개인정보보호공정이용빅테크얼굴인식

빅테크와 정보인권(10){/}빅테크에 대한 규제기관과 이용자의 대응

By 2022/11/24 No Comments
빅테크와정보인권

페이스북, 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다. 그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다.

독점력 남용을 통한 공정 경쟁의 훼손, 이용자 개인정보 침해 등 전 세계적으로 빅테크의 사회적 해악에 대한 인식이 높아지고 있음. 이에 각 국의 규제기관(경쟁당국, 개인정보 감독기구 등)은 빅테크의 불법 행위를 조사하고 과징금을 부과하며 시정명령을 내리는 등 규제 개입을 하고 있음. 이용자 역시 침해금지 혹은 피해보상 등 소송을 제기하면서 빅테크에 대해 문제제기하고 있음. 여러 빅테크에 대해 각 국가에서 이러한 대응이 이루어지고 있는데, 통상적으로 이러한 분쟁이 장기간 지속되는만큼 단편적인 기사나 자료를 통해서는 이러한 현황을 파악하기가 어려움. 이에 주요 이슈, 대상 업체, 해당 국가, 시기 등으로 구분하여 규제기관과 이용자의 대응 현황을 정리하였음.

빅테크의 독점력 남용에 대한 대응

메타, 구글 등 빅테크가 시장에서의 독점적 지위를 남용하여 자사 서비스에 비해 경쟁업체를 차별하거나 과도한 수수료를 요구하는 등 불법 행위를 하여 빅테크의 플랫폼을 사용하는 업체 및 이용자의 피해가 발생하고 있음. 각 국의 경쟁당국이 반독점 소송을 제기하거나 시정요구를 하고 있지만, 빅테크는 소송으로 맞서고 있음. 관련 시장을 어떻게 볼 것인지, 독점적 지위에 있는지, 불법 행위를 했는지 등 해결해야 할 쟁점이 많음.

메타(Meta)

구글(Google)

애플(Apple)

아마존(Amazon)

  • 미국

    • 2022.9.14. 캘리포니아 법무장관은 아마존이 반경쟁적 계약 관행을 통해 경쟁을 저해하고 가격인상을 초래한 혐의로 소송을 제기한다고 발표.

빅테크의 개인정보 남용에 대한 대응

빅테크 독점의 기반은 방대한 이용자와 이용자 개인정보임. 네트워크 효과와 더불어 빅테크는 서로 다른 서비스의 이용자 개인정보를 통합하여 그 규모를 확대해왔음. 그러나 빅테크는 개인정보 처리에 대해 알기쉽게 이용자에게 고지 및 설명하지 않았으며, 동의없이 이용자 개인정보를 처리하거나 제3자에게 제공해왔음. 빅테크의 불법적 개인정보 처리에 대해 각 국의 개인정보 감독당국이 조사하고 시정요구를 하고 있으며, 이용자들도 침해된 권리에 대한 손해배상 소송으로 대응하고 있음.

메타(Meta)

  • 미국

    • 2009.9. 페이스북 비컨(Beacon) 기능과 관련한 집단 소송 제기. →  2010년 합의를 통해 페이스북은 총 이용자 및 변호인단 비용으로 9.5만달러 배상
    • 2011.4. 5명의 원고는 페이스북이 스폰서 스토리를 통해 광고에 사람들의 사진과 이름을 부당하게 사용했다며 집단소송 제기. → 2013년, 약 2,000만 달러의 소송 합의안이 마련되었고 61만여명의 페이스북 이용자에게 총 900만 달러 배상과 법원 비용 및 기부금 등에 1,100만 달러를 지불하는 것으로 합의됨.
    • 2009.12. EPIC(Electronic Privacy Information Center) 등 9개의 시민단체는 페이스북의 개인정보처리방침을 문제 삼으며 FTC에 제소 → 2011.11, FTC는 페이스북의 사용자 프라이버시와 관련된 기만적 관행에 대해 합의를 마쳤다고 발표하였고, 2012년 8월 동일한 내용의 동의 명령(consent order)을 내림. 페이스북은 사용자에게 명시적이며 확실한 공지를 하고, 사용자가 설정한 개인정보 보호 설정을 넘어 개인정보를 공유하기 전 명시적 동의를 얻고, 포괄적인 개인정보 보호 체계를 갖추고, 2031년까지 2년마다 제3자가 감사를 실시하는 데 동의했으며, 위반 사항 하나 당 최대 16,000달러의 벌금 부과에 합의함.
    • 2012. 페이스북이 로그아웃 이용자의 행태정보를 쿠키를 통해 수집한 것에 대해 집단소송 제기 → 2022.2. 메타는 9000만달러(약 107억8000만원)를 지급하기로 합의
    • 2018.12. 워싱턴DC, 캠브리지 애널리티카에 수천만 명의 가입자 개인정보를 유출한 혐의로 페이스북에 소송 제기. → 2022.5.23. 미국 워싱턴DC 검찰, 메타 CEO 저커버그에 대해 캠브리지 애널리티카 스캔들에게 역할을 했다며 소송 제기
    • 2019.7. FTC는 페이스북이 제3자 앱 개발자에게 이용자의 개인정보를 불법적으로 제공한 것에 대해, 50억 달러의 민사 벌금(civil penalty)을 납부하기로 하는 것을 포함한 동의 의결 (consent order) 합의 → 2020.4.23. 법원이 페이스북-FTC 50억 달러 합의 승인 판결
  • 영국

    • 2018.10. 영국 개인정보보호 당국(ICO)은 페이스북이 제3자 앱 개발자에게 이용자의 개인정보를 불법적으로 제공한 것(캠브리지 애널리티카 스캔들)에 대해 법정 최고벌금인 50만 파운드(약 7억 5천만원) 부과.
  • 한국

    • 2020.11. 한국 개인정보보호위원회는 페이스북의 제3자 앱을 통한 개인정보 무단 제공(캠브리지 애널리티카 스캔들)에 대해 과징금 67억원 부과
    • 2021.4. 진보네트워크센터와 법무법인 지향, 페이스북을 상대로 개인정보분쟁조정위원회에 집단분쟁조정 신청 → 2021.10.29,  개인정보분쟁조정위원회는 집단분쟁조정 참가자(181명)에게 각 30만원의 손해배상금을 지급할 것, 신청인들의 개인정보를 제공받은 제3자의 신상과 제공된 개인정보 유형 및 내용을 신청인들에게 열람하게 할 것의 내용을 담은 조정안 제시. 메타는 조정안 거부 → 2022.1, 메타의 개인정보 침해(동의없는 제3자 제공)에 대한 손해배상 청구소송 제기

구글(Google)

  • 유럽연합

    • 2010년, 독일 함부르크 주 개인정보보호 당국의 감사를 통해 구글이 스트리트뷰 촬영을 위해 전 세계 30개국의 거리를 촬영하며, 촬영 차량에 설치된 기기를 통해 가정 및 사무실 등의 사설 무선네트워크 사용자로부터 방대한 양의 개인정보를 수집했다는 사실이 밝혀짐.
    • 2011.3. 프랑스 개인정보보호당국(CNIL)은 구글 스트리트뷰 차량의 무단 개인정보 수집에 대해 10만 유로 (한화 약 1억 6천만원), 2013.4. 독일의 개인정보보호당국은 14만 5천 유로 (한화 약 2억 1천만원)의 벌금을 부과하였으며 그외 영국, 체코, 아일랜드, 덴마크 및 일본 등 18개 국가에서는 데이터의 삭제와 서비스 중지 명령을 내림.
    • 2012.3. 구글은 당시 60여개의 서비스와 제품마다 별도로 적용되었던 이용약관과 개인정보 정책을 통합시키는 새로운 개인정보 정책 개정을 발표 → 유럽연합의 27개 회원국을 대표하여 프랑스 개인정보보호당국(CNIL)은 통합된 개인정보정책의 시행을 연기할 것을 구글에 요청하고 조사에 착수 → 2012.10. CNIL은 조사 보고서를 발표 → 2013.7. CNIL의 조사에 이어 영국, 이탈리아, 독일, 스페인, 네덜란드 당국도 조사에 착수했으며 위법 사항을 지적하고 개인정보 정책의 개정을 요구. → 2013년 스페인은 총 90만 유로의 벌금을 부과, 프랑스 당국은 2014년 1월 당시 법률상 최대인 15만 유로의 벌금을 부과.
  • 프랑스

    • 2018년 5월 유럽연합 일반개인정보보호법 (GDPR)이 발효된 후, NOYB LQDN (La Quadrature du Net)은 구글의 불투명한 개인정보처리 정책과 추적 광고의 법적 근거 부족 등을 사유로 CNIL에 신고. 2020년 CNIL은 5,000만 유로의 벌금을 부과했으며 최종 판결이 됨.
  • 스페인

    • 스트리트뷰 차량이 무선네트워크 정보를 수집한다는 사실이 밝혀지며 각국에서 손해배상 청구 소송 및 당국의 조사가 활발히 진행됨. 2010년 미국에서는 집단소송이 제기되었으며 이후 판결을 통해 1,300만 달러(한화 약 153억원)의 배상금을 지불하는 것으로 최종 합의됨
    • 2010.2.16, 미국의 정보인권 단체 EPIC은 연방거래위원회에 구글 버즈를 제소함. EPIC은 구글 버즈가 지메일 사용자를 대상으로 의미 있는 개인정보의 통제나 옵트인 방식의 동의절차를 제공하지 않은 채 이메일 서비스를 소셜네트워크서비스로 전환하였다고 주장. 같은 달, 사용자들의 집단 소송도 제기됨 → 2010.11. 구글은 850만 달러로 집단 소송에 합의했음 → 2011.3. 연방거래위원회는 구글과의 동의명령에 합의하고 발표함. 연방거래위원회는 구글이 구글 버즈를 출시하며 행한 불공정하고 기만적인 관행을 인정했으며, 포괄적인 개인정보보호 계획의 구현 및 향후 20년 동안 정기적이고 독립적인 개인정보보호 감사를 요구.
    • 2012.2. 구글이 악의적인 방법으로 애플의 모바일 웹브라우저인 사파리(Safari) 사용자의 개인정보를 불법적으로 수집했다는 사실이 보도됨 → FTC는 이러한 구글의 개인정보 침해에 대해, 2011년 구글 버즈로 인해 합의했던 동의명령의 위반으로 판단하여 고발. 이후 2,250만 달러의 벌금부과로 최종 판결. 구글은 해당 관행으로 인한 프라이버시 침해를 인정하며 사파리 이용자 등 기기에 설치된 추적 쿠키를 삭제하는 것에 합의.
    • 2019.9. 유튜브에 대해 아동 대상 채널 시청자로부터 부모에 대한 고지와 동의 절차 없이 인터넷 상에서 이용자를 추적하는 데 이용되는 영구적 식별자(persistent identifiers)를 수집하여 COPPA를 위반하였다는 이유로 1억 7,000만 달러의 과징금 부과
    • 2020.5 애리조나주는 구글이 사용자 동의 여부와 관계없이 위치 정보를 임의로 수집하고 이를 광고 사업을 위해 이용했다며 구글의 소비자 기만 행위에 대해 소송을 제기함. → 다른 주들도 잇따라 소송을 제기했고, 2022.11.14. 구글은 40개 주 정부와 3억9천150만 달러(5천206억 원)를 지급하기로 합의. 구글은 안드로이드와 아이폰에 탑재된 검색 엔진을 통해 이용자들이 ‘위치 히스토리’라는 기능을 비활성화한 뒤에도 위치 정보를 계속 추적하였음. 2022.1. 추가로 소송을 제기한 주들은 소송이 진행되고 있음.
  • 캐나다

    • 2010.10. 캐나다 개인정보보호당국(OPC)은 구글 스트리트뷰에 대한 조사를 통해 구글이 캐나다 개인정보보호법(PIPEDA)를 위반한 것으로 결론, 관련되어 수집한 데이터의 삭제 및 법을 준수할 수 있는 개인정보 보호 절차 등을 갖출 것을 명령.
  • 한국

    • 한국에서는 2011년 경찰청의 수사를 통해 구글 스트리트뷰 개인정보 침해 사실이 확인되었으며, 2014년 방송통신위원회가 2억 1,230만원의 과징금을 부과함.

틱톡(TikTok)

  • 이탈리아

    • 10세 아동이 틱톡에서 질식게임인 ‘블랙아웃 챌린지’를 하다가 사망한 사건이 발생하자, 2021년 1월 이탈리아 개인정보보호 감독기구가 아동 여부가 확인되지 않은 개인들의 개인정보처리를 금지함.
  • 네덜란드

    • 네덜란드 개인정보보호 감독기구는 2021년 4월, 틱톡이 16세 미만 네덜란드 이용자들에게 개인정보보호지침을 영어로만 제공한 것에 대하여 750,000유로의 과징금을 부과함.
  • 미국

    • 2019. 2, 미국 FTC는 틱톡에 대해 ①부모 동의 없이 13세 미만 아동의 이미지, 음성, 위치정보 등 수집, ②개인정보 장기간 보유, ③부모의 데이터 삭제 요구에 불응하였다는 이유로 570만 달러의 과징금 부과

얼굴인식정보 수집에 대한 대응

인공지능의 발전을 통해 얼굴인식 기능도 급속하게 발전하였으나, 이를 통한 이용자 프라이버시 침해와 시민 감시의 문제가 불거지고 있음. 생체인식정보의 하나인 얼굴인식정보는 민감한 개인정보로서 정보주체도 모르게 수집, 처리되거나 정보주체를 감시하는 목적으로 남용될 가능성이 큼. 얼굴인식 기술을 통한 국가의 시민감시의 통제 문제도 떠오르고 있지만, 기반 기술을 제공하는 민간 업체, 특히 빅테크의 얼굴인식 기술 활용에 대해서도 문제제기가 이루어졌으며 이에 페이스북이 얼굴인식 기능 사용을 중단하는 등 신중한 태도가 확대되고 있음.

메타(Meta)

  • 유럽연합

    • 2012년, 페이스북의 유럽연합 내 본사가 위치한 아일랜드의 개인정보보호 당국은, 페이스북의 개인정보 보호와 투명성 등 문제를 조사한 보고서를 통해 페이스북이 얼굴인식 기능을 통해 확보한 데이터(얼굴인식 템플릿) 등을 삭제하라는 권고안을 제시했으며 페이스북은 이를 수용, 유럽연합 내에서 얼굴인식 기능을 중단함.
  • 미국

    • 2015년 미국 일리노이 주의 생체정보 보호법(BIPA) 위반 혐의로 소송이 제기됨. 각 3명의 일리노이 주 페이스북 이용자가 제기한 개별 사건은 통합되어 이후 집단소송으로 발전하였음 → 2020년 9월, 총 6억 5천만 달러의 소송 합의안이 마련되었고 합의금 청구서를 제출한 150만 명 이상의 일리노이 주 페이스북 사용자에게 각각 최소 345달러의 합의금을 배상하게 되었고 일리노이 주에서 얼굴인식 기능을 중단하게 됨 → 2021.11, 얼굴인식 기술 일반에 대한 전세계적 우려와 경각심이 높아지자 페이스북 내 얼굴인식 기능을 중단하고 10억명 이상의 얼굴사진 템플릿을 삭제할 것을 발표 → 2022.3. 연방 제8항소법원, 페이스북과 일리노이 집단소송 사건 원고 측의 합의를 조속히 이행하라고 명령. 일리노이 주민 소송 참가자 160만명은 보상금 397달러(약 48만원)씩 수령.
    • 2020.8. 인스타그램 사용자의 생체정보를 사용자 동의없이 수집, 저장하고 이득을 취한 혐의로 캘리포니아주 법원에 집단소송이 제기됨.
    • 2022.2.14. 미국 텍사스주는 페이스북의 얼굴인식 기술이 이용자의 사생활을 침해했다며 메타를 제소함.
  • 한국

    • 2021.8. 개인정보보호위원회, 메타의 동의없는 얼굴인식정보 활용에 64억 4천만원의 과징금 처분

표적 광고를 위한 불법적 개인정보 처리에 대한 대응

표적 광고 기술이 발전하면서 이용자도 모르게 이용자의 인터넷 이용기록(행태정보)이 방대하게 수집, 제공되고 있음. 표적 광고는 이용자의 취향이나 관심사에 맞는 광고를 보여주는 것인만큼, 다양한 경로를 통해 이용자의 개인정보를 수집할 수 밖에 없으며 광고의 효과를 측정하기 위해 이용자에 대한 추적이 이루어지기도 함. 이 과정에서 이용자에게 적절한 고지 및 동의가 이루어지지 않음으로써 개인정보 침해 논란이 발생하고 있음. 특히 표적 광고는 빅테크 기업의 주요 수익 기반이기 때문에 표적 광고 과정의 개인정보 처리에 대한 규율은 빅테크에 커다란 영향을 미칠 수밖에 없음.

메타(Meta)

  • 프랑스

    • 2021.12.31. CNIL은 쿠키를 쉽게 거부할 수 있는 기능을 제공하지 않았다는 이유로 구글 및 페이스북에 과징금을 부과하였음. 페이스북에는 6천만 유로 과징금 부과.
  • 한국

    • 2022.9.14. 개인정보보호위원회, 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집, 이용한 행위에 대해 시정명령과 함께 약 1,000억원의 과징금 부과

구글(Google)

  • 유럽연합

    • 2020.12.7. CNIL은 사전 동의 및 적절한 고지없이 이용자 컴퓨터에 광고 쿠키를 저장한 것에 대해 구글에 과징금 부과. 사전 동의 및 적절한 고지 없이 google.fr 의 이용자 컴퓨터에 광고 쿠키를 저장한 것에 대한 것임. 서비스에 필수적이지 않은 쿠키의 경우 동의가 필요함 (프랑스 개인정보보호법 제82조 위반)
    • 2021.12.31. CNIL은 쿠키를 쉽게 거부할 수 있는 기능을 제공하지 않았다는 이유로 구글 및 페이스북에 과징금을 부과하였음. google.fr 및 youtube.com 이용자가 쿠키를 쉽게 거부할 수 없는 것에 대해, Google LLC에 9천만 유로, Google Ireland에 6천만 유로 (총 1억 5천만 유로) 과징금 부과.
  • 미국

    • 구글은 이메일 내용 속 문맥을 분석하여 사용자에 대한 추적(맞춤형) 광고를 집행하기 위한 목적으로도 이메일을 스캔해왔음. 이러한 관행은 2004년 지메일 런칭부터 광고 목적을 위한 이메일 내용 스캔 중단을 발표한 2017년까지 이어졌음. 2004년, 지메일 서비스가 시작된 이후 31곳의 정보인권 및 시민권 단체는 지메일의 정책으로 인한 프라이버시 침해에 우려를 표하며 광고 목적을 위한 이메일 내용 스캔 중지, 데이터 정책의 명확화를 요청하는 서한을 발표하였음. 지메일 출시 직후 유럽연합과 미국 등 각국에서 개인정보 보호 지침 위반 통신비밀과 관련한 법률 위반 등으로 관할 당국에 신고와 민원이 접수되었음. 2010년 이후 미국 내 일부 사용자들로부터 사생활 침해와 통신법 위반 등으로 일련의 소송이 제기되었으나, 광역 집단소송으로 통합되거나 병합될 수 없는 것으로 판결되며 구글의 정책에 큰 영향을 미치진 못함. 2017년, 구글은 지메일 내용 스캔을 통한 광고를 중단할 것을 밝힘.
  • 한국

    • 2022.9.14. 개인정보보호위원회, 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집, 이용한 행위에 대해 시정명령과 함께 약 1,000억원의 과징금 부과

인공지능 알고리즘에 의한 차별 문제

빅테크를 비롯하여 여러 사회 부문에서 인공지능의 도입이 증가하고 있음. 그러나 인공지능에 대한 적절한 규율이 이루어지지 않을 경우 소수자에 대한 차별이나 다른 인권 침해를 야기할 수 있다는 우려가 높아지고 있음. 콘텐츠 관리, 디지털 광고, 검색결과 제공 등 빅테크 플랫폼에서 사용되는 알고리즘 역시 마찬가지임. 특히, 빅테크 플랫폼은 방대한 이용자를 보유하고 있다는 점에서 그 파급력이 더 클 수 있음. 빅테크만의 문제는 아니지만, 인공지능 알고리즘에 의한 인권 침해를 방지하기 위한 제도가 마련될 필요가 있음.

메타(Meta)

  • 미국

    • 2017년 프로퍼블리카와 뉴욕타임즈의 공동조사에서 페이스북의 일부 광고가 40세 이상 이용자에게 표시되지 않는다는 사실이 밝혀짐. 이는 고용에서 연령에 따른 차별을 금지하고 있는 법률 위반에 해당함. 이에 미국통신노동조합(Communications Workers of America, CWA) 등이 연령차별 광고주를 대상으로 집단소송을 제기함. 2017.11. 프로퍼블리카는 페이스북 주택 광고에서 흑인, 고등학생 엄마, 휠체어 이용자, 유대인, 남미 이주민, 스페인어 사용자, 이슬람교도 등을 배제하는 차별이 가능하다는 사실을 실제 광고 집행을 통해 입증하고 보도함. 이에 전미공정주택연합이 2018년 페이스북을 상대로 소송을 제기함. 2018년 미국 시민권단체 ACLU와 CWA는 미국고용평등기회위원회(EEOC)와 함께 페이스북 및 광고주에 대하여 광고 표시의 여성 차별에 대하여 집단소송을 제기함. → 2019년 페이스북은 광고 차별에 대한 집단소송 5건에 대하여 원고와 합의하고 주택, 고용, 금융 분야 광고에서 지역, 연령, 성별에 따른 표적 광고를 금지함.
    • 2019.3 페이스북 주택 광고 알고리즘의 차별에 대한 미국 정부(주택도시개발부)의 소송. →  2022.6.22 ‘인종·성차별’ 주택 타깃광고 알고리즘 고치기로 미 정부와 합의, 메타는 11만5천54달러 민사상 벌금을 납부하기로 함.
    • 2021.11. 미 오하이오주, 메타가 어린이들에게 미치는 악영향을 알고도 공개하지 않았다는 이유로 최소 1000억달러(약 118조원) 손해배상 소송 제기
    • 2022.1. 극단적 선택으로 딸을 잃은 어머니가 인스타그램·스냅챗 등 소셜미디어 업체에 소송을 제기함.  미 코네티컷주의 태미 로드리게스는 인스타그램 모회사 ‘메타’, 스냅챗 모회사 ‘스냅’의 이용자 보호 조치가 충분하지 않았다며 캘리포니아 연방법원에 소장 제출.
  • 영국