페북·인스타 이용자에게 개인정보 강제수집한 메타…시정명령·660만원 과태료 -etv세종-
페북·인스타 이용자에게 개인정보 강제수집한 메타…시정명령·660만원 과태료 개인정보위, “제3자 제공 고지 미흡”…카카오모빌리티에 600만원 과태료 처분 개인정보보호법 위반 판단…이용자 선택하도록 해야 [etv세종=세종/이문구기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 지난 8일 제2회 전체회의를 개최, 메타의 이용자가 타사 행태정보 제공을 거부하면 페이스북 및 인스타그램 서비스를 가입하여 이용할 수 없도록 한 개인정보 보호법 위반행위에 대하여 심의하고, 메타에게 시정명령 및 660만 원의 과태료 부과, 공표 등 시정조치를 의결했다 이번 처분은 메타가 페이스북과 인스타그램 서비스 가입 및 타사 행태정보 수집 전에 이용자에게 타사 행태정보 제공을 거부할 수 있는 선택권을 부여하지 않은 행위가 법 위반임을 분명히 밝히고, 이용자가 타사 행태정보의 제공을 거부하더라도 서비스를 계속 이용할 수 있도록 하고자 하는 것이다 개인정보위는 그간 주요 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태에 대해서 계속적으로 점검하여 왔으며, 지난해 9월 메타가 적법한 동의 없이 이용자의 타사 행태정보를 수집·이용한 행위에 대해서는 처분한 바 있다 지난해 5월 메타는 한국의 페이스북 및 인스타그램 이용자를 대상으로 행태정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의방식을 변경하려다 논란이 되자 철회한 바가 있다 당시 메타는 해당 동의화면만 철회(’22 7 28 )하였을 뿐, 여전히 페이스북 및 인스타그램에 가입시 타사 행태정보의 제공을 거부할 수 없도록 운영하고 있다 이와 관련 개인정보위는 페이스북 및 인스타그램 이용자가 다른 사업자의 웹사이트 및 앱을 방문·사용한 ‘온라인 활동기록’인 타사 행태정보가 페이스북 및 인스타그램 서비스 제공에 필요한 최소한의 개인정보인지 여부를 중점 조사했다 조사 결과 이용자의 타사 행태정보는 페이스북 및 인스타그램 서비스에 필요한 최소한의 개인정보가 아니며, 이를 제공하지 않으면 서비스를 가입하고 이용할 수 없도록 한 메타의 행위는 개인정보 보호법을 위반한 것임을 확인했다 우선 개인정보위는 페이스북과 인스타그램 서비스 이용자는 친구의 소식을 알고 소통하기 위해 해당 SNS 서비스를 이용하는 것이며, 맞춤형 광고를 보기 위한 목적으로 서비스를 이용한다고 보기는 어렵다고 판단했다 또한 메타가 맞춤형 광고를 위해 이용자 식별 기반의 타사 행태정보 외에도 페이스북 및 인스타그램 서비스 내에서 이용자로부터 이미 광범위한 개인정보를 수집하고 있다 그러나 메타와 유사한 광고 플랫폼들이 다른 웹 또는 앱에서의 활동 기록을 이용자 계정과 결합하지 않고도 사용한 기기를 식별하는 등 메타와 다른 방법을 통해 맞춤형 광고를 제공한다 실제로 메타 서비스 이용 중 타사 행태정보 제공을 거부하는 설정을 하더라도 서비스를 문제없이 이용 가능하다는 점과 메타의 실명기반의 타사 행태정보 수집을 이용자가 예상하기 어려워 사생활의 비밀과 자유를 심각하게 침해할 수 있다 개인정보위는 종합적으로 고려하여 메타의 맞춤형 광고를 위한 이용자 식별 기반의 타사 행태정보는 보호법 제39조의3 제3항에 따른 필요한 최소한의 정보가 아니라고 판단했다 개인정보위는 이번 처분이 맞춤형 광고 자체나 플랫폼의 행태정보 수집 행위에 대한 원칙적 금지를 의미하는 것이 아니라, 수집 전에 이용자에게 이에 대한 선택권을 부여함으로써 타사 행태정보 수집 이용을 거부하더라도 서비스를 계속해서 이용할 수 있도록 하는 취지임을 분명히 하였다 최근 유럽에서도 아일랜드 개인정보감독기구(DPC)는 메타가 행태정보를 활용하여 맞춤형 광고를 하는 행위가 적법한 근거가 없다는 점 등을 이유로 총3억 9,000만 유로(약 5천300억 원)의 과징금 부과 및 시정명령 등을 발표하였다 또한 개인정보보호위원회는 개인정보보호 법규를 위반한 ㈜카카오모빌리티에 대하여 600만 원의 과태료 부과 및 시정명령과 개선권고를 의결했다 ㈜카카오모빌리티는 자율주행 택시 호출 서비스를 위한 제3자 제공 추가 동의를 받는 과정에서 ‘개인정보를 제공받는 자의 이용목적’을 명확히 알리지 않았으며, 선택 동의 사항을 필수 동의 사항으로 구성하고 이용자가 미동의 시 기존 택시 호출 서비스 제공을 거부한 사실을 확인했다 위반내용을 구체적으로 살펴보면, 먼저 자율주행 택시 호출 서비스를 위한 제3자 제공 동의를 받는 과정에서 기존 택시 호출 서비스 선택 시 제3자 제공 동의 알림창이 나타나도록 구성하면서 개인정보 이용목적을 ‘서비스 내 이용자 식별, 탑승 관리 및 운영 전반’으로 기재했다 또한 기존 이용자가 제3자 제공에 추가 동의하지 않거나 ‘나중에 하기’를 선택할 경우 기존 택시 호출 서비스의 제공을 거부했다 이와 함께 자율주행 택시 호출 서비스 개시 전에 이용자에게 미리 제3자 제공 동의를 요구했다 양청삼 개인정보위 조사조정국장은 “개인정보처리자는 신규 서비스 도입 또는 기존 서비스 개선을 위하여 개인정보 수집·이용·제공 동의를 받을 경우, 정보주체에게 개인정보 이용목적을 쉽고 명확하게 알리고 동의화면을 세심하게 설계할 필요가 있다”고 강조하면서, “특히 이용자들이 서비스를 이용함에 있어 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 서비스 제공을 거부하지 않도록 주의해달라"고 당부했다 [영상-문화체육관광부 e-브리핑]