변경된 개인정보처리지침 미동의 시 8월 9일부터 계정 사용 불가
애플의 ‘앱 추적 투명성 정책’ 영향 탓?
페이스북과 인스타그램이 변경된 개인정보처리지침에 동의하지 않으면 오는 8월 9일부터 계정을 사용할 수 없다고 고지해 논란이 일고 있다. 사실상 강제적 동의에 의한 과도한 개인정보 수집이라는 지적이다. 페이스북과 인스타그램을 운영하고 있는 메타는 지난 5월 26일부터 이용자들에게 다음 항목에 ‘필수동의’할 것을 요구하고 있다. ▲맞춤형 광고 표시를 위한 개인정보 수집 및 이용 ▲정부기관, 수사기관 등에 개인정보 공유 ▲전 세계 지사, 데이터센터 및 파트너 비즈니스에 개인정보 이전 ▲위치 기반 서비스 등이다. 전문가들은 메타의 방침이 개인정보보호법을 위반하고 개인정보를 침해할 수 있다고 우려했다. 메타가 맞춤형 광고를 위해 수집하는 개인정보 목록에는 게시물과 댓글을 비롯해 구매 또는 기타 거래정보, 친구·팔로워 등 연결된 관계, 사용기기, GPS(위치파악시스템) 기반 위치 추적 서비스, 사용하는 앱, 방문 웹사이트와 쿠키 데이터 등이 포함돼 있다.
개인정보 최소수집 원칙 위반 현행 개인정보보호법은 개인정보 최소수집을 원칙으로 한다. 개인정보보호법 제3조 1항은 “개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다”고 밝히고 있다. 또 개인정보의 수집제한에 관한 제16조에 따르면, 개인정보처리자는 이용자에게 최소한의 정보를 제외한 개인정보 수집에 동의하지 않을 수 있다는 점을 알려야 하고, 여기에 동의하지 않는다는 이유로 서비스를 이용하지 못하게 하면 안 된다. 2020년 2월에는 “정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않았다는 이유로 서비스 제공을 거부해서는 안 된다”(제39조3의 3항)는 조항도 신설했다.
전문가들은 메타의 이번 방침이 개인정보 최소수집 원칙 위반이라고 지적했다. 법무법인 지향의 이은우 변호사는 “메타는 동의의 형식을 내세우고 있지만, 동의하지 않으면 서비스를 사용할 수 없다는 식으로 사실상 이용자들에게 강요하고 있다”며 “소셜미디어의 서비스에 필요한 필수정보는 연결된 사람들과 소통하는 데 필요한 것 정도인데, 메타는 개인의 온갖 정보를 필수동의로 수집·축적해놓고 있다”고 말했다. 오병일 진보네트워크센터 대표는 “메타의 주장대로 맞춤형 광고를 위해 개인정보가 필요하다고 해도 그 정보들이 맞춤형 광고에 다 필요한 것은 아니다”라며 “메타의 방침은 목적 달성을 위한 최소한의 정보만을 수집해야 하고, 필수정보와 선택정보를 구분해야 하고, 선택정보 제공에 동의하지 않아도 서비스 제공을 거부해서는 안 된다고 한 개인정보보호법 위반”이라고 말했다. 법률사무소 디케 김보라미 변호사는 “필수정보를 이렇게 광범위하게 설정하면, 통신사 등 다른 기업들도 마케팅 용도로 광범위한 개인정보에 필수동의를 요구하는 상황이 벌어질 것”이라며 “이용자들이 페이스북을 이용하는 목적이 광고 서비스를 제공받기 위해서가 아니기 때문에 ‘맞춤형 광고 표시를 위한 개인정보 수집 및 이용’은 결코 필수동의 사안이 될 수 없다”고 말했다.
강요된 동의는 동의가 아니다 관할 부처인 개인정보위원회는 “문제가 되는 부분은 없는지 살펴보고 있다”며 “아직 검토 중”이라고 말했다. 익명을 요구한 한 개인정보보호법 전문가는 “메타의 지침은 명백한 개인정보보호법 위반이지만 그동안 규제당국은 판단이 애매하다는 이유로 개인정보 최소수집 원칙을 거의 집행하지 않았다. 향후 메타에 대한 규제당국의 판단이 어떨지 모르겠지만, 다른 나라와 달리 우리 법에서는 이른바 ‘필수동의’라는 희한한 제도를 인정하고 있어 강요된 동의라도 동의를 받으면 효력을 인정하려는 경향이 강하다”라며 “‘동의를 받았다’ 또는 ‘필수동의다’라고 하면 더 이상 따지지 않고 방치해온 규제당국의 관행이 문제”라고 지적했다. 그간 자발성이 결여된 ‘필수동의’ 제도하에 개인정보 최소수집 원칙이 유명무실하게 운영돼왔다는 비판이다.
자발성이 없는 동의는 동의가 아니라고 보는 유럽의 감독기구들은 페이스북의 위법한 ‘동의’ 행태에 제재를 가하고 있다. 진보네트워크센터에 따르면 2015년과 2017년 벨기에 규제당국은 페이스북의 개인정보처리방침이 “정보 주체로부터 유효한 동의를 얻지 못하고 있다”며 페이스북의 전반적인 개인정보 처리에 법 위반의 문제가 있음을 지적했다. 스페인 규제당국도 페이스북이 동의 없이 광고 목적으로 민감한 개인정보를 처리한 것, 제3자 웹사이트에서 페이스북이 개인정보를 수집하고 사용하는 방법에 대해 명확하고 투명한 통지를 제공하지 않은 것 등을 지적하며 120만유로(16억원)의 벌금을 부과했다. 프랑스, 독일, 네덜란드 등에서도 잇따라 비슷한 결정을 내렸다. 2018년 유럽의 강화된 개인정보보호규정(GDPR) 시행 이후에는 수많은 신고가 이루어져 조사가 진행 중이다.
특히 유럽에서 ‘동의’ 요건이 엄격해지자, 메타는 기존의 ‘동의’를 이용자가 맞춤형 광고를 주문하는 계약 사항으로 전환해 문제가 됐다. 2018년 오스트리아의 개인정보보호단체인 ‘noyb.eu’는 메타가 개인정보보호규정(GDPR)을 우회하고 개인정보를 침해했다며 오스트리아 법원에 제소했다. 지난해 오스트리아 대법원은 유럽사법재판소에 메타가 ‘동의’와 ‘계약’을 혼동시키면서 개인정보보호규정의 취지를 훼손시켰는지에 대한 질의서를 제출했다. 만약 유럽사법재판소가 메타가 개인정보보호규정의 근간을 훼손했다는 판결을 내리면 메타는 큰 타격을 입게 될 전망이다.
맞춤형 광고, 무료 이용 대가? 일각에서는 메타가 맞춤형 광고를 위한 개인정보 수집에 필수동의를 요구한 것을 두고 지난해 4월 애플의 ‘앱 추적 투명성’ 정책으로 광고수익이 하락했기 때문이라고 분석한다. 애플은 아이폰 이용자들의 앱 사용 시 이용기록을 추적해도 되는지 반드시 사전에 동의를 구하도록 정책을 변경했다. 많은 이용자가 ‘추적 불가’를 선택하면서 페이스북의 지난해 3분기 광고 성과는 15% 하락한 것으로 알려졌다.
메타는 페이스북이나 인스타그램의 서비스를 무료로 제공하기 위해 개인정보를 수집한다고 밝힌다. 실상은 무료를 미끼로 이용자들에게 광범위한 개인정보라는 지나친 대가를 요구하고 있다. 이은우 변호사는 “맞춤형 광고 말고 맥락 광고도 가능하다. 예컨대 페이스북에서 ‘좋아요’를 클릭한 것을 분석해 광고를 내보내는 것이 아니라 이용자가 어떤 글을 보고 있으면 그것과 연관된 맥락의 광고를 내보내면 된다. 그렇게 되면 개인정보 수집을 많이 안 해도 된다”라며 “맞춤형 광고를 원하는 이용자들에게는 그에 필요한 개인정보 수집에 동의하게 하고, 맞춤형 광고를 원하지 않는 사람들은 여기에 동의하지 않도록 선택할 수 있게 해야 하는데, 메타는 이를 회피하고 있다”라고 말했다.
전문가들은 메타가 정보를 과도하게 수집하고 이를 프로파일링(이용자의 성향이나 취향, 구매 패턴을 분석)해 광고영업 등에 이용하고 있다고 비판했다. 오병일 대표는 이번에 논란이 된 개인정보지침 외에도 페이스북이 ‘외부활동’이라는 이름으로 정보를 수집하는 것 또한 심각한 문제라고 지적했다. 메타가 ‘페이스북으로 로그인하기’, ‘페이스북 픽셀’ 등을 통해 제3자의 사이트로부터 개인정보를 수집하는 게 개인정보보호법 위반이라는 주장이다. 오 대표는 “페이스북 픽셀은 해당 웹사이트 방문자들이 취한 행동을 파악하는 일종의 코드다. 페이스북 픽셀이 설치된 제3자의 웹사이트에 방문한 인터넷 이용자의 여러 정보는 페이스북에 전송된다. 예를 들어 결제정보 추가, 장바구니 담기, 위시리스트 담기 등의 다양한 정보가 전송된다. 이때 자신의 개인정보가 페이스북에 제공된다는 것에 대한 동의 절차는 없다”고 말했다.
시장 독점한 메타의 배짱? 메타는 세계 곳곳에서 개인정보보호규정 위반으로 잦은 논란을 빚고 있다. 그럼에도 이용자들에게 광범위한 개인정보를 필수적으로 요구하는 것은 메타가 독점적 지위를 갖고 있기 때문으로 풀이된다. 이미 오랜 기간 페이스북이나 인스타그램을 통해 관계를 형성하고 생활해온 많은 이용자에게는 다른 선택지가 없다. 페이스북과 인스타그램이 소셜네트워크서비스 시장을 거의 독점하고 있는 상황을 메타가 이용한 셈이다. 장혜영 정의당 의원은 지난 7월 19일 의원총회에서 “계정 유지를 위한 필수정보도 아닌 이용자의 과도한 개인정보를 필수동의 영역에 포함한 것은 시장지배적 지위를 이용해 이용자의 정보 주권을 침해하는 횡포”라고 지적했다. 필수동의를 하지 않으면 계정을 사용할 수 없다는 페이스북의 논리는 이용자들에게 싫으면 안 쓰면 된다는 ‘선택권’을 준 것처럼 보이지만, 갈 데 없는 이용자들에게 비싼 대가를 요구하는 것이어서 독점기업의 횡포에 가깝다.
2020년 독일에서는 페이스북의 이 같은 강요에 가까운 동의에 대해 ‘시장지배적 지위 남용’이라는 판결을 내린 바 있다. 독일연방최고법원은 80~90% 점유율을 보이고 있는 페이스북이 시장지배적 사업자에 해당한다고 판단했다. 페이스북 이용자들이 직접적 네트워크 효과로 다른 소셜네트워크 서비스로의 전환이 어려운 상황에서 광범위한 개인 데이터의 수집, 통합, 이용에 동의하지 않으면 서비스를 이용할 수 없도록 한 것은 소비자의 선택권 제한이라고 봤다. 만약 페이스북이 시장을 독점하지 않고 경쟁하는 상황이었다면, 이처럼 강요된 동의를 이용자들에게 요구하지 못했으리라는 분석이다. 독일연방최고법원은 “더 적은 데이터를 제공하는 서비스에 대한 수요가 있고 그러한 서비스 제공이 경쟁 시장이었으면 가능했을 것임에도 페이스북이 시장지배적 지위를 이용해 거부한 것으로 볼 수 있기 때문”이라고 설명했다.(<디지털 플랫폼 사업자의 소비자 착취 행위에 대한 경쟁법의 적용: 독일 페이스북 사건>·이상윤·2020년)
내 정보 어떻게 쓰이는지 몰라 빅테크 기업들의 광범위한 개인정보 수집 움직임에 직면한 이용자들 사이에서 개인정보보호에 좀더 경각심을 가져야 한다는 목소리가 높아지고 있지만, 정작 자신의 개인정보가 어떻게 수집되고 어떻게 쓰이는지를 꼼꼼히 살펴보는 사람은 별로 없다. 대부분의 개인정보보호 약관들은 내용이 어렵고 명확하게 파악되지 않는 경우가 많은데다 긴 시간을 들여 읽어야 할 만큼 복잡한 내용을 담고 있기 때문이다. 개인정보보호지침을 설명한 메타의 이번 공지도 법 전문가들 사이에서조차 좀처럼 의미를 파악하기 힘들다는 목소리가 나온다. 더군다나 법에 대한 해박한 지식이 없다면 의미를 파악하기가 쉽지 않다. 그러다 보니 이용자들은 자신의 정보들이 실제 어떻게 쓰일지 가늠하기 어렵다.
예컨대 메타가 필수동의를 요구한 ‘정부기관, 수사기관 등에 개인정보 공유’ 항목이 미국의 규제당국에서 쓰일 수 있다고 분석하는 이용자는 극히 드물다. 익명을 요구한 한 개인정보보호법 전문가는 “국내법보다 미국법에 따라 미국의 규제당국(테러·돈세탁·마약·아동포르노 등)이 페이스북에 국내 이용자들의 개인정보를 요구할 때 사법공조 등의 절차 없이 국내 이용자의 개인정보를 제공하기 위한 수단으로 보인다”라며 “이 경우 국내 이용자가 미국 등 해외여행 시 본인도 모르게 범죄자가 돼 현지에서 구속되는 불상사가 발생할 수도 있다. 참고로 외국에서는 미국 등 다른 나라의 규제당국이 자국민의 개인정보를 요구할 때는 국제협약, 행정협정 등에 의하도록 하고 있다”고 말했다.
최근 미국에서는 ‘로 대 웨이드’ 판례가 47년 만에 뒤집히면서 빅테크 기업이 수집한 개인정보가 처벌의 근거가 될 수 있다는 우려가 나오고 있다. 임신중단 관련 의료기관은 물론 가정폭력 보호소, 불임센터, 중독 치료시설, 체중 감량 클리닉, 상담센터 등 민감한 장소의 방문 기록이나 검색 기록이 수사기관의 표적이 될 가능성이 크다는 우려다. 과거에는 정부만 개인정보를 수집했다면, 이제는 소수의 빅테크 기업이 막대한 양의 개인정보 데이터를 수집·처리하고 있다. 소수의 손에 방대한 개인정보가 집중되는 상황은 위험하다. 개인정보 최소수집 원칙의 관점에서 메타의 이번 지침을 지켜봐야 할 이유다.
<박송이 기자 psy@kyunghyang.com>