본문 바로가기
Technology Study/1. Personal information

[개인정보 이슈]2022 국정 감사로 보는 구글/메타 개인정보 이슈

by 행태정보수집가 2022. 11. 2.

2022 국정감사에서 나온 '구글, 메타 등 글로벌 플랫폼 개인정보 수집 관련 집중 질의'에 대한 개인정보위원장님의 답변을 토대로 글을 정리하며 공부를 해볼려 합니다.

서론

개인정보보호위원회에서 보도한 "구글과 메타의 개인정보 불법 수집 제재"에 따르면 개인정보보호법 제39조의 3(개인정보의 수집·이용 등에 대한 특례) 위법으로 약 1000억 원의 과징금을 구글과 메타에게 부과하였습니다. 이 사항에 대해서 구글과 메타가 개인정보보호법을 어떻게 위반하였는지 알아보겠습니다.

 

제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)

① 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.

1. 개인정보의 수집ㆍ이용 목적

2. 수집하는 개인정보의 항목

3. 개인정보의 보유ㆍ이용 기간

② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.

1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

3. 다른 법률에 특별한 규정이 있는 경우

③ 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다.

④ 정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다.

⑤ 정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.

⑥ 보호위원회는 개인정보 처리에 따른 위험성 및 결과, 이용자의 권리 등을 명확하게 인지하지 못할 수 있는 만 14세 미만의 아동의 개인정보 보호 시책을 마련하여야 한다.

 

 

구글(과징금 692억 원)

  • 문제점
    1. 타사 행태정보 수집 이용 사실을 이용자에게 명확히 알리지 않음
    2. 수집 동의에 대한 설정화면을 가려둔 채 기본값을 '동의'로 설정
  • 근거
    1. 이용자가 자신의 어떤 정보를 수집하는지 예측하기 어려움
    2. 계정정보와 연결하여 맞춤형 광고에 이용된 타사 행태정보는 이용자 계정으로 접속한 모든 기기에 걸쳐 활용 가능하고 지속적으로 축적될 경우 민감한 정보가 생성될 우려가 있음
    3. 실제 구글 이용자 82% 이상이 행태정보 수집 허용에 동의하고 있어, 정보주체의 권리가 침해받을 가능성과 위험이 큼

※유럽 이용자의 경우 행태정보 수집, 맞춤형 광고 및 개인정보 보호 설정 등을 이용자가 직접 선택하도록 단계별 구분하여 동의를 받고 있음

 

메타(과징금 308억 원)

  • 문제점
    1. 계정 생성 시 동의받을 내용을 이용자가 알아보기 쉽지 않은 형태로 게재
    2. 법정 고지사항의 구체적인 내용을 이용자에게 알리고 동의받지 않음
  • 근거
    1. 페이스북 : 한 번에 다섯 줄 밖에 보이지 않는 스크롤 화면에 행태정보 수집 관련 사항이 포함된 정책 전문 694줄을 게재
    2. 인스타그램 : 더 알아보기를 누를 경우 데이터 정책 전문을 보여주며, 이 또한 146000여 개 글자, 694줄

※행태정보를 수집 등에 동의하지 않으면 서비스 제한한다는 내용을 발표했다 철회시킴

※약 4년간 이용자의 타사 행태정보를 수집하고 맞춤형 광고 등에 이용하면서, 이용자에게 이 사실을 명확하게 알리고 동의를 받지 않음

국정감사 질의

Q1. 이용자 식별정보를 넘어서 비식별 기반의 개인정보 수집 행위에 대한 제도 개선 필요하다.
A. 구글 및 메타의 처분 건의 경우 식별정보를 행태정보와 결합(식별정보로부터 시작)하여 문제가 된 것이다.
A. 비식별정보를 통해서 행태정보를 수집하고 맞춤형광고 등의 활동의 가능성도 존재하기에 추가적으로 조사하는 과정이며, 기업에게 비식별정보에 관한 가이드를 제공할 것이다.

 

식별정보, 비식별정보, 행태정보란 무엇인가?

식별정보 : 개인을 식별할 수 있는 정보를 뜻하며, 개인정보를 뜻합니다.

출처: 개인정보보호 포털

비식별정보 : 정보의 일부 또는 전부를 삭제·대체 하거나 다른 정보와 쉽게 결합하지 못하도록 하여 특정 개인을 알아볼 수 없도록 하는 일련의 조치를 말합니다.

출처: 개인정보보호 포털

행태정보

출처 : 온라인 맞춤형 광고 개인정보보호 가이드라인

 

개인정보와 행태정보를 결합했을 때와 비식별정보와 행태정보를 결합했을때 무엇이 다른가?

식별정보와 행태정보를 결합한다는 것은 개인의 프라이버시와 관련이 있습니다. 예를 들어 서울 강남구 개정아파트에 사는 홍길동(식별정보)가 있다고 가정해봅시다. 홍길동씨는 A기업의 플랫폼을 이용하여 강아지를 검색(행태정보)하였습니다. 식별정보와 행태정보가 결합하였을 때, '서울 강남구 개정아파트에 사는 홍길동이라는 사람이 A기업의 플랫폼을 이용하여 강아지를 검색' 하였단 개인의 프라이버시가 됩니다. 홍길동이 강아지에 관심이 있든 없든, 강아지라는 키워드를 검색했다는 사실은 하나의 작은 행동에 불과하지만, 이러한 데이터가 쌓이면 홍길동의 관심, 흥미, 성향 등을 충분히 파악할 수 있고, 프라이버시 침해로 이어질 수 있습니다.

 식별정보가 아닌 비식별정보라고 가정해보겠습니다. 식별정보를 가명화하여 서울시 OO구에 사는 홍OO(비식별정보)라고 했을때, 이는 행태정보와 결합한다고 하더라도 개인을 식별할 수 없기에 식별정보와의 결합과는 명확히 다르게 보아야 합니다.

 

 

맞춤형 광고가 문제인 것인가?

구글과 메타의 문제의 원인은 정보의 수집·이용에 있어서 이용자가 이를 인지하지 못한다는 점입니다. 플랫폼이 이용자의 정보를 수집하는지, 플랫폼은 이용자의 어떠한 정보를 수집하는지, 이용자는 플랫폼의 정보수집에 동의를 하였는지 등 이용자의 안전성과 통제권을 확보하지 못하였기에 발생한 문제입니다.

출처: 온라인 맞춤형 광고 개인정보보호 가이드라인

 

 

앞으로의 행보(개인정보보호위원회 보도자료(2022.9.27), "개인정보위, 산업계·전문가와 함께 맞춤형 광고 제도개선 착수")

구글

맞춤형 광고의 개인정보보호 강화를 위한 개인정보 규제 유예(Privacy Sandbox) 정책 추진 중(‘24년 하반기 적용 예정)

 

애플

아이폰의 광고식별자(IDFA) 수집·이용 시 이용자 사전동의를 받도록 하는 에이티 (ATT, App Tracking Transparency) 정책 시행 중(’21.4~)

 

방안

특히, 다양한 의견을 반영한 합리적인 제도개선 방안 논의를 위하여 작업반장을 3인(학계,산업계,정부)으로 구성하였으며, 이날 회의에서는 맞춤형 광고의 개인정보보호를 위해 향후 작업반에서 다룰 주제를 선정하기 위한 논의를 진행한다. ○ 향후 작업반에서는 국내‧외 맞춤형 광고 작동방식 및 해외동향 등을 참고하여 이용자의 사생활과 권리를 보호할 수 있는 제도개선 방향을 도출하고, 맞춤형 광고에 대한 선택권, 안전성‧투명성‧책임성 등을 확보할 수 있는 바람직한 제도개선 방안을 마련할 계획이다. □ 이정렬 개인정보정책국장은 “맞춤형 광고 분야는 광고플랫폼, 광고주, 온라인 서비스 등 복잡한 이해관계가 얽혀있는 만큼 산업계를 비롯한 각계 전문가들과 충분한 논의를 통해 풀어가야 할 사안이다”며, ○ “국내‧외 기술 및 정책 환경변화를 반영하여, 이용자의 자유로운 선택권을 보장하면서 투명하고 안전하게 맞춤형 광고가 제공되도록 합리적인 방안을 마련하겠다”고 밝혔다.

 

 

 

 

Q2. 대형 플랫폼 기업들은 사내독립기업(CIC)들이 부서를 확장시킴으로서 정보가 이관되며, 문제가 발생할 수 있는 부분이 존재한다. 기업이 스스로 재발방지를 제안하고 피해보상하는 제도가 필요하다고 생각한다.
A. 플랫폼기업들이 정보를 수집하는 것은 갈수록 많아질 것이다.
A. 법 위반인지 여부에 앞서서 개별플랫폼 영역의 특징이 존재하기에 자율규재 형태로 진행하고 있다.
A. 7월달 오픈마켓 분야의 자율규약을 마련함, 주문배달 영역도 논의 중

 

 

 

출처 :

(2022 국정감사) https://www.youtube.com/watch?v=BFXjGUOMY2Q 

(개인정보보호위원회) https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?mCode=C020010000

(개인정보보호 포털) https://privacy.go.kr/nns/ntc/inf/personalInfo.do

 

 

티스토리툴바