포털 사이트를 방문하다 보면 구글 광고 배너를 쉽게 접할 수 있다. 이 배너에는 평소에 검색하거나 즐겨 찾던 것들이 광고로 담긴다. 이것이 ‘맞춤형 광고’다. 개개인의 관심사를 토대로 생성된 이 광고는 누군가에게는 유용한 정보일 수 있지만 인터넷 방문 기록 등 사생활을 침해받는다는 인상을 주기도 한다. 구글과 메타가 맞춤형 광고 사업을 위해 가입자들의 행태정보를 무단 수집한 혐의로 총 1000억원의 과징금을 부과받은 가운데 개인정보보호위원회의 제재 배경 및 쟁점과 진행 상황을 알아본다.
구글·메타 무관 웹·앱 방문 시
활동 기록 수집해 맞춤 광고
정보 수집 동의 절차도 복잡
“이용자, 정보 행방 모르게 돼”
[천지일보=손지하 기자] 구글과 메타가 무단으로 수집했다는 ‘행태정보’가 무엇이고 이용자들에게 어떤 영향을 미치는지 관심이 쏠린다. 개인정보보호위원회(개인정보위)는 행태정보를 수집할 때 이용자들에게 충분히 설명한 후 동의를 받지 않으면 정보 주체의 권리와 사생활을 침해할 수 있다고 판단했다.
◆행태정보 수집이 위험한 이유 ‘사생활 침해’
행태정보는 쉽게 말해 이용자의 활동 기록을 말한다. 구글과 메타는 자사의 플랫폼을 운영하는 과정에서 가입자들이 어떤 웹사이트를 방문하고 어떤 애플리케이션을 사용하는지 그 기록을 수집해 맞춤형 광고를 송출하는 데 이용했다.
예를 들어 메타가 운영하는 페이스북의 경우 회원 가입을 하면 로그인 여부와 상관없이 자신의 웹·앱 방문·활동 정보가 메타 측으로 넘어가게 된다. 구글과 메타로부터 행태정보 수집 도구를 받은 사업자들은 계정(회원) 정보를 연동해 이용자의 활동 기록을 구글과 메타에 전달한다.
구글은 최소 지난 2016년 6월부터 올해 7월까지 최소 약 6년간 자사 서비스에 가입한 이용자의 타사 행태정보를 수집해 맞춤형 광고 등에 이용해 왔다. 구글은 개인 맞춤 광고 제공 등을 위해 AdSense, AdMob, AdManager 등의 행태정보 수집 도구를 사업자에게 제작·배포하고 있다. 또 웹브라우저에서 DSID, SID 등 이용자 식별 쿠키를 사용하고 모바일 기기에서 이용자 식별 토큰을 사용해 이용자의 로그인 활동을 관리하고 로그아웃할 때까지 이용자를 식별하고 기억할 수 있도록 하고 있다. 구글은 구글 계정에 로그인된 이용자의 구글 서비스 활동 내역과 타사 행태정보를 바탕으로 관심 분야를 분석·생성하고 맞춤형 광고를 표시하고 있다.
메타는 2018년 7월 14일부터 올해 7월까지 약 4년간 페이스북 등 자사 서비스에 가입한 이용자의 타사 행태정보를 수집해 맞춤형 광고 등에 이용했다. 이를 위해 픽셀 및 SDK 등의 행태정보 수집 도구를 사업자에게 제작·배포하고 있으며 웹브라우저에서 fr, fbc, fbp 등의 이용자 식별 쿠키를 사용하고 있다. 또한 페이스북 로그인, ‘좋아요’ 버튼, 소셜 로그인이나 소셜 플러그인 기능을 통해서도 이용자의 타사 행태정보를 수집하고 있다.
개인정보위는 이 같은 행태정보 수집·활용이 지속되면 이용자 식별이 가능해져 사생활 침해가 초래될 수 있다고 보고 시정 조치를 14일 의결했다. 이는 플랫폼 사업자가 행태정보로 제재를 받은 첫 사례다. 개인정보위는 온라인 광고 플랫폼의 행태정보 수집 및 맞춤형 광고 활용 실태를 점검한 결과 구글과 메타가 이용자의 동의를 받지 않고 개인정보를 수집·이용한 보호법 위반 사실을 확인했다. 이에 시정 명령을 내리고 각각 692억원, 308억원의 과징금을 부과했다.
개인정보위는 “이용자의 입장에서는 익명성이 보장된다고 믿고 있는 온라인 활동이 구글·메타에 의해 식별되고 광고에 활용돼 사생활 침해 부담을 안게 된다”며 “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지를 그 정보 주체가 스스로 결정할 수 없도록 해 이용자의 개인정보자기결정권에 대한 심각한 침해가 발생한다”고 제재 배경을 밝혔다.
◆“개인정보 수집 동의 방식에도 문제 있다”
양사가 단순히 행태정보를 수집하고 활용했다는 이유만으로 과징금을 부과받은 건 아니다. 이용자들에게 동의를 구하는 과정도 적절하지 못했다는 개인정보위의 판단도 있었다. 개인정보위는 양사의 행태정보 수집 동의 내용이 일반 이용자가 쉽게 읽지 못할 정도로 길고 어려웠으며 접근성도 떨어졌다고 지적했다.
구글과 메타가 자사 서비스 이용자의 타사 행태정보를 수집하면서 적법한 동의를 받지 않은 것은 보호법 제39조의3 제1항 위반에 해당한다. 이 법은 정보통신서비스제공자는 이용자의 개인정보를 이용하는 경우 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간의 모든 사항을 이용자에게 알리고 동의를 받도록 규정하고 있다.
양사는 동의를 받는 형식에 있어 이용자의 선택권을 제한했다. 구글은 가입 시 옵션 더보기를 가려둔 채 기본값을 동의로 설정했고 메타는 계정 생성 시 동의받을 내용을 개인정보 처리방침 전문을 확인하도록 한 것 외에 별도로 법정 고지사항을 제시하지 않았다.
내용적으로도 구글과 메타 모두 이용자의 타사 행태정보 수집·이용과 관련된 사항을 쉽고 명확하게 이해할 수 있도록 알리지 않았다. 구글은 개인정보보호 및 약관의 개인정보 수집 항목 및 이용·목적 부분에 타사 행태정보 수집·이용에 관한 문구 자체를 기재하지 않았다. 메타는 이해하기 어려운 전문적 용어를 사용하는 등 타사 행태정보 수집·이용에 대한 내용을 통상의 이용자가 명확하게 알기 어렵게 했다.
이에 대해 구글은 법정 고지사항을 알리고 적법한 동의를 받았다고 반박 중이다. 메타도 적법한 동의를 받았다고 주장하고 있다.
하지만 개인정보위는 “구글은 타사 행태정보의 특수성을 고려하지 않고 다른 개인정보와 포괄적으로 안내하고 있어 이용자가 해당 정보의 수집을 명확하게 인지하기 어렵다고 봤다”며 “메타는 개인정보처리방침 전문을 한 번에 다섯 줄밖에 보이지 않는 작은 박스에 게시했을 뿐 그 외에 별도로 법정 고지사항을 게시하지 않았다”고 이들의 주장을 불수용했다.
