구글의 개인정보 처리 동의방식, 왜 문제가 됐을까?
최근 <개인정보보호위위원회>가 세계 최대 플랫폼 업체인 구글에 692억원의 과징금을 부과했습니다. 구글이 ‘개인정보보호법’을 위반했다는 이유였고, 그에 관한 ‘시정명령’ 처분도 함께 받았습니다.
복수의 업계 관계자 말을 들어 보면 구글의 전체 매출에서 광고가 차지하는 비중이 80%에 달한다고 합니다. 그중에서도 특히 ‘사용자 맞춤형 광고’를 운영하기 위해 구글이 개인정보보호법을 위반했다는 것이 <개인정보보호위원회>의 판단입니다.
사실 구글 등 이 정부기관으로부터 개인정보보호법 또는 정보통신망법 위반 등의 사유로 과징금 처분이나 벌금을 받은 것은 이번이 처음은 아닙니다.
특히, 최근 몇 년 새 구글이 유럽에서 일반개인정보보호법(GDPR) 위반 혐의로 수백억원에 달하는 벌금을 부과받았고 이에 불복, 행정소송을 제기했으나 ‘패소했다’는 뉴스를 들어본 적이 있으실 겁니다.
그 때마다 저도 많은 회사 관계자로부터 “우리 회사의 개인정보처리방침이 개인정보보호법을 준수하는지 검토해 주십시오”라는 요청을 받고 있는데요.
이 글에서는 ‘구글의 개인정보 처리 동의방식’이 왜 문제가 됐는지, 이를 해결하기 위해 어떤 노력이 필요한지에 함께 살펴보겠습니다.
문제가 되는 개인정보처리 동의방식
이미 많은 분이 알고 계신 것처럼, 개인정보처리자는 정보주체에게 동의를 받은 범위 내에서만 그 개인정보를 수집ㆍ이용할 수 있습니다.
특히, 1)정보통신서비스 제공자가 2)이용하기 위한 목적으로 개인정보를 수집하는 경우에는 ①수집ㆍ이용 목적 ②수집하는 개인정보의 항목 ③보유기간과 이용기간 모두에 대해 이용자에게 알리고 동의를 받아야 합니다.
바로 이러한 1) 정보통신서비스 제공자에 해당하는 구글이 2) 자사 맞춤형 광고에 활용하기 위하여 이용자의 행태정보를 수집하면서도 이 사실을 가입시 이용자에게 명확하게 알리지 않았다고 개인정보보호위원회가 판단한 것입니다.
여기서 ‘행태정보’란 타 웹사이트나 앱 방문·사용 이력, 구매·검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동정보를 의미합니다.
특히, 옵션 설정을 가려 둔 채 기본값을 ‘동의’로 미리 설정함으로써 개인정보 처리 동의방식을 적법하게 셋팅하지 않았다고 합니다(개인정보보호법 제39조의3 제1항 위반).
그래서 제가 가입 화면을 직접 살펴봤습니다.
이렇게 “Google 계정에 웹 및 앱 활동 저장” “Google 계정에 YouTube 기록 저장”에 동의하는 것으로 기본 설정돼 있습니다. 그리고 이러한 사실은 “옵션 더보기”를 클릭해 내용을 펼쳐야 알 수 있습니다.
이용자가 [옵션 더보기]를 펼쳐서 내용을 확인하고 [비동의]를 선택하지 않는 한, 구글은 타 사이트에서의 행태정보를 수집하고, 이용자는 그러한 사실 및 어떤 정보를 구글이 수집해 갔는지 전혀 예측할 수 없는 상황이 그동안 지속돼 온 것입니다.
기술적으로는 구글뿐 아니라 여느 플랫폼이라도 개별 이용자(회원)의 개인정보를 보유하고 있는 동안에는 이용자를 특정해 그의 계정으로 접속한 모든 기기를 추적하고, 그의 온라인 활동을 모니터링하는 것이 가능합니다. 플랫폼의 정책에 따라 개별 이용자의 익명성을 상실시킬 수 있고, 이용자의 사상·신념, 정치적 견해, 건강, 신체적·생리적·행동적 특징 및 민감한 정보를 플랫폼이 임의로 처리할 우려가 있으므로 이를 법과 정부 규제로 관리하고자 하는 것이 개인정보보호위원회의 취지일 것입니다. 개인의 사생활을 침해할 우려를 없애기 위한 노력이겠지요.
혹시 이 글을 읽으시던 중, 행태정보는 타 웹사이트에서 생성된 이용자 정보이므로 해당 웹사이트 운영자가 이용자로부터 동의를 받아야 하는 것이 아닌가 하는 의문을 가진 분이 계신가요?
아주 날카로운 의문입니다만, 그러한 의문은 구글이 행태정보를 수집한 방법을 알면 해소될 것입니다. 구글은 이용자가 특정 기기에서 로그인하는 경우, 해당 기기에 ‘이용자 식별 쿠키’를 생성 후, 이를 이용자의 기기에서 플랫폼이 직접 수집했습니다. 따라서 이 과정에서 타 웹사이트 운영자는 관여하지 않았다는 것이 <개인정보보호위원회>의 판단이었습니다.
그렇다면 우리는 어떻게 대처해야 하는가?
개인정보처리자(정보통신서비스 제공자 포함)는 개인정보의 처리에 대해 정보주체의 동의를 받을 때, 각각의 동의 사항을 구분해 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 합니다(동법 제22조 제1항).
특히, 다음의 사항에 관한 점은 법이 정한 ‘중요한 내용’에 해당하므로 명확히 표시하여 누구나 알아보기 쉬워야 합니다.
- – 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
- – 유전정보, 범죄경력자료 및 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보에 해당하는 민감정보
- – 여권번호, 운전면허의 면허번호 및 외국인등록번호
- – 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말함)
- – 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
또한, 정보주체에게 맞춤형 광고와 같이 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보를 수집하는 경우에는 이를 별도로 고지해야 하며, 만 14세 미만 아동의 개인정보를 처리하려는 경우에는 해당 아동의 법정대리인의 동의를 받아야 합니다.
결론을 말씀드리자면, 개인정보 처리 동의방식은 법에 따라 세심하게 셋팅해야 합니다. 특히, 이용자가 수집되는 개인정보 및 그 이용방법을 인지하고, 세부사항을 직접 선택할 수 있도록 구성해야 한다는 점입니다.
실제로 구글도 위 화면 중 아래 부분에 [웹 및 앱 활동에 관해 자세히 보기]를 클릭하면 관련 내용을 이용자들에게 알려주고 있습니다. 이 때 관련 내용을 접어두거나 기본값을 ‘동의’로 설정해두면 안 됩니다.
이번 과징금 처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집ㆍ이용과 관련한 제재입니다. <개인정보보호위원회>는 앞으로도 국내외 주요 온라인 플랫폼의 개인정보 처리 동의방식에 대해 지속적인 조사를 이어나갈 계획이라고 합니다.
개인정보보호법은 위반행위와 관련된 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 정하고 있습니다.(동법 제39조의 15) 따라서 적법한 개인정보 처리 동의방식을 마련해 안전한 개인정보 관리 체계를 확립할 수 있는 기회가 되길 바라겠습니다. The End
뉴스콘텐츠는 저작권법 제7조 규정된 단서조항을 제외한 저작물로서 저작권법의 보호대상입니다. 본 기사를 개인블로그 및 홈페이지, 카페 등에 게재(링크)를 원하시는 분은 반드시 기사의 출처(로고)를 붙여주시기 바랍니다. 영리를 목적으로 하지 않더라도 출처 없이 본 기사를 재편집해 올린 해당 미디어에 대해서는 합법적인 절차(지적재산권법)에 따라 그 책임을 묻게 되며, 이에 따른 불이익은 책임지지 않습니다.
- 에디터김 관식 (seoulpol@wirelink.co.kr)
