개인정보위 "세이프 트랙 준수시 동의 없어도 맞춤형 광고 목적 정보 수집 가능"

[디지털투데이 백연식 기자] 개인정보보호위원회가 ‘온라인 맞춤형 광고 행태정보 처리 가이드라인’을 준비 중인 가운데, ‘안전한 행태정보 처리 환경’을 위한 조치 사항(세이프 트랙)을 준수한 경우, 이용자의 동의 없이도 맞춤형 광고 목적의 정보 수집이 가능하다는 입장을 밝혔다.

개인식별 위험이 낮아진 것으로 볼 수 있기 때문에 동의를 받지 않고도 맞춤형 광고 목적으로 행태정보를 처리할 수 있기 때문이다. 개인정보위는 지속적인 이해관계자들의 의견 수렴을 거쳐 이르면 오는 3분기 중 가이드라인을 발표할 계획이다. 또한 안전한 행태정보 처리업체 인증마크를 부여하는 등 자율규제를 통한 사업자들의 자발적 참여도 유도한다는 방침이다. 

14일 오전 정부서울청사에서 열린 기자 스터디(설명회)에서 맞춤형 광고 제도개선 작업반장을 맡고 있는 최경진 가천대 법학과 교수는 “규제에서 가장 안좋은 것은 까다롭거나 엄격한 규제가 아닌 예측이 안되는 규제”라며 “개인정보에 대한 대중들의 눈높이는 높아지고 있는데 현행 기준을 유지한다면 제재를 받는 국내 사업자들이 늘어나게 될 것”이라고 말했다. 이어 “동의를 받지 않고 행태정보를 수집해 맞춤형 광고에 활용할 수 있는 예외 루트도 만들었다”고 덧붙였다. 즉, 안전하게 행태정보가 처리되는 환경 조성을 위해 필요한 조건인 ‘세이프 트랙’이 갖춰진 사업자는 정보 수집 동의 부담이 적어진다는 것이다. 

개인정보위는 안전한 행태정보 처리 환경 조성을 위한 조건(세이프 트랙)으로 ▲온라인 식별자와 행태정보 모두 개인정보가 아닐 것 ▲행태정보를 개인정보와 물리적·논리적으로 분리할 것 ▲행태정보의 투명성 및 사후통제권에 관한 가이드라인을 준수할 것 ▲행태정보를 재식별되지 않을 수 있는 최소한의 기간만 보관해 관리할 것 등 4가지를 제시했다. 

김직동 개인정보위 신기술개인정보과장은 “개인을 특정할 수 없는 기기식별기반 정보라도 많은 양이 누적되거나 다른 정보들과 결합해 식별성이 높아질 수 있다”며 “(가이드라인 개정은) 이용자와 사업자 모두에게 안전한 광고 생태계 형성에 목적이 있다“고 말했다. 

행태정보란 온라인 상에서 일어나는 개인의 모든 활동을 말한다. 웹사이트 방문, 애플리케이션 사용, 검색, 구매 등의 활동을 통해 개인의 관심과 흥미, 기호, 성향 등을 파악할 수 있다는 특성이 있다. 이를 활용해 개인의 관심사에 부합하는 광고를 제공하는 것이 온라인 맞춤형 광고다. 온라인 맞춤형 광고의 경우 개인의 사생활을 과도하게 침해한다는 우려도 있지만 필요한 정보를 시의적절하게 제공할 수 있다는 장점도 있다. 

행태정보는 PC의 경우 쿠키를 통해, 모바일 디바이스의 경우 제조사가 기기별로 할당한 광고식별자(ADID)를 통해 수집이 가능하다. ADID의 경우 모든 광고플랫폼 사업자가 공통으로 활용할 수 있기 때문에 보다 신중하게 식별성을 다뤄야 한다는 것이 최근의 글로벌 트렌드다. 애플이 앱 추적 투명성(App Tracking Transparency, ATT) 정책을 도입하게 된 것도 이 같은 취지에서 소비자의 선택권을 강화하기 위한 것이었다. 행태정보와 맞춤형 광고는 효율적으로 보일 수 있으나 다양한 개인정보 침해 위험을 안고 있는 것이 사실이다. 개별 행태정보로는 이용자를 식별할 수 없으나 데이터가 쌓이면 식별 가능성이 높아져 사생활 침해로 이어질 수 있다는 것이 전문가들의 공통된 견해다.  

또 개인정보위는 행태정보가 워낙 고수익을 창출할 수 있는 만큼 사업자들이 정보 수집에 비해 개인정보보호를 경시할 가능성이 있다고 판단했다. 더 많은 행태정보를 수집하기 위해 다크패턴 등으로 이용자들의 개인정보 자기결정권을 침해하는 행위도 위험 요소로 해석했다.

개인정보위는 지난해 9월 구글과 메타의 맞춤형 광고와 관련해 개인정보보호법에 따라 1000억원에 이르는 과징금을 부과한 바 있다. 이용자 식별 기반이 아닌 기기 식별 기반으로도 행태정보를 수집해 맞춤형 광고에 활용하기 위한 분석기술이 급속하게 발전하는 상황에서 행태정보 이용 양태 및 누적해 활용되는 경향 등으로 인해 해당 영역에서의 개인정보보호법 적용 기준을 명확히 마련해야 한다는 필요성을 느꼈다고 개인정보위 측은 설명했다.

맞춤형 광고 영역에서 개인정보보호법 적용 기준을 명확히 할 필요가 있다는 업계의 요구에 산업계·학계·법조계 인사들로 공동작업반을 꾸려 한국인터넷기업협회 등 이해관계자들과 함께 제도 개선을 논의해 왔다. 

최 교수는 “개인정보위가 사업자들에게 예측 가능성과 신뢰성을 높여주는 강력한 유권해석을 해주는 것”이라며 “추후 개인정보 위반 사례에 대해서도 이 같은 판단 기준을 적용할 계획”이라고 강조했다.  

한편, 개인정보위가 준비하는 이번 가이드라인의 경우 2020년 개인정보위가 방송통신위원회로부터 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’(2017년 제정) 관련 업무를 넘겨 받은 이후 처음으로 개정하는 가이드라인이다. 개정 가이드라인은 업계 의견 수렴을 거쳐 연내 발표 이후 6개월간 유예 기간을 거치고, 내년부터 시행된다.