개인정보보호위원회가 개인정보 불법 수집을 이유로 세계 최대 플랫폼 업체인 구글과 페이스북의 모기업인 메타에 1000억원의 과징금을 부과했지만 두 업체는 “적법한 절차를 거쳤다”라는 반응을 보이고 있다. 메타의 경우 “법원의 판단을 포함한 모든 가능성을 열어두고 있다”라며 강경 대응을 예고하면서 두 업체가 책임을 회피하고 있다는 비판의 목소리가 나온다.
15일 정보기술(IT) 업계에 따르면 개인정보위는 전날 구글과 메타가 적법한 동의 없이 광고 제공 이외의 목적으로 개인정보를 수집하고 있다는 이유로 각각 692억원, 308억원의 과징금을 부과했다. 개인정보위는 이용자의 타사 행태정보를 수집·이용하려면 이용자가 쉽고 명확하게 인지해 자유로운 결정권을 행사할 수 있도록 이용자에게 알리고, 동의를 받아야 한다는 내용의 시정 명령도 내렸다.
행태정보는 이용자가 특정 웹사이트나 애플리케이션(앱)에서 실행한 검색, 구매 기록 정보를 말한다. 기업은 행태정보를 수집하기 위해 이용자의 스마트폰이나 PC 등에 저장된 쿠키(웹사이트에 접속할 때마다 자동으로 생성되는 임시 파일)를 활용한다. 개인정보위는 조사를 통해 구글과 메타가 서비스 이용자의 타사 행태정보를 수집·분석해 맞춤형 광고에 사용하면서 그 사실을 이용자에게 명확히 알리지 않고 사전에 동의를 받지 않은 사실을 확인했다.
구글의 경우 지난 2016년부터 이용자 행태정보 수집·이용 사실을 명확히 알리지 않고 설정 화면을 가려둔 채 기본값을 ‘동의’로 설정해 사실상 개인정보를 불법 수집한 것으로 개인정보위는 보고 있다. 메타는 지난 2018년부터 동의가 필요한 내용을 이용자가 알아보기 어려운 방식으로 게재해 사실상 개인정보를 불법 수집했다. 페이스북 계정을 생성할 때 한 번에 다섯 줄밖에 보이지 않는 화면에 700줄에 가까운 데이터 정책 전문을 게재하는 식이다.
구글과 메타 같은 온라인 플랫폼은 별도 수익 모델 없이 맞춤형 광고 매출에 의지하고 있다. 지난해 애플이 개인정보보호 정책을 강화하자 메타와 구글의 광고 매출이 큰 타격을 입은 게 대표적인 사례다. 그럼에도 구글과 메타는 이용자 정보와 관련해 불법은 없다고 주장하고 있다. 이용자 정보 수집 주체가 자신들이 아닌 행태정보 수집 도구를 설치한 앱 사업자에게 있다는 것이다. 쇼핑 앱에서 나온 이용자 정보를 활용한 경우 쇼핑 앱을 만든 사업자가 정보를 수집했을 뿐 정보를 제공받아 활용한 자신들은 법을 어기지 않았다는 주장이다.
구글과 메타는 개인정보위 과징금 결정 직후 입장문을 통해 강하게 반발했다. 구글은 “심의 결과에 깊은 유감을 표하며, 서면 결정을 면밀히 검토할 계획이다”라며 “구글은 이용자들의 데이터 통제권과 이에 따른 투명성 제고를 위해 지속적인 제품 업데이트를 통해 최선의 노력을 다했으며, 앞으로도 한국 이용자의 프라이버시 보호를 위해 개인정보위와 협의해 나가겠다”라고 했다. 메타는 “개인정보위의 결정을 존중하지만 메타는 관련 법안을 모두 준수하고 적법한 절차를 통해 고객사와 협업하고 있다고 자신한다”라며 “이번 결정에 동의할 수 없으며, 법원의 판단을 포함한 모든 가능성을 열어둔 채 사안을 면밀히 검토할 방침이다”라고 했다.
구글과 메타의 반발에 시민사회단체를 중심으로 비판의 목소리가 나오고 있다. 경제정의실천시민연합 등 시민사회단체들은 전날 공동성명을 통해 ”빅테크의 불법적 개인정보 수집에 대한 개인정보위의 제재를 환영한다”라며 “수년간 만연했던 불법적 행태정보 수집에 처음으로 제동을 걸었다는 점에서 환영한다”라고 했다. 이어 “개별 사이트에서 쿠키에 대한 개인정보 수집 동의를 받아야 할 필요성과 맞춤형 광고를 위한 온라인 경매 과정의 개인정보 침해는 다루지 않았는데 추가 조사를 이어가겠다고 한 만큼 적절한 조치를 기대한다”라고 덧붙였다.
전문가들은 개인정보 불법 수집에 대한 심도 깊은 논의가 필요하다고 입을 모은다. 최경진 가천대 법학과 교수는 “개인정보위는 개인정보를 실질적으로 수집하고 활용한 주체, 즉 실제 데이터 수집의 통제권을 갖고 이익을 얻은 주체를 구글과 메타로 파악한 것이다”라며 “그러나 구글과 메타는 대외적으로 정보 수집의 주체로 보이는 사업자, 즉 앱을 운영한 네이버 등 국내 플랫폼 사업자 때문이라며 문제를 한쪽 탓으로 몰고 있다”라고 했다. 권헌영 고려대 정보보호대학원 교수는 “구글과 메타가 유럽에선 수많은 인력을 고용해 개인정보보호 및 손해배상에 대응한 것과 비교하면 국내에선 관련 대응이 안일했던 것으로 보인다”라며 “향후 해외 사업자에 대한 제재가 더 강화될 것으로 보인다”라고 했다. 권 교수는 “똑같이 개인정보가 유출되는 경우라도 기업 역시 피해자가 되는 해킹 사건과 달리, 이 경우 기업이 보안 위반의 당사자라는 점에서 비판을 더 받을 여지가 있다”라고 했다.