개인정보수집 동의 의무, 플랫폼과 서비스 중 어디에?...개인정보위 vs 구글·메타 공방

[디지털투데이 백연식 기자] 개인정보보호위원회가 구글·메타에게 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용했다는 이유로 약 1000억원을 넘어서는 과징금을 부과했다. 이번 과징금 규모가 개인정보보호법 위반으로는 역대 최대 규모다. 구글·메타는 즉각 반발하며 소송을 검토하고 있는 것으로 알려졌다.

핵심 쟁점은 수집 동의 의무로 정부는 구글이나 메타 등 플랫폼 사업자가 의무가 있다는 입장이다. 하지만 구글·메타는 플랫폼 사업자가 아니라 웹사이트 및 앱서비스 사업자가 동의를 받아야 한다고 주장했다. 구글·메타는 플랫폼이 동의를 받아야 한다고 해도, 자신들은 처리방침 등을 통해 이용자들에게 알리고 동의를 받았다는 입장이다. 그동안 플랫폼이 무료 서비스를 제공한다는 명목으로 개인정보를 무단 수집·이용해 온 상황에서 일단 제동이 걸릴 전망이다.

개인정보위는 14일 서울 종로구 정부서울청사에서 제15회 전체회의를 열고 구글과 메타의 행태정보 수집 및 맞춤형 광고 관련 보호법 위반에 대한 심의 결과 과징금 약 1000억원을 부과하기로 의결했다고 밝혔다. 구글에는 629억원, 메타는 308억원이 각각 부과됐다. 이번 과징금은 구글 및 메타가 제출한 3개년도(2019~2021년) 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 위반행위의 중대성, 기간 등을 고려했다. 보호법 제39조의15에 따르면 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.

개인정보위는 2020년 국정감사 지적 등을 계기로 한국인터넷진흥원의 지원을 받아 지난해 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태를 점검해왔다. 이번 조사에서는 플랫폼이 이용자가 다른 웹사이트 및 앱을 방문·사용한 행태정보를 수집해 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받았는지 여부를 중점 조사했다.

개인정보위에 따르면 구글과 메타는 자사 서비스 이용자의 타사 행태정보를 수집·분석해 이용자의 관심사를 추론하거나 맞춤형 광고 등에 사용하면서 그 사실을 이용자에게 명확히 알리지 않고 사전에 동의도 받지 않은 사실이 위원회 조사 결과 드러났다. 구글은 서비스 가입 시 타사 행태정보 수집·이용 사실을 명확히 알리지 않고, 설정화면 ‘옵션 더보기’를 가려둔 채 기본값을 ‘동의’로 설정하는 등의 방법을 사용했다. 메타는 계정 생성 시 동의 받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재하고 법정 고지사항의 구체적인 내용을 이용자에게 알리거나 동의를 받지 않았다.

문제는 타사 행태정보는 이용자가 플랫폼이 아닌 다른 웹사이트 및 앱을 방문·사용하는 과정에서 자동으로 수집되기 때문에 자신의 ‘어떤 정보’가 수집되는지 예측하기 어렵다는 점이다. 이날 열린 브리핑에서 양청삼 개인정보위 조사조정국장은 “계정정보와 연결해 맞춤형 광고에 이용된 타사 행태정보는 이용자 계정으로 접속한 모든 기기에 걸쳐 활용될 수 있고, 지속적으로 축적될 경우 민감한 정보가 생성될 우려가 있다”며 “실제 조사 결과 구글의 경우 82%, 메타의 경우 98% 이상의 한국 이용자가 플랫폼의 타사 행태정보 수집을 허용하도록 설정하고 있어 정보주체의 권리가 침해받을 가능성과 위험이 크다”고 말했다. 

구글과 메타는 이같은 개인정보위 심의 과정에서 이용자의 행태정보 수집에 대한 동의는 플랫폼 사업자가 아니라 웹사이트 및 앱서비스 사업자가 동의를 받아야 한다고 주장했다. 플랫폼이 동의를 받아야 한다고 해도, 처리방침 등을 통해 이용자들에게 알리고 동의를 받았다는 입장이다. 그러나 개인정보위는 이용자의 온라인 활동기록을 추적해 관심사를 추론하거나 맞춤형 광고 등에 사용하는 주체가 플랫폼인 구글과 메타이며, 이 과정에서 이용자 동의를 받지 않았으므로 적법 의무 규정을 위반했다고 판단했다. 이들의 주장을 받아들이지 않은 것이다. 

양 국장은 “기본적으로 플랫폼이 맞춤형 광고를 목적으로 회원인 이용자의 타사 행태정보를 수집한 것이고 그 과정에서 사업자들이 행태정보를, 수집도구를 자기 웹사이트에 설치하는 등 보조적인 역할을 했다”며 “플랫폼이 타사 행태정보를 수집하는 전체 정보처리 과정에 있어서의 목적, 수단 이런 것들을 따져봤을 적에는 플랫폼에 동의 의무가 있다고 판단했고 사업자의 주장을 받아들이지도 않았다”고 설명했다.

이어 “플랫폼이 수행하는 타사의 행태정보 수집에 있어서 기본적인 동의 의무는 플랫폼에 있다는 사실에 대해 해외의 여러 처분 사례에서도 우리 위원회의 판단과 동일한 사례를 보여주고 있다”고 강조했다. 

최근 논란이 된 메타의 개인정보 동의 강요 행태도 처분을 받게 될 가능성이 있다. 메타는 지난 7월 페이스북, 인스타그램 등 이용자들에게 개인정보 수집 동의를 요구하는 등 동의방식 변경을 시도했다가 철회한 바 있다. 개인정보위는 철회 여부와 상관 없이 메타의 개인정보 수집 동의 강요에 대해 조사를 진행 중이다.

이와 관련 개인정보위 관계자는 “보호법 제39조의3 제3항에 따르면 이용자가 필요 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스의 제공을 거부해서는 안된다고 규정하고 있다”며 “개인정보위는 이에 근거해 메타가 수집하는 타사 행태정보 등이 서비스 제공을 위해 반드시 필요한 정보인지를 중점적으로 검토하고 있다”고 말했다.

윤종인 개인정보위 위원장은 “디지털 전환과 데이터경제의 대표기업인 구글과 메타는 개인정보의 수집과 활용 전반에 걸쳐 헌법과 개인정보보호법이 정한 규정을 준수하고 보다 강화된 사회적 책임의식을 가져야 한다. 이들 기업의 막대한 개인정보 수집과 처리과정에 내재하는 불투명성은 정보 주체의 개인정보 결정권 실현을 저해하는 심각한 문제이며, 엄정한 투명성 책임이 요구된다”며 “대한민국 개인정보보호법 제39조의 3조에서 개인정보처리자는 개인정보의 수집·이용 목적 등을 알리고 자발적 동의, 즉 알고 하는 동의를 얻도록 하고, 이를 위해 개인정보처리자가 동의 여부 판단에 필요한 충실한 정보를 제공하도록 하고 있다”고 설명했다. 

이어 “구글과 메타는 플랫폼 이용자들에게 본인의 제삼자 사이트 행태정보 수집 사실을 누락하고, 명확하지 않거나 혼란을 유발할 수 있는 표현을 사용함으로써 개인정보 수집에 관한 유효한 동의를 받지 않았다”며 “이는 개인정보의 처리에 관한 정보를 제공받을 권리, 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 등 기본적인 정보주체의 권리를 부정하고, 정보주체와 개인정보처리자 간 신뢰관계의 필수요소인 알고 하는 동의를 무력하게 한 것이다. 즉, 이용자를 기만하는 은밀한 개인정보 수집행위라고 볼 수 있다”고 강조했다.