 웹사이트를 방문한 정보주체의 개인정보가 구글로 전송됨’, ‘구글은 미국 법률에 따른 전자통신서비스 제공자의 지위를 갖고 미국 정보기관의 감시대상이 됨’, ‘미국 정보 기관이 정보주체의 개인정보에 접근하는 것을 막을 수 없으며 추가로 시행되는 보호조치가 충분치 않았음’ 등 해당 진정의 내용을 전적으로 인용하며 구글 애널리틱스를 불법으로 판결함.
  • 동시에 구글 애널리틱스를 통해 수집되고 전송되는 IP주소 및 여러 온라인 식별자는 GDPR에 따라 정보주체를 식별할 수 있는 개인정보로 인정되었음. 또한 구글이 구글 사용자에게 추적광고(맞춤형 광고)에 동의하거나 동의 철회할 수 있도록 허용한다는 사실은 구글이 정보주체를 식별할 수 있는 모든 수단을 보유하고 있다는 것임을 인정함.
  • 2022년, 프랑스이탈리아 등에서도 구글 애널리틱스 사용이 GDPR에 반하고 있다는 판결을 내리며 사용 금지.