개인정보보호빅테크위치추적인공지능

빅테크와 정보인권(8){/}표적 광고의 개인정보 침해 문제

By 2022/11/09 1월 4th, 2023 No Comments
빅테크와정보인권

페이스북, 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다. 그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다.

표적 광고(맞춤형 광고, 타겟 광고, 감시 광고)는 이용자가 어떤 홈페이지에 접속하는 순간에 이용자의 특성, 취향, 관심사를 파악하여 이용자가 관심을 가질만한 광고를 보여줌. 표적 광고는 하나의 광고 기법 이상의 의미를 가지고 있음. 표적 광고를 기반으로 한 광고 수입은 빅테크 수익의 대부분을 차지할 뿐만 아니라, 빅테크에 의한 광고 산업 독점도 심화되고 있음. 또한 표적 광고를 위해 방대한 개인정보를 수집, 유통하는 과정에서 개인정보 침해 논란이 야기되고 있음. 표적 광고는 개인의 소비 행태를 기업의 이윤을 극대화하는 방향으로 조작할 뿐만 아니라, 정치와 선거 광고로 연결되면 특정 여론을 조작하는데 악용될 수 있음. 이미 영국의 브렉시트 투표와 미국 대선에서 불법 유출된 이용자 개인정보의 프로파일링에 기반한 정치 광고가 영향을 미쳤다는 사실이 알려지면서 빅테크가 민주주의를 위협할 수 있다는 우려가 커지고 있음.

표적 광고는 어떻게 개인정보를 추적하는가

이용자마다 서로 다른 광고가 보여지는 표적 광고가 가능하기 위해서는 이용자의 개인정보를 수집하고 광고기술 업체에 공유해야 함. 그러나 이 과정에서 이용자에게 적절히 고지하거나 동의를 받지 않고 있어 이용자의 개인정보 권리를 침해하고 있음.

  • 디지털 광고의 종류 : 디지털 광고는 대체로 다음과 같이 구분됨.
    • 검색 광고 (Search Advertising) : 구글, 아마존, 네이버, 배달의민족 등 검색 광고.  ‘꽃배달’ 처럼 특정 검색어에 광고비를 지급한 업체의 링크가 검색 결과 상단에 배치됨.
    • 디스플레이 광고 (Display Advertising)
      • 배너 광고 : 홈페이지 및 앱 내의 배너 형태의 광고
      • 동영상 광고 : 동영상 내에 삽입된 광고
    • 소셜미디어 광고 (Social Media Advertising): 페이스북, 틱톡, 카카오톡 등 소셜미디어의 타임라인에 나타나는 광고
    • 검색 광고는 검색어를 기반으로 하지만, 디스플레이 광고 및 소셜미디어 광고는 이용자의 특성, 취향, 관심사를 기반으로 광고를 보여주는 표적 광고(맞춤형 광고라고도 함)의 활용이 증가하고 있음.
  • 표적 광고의 원리와 실시간 경매 (Real-Time Bidding)
    • 실시간 경매는 이용자가 홈페이지에 접속할 때 이용자의 브라우저에 웹페이지가 로딩되는 0.1초 정도의 짧은 순간에, 이용자의 개인정보를 기반으로 광고 경매를 수행하고 가장 높은 값을 부른 광고를 이용자에게 보여질 수 있도록 하는 광고 기술을 의미함.

애플 광고 ‘엘리의 데이터 경매’ / 출처 : 아시아경제, 2022.5.21, “개인정보 추적은 계속된다” 애플은 광고시장을 어떻게 바꿨나)

    • 홈페이지나 앱에서 광고 공간을 제공하는 사업자(예를 들어, 우리가 뉴스 사이트에 접속할 때 광고 배너가 뜬다면, 그 뉴스 홈페이지가 광고 공간을 제공하는 사업자가 됨)를 게시자(Publisher)라고 하며, 광고주와 게시자 사이에는 광고 경매를 중계하는 수많은 사업자들이 존재하는데, 이들을 에드 테크(AdTech) 업체라고 함.
    • 표적 광고의 온라인 실시간 경매 과정에 광고주(Advertisers), 게시자(Publisher), 공급측 플랫폼(SSPs), 수요측 플랫폼(DSPs), 데이터 관리 플랫폼 (DMP) 등 여러 이해관계자가 관련됨.

실시간 경매 흐름도 (출처 : ACCC, Digital advertising services inquiry – Final report, August 2021

    • 표적 광고는 이용자의 관심사에 맞는 광고를 보여주기 위해 실시간 경매 과정에서 이용자의 개인정보를 수집, 제공하게 됨.
    • 예를 들어, 경매 과정에 다음과 같은 개인정보가 활용됨 : 입찰 요청을 위한 고유 식별자, 이용자 IP 주소, 쿠키 ID, 이용자 ID, 이용자 브라우저 및 기기 유형, 이용자의 위치, 이용자의 시간대, 이용자 시스템이 사용하는 언어, 기기 유형(데스크탑, 브랜드, 모델명, 운영체제), 이용자 관심사 유형, 이전에 방문한 사이트, 해당 사이트에서 이용자 움직임 (마우스 커서 등), 이용자 활동 (스크롤, 클릭, 미디어 시청 등), 검색어, 세션 시간, 사이트 행동 (특정 주주에 대한 관심사, 다운로드 등), 인구통계적 데이터 등 (출처 : ICO, 에드테크 와 실시간 경매 업데이트 보고서, 2019.6.20)
    • 이용자가 웹사이트(광고공간 게시자)에 접속할 때 웹사이트는 쿠키 등 추적기술을 사용하여 이용자 및 기기 정보 등 개인정보를 수집함 → 에드테크 업체들에게 광고 입찰을 요청할 때 수집된 이용자 개인정보를 함께 전송함 →  이 정보에 기반하여 광고주 측은 입찰에 참여함 (즉, 자신이 광고하고자 하는 상품에 맞는 이용자가 접속할 때 가장 높은 입찰 가격을 부를 것임) → 이때 더 정밀한 타게팅을 위해 광고주는 자신이 보유하고 있거나 DMP라는 데이터 브로커로부터 얻은 개인정보를 결합함 → 낙찰된 광고가 이용자가 방문한 웹사이트에 표시됨.
    • 개인정보를 포함한 입찰 요청은 낙찰 여부에 상관없이 모든 DSP(광고주를 위한 서비스 제공자)에 전송됨. 따라서 낙찰되지 않은 경우에도 DSP가 수신한 데이터를 저장하고 다른 목적으로 사용할 위험이 있음. 그러나 이용자는 내가 어떠한 사이트에 접속하는 그 순간, 내 개인정보가 수많은 광고기술 업체에 전송된다는 사실을 인지하지 못함.

광고에 대한 입찰 요청이 이루어질 때마다 개인정보가 수많은 업체들에게 전달된다. (출처 : Dr Johnny Ryan, Behavioural advertising and personal data, 2018.)

  • 표적 광고를 통한 이용자 추적 실태
    • 한 연구에 따르면, 웹사이트는 평균적으로 최소 34개의 제3자에게 데이터 전송
    • 또다른 연구에 따르면, 100만개의 모바일 앱은 평균적으로 10개의 제3자에게 데이터 전송
    • 데이터를 수신받은 제3자 업체는 또 다른 업체(제4자)에 이용자 데이터 전송
    • 인기앱 10개 조사 결과, 광고 및 행태 분석을 위해 최소 135개의 서로 다른 제3자에게 이용자 개인정보 전송
    • 안드로이드 광고 ID는 최소 70개의 제3자에게 전송 : 광고 ID는 (IP주소, 기기 식별자와 마찬가지로) 서로 다른 기기에서 동일한 사용자 식별을 위한 영구 식별자 기능
    • 에드테크 업체는 쿠키 동기화, ID 동기화를 통해 서로 다른 식별자 연결

(출처 : 노르웨어 소비자보호원, Out of control – How consumers are exploited by the online advertising industry, 2020.)

  • 쿠키를 통한 이용자 개인정보 수집
    • 웹사이트를 방문할 때 웹사이트에서 이용자의 기기(컴퓨터나 스마트폰)에 심어놓은 작은 텍스트 파일을 쿠키라고 함. 쿠키에 이용자의 개인정보가 포함되어 있으면 표적 광고에 활용 가능함.
    • 쿠키는 쇼핑몰의 장바구니 기능이나 보안 기능처럼 웹사이트 운영에 엄격하게 필요한 쿠키도 있지만, 표적 광고를 위해 이용자의 행적을 추적하는 마케팅 쿠키도 있음. 이러한 마케팅 쿠키는 이용자가 방문하는 웹사이트가 아니라 통상 제3자 광고 업체(구글이나 메타 등 빅테크도 포함)가 설치함. 문제는 이용자가 방문하는 웹사이트도 아닌 제3자 업체가 웹사이트 이용에 필수적이지 않은 목적을 위해서 이용자에게 고지나 동의없이 개인정보를 수집한다는 것.
    • 이러한 제3자 쿠키가 설치되는 경로는 여러 가지인데, 페이스북 좋아요나 홈페이지에 삽입된 유튜브 동영상처럼 어떤 기능을 제공하는 과정에서 설치되는 것이 있고, 혹은 페이스북의 픽셀(pixel)이나 구글 애널리틱스(Analytics) 처럼 홈페이지 운영자에게 사이트 접속 통계 기능을 제공하고 쿠키 설치를 요청할 수도 있으며, 홈페이지에서 광고를 표시하는 시스템이 설치하기도 함.
    •  예를 들어, 메타는 픽셀(pixel)이라는 도구를 통해 이용자의 행태정보, 즉 이용자가 어떠한 사이트를 방문했는지, 어떤 앱을 실행했는지, 배달앱으로 무엇을 주문했고 쇼핑몰에서 구입한 상품은 무엇인지 등을 수집하는데, 페이스북 이용자라면 ‘Facebook 외부 활동’에서 메타가 자신에 관해 수집한 개인정보를 확인할 수 있음.

  • 유럽연합은 이미 쿠키를 통한 개인정보 수집도 규율을 하고 있음.
    • 쿠키를 활용할 때 유럽연합의 전자프라이버시 지침(ePrivacy Directive)과 개인정보보호법(GDPR)의 준수가 필요함.
    • 서비스 이용에 반드시 필요한 쿠키(예를 들어, 장바구니에 담기, 보안을 위한 세션 쿠키 등)를 제외하고는 쿠키 사용 전에 이용자의 동의를 받아야 함. 이때 동의는 자유롭게, 특정되어야 하며, 충분한 정보에 기반한, 명확한 정보주체의 의사표시여야 함. 개인정보 처리자는 이용자의 동의를 문서화하고 저장해야 함. 특정 쿠키를 거부하더라도 서비스에 접근할 수 있어야 하며, 동의만큼 동의를 철회할 수 있는 절차도 쉽게 제공해야 함. 따라서 페이스북 픽셀과 같이 제3자 쿠키를 사용할 경우 이에 대해 이용자에게 고지하고 동의를 받아야 함.
    • 그래서 유럽의 사이트들은 이용자가 처음 홈페이지를 방문할 때,  쿠키에 대해 고지하고, 쿠키의 종류에 따라 선택적으로 동의할 수 있는 기능을 제공하고 있음.

영국의 개인정보 감독기구인 ICO의 홈페이지

  • 표적 광고는 이용자 개인정보를 침해함.
    • 이용자에 대한 고지 및 동의없이 이용자의 인터넷 및 앱 이용기록(행태정보)를 수집함. 여기에는 성적 지향, 건강정보, 인종 정보, 노동조합 가입여부 등 민감한 정보가 포함될 수 있음.
    • 표적 광고를 위한 실시간 경매 과정에서 이용자 개인정보가 동의없이 수많은 광고기술 업체에 공유됨.
    • 광고기술 업체는 이용자 동의없이 이용자를 프로파일링하고 개인정보를 결합함.
  • 최대의 개인정보 침해 사건
    • 2022.5.16. 아일랜드 시민자유위원회(Irish Council for Civil Liberties)는 미국와 유럽에서 실시간 경매 데이터의 공유 규모에 대한 보고서를 발표했음. 이에 따르면,
    • 매일 2,940억회(미국), 1970억회(유럽) 실시간 경매를 통해 이용자가 방문한 사이트와 위치가 추적, 공유됨
    • 평균적으로 개인이 매일 실시간 경매를 통해 자신의 행태정보가 노출되는 횟수는 미국 747회, 유럽 376회
    • 구글은 미국에서 4,798개 업체에 실시간 경매를 통해 개인정보를 공유함

표적 광고 규제 동향

표적 광고로 인한 여러 문제, 특히 개인정보 침해문제와 광고 시장의 독점 문제가 불거지면서 세계 각 국의 규제 기관들도 이를 규율하기 시작하고 있음.

  • 실시간 경매(RTB) 시스템에 대한 유럽 개인정보보호법(GDPR) 위반 진정
    • 실시간 경매 시스템은 광고 입찰 요청 과정에서 민감한 개인정보를 수천개의 업체에 제공하게 됨.
    • 2018.9.12. Dr Ryan (Brave), Open Rights Group, UCL(University College London)은 구글 및 IAB의 RTB 시스템에 대해 GDPR 위반으로 영국 및 아일랜드의 개인정보 감독기구에 진정함.
    • 가장 적극적으로 표적 광고에 문제를 제기하고 있는 Ryan 박사는 “행동 광고 산업의 심장에서 대량의 체계적인 개인정보 유출(data breach)이 발생하고 있다”고 비판하고 있음.
    • 2019.5.20. 에 룩셈부르크, 벨기에 등 4개 국가에서, 2019.6.4.에 프랑스, 독일 등 9개 국가에서 추가 진정됨.
    • 아일랜드의 개인정보 감독기구인 DPC는 2019.5.22. 구글 RTB 시스템에 대한 법정조사를 실시하겠다고 공지하였으나, 아무것도 하지 않다가 2022.1.12. 에서야 무엇을 조사할 것인지에 대한 “statement of issues”를 발표하였음. 그러나 핵심 문제인 데이터 보안 이슈는 제외하였음. 아일랜드 시민자유위원회(ICCL), 구글의 RTB로 인한 개인정보 유출로부터 시민을 보호하지 않는 것에 대해 DPC에 소송 제기함.
    • 2019.3. 영국의 개인정보 감독기구인 ICO는 에드 테크에 대한 보고서를 발간하였고, 6월에 업데이트 보고서를 발간하였는데, 이 보고서는 에드 테크 산업의 개인정보 침해 위험성을 확인했으나 별다른 조치는 없었음.
  • 벨기에 개인정보 감독기구, 국제광고협회(IAB) 유럽의 투명성 및 동의 프레임워크(TCF)에 대한 GDPR 위반 결정
    • 2019년, Ryan 박사와 Panoptykon Foundation, Bits of Freedom 등 유럽의 정보인권단체가 국제광고협회(IAB) 유럽을 상대로 제기한 민원에 대해 2022.2.2 벨기에 감독기구는 27개 개인정보 감독기구의 동의 하에 IAB 유럽의 ‘투명성 및 동의 프레임워크(TCF)’가 GDPR 위반이라고 결정함. 25만 유로의 과징금을 부과하고, 2달 내에 시정조치 계획 요구함.
    • Open RTB는 Tech Lab과 IAB가 개발한, 디지털 광고의 실시간 경매를 위한 표준 프로토콜이며, TCF는 OpenRTB에 투명성과 책임성을 제공하고, GDPR 및 ePrivacy 지침 준수를 위해 IAB 유럽이 개발한 것임.
    • 그러나 벨기에 감독기구는 이 시스템에서 사용되는 TC String이라는 고유식별자(쿠키에 기록된 후 이용자 장치에 저장됨)가 이용자의 동의를 받아야 하지만 적법한 근거없이 처리되었다고 판단함. 실제로 이러한 처리는 TCF를 따르는 참여 업체에 의해서 실행되지만, IAB 유럽도 공동 개인정보 처리자라고 판단함. 반면 IAB 유럽은 TC String이 개인정보가 아니며 자신의 처리자가 아니라고 주장함.
    • 자세한 내용은 결정문 참조
  • 노르웨이 감독기구, SNS 앱인 Grindr에 과징금 부과
    • Grindr는 동성애자를 위한 위치 기반 소셜 네트워킹 앱임. Grindr는 광고 목적으로 GPS 위치, IP 주소, 광고 ID, 성별, 사용자가 Grindr에 있는지 여부 등의 데이터를 공유함.
    • 이에 대해 2020년에 노르웨이 소비자 위원회(Norwegian Consumer Council)가 진정하였고, 2021년 12월 13일, 노르웨이 감독기구는 과징금으로 NOK 65,000,000 (약 6,500만 유로)를 부과함.
    • 감독기구가 위반 사항으로 판단한 것은 적법한 근거없이 제3자에게 개인정보를 제공했다는 것(6조)인데, 광고 목적 개인정보 제공을 전체 개인정보 정책에 대한 동의와 번들로 제시한 것(목적 특정성 원칙 위반), 그리고 정보주체에게 충분한 정보를 명확하게 제공하지 않았다는 점이 문제가 되었음.
    • 또한, 민감정보의 처리에 대한 조항(9조)을 위반하였는데, 감독기구는 Grindr의 이용자라는 사실 자체가 성적 지향을 나타내므로 민감정보라고 판단하였음.
  • 오스트리아 및 프랑스 감독기구, 구글 애널리틱스를 통해 수집된 개인정보를 미국으로 이전한 것에 대해 GDPR 위반으로 결정
    • 2020.7 유럽사법재판소(CJEU)는 미국으로의 개인정보 이전은 GDPR 위반이라며, 유럽-미국 간 개인정보 이전을 위한 EU-US 프라이버시 쉴드를 무효화하였음. (일면 Schrems II 판결) 유럽사법재판소는 2015년에도 유럽-미국 간 개인정보 이전을 위한 협정인 세이프하버(Safe Harbor)를 무효화한 바 있음. 유럽사법재판소의 이러한 결정은 미국이 구글, 페이스북 등 초국적 빅테크로 하여금 이용자의 개인정보를 미국 당국에 제공할 것을 요구하고 있기 때문임.
    • 프라이버시 쉴드 무효화에도 불구하고 구글 등은 표준계약조항(SCC)에 의거 계속 개인정보 전송해왔음.
    • 2020.8. 슈렘스가 대표인 정보인권단체 NOYB은 EEA(유럽경제지역) 기반 웹사이트에서 미국의 구글(Google LLC) 및 페이스북(Facebook Inc)으로 개인정보를 전송하는 것에 대해서 101건의 진정을 제기하였음.
    • 2021년 12월 22일, 오스트리아 감독기구인 DSB는 구글 애널리틱스를 통해 미국으로 개인정보를 이전하는 것에 대해 GDPR 위반이라고 결정함. 2022.1.5에는 유럽개인정보보호감독관(EDPS)이 구글 애널리틱스를 사용한 것에 대해 유럽의회를 대상으로, 2022.2.10에는 프랑스 CNIL이 마찬가지의 결정을 내림.
    • 구글은 애널리틱스를 통해 수집되는 데이터가 개인정보가 아니며, GDPR을 위반하여 국외로 개인정보를 전송했다는 것에 대해서는 추가적인 안전조치를 취했다고 주장하였으나 인정되지 않음.
    • 다만, 구글 애널리틱스 코드를 설치한 웹사이트에서 구글로 개인정보를 보내는 것이 GDPR 위반인지에 대해서는 판단하지 않았으며, 단지 구글을 프로세서로 규정하였음.
  • 프랑스 CNIL의 쿠키 규제
    • 2020.10.1. 프랑스 감독기구인 CNIL은 쿠키 가이드라인, 비필수 쿠키에 대한 동의 획득 방법에 대한 권고안, FAQ를 발표하였음. 그 주요 내용은 다음과 같음.
      • 이용자의 동의는 각 사이트에서 받아야 함. 기존에는 이용자에게 동의 범위를 고지하면 여러 사이트에 대한 동의를 한번에 받을 수 있도록 했음.
      • 처리자의 신원, 목적, 동의 철회권, 어떻게 동의 혹은 거부할 수 있는지 및 그 결과에 대해 상세히 고지하도록 함.
      • 동의와 같은 정도로 쉽게 쿠키 거부 가능해야 함. 예를 들어, 동의는 한꺼번에 받고 거부는 하나하나 클릭하도록 하는 것은 위법임.
      • 이용자의 침묵은 쿠키에 대한 거부로 해석함.
      • 분석(analytics) 쿠키에 대한 동의 예외 조건을 완화함, 다만, 분석 쿠키는 오로지 익명 통계 작성을 위해서만 활용해야 하며, 개인정보를 다른 데이터와 결합하거나 제3자와 공유해서는 안됨.
      • 쿠키월(쿠키에 대한 거부를 허용하지 않는 것)에 대한 일반적이고 절대적인 금지 부과는 삭제됨. 그러나 이용자는 동의하지 않았을 때 콘텐츠에 접근할 수 없다는 점을 명확하게 고지받아야 함.
    • 2020.12.7. CNIL은 사전 동의 및 적절한 고지없이 이용자 컴퓨터에 광고 쿠키를 저장한 것에 대해 구글에 과징금 부과 
      • Google LLC에 6천만 유로, Google Irland 에 4천만 유로 과징금 부과
      • 사전 동의 및 적절한 고지 없이 google.fr 의 이용자 컴퓨터에 광고 쿠키를 저장한 것에 대한 것임. 서비스에 필수적이지 않은 쿠키의 경우 동의가 필요함 (프랑스 개인정보보호법 제82조 위반)
    • 2021.12.14. CNIL은 쿠키 거부를 승인보다 쉽게 할 것을 요구하며 90개 사업자에게 명령하였음.
    • 2021.12.31. CNIL은 쿠키를 쉽게 거부할 수 있는 기능을 제공하지 않았다는 이유로 구글 및 페이스북에 과징금을 부과하였음.
      • google.fr 및 youtube.com 이용자가 쿠키를 쉽게 거부할 수 없는 것에 대해, Google LLC에 9천만 유로, Google Irland에 6천만 유로 (총 1억 5천만 유로) 과징금 부과.
      • 페이스북에 6천만 유로 과징금 부과.
      • 이들 사이트들은 즉각적으로 쿠키 허용에 동의하는 버튼을 제공하지만, 쿠키를 거부하려면 몇 번의 클릭이 필요하도록 하고 있음.
  • 유럽연합, 디지털서비스법의 디지털 광고 규정
    • 2020.12.15. EU 집행위원회는 디지털서비스법(DSA)과 디지털시장법(DMA)의 2개 법안을 발의하였음. DSA는 온라인중개서비스 및 다양한 플랫폼의 규율을 목적으로 함
    • 2022.7.5. DSA는 유럽의회를 통과하였으며, 11.16.에 발효되어 2024.2. 시행될 예정임.
    • 온라인플랫폼은 온라인 광고의 투명성을 보장할 의무가 있음
      • 이용자들이 광고를 식별할 수 있도록 실시간으로 △해당 정보가 광고라는 사실 △광고게시자 △광고주 △광고 대상 이용자를 결정하는데 사용된 주요 매개변수(가장 중요한 결정 기준과 중요성 포함)와 그 변경방법을 알리고 쉽게 변경 기능을 이용할 수 있도록 하여야 함
    • 온라인플랫폼은 정치적 견해 등 민감정보를 이용하여 프로파일링에 기반한 광고를 이용자에게 표시해서는 안 됨
    • 온라인플랫폼은 아동을 보호하여야 함
      • 아동이 접근할 수 있는 온라인플랫폼은 높은 수준의 개인정보보호, 안전 및 보안을 보장하기 위해 적절한 조치를 취해야 함
      • 아동 이용자에게 개인정보의 프로파일링에 기반한 광고를 표시해서는 안 됨
    • 대규모온라인플랫폼은 온라인 광고의 투명성에 대한 추가 의무가 있음
      • 광고가 마지막으로 표시된 후 1년 이내에 다음의 정보를 저장소에 공개하여야 함 (1) 광고 내용, (2) 광고게시자, (3) 광고주, (4) 광고 표시 기간, (5) 광고가 특정 이용자집단을 맞춤하였는지 여부 및 (특정 이용자를 배제하기 위해) 사용된 주요 매개변수, (6) 온라인플랫폼 투명성의무에 따른 공지내용 (7) 광고가 표시된 총 이용자수 및 광고가 맞춤한 이용자집단수 등
  • 미국, 감시광고 금지법안 발의
    • 2022.1. 하원 및 상원에서 감시광고 금지법안(Banning Surveillance Advertising Act)이 발의됨.
    • 이 법안은 개인, 인터넷에 연결된 기기, 개인의 그룹, 개인정보에 기반한 기기를 타겟으로 하는 온라인 광고를 제한함. 여기서 개인정보는 인터넷 탐색 기록이나 통신 내용과 같이 개인이나 연결된 기기와 합리적으로 연결될 수 있는(linkable) 정보를 포함함.
    • 일반적으로 이 법안은 (1) 온라인 광고주들이 개인정보(특정 보호범주의 일원으로서 개인을 식별하는 개인정보를 포함하여)를 표적 광고에 사용하는 것을 금지하고 (2) 광고 조력자(온라인 광고를 배포하고 보상을 받는 기업들)들이 표적 광고를 배포하거나, 혹은 고의로 온라인 광고주가 그렇게 하도록 돕는 것을 금지함.
    • 이 법안은 일정한 예외를 허용하는데, (1) 검색결과 등 개인이 관여하는 콘텐츠에 기반하여 광고가 표시되는 경우,  또는 (2) 국가, 시장 지역 또는 개인과 관련된 다른 지리적 위치에 기반하여 유포되는 광고 등이 여기에 포함됨. 또한 광고주나 제3자가 자신들이 제공한 정보가 법안의 요구사항을 준수한다고 서면으로 증명하는 경우, 광고 조력자는 광고주나 제3자가 제공한 정보를 사용할 수 있음.
    • 연방거래위원회(FTC) 및 주 검찰총장에게 건당 최대 5천 달러 벌금을 부과할 권한 부여
    • 미국에서는 이 법안의 통과를 지지하는 ‘감시 광고 금지’ 캠페인이 진행되고 있음.

미국의 감시광고 금지운동

  • FTC, 표적 광고에 대한 규칙 제정
    • 2021년 7월 9일, 바이든 대통령은 “미국경제에서의 경쟁 촉진”이라는 행정명령을 내림. 이 행정명령은 여러 부문에서의 경쟁 촉진을 위한 정책들을 담고 있는데, 여기에 빅테크에 대한 비판적 인식과 대응을 위한 정책 방안이 포함되어 있음. 빅테크 플랫폼의 과도한 개인 정보 수집에 대해서도 언급하고 있는데, 많은 대형 플랫폼의 비즈니스 모델은 엄청난 양의 민감한 개인 정보 및 관련 데이터의 축적에 의존해 왔다면, 연방거래위원회(FTC)가 감시 및 데이터 축적에 관한 규칙을 제정하도록 권장함.
    • 2022년 8월 11일, FTC는 ‘상업 감시와 데이터 보안에 대한 무역 규제 규칙’에 대한 의견수렴를 시작함.

한국의 표적광고 규제 동향

한국에서는 그동안 온라인 행태정보 수집과 표적 광고를 위한 개인정보 처리에 대해 규제기관이 별다른 규율을 하지 않았으며, 이에 표적 광고의 개인정보 침해 문제가 방치되어 왔으나 최근 이에 대한 사회적 우려가 증가하고 있음.

온라인 맞춤형 광고 개인정보보호 가이드라인

 

  • 온라인 맞춤형 광고 개인정보보호 가이드라인
    • 2017.2. 방송통신위원회와 한국인터넷진흥원은 <온라인 맞춤형 광고 개인정보보호 가이드라인 >을 발표하였음.
    • 이 가이드라인은 온라인 행태정보를 “웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동정보”로 규정하고 있음.
    • 또한, 행태정보 수집, 이용의 투명성을 위해 홈페이지 등에 행태정보 수집, 이용 사실을 안내하고, 최소한의 행태정보만을 수집하며, 개인 식별정보와 결합될 경우 사전동의를 획득하도록 하고 있음. 그러나 쿠키에서 사용하는 고객의 id나 광고 id, IP 주소는 개인 식별정보라고 할 수 있지만, 실제 한국에서는 쿠키를 통한 행태정보 수집시 동의를 받고 있지 않음.
    • 가이드라인은 이용자의 통제권을 보장하는 방법으로 광고 화면 등을 통해 통제권을 직접 제공하는 방법, 이용자 단말기를 통해 통제권을 행사하는 방법, 협회 등의 단체를 통해 이용자에게 통제권을 제공하는 방법 등을 제시하고 있음.
    • 동 가이드라인이 준수되고 있는지에 대해 감독이 제대로 이루어지고 있지 않음.
  • 2022년 개인정보보호위, 개인정보 처리방침 작성지침 발표
    • 2022.3 개인정보보호위원회는 개인정보 처리방침 작성지침을 발표하였는데, 이에 행태정보 수집과 관련한 내용이 포함되어 있음.
    • 항목 13. 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
      • 개인정보처리자가 쿠키 등과 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우, 설치·운영 및 그 거부에 관한 사항을 개인정보 처리방침에 기재하도록 하고 있음
      • 그러나 대다수 웹사이트에서는 쿠키에 대한 일반적인 사항만을 공개할 뿐, 제3자 쿠키까지 포함한 자세한 사항을 개인정보 처리방침에 기재하지 않고 있음.
    • 항목 14. 행태정보의 수집·이용·제공 및 거부 등에 관한 사항
      • 개인정보처리자가 정보주체의 온라인 행태정보를 처리하고 이를 기반으로 ‘온라인 맞춤형 광고’ 등을 제공하는 경우 그 수집·이용에 관한 사항 및 거부 방법 등에 대해 기재하도록 하고 있음.
      • 2017년 온라인 맞춤형 광고 개인정보보호 가이드라인을 반영한 것으로 보이며, 2022년 지침에서 새롭게 포함됨.
      • 그러나 행태정보 역시 개인정보인데, 수집되는 개인정보의 항목에 명시하고 수집시에 동의도 받아야 하는지 여부에 대해 명확하게 언급하고 있지 않음.
  • 개인정보위, 메타와 구글의 타사 행태정보 수집, 이용 행위에 대해 과징금 1000억원 부과
    • 2022년 9월 14일, 개인정보보호위원회는 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집, 이용한 행위에 대해 시정명령과 함께 약 1,000억원의 과징금을 부과하였음.
    • 개인정보위는 가입 시 동의 화면이나 플랫폼의 개인정보 설정 화면에서 타사 행태정보의 수집, 이용에 대해 이용자에게 명확히 알리지 않은 점에 대해서 지적을 하면서 “이용자의 타사 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지하여 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고 동의를 받을 것”이라고 시정명령을 내렸음.
    • 그러나 쿠키 등 추적장치를 통해 이용자 행태정보를 동의없이 수집하는 것이 적법한지 여부, 광고를 위한 온라인 경매 과정의 개인정보 침해 문제에 대해서는 이번 결정에서 다루지 않았음.
    • 관련자료 : [국회토론회] 맞춤형 광고의 개인정보 침해 문제와 해결방안 (2022.9.22)
    • 2022년 9월, 개인정보위는 온라인 맞춤형 광고의 제도개선 방안 마련을 위한 작업반을 구성하였음. 그러나 주로 산업계 위주로 구성하고 시민사회의 참여는 배제하여 비판을 받고 있음.