다른 서비스
NEW
기획
디자인
개발
프로덕트
아웃소싱
프리랜싱
비즈니스
최근 검색어
전체 삭제
최근 검색어가 없습니다.

비즈니스

맞춤형 서비스의 양면성: ②구글과 메타의 개인정보 위반 문제점

 

이전 글에서 플랫폼 비즈니스의 패러다임과 주요특징에 관해 설명했다. 플랫폼 비즈니스는 데이터를 통해 낮은 서비스 비용과 다양한 부가가치를 창출해 새로운 성장동력으로 주목받고 있다. 그러나 정보주체의 동의 없는 무분별한 데이터 수집과 이용으로 잡음이 끊이지 않고 있다. 이번 편에서는 데이터 기반 플랫폼 비즈니스의 대표적인 이익창출 방법인 맞춤형 광고로 인한 구글과 메타(구 페이스북)의 이슈에 대해 알아보자.

 

온라인 맞춤형 광고와 행태정보

최근 구글과 메타는 온라인 맞춤형 광고에 타사 행태정보 수집·이용 위반으로 개인정보보호위원회로부터 시정명령과 과징금 1,000억 원을 부과받았다.

 

‘행태정보’는 웹 사이트 방문이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동정보를 의미한다. 행태정보를 이용해 이용자에게 온라인 광고를 맞춤형으로 제공하는 것이 우리가 알고 있는 ‘온라인 맞춤형 광고’다.

 

온라인 맞춤형 광고에 필요한 행태정보를 수집하려면 이용자가 특정 기기에서 플랫폼에 접속해야 한다. 플랫폼은 이용자 브라우저 내에 이용자를 식별할 수 있는 식별값을 생성한다. 이용자가 행태정보 수집도구가 설치된 사업자의 웹이나 앱을 사용할 때 이용자 식별값과 타사 행태정보가 이용자의 기기에서 플랫폼으로 직접 수집된다. 최종적으로 플랫폼은 수집된 식별값과 행태정보를 분석하여 사용자 맞춤형 광고를 송출하게 된다.

 

개인정보 불법 수집
<출처: 본인>

 

국내에서는 온라인 맞춤형 광고로 인한 개인정보 침해 우려를 최소화하고 건전한 온라인 맞춤형 광고 생태계 조성을 위해 보호원칙과 조치방법을 명시한 가이드라인을 배포하고 있다. 온라인 맞춤형 광고 활용 시에는 행태정보 수집·이용의 투명성, 이용자의 통제권 보장, 행태정보의 안전성 확보, 인식확산 및 피해구제 강화를 통해 개인정보보호 원칙을 준수해야 한다.

 

가이드라인에 따르면, 온라인 맞춤형 광고 사업자와 온라인 광고 매체 사업자는 온라인상에서 이용자의 행태정보 수집·이용되는 사실을 이용자가 쉽게 알 수 있도록 안내해야 한다. 특히 광고 사업자가 데이터 수집 시에 사상, 신념, 가족 및 친인척관계, 학력, 병력, 기타 사회활동 경력 등 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 민감한 행태정보는 수집하지 않도록 최소한의 행태정보만 수집해야 한다. 만일 개인 식별정보와 결합하여 사용할 경우에는 반드시 이용자의 사전 동의를 획득해야 한다.

 

온라인 맞춤형 광고
<출처: 본인>

 

개인정보 정보주체가 동의내용을 충분히 인지하고 동의할 수 있도록 발간된 동의 안내서에 따르면, 정보통신서비스 제공자가 이용자의 개인정보를 수집·이용하기 위해 동의를 받는 경우에는 특례규정인 개인정보보호법 제39조의3이 적용되게 된다. 쿠키를 통해 수집하는 행태정보를 개인별 맞춤형 광고에 활용하고자 하는 경우는 서비스 제공 계약 이행과 무관한 목적이기 때문에 데이터 수집 시에 선택동의 항목으로 분류하여 별도의 동의가 필요하다.

 

동의 없는 수집
<출처: 본인>

 

 

구글과 메타의 개인정보 위반 현황

개인정보보호위원회의 조사결과, 구글과 메타는 자사 서비스 이용자의 타사 행태정보를 수집・이용하는 과정에서 이용자의 관심사를 추론하거나 맞춤형 광고 등에 사용하면서도 그 사실을 이용자에게 명확히 알리지 않거나 사전 동의도 받지 않았다.

 

구글은 2016년 6월부터 자사 서비스 가입 시 기본값으로 ‘동의’가 설정된 설정화면을 ‘옵션 더보기’ 버튼을 눌러야 볼 수 있도록 설정하여 타사 행태정보 수집・이용 사실을 명확히 알리지 않았다. 메타 역시 2018년 7월부터 자사 서비스 가입자의 타사 행태정보를 수집하여 맞춤형 광고에 이용하였으나 데이터 정책 전문을 다섯 줄 정보만 보이는 좁은 화면을 통해서 알리고 있었고, 행태정보 수집・이용에 대한 고지를 일괄적인 동의로 처리하고 있었다.

 

타사 행태정보는 이용자가 플랫폼이 아닌 다른 사이트나 앱을 방문・사용하는 과정에서 자동으로 수집되기 때문에 구체적으로 어떤 행위에 대한 어떤 정보가 수집되는지 이용자가 예측하기 어렵다. 국내 이용자 대다수는 플랫폼의 타사 행태정보 수집을 허용하도록 설정(구글: 82% 이상, 메타: 98% 이상 동의)하고 있다. 따라서 행태정보가 지속해서 수집되면 민감한 정보가 생성되어 정보주체의 권리가 침해 받을 가능성과 위험성이 높아지게 된다.

 

타사 서비스 활동정보
<출처: 본인>

 

개인정보보호위원회는 구글과 메타가 타사 행태정보 수집・분석・이용에 대해 이용자에게 명확하게 알리지 않았고 사전에 제대로 동의를 받지 않았으므로 개인정보보호법 제39조의3제1항을 위반한 것으로 판단했다.

 

개인정보 수집 특례
<출처: 본인>

 

반면 구글은 국내와 달리 유럽에서 회원가입 시 국내에서 제공하지 않는 ‘빠른 맞춤설정(1단계)’ 혹은 ‘수동 맞춤설정(5단계)’ 선택화면을 제공하고 있다. 수동 맞춤설정을 하는 경우 ‘웹 및 앱 활동’, ‘YouTube 기록’, ‘광고 개인 최적화’등을 통해 구글이 수집하는 데이터와 사용방법을 고지하여 정보주체인 이용자가 개인정보 보호설정 및 맞춤형 광고 등을 인지하여 직접 선택할 수 있도록 하고 있다. 빠른 맞춤설정은 수동 맞춤설정의 5단계를 한 번에 보여주고 이러한 설정을 2주 내에 검토할 수 있도록 알림 기능을 제공한다.

 

메타 또한 유사하게 2022년 5월 국내 이용자를 대상으로 행태정보 수집 등에 동의하지 않으면 서비스를 제한한다는 내용의 동의방식으로 변경하려다가 이용자들의 거센 반발로 인해 이를 철회한 바 있다.

 

플랫폼 사업자인 구글과 메타가 국내 이용자들에게 개인정보보호 설정 및 맞춤형 광고에 대한 이용자 선택권 배제 및 무성의한 데이터 정책 고지방식은 이용자 행태정보 수집・이용에 대한 플랫폼 기업의 고객이 배제된 비즈니스 시각을 보여주고 있어 아쉬움이 느껴진다.

 

 

행태정보 이용에 대한 해외 대응현황

플랫폼 비즈니스 기업이 행태정보를 이용해 맞춤형 광고를 하는 과정에서 과도한 개인정보 노출이나 무분별한 개인정보 수집 이슈는 비단 국내만의 문제는 아니다. 해외 주요국에서도 글로벌 플랫폼 기업들의 무분별한 개인정보 수집・이용에 대한 제동을 걸고 있다.

 

2019년 프랑스에서도 국내의 구글 개인정보 동의방식과 유사한 동의방식이 문제가 되었다. 국내 사례와 유사하게 기본값으로 ‘동의’가 설정된 설정화면을 ‘옵션 더보기’ 버튼을 눌러야만 확인한 것이다. 프랑스 CNIL(개인정보보호 감독기구)은 개인정보 수집・처리 절차 안내가 복잡하고 파편화되어 있어 ‘투명성(GDPR 제12조)’을 위반한 것으로 보았다. 또한 맞춤형 광고 제공을 위한 개인정보 수집・처리의 법적 근거 부족과 정보주체의 명시적 동의부재로 인한 유효동의 달성 부재로 ‘처리의 적법성 준수 의무(GDPR 제6조)’ 위반으로 보고 5,000만 유로(당시 642억 원)의 과징금을 부과했다.

 

프랑스 CNIL은 이용자가 개인정보처리방침을 다섯 번 이상 클릭해야 하기 때문에 ‘손쉬운 접근’ 요건이 결여되어 있고, 맞춤형 광고 제공을 위한 동의를 사전에 체크하고 ‘옵션 더보기’로 확인해야 체크사항을 철회할 수 있기 때문에 동의하는 행위가 ‘정보주체의 명확한 행동’을 수반하지 않았기에 구글의 문제라고 판단했다.

 

이에 따라 2020년 프랑스 CNIL은 프랑스 개인정보보호법 제82조에 의거하여 구글에 역대 CNIL이 부과한 과징금 중 가장 큰 금액인 1억 유로(당시 2,000억 원)의 과징금을 부과했다. 당시 프랑스 CNIL의 결정은 온라인 마케팅을 위한 맞춤형 광고에 개인정보보호를 최우선 과제로 삼아야 하는 걸 강조했다. 특히 이용자가 데이터 수집여부를 쉽게 인지할 수 없는 쿠키 및 기타 추적장치 사용은 적절한 동의절차를 반드시 준수해야 한다는 플랫폼 비즈니스 기업에 대한 경고였다.

 

메타 역시 2019년 독일 연방카르텔청으로부터 그룹 자회사인 인스타그램, 왓츠앱 등 제삼자의 개인정보를 이용자 동의 없이 수집하고 처리한 행위를 시장지배적 지위 남용으로 보고 독일 경쟁법 위반행위로 결정했다. 메타가 개인정보의 프로파일링이나 ‘디바이스 핑거프린팅(이용자 고유의 소프트웨어 설정을 분석하고, 디바이스나 브라우저를 특정해 온라인으로 이용자를 추적하는 기술)’에 대해 이용자의 동의가 필요하다고 봤기 때문이다.

 

이처럼 플랫폼 비즈니스에서 데이터는 반지의 제왕의 절대반지와 같은 존재다. 긍정적인 목적으로 사용되는 경우 광고주와 광고 타깃을 향한 효율적인 마케팅으로 시간과 비용을 절약하여 파괴적인 비즈니스 생태계 활성화를 조성할 수 있다. 하지만 부정적인 목적으로 사용되는 경우에는 개인정보 수집으로 인한 소비자 불안과 개인정보 유출 및 악용 등이 우려되기 때문에 활용과 보안의 균형을 잘 잡아야 한다.

 

 

안전한 데이터 활용을 위한 향후 과제

안전 데이터 활용
<출처: flaticon>

 

개인정보 보호의 기본 원칙은 최소정보 수집에서 시작된다. 이용자가 이용목적과 활용 사실을 인지하고 동의에 기반한 데이터 수집이 최소수집 원칙을 준수한 것이다. 2022년 5월 ‘개인정보의 수집 및 이용’에 동의하지 않으면 페이스북과 인스타그램 서비스를 제한하겠다고 했다가 국내 반발에 의해 철회했던 메타의 사례처럼 서비스를 볼모로 행태정보 수집 동의를 강요받게 되면 정보주체의 권리를 강화하고자 했던 국내 개인정보보호법의 취지가 무색해지게 된다.

 

최근 유럽연합(EU)에서는 구글, 메타와 같은 플랫폼 기업의 시장 독점 금지를 위한 ‘디지털서비스법’이 통과했다. ‘맞춤형 광고에 대한 개인 데이터 처리를 거부한다고 해서 플랫폼 기능을 비활성화해서는 안 된다’는 내용이며, 디지털 규제를 위한 포괄적인 기준을 강화한 조치라고 볼 수 있다. 국내에서도 개인정보보호법에서 최소한의 개인정보 수집 및 최소한의 개인정보 이외에 정보 미제공으로 인한 서비스 제공 거부를 규정하고 있다.

 

이와 함께 맞춤형 광고에 사용되는 행태정보는 쿠키를 통해 수집되기 때문에 쿠키에 대한 구체적인 규제가 필요하다. EU에서는 행태정보 추적 강화를 위해 쿠키에 대한 별도 규정을 담은 ‘전자프라이버시 지침(ePrivacy Directive)’을 시행하고 있고, 미국에서도 캘리포니아 소비자 프라이버시 법을 통해 쿠키를 고유 식별자 또는 고유한 개인식별자의 한 유형으로 명시하고 있다.

 

이에 반해 국내에서는 행태정보 처리 시 준수사항에 대한 구체적인 기준이 미비한 상태다. 행태정보가 개인정보와 연계되는 경우 개인정보 노출 및 침해 위험성에 대비하기 위해 행태정보 처리에 대한 구체적인 기준 마련과 이용자 보호를 위한 지속적인 모니터링이 중요하다.

 

중요한 점은 플랫폼 기업들이 서비스 목적에 맞는 데이터 수집과 이용이 이뤄질 수 있도록 행태정보 규제강화와 최소정보수집 원칙준수여부의 지속적인 대응이 필요하다. 이러한 대응을 통해 고객이 안전하게 인터넷 이용을 할 수 있는 환경이 만들어지기를 바란다.

 

요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.

댓글 0

김보안

정보관리기술사로서 보안전문가로 일하고 있습니다.
다양한 방면의 보안지식 공유를 통해 즐거움을 느낍니다.

같은 분야를 다룬 글들을 권해드려요.

요즘 인기있는 이야기들을 권해드려요.

일주일에 한 번!
전문가들의 IT 이야기를 전달해드려요.

[구독하기] 버튼을 누르면 개인정보 처리방침에 동의됩니다.

일주일에 한 번! 전문가들의 요즘IT 이야기를 전달해드려요.

[구독하기] 버튼을 누르면 개인정보 처리방침에 동의됩니다.