개인정보보호개인정보보호법개인정보보호위원회입장

동의 없이 타사 행태정보를 수집·이용한 행위에 대해 시정조치{/}[공동 논평] 빅테크의 불법적 개인정보 수집에 대한 개인정보위의 제재를 환영한다

By 2022/09/14 9월 16th, 2022 No Comments

– 구글과 메타는 타사 행태정보 수집에 대해 별도의 동의를 받아야
– 쿠키 개인정보 수집에 대한 이용자 선택권, 온라인 경매 과정의 개인정보 침해를 다루지 않아 아쉬움

  1. 오늘(2022년 9월 14일) 개인정보보호위원회(이하 개인정보위)는 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집, 이용한 행위에 대해 시정명령과 함께 약 1,000억원의 과징금을 부과하였다. 수 년동안 만연해왔던 불법적인 행태정보 수집에 대해서 개인정보위가 처음으로 제동을 걸었다는 점에서 우리는 개인정보위의 이번 결정을 환영하는 바이다. 동시에 이번 결정은 이용자에게 알기 쉽게 알리고 동의받지 않은 것에 초점을 맞추었을 뿐, 맞춤형 광고 과정에서 발생하는 다른 개인정보 침해에 대해서는 제대로 다루지 않았다는 점에서 아쉬움이 남는다. 개인정보위가 추가 조사를 이어가며 필요한 사항을 판단하겠다고 한 만큼 이에 대해서도 적절한 조치가 취해질 것을 기대한다.
  2. 개인정보위는 가입 시 동의 화면이나 플랫폼의 개인정보 설정 화면에서 타사 행태정보의 수집, 이용에 대해 이용자에게 명확히 알리지 않은 점에 대해서 주로 지적을 하면서 “이용자의 타사 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지하여 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고 동의를 받을 것”이라고 시정명령을 내렸다. 그런데 이 시정명령이 이용자에게 타사 행태정보에 대해서 별도의 동의를 받으라는 것인지, 즉 동의하지 않아도 서비스를 받을 수 있다는 것인지 모호하다. 특히, 메타의 타사 행태정보 수집이 필수정보인지 여부에 대해 개인정보위가 판단하지 않았다는 점에서 이 점이 우려된다. 이용자는 당연히 다른 서비스 이용에 대한 동의와 별개로 타사 행태정보 수집 여부에 대해서 동의 여부를 선택할 수 있어야 한다.
  3. 나아가 이용자의 선택권을 보장하기 위해서는 각 사이트에서 쿠키 등을 통해 행태정보를 수집할 때, 최소한 맞춤형 광고 목적의 비필수적 쿠키에 대해서는 이용자가 개인정보 제공 여부를 선택할 수 있는 절차를 둘 필요가 있다. 이미 유럽에서는 이용자가 사이트를 처음 방문할 때 쿠키 사용의 목적과 수집되는 개인정보 항목을 공개하고 필수적인 쿠키가 아닌 경우 이에 동의하지 않을 수 있는 선택권을 주고 있다. 그러나 개인정보위는 개별 사이트에서 쿠키에 대한 개인정보 수집 동의를 받을 필요성에 대해서는 이번 결정에서 다루지 않았다. 개인정보위는 구글과 메타 서비스에 가입한 이용자의 개인정보 수집에 대해서만 언급하고 있지만, 구글 및 메타 서비스에 가입하지 않은 이용자의 행태정보까지 구글과 메타로 전송된다는 점을 고려하면, 개별 사이트에서 이용자의 선택권이 보장될 수 있도록 해야 한다.
  4. 또한, 개인정보위는 맞춤형 광고를 위한 온라인 경매 과정의 개인정보 침해에 대해서 역시 이번 결정에서 다루지 않았다. 이용자가 사이트에 접속하는 아주 짧은 시간동안 맞춤형 광고를 보여주기 위해 온라인 경매가 진행되며, 이 과정에서 접속하는 이용자의 개인정보가 제3자인 애드테크 업체들에게 전송이 된다. 낙찰 여부와 상관없이 수십, 수백개의 애드테크 업체들에게 이용자의 검색 기록, 취향, 관심사 등 민감한 개인정보가 뿌려지게 되는 것이다. 이는 동의없는 제3자 제공으로서 명백하게 개인정보보호법 위반이다.
  5. 개인정보위의 이번 결정은 개인정보가 보호되는 온라인 광고 환영을 위한 첫걸음일 뿐이다. 개인정보위의 이번 결정이 수용되더라도 여전히 많은 과제가 남아있다. 이에 대해 개인정보위가 판단해주지 않는다면 지금 이 순간에도 이용자의 개인정보 침해가 계속 이루어질 수밖에 없다. 맞춤형 광고를 둘러싼 개인정보 침해 문제에 대해서 개인정보위가 조속하게 판단해줄 것을 촉구한다.
  6. 구글과 메타에게는 개인정보위의 이번 결정을 즉각 수용하고 이용자의 개인정보 보호를 위해 서비스 정책을 개편할 것을 촉구한다. 이미 메타의 경우 2020년 11월 개인정보위가 회원들의 개인정보를 다른 사업자에게 무단 제공한 것에  67억원의 과징금을 부과한 것에 대해  행정소송을 제기했을 뿐만 아니라, 이에 대한 개인정보 분쟁조정위원회의 분쟁조정 결정에도 응하지 않았으며, 개정된 개인정보 처리방침을 철회한다고 하면서도 사실상 자동 적용되도록 하는 등 한국의 감독기관과 이용자를 무시하는 행태를 보인 바 있다. 구글과 메타가 말로는 이용자의 개인정보를 보호한다고 하면서도 실제로 각 국의 감독기구와 이용자의 요구를 무시한다면, 구글과 메타에 대한 전 세계적인 저항과 규제는 커질 수밖에 없을 것이다.끝.

 

2022. 09. 14.

경실련, 민주사회를 위한 변호사모임 디지털정보위원회, (사)정보인권연구소, 서울YMCA시민중계실, 진보네트워크센터, 참여연대