메타·인스타그램에 '철퇴'…"행태정보 무단 사용 혐의, 과징금 65억"

개인정보위, 메타에 과징금 65억원 부과
무단 수집한 행태정보를 맞춤형 광고에 활용했다는 이유
자진시정 기회 부여, 고발 조치 계획 철회

등록 2023-07-27 오전 10:08:52

수정 2023-07-27 오전 10:17:11
가 가

고학구 개인정보보호위원회 위원장(사진=개인정보보호위원회)

[이데일리 김가은 기자] 정부가 사용자 행태정보를 사전 동의없이 무단 수집해 맞춤형 광고에 활용한 메타, 인스타그램에 제재를 가했다. 행태정보는 웹사이트와 애플리케이션(앱) 방문·사용 이력, 구매·검색 이력 등 개인의 관심, 흥미, 기호, 성향 등을 파악할 수 있는 온라인 활동 정보다.

27일 개인정보보호위원회는 전체회의를 개최해 적법한 동의 없이 이용자 타사 행태정보를 수집해 맞춤형 광고 등에 이용한 메타 플랫폼즈, 메타 아일랜드(Ireland Limited), 인스타그램 LLC에 대해 각각 과징금 65억17백만원과 8억8600만원을 부과했다고 밝혔다.

또 ‘페이스북 로그인’ 기능에 행태정보 수집 도구를 결합시켜 사업자와 이용자 모르게 타사 행태정보를 수집한 메타는 3개월 내 자진 시정 계획을 공식 제출하고, 그 결과를 개인정보위에 보고하도록 의결했다.

지난해 9월 개인정보위는 적법한 동의 없이 이용자 타사 행태정보를 수집?이용한 메타에 대해 과징금 및 시정명령을 부과했다. 또 메타 아일랜드 및 인스타그램에 대해서는 추가조사를 진행하기로 한 바 있다.

조사 결과, 지난 2018년 7월 14일 이전 한국 이용자에게 페이스북과 인스타그램 서비스를 제공한 메타 아일랜드 및 인스타그램이 이용자 타사 행태정보를 수집해 맞춤형 광고 등을 통해 수익을 창출하는 과정에서 적법한 동의를 받지 않은 것으로 나타났다.

메타 아일랜드는 페이스북 계정 생성 시 작은 스크롤 화면을 통해 ‘데이터 정책’ 전문을 보여주고 있어, 이용자가 타사 행태정보 수집 사실을 명확히 인지하고 동의했다고 볼 수 없다고 개인정보위는 강조했다. 또 인스타그램은 별도 동의 절차 없이 계정 생성 시 약관 및 개인정보 처리방침에 동의한 것으로 간주했다. 그마저도 해당 개인정보 처리방침에 ‘타사 행태정보 관련 내용’은 포함돼 있지 않았다.

뿐만 아니라 메타는 개발자(사업자)가 자신이 운영하는 웹사이트와 앱에서 간편 로그인 기능을 제공하기 위해 ‘페이스북 로그인’을 설치하는 경우, 전혀 관련이 없는 타사 행태정보 수집 도구가 함께 설치되도록 해 이용자 행태정보를 메타로 전송?수집해왔다.

이에 따라 개인정보위는 메타가 페이스북 로그인을 통해 해당 정보가 전송·수집되는 사실을 사업자와 이용자 모두 알 수 없도록 하는 등 부정한 방법으로 개인정보를 취득한 것으로 보고 고발 여부를 검토했다. 그러나 메타 측에서 3개월 내에 자진 시정하겠다고 공식의견을 제출했다.

개인정보위는 △메타가 자진 시정하겠다는 의사를 밝힌 점 △자진 시정을 통해 ‘개인정보 보호법’에서 규정한 개인정보보호 목적을 달성할 수 있다고 예상 가능한 점 △이용자 측면의 동의 의무 위반에 대해서는 이미 시정명령 및 과징금을 부과한 점 등을 종합적으로 고려해 법 위반 판단을 일시적으로 유보했다. 자진 시정 기회를 부여해 개인정보 침해 소지를 빠르게 해소하고, 그 이행 여부를 점검?확인할 계획이다.

개인정보위 관계자는 “페이스북이 개인정보를 무단 제공한 사건에 대한 제재를 시작으로 페이스북, 넷플릭스, 구글 등 동의방식에 대한 제재, 맞춤형 광고 관련 구글?메타에 대한 제재 등 국내 사업자뿐만 아니라 글로벌 빅테크 법 위반에 대해서도 엄정하게 법을 집행해왔다”며 “이번 처분이 앞으로 국내외 플랫폼 기업들이 개인정보를 수집?이용하는 과정에서 꼭 필요한 정보를 수집하고 그 처리 과정을 투명하게 알리도록 노력하는 계기가 되기를 기대한다”고 말했다.

현재 개인정보보호위원회는 광고 플랫폼 사업자들이 지켜야 할 ‘온라인 맞춤형 광고 가이드라인’ 제정을 추진 중이다. 행태정보를 개인정보와 결합해 특정 인물에 대한 식별성을 높이는 일을 막고, 이용자 사전 동의·거부 의무를 강화하는 점이 골자다.

제시된 기준은 △온라인 식별자와 행태정보 모두 개인정보가 아닐 것 △행태정보를 개인정보와 물리적·논리적으로 분리해 결합되지 않게 하고, 기술적·관리적 조치를 취할 것 △행태정보 투명성 및 사후통제권(거부권)에 관한 규율을 준수할 것 △행태정보는 재식별되지 않도록 최소한의 기간만 보관·관리 등 네 가지다.

다만 국내 중소 광고 플랫폼 사업자들이 이 같은 조치를 취하기에는 부담이 크다고 호소하고 있는 만큼, 세부 내용이 바뀔 가능성도 있다. 개인정보위 측은 업계 의견을 추가로 수렴해 반영할 예정이라고 밝힌 바 있다.