|
개인정보위는 14일 정부서울청사에서 열린 기자간담회에서 이 같은 내용을 담은 ‘맞춤형 광고 제도개선 가이드라인’을 소개했다. 행태정보는 온라인상에서 발생하는 개인의 모든 활동을 의미한다. 웹사이트 방문, 애플리케이션(앱) 사용, 검색 이력, 구매 이력 등이 대표적이다. 개인 관심사·성향·기호 등을 분석해 맞춤형 광고를 구현하는 핵심 ‘재료’인 셈이다.
문제는 행태정보가 이름, 전화번호, 이메일 주소 등 이용자를 식별할 수 있는 데이터 또는 PC, 모바일 등 기기에 부여된 고유 식별자와 결합돼 사용될 경우 사생활 침해 위험성이 크다는 점이다. 또 결합하지 않은 행태정보라도 오랜 기간 삭제 없이 수집되면 식별 가능성이 크다는 것이 중론이다.
김직동 개인정보위 신기술개인정보과장은 “개인을 특정할 수 없는 행태정보라도 많은 양이 누적되거나, 다른 정보들과 결합해 식별성이 높아질 수 있다”며 “이 경우 개인정보에 해당할 수 있고, 개인정보보호법에 따라 의무사항이 발생한다”고 강조했다.
또한 개인정보위는 광고플랫폼사업자들이 행태정보를 수집할 때 이용자들에게 적법한 동의를 받지 않을 뿐만 아니라, 수집항목과 활용목적 등 세부 정보를 알리지 않아 ‘자기결정권’에 심각한 침해가 발생하고 있다고 보고 있다.
이날 개인정보위가 소개한 가이드라인은 광고플랫폼사업자들에 △온라인 식별자와 행태정보 모두 개인정보가 아닐 것 △행태정보를 개인정보와 물리적·논리적으로 분리해 결합되지 않도록 하고, 기술적·관리적 조치를 취할 것 △행태정보 투명성 및 사후통제권(거부권)에 관한 규율을 준수할 것 △행태정보는 재식별되지 않도록 최소한의 기간만 보관·관리 등 네 가지 기준을 제시하고 있다.
반면, 구글이나 메타를 포함한 광고플랫폼사업자들은 타 웹사이트나 앱에 행태정보 수집을 위한 소프트웨어 개발 키트(SDK)를 배포한다. 이를 통해 자사 플랫폼 이용자가 아닌 사람들의 행태정보까지 수집·저장해 맞춤형 광고에 활용한다. 네이버에서 신발을 검색한 후 구글 웹사이트를 이용하면 맞춤형 광고가 표출되도록 하는 방식이다.
개인정보위는 이처럼 SDK를 통해 동의나 안내 없이 타사 이용자의 행태정보를 수집, 맞춤형 광고에 활용하는 사업자를 이번 가이드라인 적용 대상으로 정했다. 특정 기업이 아니라 이 같은 행위를 하는 사업자를 제재하겠다는 방침이다.
맞춤형 광고 제도개선 공동작업반 반장을 맡은 최경진 가천대학교 교수는 “웹·앱에 행태정보 수집도구(SDK)를 설치하고, 맞춤형 광고에 활용하는 건 보통 구글이나 메타 같은 광고 플랫폼 사업자”라며 “가이드라인의 기본적 수범 주체는 국내외 광고플랫폼사업자”라고 설명했다.
이에 대해 개인정보위는 이용자는 물론, 사업자에게도 꼭 필요한 기준을 제시한 것이라고 거듭 강조했다. 기존 개인정보보호법은 행태정보에 대한 기준을 포함하지 않았기 때문에 향후 예기치 못한 처벌을 받을 수 있어서다.
최 교수는 “규제에서 가장 나쁜 것은 까다롭거나 엄격한 규제가 아니라 예측이 안 되는 규제”라며 “개인정보에 대한 국민들의 기준이 높아지는 가운데, 현행 기준을 유지하면 제재를 받는 국내 사업자들이 늘어나게 될 것”이라고 설명했다. 이어 “기업들의 활동 영역이 전 세계로 확장됐기 때문에 정보보호 기준이 엄격한 유럽 등에서도 처벌을 피해 갈 수 없다”고 덧붙였다.
업계가 가장 크게 우려했던 과도한 동의 요청 문제에 대한 해결책도 제시했다. 동의를 받지 않고 행태정보를 수집해 맞춤형 광고에 활용할 수 있는 예외루트를 마련한 것이다. 예외루트 조건은 가이드라인에서 제시한 4가지 기준만 충족하면 된다.
최 교수는 “개인정보위가 사업자들에게 예측 가능성과 신뢰성을 주는 유권해석을 해주는 것”이라며 “4가지 기준은 최대한 객관화시킨 결과물이고, 개인정보 위반 처분에도 판단 근거로 사용될 것”이라고 말했다.