표적 광고, 개인정보보호법을 준수해야 한다! 온라인 광고를 적법하게 할 자신이 없으면 사업을 중단하라!
– ‘온라인 맞춤형 광고 가이드라인’에 대한 인터넷 기업들의 성명에 대한 시민사회 입장
1. 지난 7월 5일, 한국인터넷기업협회 등 산업계 단체들은 공동으로 성명을 발표하여, 현재 개인정보보호위원회가 발표를 준비하고 있는 “온라인 맞춤형 광고 행태정보 처리 가이드라인”(이하 가이드라인)에 대한 우려를 표명하였다. 그러나 산업계의 이 성명은 불법적인 이용자 행태정보 수집을 계속하게 해달라는 생떼에 다름아니다. 온라인 광고 업체들은 합법적으로 광고를 해야 하며, 법을 준수할 자신이 없다면 사업을 중단해야 한다.
2. 현재 표적 광고(맞춤형 광고) 방식은 불법적인 개인정보 처리에 기반하고 있다. 광고 업체들은 이용자가 모르는 사이에 사이트 방문 기록, 구매 내역, 위치정보, 기기와 소프트웨어 정보 등 이용자의 취향과 관심사를 몰래 수집해왔다. 이른바 “실시간 경매에 의해 광고”(오픈 RTB)를 보여주는 경우, 이렇게 수집한 내 개인정보를 수십, 수백개의 광고 업체들과 공유하기도 한다. 회원 가입을 하거나 로그인하지 않아도, 쿠키식별자나 광고식별자 등 다양한 온라인 식별자를 통해 이용자를 식별한다. 이용자에 대한 고지 및 동의 없는 개인정보 처리와 제3자 제공은 현행 개인정보보호법 위반이다. 표적 광고 생태계는 사실상 무차별적으로 개인정보 수집과 처리가 이루어지는 무법지대나 마찬가지다. 이 사실을 이용자에게 알려주지 않으니 자세한 메커니즘은 몰라도, 이용자들은 사이트를 옮겨도 자신을 따라다니는 스토커같은 표적 광고를 불편해하고 있다. 이러한 문제를 인식하고 이미 세계 각 국의 감독기관들은 표적 광고를 명분으로 한 개인정보 무단 수집, 활용을 개인정보보호법 위반으로 규제하고 있다.
3. 방송통신위원회로부터 개인정보보호위원회로 이어지는 한국의 감독기관도 지금까지 표적 광고 시장의 불법적인 개인정보 처리를 방치해왔다. 뒤늦게나마 개인정보보호위원회가 표적 광고 시장에서 적법한 개인정보 처리가 이루어질 수 있도록 나선 것은 다행스러운 일이다. 그러나 개인정보보호위원회의 가이드라인은 새로운 규범을 만드는 것이 아니다. 가이드라인은 현행 개인정보보호법의 하위 규범일 뿐이며, 가이드라인이 발표되든 그렇지 않든 온라인 광고 업계는 개인정보보호법을 준수해야 한다. 개인정보보호위원회가 행태정보 처리를 위한 가이드라인을 만드는 것은 광고 업체들이 법을 더 잘 준수할 수 있도록 하기 위한 배려일 뿐이다. 가이드라인의 내용은 당연히 개인정보보호법 규범에 따라 만들어져야 하며, 온라인 광고 생태계를 고려하여 달라질 수 있는 것이 아니다. 온라인 광고 업체들이 가이드라인 발표를 늦춰달라고 요구하는 것은 자유이지만, 가이드라인이 없어도 개인정보보호위원회는 온라인 광고에서 불법적인 개인정보 처리에 대한 단속을 시작해야 한다. 지금 이 순간에도 표적 광고를 위해 불법적인 개인정보 수집, 처리, 공유가 이루어지고 있기 때문이다.
4. 산업계 단체들의 이번 성명을 보면 그들이 정말 개인정보 보호법을 준수하는 방향으로 현재의 불법적인 관행을 바꿀 의지가 있는지 의심스럽다. 해외 인터넷 사이트를 방문해본 이용자라면, 쿠키 동의를 받기 위한 창이 뜨는 것을 확인할 수 있을 것이다. 당연히 로그인 여부와 관계없이 이용자 동의를 받는다. 로그인을 하지 않아도 이용자 개인정보를 처리하는 것이기 때문이다. 그러나 산업계의 성명서에서처럼, 인터넷 사이트를 들어갈 때마다 반복해서 동의 여부를 선택해야 한다는 것은 거짓말이다.
휴대폰, PC, 태블릿 등 서로 다른 기기로 접근하면 당연히 따로 동의를 받아야 한다. 그렇지 않다면, 이용자들이 PC에서 상품을 검색하고 휴대폰으로 구매할 때, 동일 이용자임을 식별하고 몰래 추적하는 것을 허용해야 한다는 것이기 때문이다. 이처럼 국제적으로 이미 시행하고 있는 관행이 왜 한국의 광고 업체에게만 부담이 되는지 알 수 없다.
5. 산업계 일부는 맞춤형 광고를 위해 처리되는 데이터가 개인정보가 아니라고 주장한다. 서로 다른 이용자의 취향과 관심사를 파악하여 이를 기반으로 광고를 보여주면서 이를 개인정보가 아니라고 우기는 것은 술은 마셨지만 음주운전은 아니라고 하는 것이나 마찬가지다. 또한, 산업계는 맞춤형 광고가 이용자에게도 도움이 되며 이를 선호하는 이용자도 많다고 주장해왔다. 그러나 사이트를 옮겨도 나를 따라다니는 표적 광고, 감시 광고에 대해 찜찜해하거나 심지어 끔찍해하는 이용자도 많다. 그래서 이용자의 동의를 받으라는 것이다. 산업계가 이용자에게 도움이 된다고 주장하면서 정작 이용자 동의를 받는 것을 부담스러워 하는 것은 기만적이다. 산업계는 가이드라인이 만들어지면 표적 광고 산업이 위축될 것이라고 주장하지만, 이용자 권리를 침해하고 법을 준수할 수 없는 사업 관행은 합법적 경제활동이 아니라 ‘범죄’이지 않은가? 표적 광고는 다양한 광고 기법의 하나일 뿐이며, 이용자가 원하지 않는다면 굳이 존재할 필요도 없다. 오히려 세계적으로는 이용자 감시에 기반하는 표적 광고를 아예 금지해야 한다는 목소리도 높다.
6. 산업계 성명에 대한 개인정보보호위원회의 입장도 부적절하다. 개인정보보호위원회는 산업계 성명에 대한 해명 보도자료에서 “프라이버시 침해 위험을 최소화하면서도 불필요한 이용자 불편과 사업자 부담을 야기하지 않도록 최선의 정책 대안을 확정하기 위해 노력 중이며, 시행 시기와 방법 등도 이해관계자와의 충분한 소통을 바탕으로 신중히 결정해 나갈 계획”이라고 밝혔다. 원론적인 입장을 밝힌 것으로 보이지만, 마치 새로운 규범을 만드는 것처럼 ‘잘못된’ 메시지를 주고 있다. 다시 한번 강조하지만, 가이드라인은 개인정보보호법에 근거해야 한다. 개인정보보호법에서 벗어난 가이드라인은 더 큰 혼란을 초래할 뿐이다. 지금 횡행하고 있는 표적광고는 현행 개인정보보호법을 위반하고 있으며 이를 알면서 방치하는 것은 오롯이 규제 당국의 책임이라는 사실을 개인정보보호위원회는 잊지 말아야 할 것이다.
2023년 7월 11일
경실련, 서울YMCA 시민중계실, 민주사회를 위한 변호사모임 디지털정보위원회,
진보네트워크센터, 참여연대, 한국소비자연맹