사용자 동의 없이 개인정보(이용자의 타사 행태 정보)를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보 보호법을 위반한 구글과 메타에 시정 명령과 함께 약 1000억 원의 과징금이 부과됐다.
개인정보보호위원회(개인정보위)는 9월 14일 제15회 전체 회의를 개최해 구글과 메타의 법 위반에 대해 심의하고, 양사에게 위반 행위 시정 명령과 함께 구글에는 692억 원, 메타에는 308억 원의 과징금을 부과했다.
이번 처분은 온라인 맞춤형 광고 플랫폼의 행태 정보 수집· 이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금이다.
개인정보위는 언론 보도, 국정 감사 지적 등을 계기로 한국인터넷진흥원(KISA)의 지원을 받아 작년 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태 정보 수집·이용 실태를 점검해 왔다.
특히 플랫폼이 사용자가 다른 웹사이트 및 앱을 방문·사용한 행태 정보를 수집하여 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받았는지 여부를 중점으로 조사했다.
조사 결과, 구글과 메타는 자사 서비스 이용자의 타사 행태 정보를 수집·분석해 이용자의 관심사를 추론하거나 맞춤형 광고 등에 사용하면서 그 사실을 이용자에게 명확히 알리지 않고 사전에 동의도 받지 않은 것이 확인됐다.
구글은 서비스 가입 시 타사 행태 정보 수집·이용 사실을 명확히 알리지 않고, 그 설정 화면을 가려둔 채 기본값을 동의로 설정 하는 등의 방법을 사용하였고, 메타는 계정 생성 시 동의를 받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재했을 뿐, 법정 고지 사항의 구체적인 내용을 이용자에게 알리고 동의를 받지 않았다.
타사 행태 정보는 이용자가 플랫폼이 아닌 다른 웹사이트 및 앱을 방문· 사용하는 과정에서 자동으로 수집되므로 자신의 어떤 정보가 수집되는지 예측하기 어렵다.
특히 계정 정보와 연결하여 맞춤형 광고에 이용된 타사 행태 정보는 이용자 계정으로 접속한 모든 기기에 걸쳐 활용될 수 있고 지속적으로 축적될 경우 민감한 정보가 생성될 우려가 있음에도, 실제 조사 결과 대다수의 한국 이용자가 플랫폼의 타사 행태 정보 수집을 허용하도록 설정(구글: 82% 이상, 메타: 98% 이상)하고 있어 정보 주체의 권리가 침해 받을 가능성과 위험이 크다고 할 수 있다.
참고로 이러한 타사 행태 정보 등의 수집·이용과 관련해 구글의 경우 우리나라와는 달리, 유럽 이용자가 회원으로 가입할 때는 행태 정보 수집, 맞춤형 광고 및 개인정보 보호 설정 등을 이용자가 직접 선택하도록 단계별로 구분해 동의를 받고 있는 것이 확인됐다.
메타의 경우, 최근 한국의 기존 이용자들을 대상으로 행태 정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의 방식을 변경하려다 이용자들의 거센 반발을 샀다.
개인정보위는 이번 조사에 약 1년이 소요될 정도로 사실 관계 확인 및 판단의 범위가 넓은 만큼 법 위반이 명확히 입증된 구글과 메타의 개인정보 수집·이용 동의 위반에 대해 우선 처분하여 이용자 피해를 조속히 해결하기도 했다.
또한 메타의 최근 동의 방식 변경 시도와 관련한 사항을 포함해, 추가 조사가 필요한 사안에 대해서는 조사를 이어갈 계획이다.
