메타의 약탈 동의 요청: 필수 동의 강제가 무효인 이유

[box type=”note”]이 글은 [국회토론회] ‘페이스북/인스타그램 개인정보 처리방침에 동의하지 않을 권리’에서 발표된 자료를 바탕으로 재구성한 것입니다. 토론회는 2022년 7월 22일(금) 오후 2시, 국회 의원회관 제9간담회의실에서 국회의원 배진교·국회의원 장혜영· 민주사회를위한변호사모임 디지털정보위원회·법무법인 지향·정의당민생대책위원회·진보네트워크센터·참여연대 주최로 열렸습니다.

이 글 원본 발제자는 이은우  변호사(법무법인 지향)로 2회에 걸쳐 발행 예정입니다.  (편집자)

1. 메타의 약탈 동의 요청: ‘시간의 역사’보다 어려운 페북 정책 (이은우)
2. 메타의 약탈 동의 요청: 필수 동의 강제가 무효인 이유 (이은우)

참고로, 메타가 계획했던 이용자의 ‘개인정보 강제 동의’ 정책은 철회된 상태(2022. 7. 28.)입니다. 그럼에도 이러한 기업의 행태는 언제든 반복될 수 있다는 점에서 그 문제의 본질은 사라지지 않습니다. 이런 관점에서 메타의 ‘개인정보 강제 동의’ 정책을 되돌아 보는 것은 의미가 있을 것으로 기대합니다. (편집자)

[/box]

2018 상원 청문회에서 해치(Hatch) 상원의원은 마크 주커버그에게 이렇게 물었다.

“사용자가 당신의 서비스에 대가를 내지 않는 비즈니스 모델을 어떻게 유지할 수 있지요?”

주커버그는 이렇게 답했다.

“상원의원님, 우리는 광고를 운영합니다.(Senator, we run ads.)”

기본적으로 페이스북 이용자는 맞춤형 광고를 위한 원천 데이터 생성자이자 그 소비자다. 세상에 ‘공짜’는 없다.

2020년 기준 메타(페이스북) 수익의 98%는 광고 수익이다. 메타의 수익에서 광고가 자치하는 비중은 아래 도표에서 보는 것처럼 거의 100%에 수렴한다(출처: 블룸버그).

한편 전 세계 디지털 광고 시장은 2021년 기준 페이스북과 구글이 시장의 절반가량을 양분하고, 그 뒤를 알리바바, 아마존, 텐센트가 뒤쫓고 있다. 이들 빅5의 시장 점유율은 2021년 기준으로 68.7%에 달하는데, 이 점유율은 2025년 기준으로는 72.4%로 오히려 더 높아질 것으로 예측된다(Statista, 2022).

추적 기술과 맞춤형 광고

디스플레이 맞춤형 광고 실시간 경매(RTB; Real-time Bidding; 실시간 경매로 광고 거래가 이뤄지는 것을 의미) 프로세스는 다음과 같다.

1. 페이지 클릭 → 판매할 광고 슬롯 수 식별.
2. 광고 공간을 판매하기 위한 ‘입찰 요청’을 컴파일.
3. 이 입찰 요청을 컴파일하기 위해 웹사이트는 가능한 한 많은 정보를 수집.
4. 여기에는 이전 방문의 개인 정보와 쿠키 및 브로커로부터 구매한 기타 프로필 데이터와 같은 다른 출처에서 수집한 데이터가 포함되며, 사용자의 상세 프로필을 생성.
5. 표준 입찰 요청에는 다음이 포함:
   i. ‘고유한’ 사용자 ID
   ii. URL
   iii. 생년
   iv. 성별
   v. 위치
   vi. IP 주소
   vii. 이미 수집 및 분석된 데이터에서 파생된 관심분야 또는 세그먼트
   ⅷ. 기존 프로필을 기반으로 추가로 추론된 데이터
6. 입찰 요청에 포함된 정보는 광고주를 위해 일하는 수요 측 플랫폼이 특정 광고를 표시할 수 있는 권리를 얻기 위해 경매에 입찰할지 여부와 입찰할 경우 입찰 금액을 결정하도록 사용됨.
7. 낙찰자는 이용자가 보는 페이지에 광고를 게재하고 입찰 요청시 받은 데이터 사본을 보관.

즉, 온라인 입찰을 이용한 온라인 맞춤형 광고 게재 과정을 도식화하면 아래와 같다.

한편, 추적 쿠키의 작동 구조는 아래 도식과 같다.

여기서 중요한 건 “제3자 쿠키(Third party cookies)”다. 제3자 쿠키가 작동하는 방식과 기능은 다음과 같다.

• SDK(Software Development Kit): 소프트웨어 개발 키트(SDK)의 일부로 포함. 액세스 권한. 분석, 추적 및 광고 목적.
• 제3자로 데이터 전송: SDK를 제공한 제3자 공급업체로의 직접 데이터 전송을 용이하게 함.
• 은밀: 데이터를 추적하거나 은밀하게 수집하는 데 사용할 수 있음. 상당한 기술적 전문 지식이 없으면 소비자는 앱에 있는지 여부를 알 수 없음.
• 기능 은폐: 다른 사용자 기능을 제공하고, 그 내용으로 사용자에게 표시(예: Facebook “좋아요 버튼” 또는 포함된 YouTube 동영상)

상위 100만개 사이트와 앱 분석을 분석한 결과 상위 100만개 사이트에서 정보를 가져가는 제3자 순위와 비율은 아래 도표와 같다. 이는 구글 플레이스토어에서 사용할 수 있는 959,000개의 앱에 대한 연구(2018, Third Party Tracking in the Mobile Ecosystem, Reuben Binns 등)에 바탕한 것인데, 더블클릭(DoubleClick), 구글 애드몹(Admob) 및 애드센스(Adsense)는 모든 앱의 88% 이상에 존재하고, 페이스북은 42% 이상에 추적기를 통합한 것으로 조사됐다.

문제는 삭제할 수 없는 추적기로서 ‘디지털 지문’을 형성할 가능성이다. 사용자별로 고유한 브라우저와 특정 하드웨어 설정의 특성 목록과 브라우저가 웹사이트에 액세스하기 위해 보내야 하는 정보를 포함한다는 점이다. 심지어 추적 스크립트가 수집한 겉보기에 중요하지 않은 데이터(예: 화면 해상도 및 설치된 글꼴)도 포함한다. 추적 사이트는 모든 작은 조각을 함께 연결하여 장치의 고유한 그림이나 ‘(디지털) 지문’을 형성할 수 있다. 쿠키와 달리 ‘디지털 지문’은 삭제할 수 없다.

데이터 브로커: 앱과 추적기

앱스플라이어(AppsFlyer) 경우를 살펴보자. 앱스플라이어는 자사 웹사이트에서 “전 세계에 연결된 84억 개의 장치”에서 얻은 통찰력을 활용한다고 주장한다. 더불어 “전 세계 스마트폰의 98%”에서 사용자의 광고 ID, GPS 좌표, 생일, 성별 및 “목표 성별”에 대한 정보를 수신하는 것을 관찰하고, 장치의 자력계, 자이로스코프 및 가속도계로부터 상세한 센서 데이터를 수신한다고 밝히고 있다.

앱스플라이어 SDK는 분석, 광고 리타게팅 및 통합 광고 네트워크를 포함한 다양한 기능을 수행하는데, 230억 건의 앱 설치와 450억 건의 앱 열기를 추적하고, 15,000개 이상의 앱 및 주요 브랜드, 광고 네트워크 및 데이터 브로커를 포함하여 2,000개 이상의 “통합 파트너”를 보유하고 있다고 한다. 이와 유사한 기업과 서비스로는 크리테오(Criteo; 온라인 디스플레이 광고를 제공하는 광고 회사)의 ‘아이덴티티 그래프’가 있다. 물론 그 밖에도 많은 기업과 서비스가 존재한다.

• CAPTCHAs, reCAPTCHA v3
• Embedded media players
• Analytics and tracking pixels
• Session replay services
• WiFi hotspots and wireless beacons (출처: Behind the One-Way Mirror: A Deep Dive Into the Technology of Corporate Surveillance, EFF, 2019)

이들 자료는 소비자 프로파일을 위해 활용된다.

추적기 시장 점유율은 다음과 같다.

지상 최대의 데이터 브로커 구글과 메타에 관해 구글 플레이스토어에서 사용할 수 있는 959,000개의 앱에 대한 연구(2018, Third Party Tracking in the Mobile Ecosystem, Reuben Binns 등)를 수행한 연구자들은 다음과 같이 지적한다.

“구글은 잘 알려진 소비자 브랜드임에도 불구하고 수입의 대부분을 차지하 는광고 제국의 세부 사항은 일반 사용자에게는 매우 불투명하고 전문가조차도 거의 이해하기 어렵다. 구글은 다른 서비스의 데이터를 결합하여 광고주가 다양한 기준, 속성 및 특성에 따라 개별 소비자를 타겟팅할 수 있도록 한다.”

“애드테크 산업에서 구글은 시장과 유통 시스템을 모두 소유하는 단일 기업이고, 반면 메타의 페이스북은 많은 웹사이트과 앱에서 사용자 데이터를 수집하여 이를 소셜 네트워크의 데이터와 결합하여 페이스북과 제3자는 페이스북 사용자에 관한 상당한 추가 통찰력과 타겟팅 가능성을 얻을 수 있다.”

맞춤형 광고와 개인정보의 유통

실시간 광고 경매(RTB)에서 공급 측 플랫폼(SSP; Supply-Side Platform; 광고 교환을 통해 광고 노출 수의 판매를 조정하는 퍼빌리셔용 프로그래밍 방식 소프트웨어)에 전달 방식과 그 해당 데이터의 목록은 다음과 같다(도표 참고.)

광고 경매의 승자(DSP)는 추가로 개인정보를 획득한다.

공급 측 플랫폼(SSP)에 의한 쿠키 동기화의 프로세스는 다음과 같다. 아래 도식을 설명하면, 페이지의 보이지 않는 ‘픽셀’ → 광고 장터(ad exchange)/ 공급측 플랫폼(SSP)에 요청하고, → 사용자를 DSP로 리디렉션하며, → 리디렉션 URL에 SSP의 쿠키에 대한 정보가 포함되고, → DSP가 자체 식별자에 연결할 수 있도록 한다. SSP는 한 번에 여러 DSP에 대한 쿠키 동기화를 유발한다.

AD 네트워크는 그 자체로 추적기 역할을 하고, 맞춤형 온라인 광고 경매에서 공유되는 정보는 통제가 불가능해진다. 당연히 제공되는 개인정보의 사후 관리 역시도 사실상 불가능해진다. 광고 실시간 경매(RTB)는 그 자체로 가장 큰 개인정보 침해 사건이라고 ICCL리포트는 지적한다(The Biggest Data Breach, 2022. 5, ICCL). ICCL의 미국과 유럽의 광고 실시간 경매 실태를 조사해 분석했다. ICCL은 광고 실시간 경매가 가장 큰 개인정보 침해 사건이라고 평가한다.

미국은 매일 2,940억회, 유럽은 매일 1,970억회 실시간 경매를 통해 이용자의 온라인 활동과 현재 위치를 추적, 공유한다. 매일 매일 실시간 경매로 이용자의 온라인 활동과 위치가 공개되는 횟수는 미국은 평균 747회, 유럽은 평균 376회다. 중국, 러시아를 포함한 전세계로 이용자 정보가 제공되지만, 이를 통제할 어떤 수단도 없다. 미국과 유럽의 1년 실시간 경매는 178조 건에 달하고, 구글이 미국에서 실시간 경매에서 정보를 받도록 허락한 회사 수는 4,698개에 달하며, 구글이 1분에 경매로 공유하는 온라인 독일 이용자 수는 1,960만 명에 달한다.

전자 프런티어 재단(EFF)는 기업의 감시 기술을 심층적으로 분석하면서 실시간 경매(RTB)를 다룬 바 있다. EFF의 말처럼 “단방향 거울의 뒤편에서” 기업의 일상적인 소비자 감시가 벌어지고 있는 것이다.

덜 침해적인 광고방식은 존재할까? 

보고서 [온라인 광고의 미래] (The Future of Online Advertising, 2021. 10. Greens/EFA)에서 공저자인 덩컨 맥캔과 윌 스트롱거, 필 존스는 맞춤형 광고의 대안으로 문맥 광고(Contextual advertising)을 이렇게 설명한다. 문맥 광고는 개인 정보를 철저하게 보호할 수 있는 온라인 광고의 한 형태이며 추적 기반 광고보다 오래되었고, 문맥 광고의 기본 전제는 사용자에 대한 개인 데이터가 아닌 사용자가 참여하는 콘텐츠의 맥락을 기반으로 사용자를 타겟팅하는 것이며, 문맥 타겟팅은 이미 가장 큰 온라인 광고 시장 중 하나인 검색 광고를 주도하고 있다.

이들은 글로벌 문맥 광고 시장은 2017년 1,060억 달러에서 2025년 4,120억 달러로 빠르게 성장할 것으로 예상하면서 문맥 광고는 제3자 쿠키에 대한 규제 압력에서더 중요하게 부각될 것으로 봤다. IAB Europe이 의뢰한 설문 조사에서 응답자의 74%는 문맥 광고가 다가오는 제3자 쿠키의 손실을 처리하기 위한 가장 중요한 전략 중 하나로 고려한다고 답했다. 소비자는 표시된 콘텐츠와 일치하는 광고를 선호(81%)하는데, 개인 데이터 기반 광고는 종종 문맥과 다른 광고 게시한다. STER에서 수행한 연구에 따르면 콘텐츠와 관련된 광고가 덜 성가시게 느끼고, 더 나은 인식률, 구매 의향 증가를 보이는 것으로 조사됐다. 결국 대다수 소비자는 문맥 관련성 있는 광고를 좋아하고, 문맥에 맞지 않게 배치된 광고를 싫어한다.

메타의 동의 요구, 적법한 동의인가? 

메타가 요구하는 동의는, 개인정보보호법의 적법한 동의 요건을 충족하고 있는가? 정보통신서비스제공자의 개인정보 처리가 적법하게 처리되기 위한 요건은 다음 두 가지 경우로 나뉜다. 하나는 ‘동의에 의한 처리’고 다른 하나는 ‘계약 이행 처리’다.

• 정보주체의 동의에 의한 처리(동의에 의한 처리)와(제39조의 3 제1항)
• 동의가 필요 없는 계약 이행을 위한 처리(계약 이행 처리)(제39조의 3 제2항)

우선, 동의에 의한 처리가 적법하기 위한 요건은 다음과 같다.

1. 우선 ‘고지의 명확성’: 이용자에게 개인정보 이용에 대한 사항을 명확하게 알리고 동의를 얻어야(고지의 명확성, 제39조의 3, 제1항, 제22조) 하고, 이는 정보주체의 동의가 충분한 정보를 제공받고, 이를 명확하게 인식하고 이루어져야 한다는 것(소위 ‘informed consent’)을 보장하기 위한 것이다.
고지 사항은 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유ㆍ이용 기간 등. ‘명확하게 인지할 수 있도록 알려야’ 한다고 규정(제22조 제1항)한다.

2. 광고를 위한 개인정보 처리 동의는 명확하게 고지: 정보 주체가 광고를 위한 개인정보 처리에 대한 동의임을 명확하게 인지할 수 있도록 알리고 동의(제22조 제4항)를 구해야 하고, 광고를 위한 개인정보 처리는, 정보주체로부터 동의를 받을 필요가 없는 ‘계약 이행을 위한 필수 사항’(제39조의 3 제2항)으로 보기보다는 ‘정보주체에게 명확하게 알리고 동의를 받아야 할 사항’이라는 입법자의 의도가 반영된 것으로 볼 수 있는 규정이다.

3. 자유로운 선택권 보장: 동의를 받을 때 ‘계약 체결 등을 위하여 동의 없이도 처리할 수 있는 개인정보’(필수 동의)와 ‘정보주체의 동의가 필요한 개인정보’(선택 동의)를 구분해서 알리도록 규정한다. 함. 정보에 입각해서 동의를 받아야 하는데, 정보의 내용(제22조 제3항)은 필수, 선택 항목을 구분한다.

4. 묶음 동의(bundle consent) 금지: 실질적 선택권 보장하기 위해 ‘묶음(번들) 동의는 금지된다. “정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 그 서비스의 제공을 거부해서는 안됩니다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말합니다.”라고 명시(제39조의 3 제3항)한다.

개인정보보호법상 무효인 동의의 예는 다음과 같다.

1) 동의를 받을 때 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유ㆍ이용 기간 등을 명확하게 고지하지 않는 동의.
2) 필수 개인정보가 아닌 것을 필수 개인정보라고 속이고 받는 동의.
3) 본질적 기능이 아닌 부가 서비스를 위한 부가 개인정보를 제공하지 않으면 어떤 서비스도 제공할 수 없다고 선택권을 배제한 묶음 동의.

동의 없이 계약 이행을 위해 필요한 개인정보 처리의 경우는 어떨까? 

정보통신서비스제공자는 ‘정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우’에는 동의를 받지 않고도 해당 개인정보의 처리가 가능(제39조의 2 제2항)한데, ‘해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보’(제39조의 2 제3항)로 제한된다.

어떤 정보가 특정 전기통신서비스의 필수 정보일까. 해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보, 정보통신서비스제공자에게 제공해야만 하는 정보다. 필수정보와 부가정보는 다음과 같은 고려 사항을 종합적으로 살펴 판단한다. 

• 해당 서비스를 처리하는 데 필요한 개인정보의 항목, 개인정보의 양, 개인정보의 민감도, 개인정보 처리에 관여하는 자 등
• 해당 개인정보 처리가 정보주체의 권리나 기본권 등에 미치는 영향
• 당해 처리 과정에서 개인정보 침해의 위험성
• 당해 서비스가 누구의 이익을 위한 것인지
• 당해 서비스나 당해 개인정보 처리 외에 개인정보 침해의 우려를 완화할 수 있는 대응방안이 마련되어 있는지 여부

맞춤형 광고를 위한 개인정보 처리는 동의 없이 가능한가?

질문을 조금 바꾸면, 맞춤형 광고는 동의 없이 처리할 수 있는 필수 서비스인가? 하나씩 살펴보자.

• 맞춤형 광고 서비스를 처리하는 데 필요한 개인정보
  → 개인정보의 항목, 개인정보의 양, 개인정보의 민감도, 개인정보 처리에 관여하는 자 등

• 제출 정보, 관찰 정보, 추론 정보, 자사와 제3자 정보 등
  → 맞춤형 광고 서비스와 정보주체의 권리 침해

• 정보주체의 권리나 기본권 등에 미치는 영향
  → 매우 민감한 사생활의 비밀 침해 우려, 양심의 자유 침해 우려 등.

• 맞춤형 광고 서비스 처리 과정에서 개인정보 침해의 위험성
  → 침해의 위험성이 매우 높음

• 맞춤형 광고 서비스가 누구의 이익을 위한 것인지
  → 이용자의 이익을 위한 것으로 보기는 어려움

• 맞춤형 광고 서비스 처리와 관련한 침해를 방지할 대응방안이 마련되어 있는지?
  → 사실상 침해 방지가 불가능

• 맞춤형 광고 서비스 외에 개인정보 침해의 우려를 완화할 수 있는 대체 수단은없는지?
  → 문맥 광고 등도 가능함

적법한 동의를 받은 것으로 볼 수 있는가?

메타의 동의 요청에 동의했다고 하더라도 적법한 동의를 받은 것으로는 보기 어렵다. 그 이유는 다음과 같다.

• 사실상 동의 강제: 따라서 ‘동의’ 절차로 볼 수 없다.
• 필수 정보와 선택 정보:  ‘필수 개인정보가 아닌 것을 필수 개인정보라고 속이고 받은 동의다.
• 묶음 동의, 선택권 박탈: 본질적 기능이 아닌 부가 서비스(맞춤형 광고)를 위한 부가 개인정보를 제공하지 않으면 어떤 서비스도 제공할 수 없다고 선택권을 배제한 묶음 동의이므로 무효다.
• 명확한 고지: 개인정보의 항목, 목적, 제3자 제공 여부 등에 대한 명확한 고지가 있다고 보기 어렵고, 광고 목적 개인정보 처리에 대한 명확한 설명과 고지가 있다고 보기 어렵다.

메타의 동의 요청에 동의했다고 하더라도 적법한 동의를 받은 것으로는 보기 어렵다. 그 이유는 다음과 같다.

• 사실상 동의 강제: 따라서 ‘동의’ 절차로 볼 수 없다.
• 필수 정보와 선택 정보:  ‘필수 개인정보가 아닌 것을 필수 개인정보라고 속이고 받은 동의다.
• 묶음 동의, 선택권 박탈: 본질적 기능이 아닌 부가 서비스(맞춤형 광고)를 위한 부가 개인정보를 제공하지 않으면 어떤 서비스도 제공할 수 없다고 선택권을 배제한 묶음 동의이므로 무효다.
• 명확한 고지: 개인정보의 항목, 목적, 제3자 제공 여부 등에 대한 명확한 고지가 있다고 보기 어렵고, 광고 목적 개인정보 처리에 대한 명확한 설명과 고지가 있다고 보기 어렵다.

외국에선 어떨까

EU와 미국의 경우 

EU, 미국의 경우 업데이트는 설명을 부가하는 것, 그냥 사용하면 적용된다. 이는 EU, 미국과 한국 공고문 차이에서 확연히 드러난다.

한국의 공고문: “국내 사용자는 시행일인 2022년 7월 26일부터 Meta 서비스 이용을 위해 개정된 개인정보처리방침과 서비스 약관에 동의해야 합니다.”

EU와 미국의 경우: “우리는 당신이 이 통지에 대해 어떤 행동을 취하는 것도 요청하지 않는다. 그러나, 통지에 대해 더 많은 정보를 알고 싶으면 클릭을 하면 된다.”

인도의 경우

인도의 경우에는 옵트아웃을 해도 모든 서비스를 사용할 수 있따. 메타는 성명을 통해 “인도 사용자들은 새로운 서비스 약관에 동의하지 않을 기회가 주어질 것”이라면서, “사용자가 업데이트된 개인정보 보호정책과 서비스 약관에 동의할지 여부를 선택할 수 있으며, 이는 당사 제품에 대한 액세스에 영향을 미치지 않습니다.”라고 밝힌 바 있다. 이는 왓츠앱의 개인정보정책 변경시의 혼란(반발)을 반영한 것으로 보인다.

유럽의 맞춤형 광고에 대한 규제 사례

유럽은 GDPR의 규정과 EDPB 가이드라인를 통해 맞춤형 광고를 규제하고 있다. 우선 GDPR의 규정은 다음과 같다.

제6조 처리의 적법성

1. 개인정보 처리는 적어도 다음 각 호의 하나에 해당되고 그 범위에서만 적법하다.
(a) 개인정보주체가 하나 이상의 특정 목적에 대해 본인의 개인정보 처리를 동의한 경우
(b) 개인정보주체가 계약 당사자가 되는 계약을 이행하거나 계약 체결 전 개인정보주체가 요청한 조치를 취하기 위해 처리가 필요한 경우
(f) 컨트롤러 또는 제3자의 정당한 이익 목적을 위해 처리가 필요한 경우로서, 개인정보가 보호되어야 할 개인정보주체의 이익 또는 기본적 권리와 자유가 우선되는 경우는 제외한다. 개인정보주체가 어린이인 경우에는 특히 그러하다.

제7조 동의의 조건

처리가 동의를 기반으로 이루어지는 경우, 컨트롤러는 개인정보주체가 본인의 개인정보 처리에 동의하였음을 입증할 수 있어야 한다.

1. 개인정보주체의 동의가 기타의 사안과도 관련된 서면의 진술서로 제공되는 경우, 동의 요청은 그 기타의 사안과 분명히 구별되는 방식으로, 이해하기 쉽고 입수가 용이한 형태로, 명확하고 평이한 문구를 사용한 방식으로 제시되어야 한다. 진술서의 어느 부분이라도 본 규정을 위반하는 경우 그 구속력이 인정되지 않는다.
2. 개인정보주체는 언제든지 본인의 동의를 철회할 권리를 가진다. 동의의 철회는 철회 이전에 동의를 기반으로 한 처리의 적법성에 영향을 미치지 않는다. 개인정보주체는 동의를 제공하기 전에 이 사실에 대해 고지 받아야 한다. 동의의 철회는 동의의 제공만큼 용이해야 한다.
3. 동의가 자유롭게 제공되는지 여부를 평가할 때, 무엇보다 서비스 제공 등의 계약의 이행이 해당 계약의 이행에 필요하지 않은 개인정보의 처리에 대한 동의를 조건으로 하는지 여부를 최대한 고려해야 한다.

EDPB 가이드라인은 다음과 같다(Guidelines 2/2019 – GDPR 6(1)(b)의 계약 체결, 이행을 위한 개인정보 처리에 대한 가이드라인, 2019). 계약의 체결 이행을 위해 반드시 필요한 경우이어야 하고, 그 외의 경우는 GDPR 6(1)(a)에 의한 동의를 받아야 한다. 온라인 행동 광고를 위한 처리와 계약상 필요에 관해 다음과 같이 밝히고 있다.

• 온라인 행동 광고, 정보주체에 대한 추적 및 프로파일링은 종종 온라인 서비스의 재원 조달에 사용됨.
• 개인정보 보호지침 제29조 작업반(WP29)은 “[계약상의 필요성]은 웹사이트의 클릭스트림 및 구매한 항목을 기반으로 사용자의 취향과 라이프스타일 선택에 대한 프로필을 구축하는 데 적합한 법적 근거가 아니”라고 밝힘(데이터 컨트롤러의 정당한 이익 개념에 대한 29조 작업반 의견 06/2014).
• 데이터 컨트롤러는 프로파일링을 수행하는 계약이 아니라 특정 상품과 서비스를 제공하는 등의 계약을 맺었기 때문.
• 원칙적으로 온라인 서비스 계약 이행을 위해 행동 광고를 위한 개인 데이터 처리는 필요하지 않음.
• 일반적으로 행동 광고가 없었기 때문에 계약이 이행되지 않았다고 주장하기 어려울 것임.
• 정보주체는 마케팅 목적으로 데이터를 처리하는 것을 반대할 수 있는 권리가 보장됨(제21조)
• 제6조(1)(b)는 온라인 행동 광고가 서비스 제공에 간접적으로 자금을 지원한다는 이유만으로 온라인 행동 광고에 대한 합법적 근거를 제공할 수 없음.
• 온라인 행동 광고는 서비스 제공을 지원할 수 있지만, 이것만으로는 문제가 되는 계약의 이행에 필요하다는 것을 입증하기에 충분하지 않음.
• ePrivacy 지침에 따라서 쿠키를 배치하려면 정보주체의 사전 동의를 얻어야 하므로 행동 광고를 수행하려면 사전 동의가 필요함.
• 다른 개인에게 광고하기 위한 유사 청중의 추적과 프로파일링도 계약 이행에 객관적으로 필요하다고 보기 어려움.

페이스북 vs. 유럽(2014~2017) 주요 경과 

2014년 11월의 페이스북의 글로벌 개인정보 정책(데이터 정책, 쿠키 정책, 약관) 시행에 대한 유럽의 대응을 네덜란드, 프랑스, ​​스페인, 함부르크 및 벨기에의 데이터 보호 당국별로 정리하면 다음과 같다.

• 프랑스 국가정보처리자유위원회(CNIL): 페이스북 그룹이 타겟 광고를 표시하기 위해 계정 소유자에 대한 모든 정보를 결합할 법적 근거가 없다는 것을 발견. 페이스북 그룹이 datr 쿠키를 통해 인터넷 사용자를 불법적으로 추적하고 있음을 발견.
• 벨기에 개인 정보 보호 위원회(Belgian Privacy Commission): 페이스북이 쿠키, 소셜 플러그인 및 픽셀을 사용하여 개인 데이터를 수집하는 것이 여러 상황에서 과도하다고 판단. 정보의 부족으로 동의, 공정성, 투명성 및 비례성에 관한 법적 요구 사항이 충족되지 않음.
• 네덜란드 개인정보보호청(Autoriteit Persoonsgegevens): 사용자에게 개인 데이터 사용에 대한 불충분한 정보를 제공하는 것을 포함하여 네덜란드 데이터 보호법을 위반. 페이스북 그룹이 사용자의 명시적 동의 없이 민감한 개인 데이터를 사용함.
• 독일(함부르크) 함부르크 DPA: 가명 사용을 허용하라는 명령. 페이스북 그룹에 왓츠앱 사용자의 사전 동의 없이 데이터 결합을 중단하도록 명령함.
• 스페인 DPA: 페이스북의 개인정보 보호정책과 이용약관에 대한 사전 조사를 거쳐 2 건의 침해 절차. 조사 결과를 고려한 절차는 스페인 데이터 보호법 조항 위반 혐의를 기반.

 

 

페이스북 vs. 유럽: 2018 이후 

서비스 약관을 통한 동의의 회피(Consent Bypass)와 noyb의 신고에 관해 서비스 약관(Terms of Service)으로 맞춤형 광고 제공을 필수 서비스로 규정하고 동의를 회피한 겅에 관해 noyb의 신고(2018. 5. 25. GDPR 시행일)로 아일랜드 개인정보 감독기구로 배당됐다. 아일랜드 개인정보 감독기구(DPA)에서 Consent Bypass를 묵인하는 내용의 초안(2021. 10.)을 마련했으나, 다른 개인정보 감독기구들이 강력 반발한 상태고, 아직 결정이 내려지지 않았다.

오스트리아 대법원(Oberster Gerichtshof, “OGH”)은 유럽 사법재판소(Court of Justice of the European Union, “CJEU”)에 쟁점에 대한 선결적 판단(preliminary ruling)을 신청(2021. 6. 23.) “페이스북이 GDPR 6조(1)(a)[동의를 통한 개인정보 처리]와 GDPR 제7조[동의의 요건]에 따른 동의를 얻는 대신 서비스 이용 약관에 포함시키면서, 이를 GDPR 6조(1)(b)[계약의 이행을 위한 처리]로 볼 수 있는 것인지?”가 쟁점이다.

이탈리아: 틱톡의 맞춤형 광고 제재 (2022. 7. 7.)

지난 몇 주 동안 틱톡은 7월 13일부터 18세 이상의 이용자가 틱톡을 방문하는 동안 사용자 행동을 기반으로 프로파일링하는 ‘맞춤형’ 광고를 수신할 것이라고 개인 정보 보호 정책을 개정하여 공고했다. 플랫폼의 관점에서 개인 데이터 처리는 더 이상 동의가 아니라 틱톡 및 파트너에게 부여된 ‘합법적인 이익’을 기반으로 한다고 주장했다. 이탈리아 SA는 변경된 개인 정보 보호 정책에 대한 사실 조사를 시작하고 소셜 네트워크에 정보를 요청했다.

회사에서 제공한 정보에 따라 이탈리아 SA는 법적 근거의 변경이 EU 지침 2002/58의 5(3)조 및 해당 지침을 대체한 이탈리아 개인 데이터 보호법의 섹션 122와 양립할 수 없다고 결론지었다. 두 법적 문서 모두 데이터 주체의 동의가 ‘가입자 또는 사용자의 단말 장비에 정보를 저장하거나 이미 저장된 정보에 액세스하는 것’에 대한 유일한 법적 근거라고 명시하고 있다.

이탈리아 SA는 GDPR 58(2)a조 및 이탈리아 데이터 보호법 섹션 154(1)(f)에 따라 TikTok에 공식 ‘경고’ 조치를 취하면서 벌금 부과를 포함한 개인 데이터 보호, 필요한 경우 긴급 조치를 포함한 추가 조치를 취할 권리가 있다고 밝혔다.

CNIL, 페북에 15만 유로 벌금 부과 (2017)

프랑스 국가정보처리자유위원회(CNIL)는 2014년의 개인정보 정책에 대한 3년여의 조사 후 15만 유로의 벌금을 부과했다(당시 법률상 최대치). 이하 조사 결과 요약.

• 페이스북은 적절한 법적 근거 없이 광고 목적으로 사용자에 대한 정보를 수집한다. 계정 소유자에 대한 정보를 수집하여 사용자의 동의 없이 타겟 광고를 표시하는 데 사용하며 사용자는 계정 생성 시 이에 대해 이의를 제기할 수 없다.
• 페이스북은 쿠키를 통해 인터넷 사용자를 부당하게 추적한다. 페이스북은 이러한 쿠키를 사용하여 “좋아요” 플러그인 버튼을 표시하는 모든 웹사이트를 추적하여 페이스북 비회원도 추적한다. 페이스북의 개인정보 보호정책에 제공된 쿠키 배너 및 정보가 사용자가 페이스북 플러그인을 포함한 제3자 웹사이트를 탐색할 때 데이터가 수집되는 방식을 명확하게 설명하지 않는다.
• 페이스북은 쿠키를 거부하기 위해 웹 브라우저 설정을 수정해야 하므로 사용자가 단말 장치에 배치된 쿠키에 대해 유효하게 반대하는 것을 허용하지 않는다. 페이스북은 사용자에게 각 쿠키의 목적을 알리고 사용자가 페이스북 웹사이트에서 각 쿠키 사용에 반대할 수 있도록 허용해야 한다.
• 페이스북은 사용자의 권리 및 개인 데이터의 사용, 특히 미국으로의 데이터 전송과 관련하여 사용자에게 충분한 정보(등록 양식이나 데이터 정책에 없음)를 제공하지 않는다.
• 페이스북은 사용자의 명시적인 동의 없이 민감한 데이터를 수집한다.
• 페이스북은 사용자의 전체 IP 주소를 유지할 필요성을 입증하지 않고 계정의 수명 내내 유지하기 때문에 개인 데이터를 필요한 것보다 더 오래 보관한다.

CNIL은 페이스북의 맞춤형 광고에 관해서도 판단했다.

• 사용자의 동의가 자유롭지 않다.
• 계약 이행과 관련하여 서비스의 주요 목적이 소셜 네트워크 제공. 사이트에서 계정을 생성하는 사용자는 이 네트워크에서 상호 작용하고, 공통 관심사 그룹을 만들고, 이벤트를 조직하거나, 사진이나 언론 기사와 같은 콘텐츠를 공유하는 기능에 액세스하기를 원하지, 표적 광고를 받기 위해 소셜 네트워크에 등록하지 않는다. 광고 타겟팅 목적의 사용자 데이터 조합이 계약의 주요 목적 또는 서비스 등록 중에 체결된 계약의 이행에 대한 사용자의 합리적인 기대에 부합하지 않는다고 간주한다.
• 적법한 이익과 관련하여 개인화된 콘텐츠 및 광고를 표시할 목적으로 사용자 데이터를 결합하는 것은 그 규모에 따라 사용자의 이익을 무시하고 개인 정보 보호 권리를 침해할 가능성이 있다. 따라서 이 경우에 입법자가 규정한 이 두 범주의 이익 간의 균형이 달성될 수 있도록 이익 또는 관련자의 기본적 권리와 자유가 충분히 보존되었는지 여부를 판단해야 한다. 사용자에게 배포되고 소셜 네트워크에서 액세스할 수 있는 정보가 충분하지 않다.

CNIL, 구글 안드로이드 맞춤 광고 사건 (2019) 

구글은 안드로이드 기기 사용자의 광고 타겟팅과 관련된 처리의 법적 근거로 GDPR 제6조(1)(a)에 따른 동의를 받았다고 주장했지만, CNIL은 그 동의가 유효하지 않다고 봤다. 그 근거로 제시한 것은 다음과 같다.

• 충분히 정보가 제공되지 않음: 정보가 여러 위치에 분할되어 있고, 읽기 수준이 중복되어 정보 주체가 처리 범위를 인식할 수 없다. 즉, “명확”하지도, “구체적”이지도 않다
• 옵트 아웃: 사용자는 자신의 계정 설정에 액세스하기 위해 동의를 클릭해야 하는데, 개인 맞춤 광고의 표시는 기본적으로 미리 선택되어 있고, 나중에 선택 해제를 할 수 있게 되어 있다.

결론: 메타의 개인정보 정책, 무엇이 문제인가 

메타(페이스북/인스타그램)의 개인정보 정책의 문제점을 정리하면 다음과 같다.

• 8개 필수 동의를 강제하는 것은 위법이며, 무효다.
• 맞춤형 광고를 (사실상) 동의 없이, 필수 동의 대상으로 취급하여 개인정보를 처리하는 것은 위법하다.
• 페이스북/인스타그램의 ‘맞춤형 광고와 관련한 정책’, ‘맞춤형 서비스 제공과 관련한 정책’, ‘통합 파트너, 메타 계열사(Meta Companies), 그 밖의 광고 관련 제3자 등’과의 개인정보 공유 정책은 최소수집 원칙, 명확성, 투명성의 원칙에 위반된다.
• 무료 서비스 유지를 위한 수익화 광고도 개인정보 침해를 최소화할 수 있는 방법을 활용할 수 있다.

동의 강요의 문제 외에도, 페이스북/인스타그램의 개인정보취급 정책과 관련해 다음과 같은 문제를 함께 고민할 필요가 있다.

• 맞춤형 광고의 문제
• 광고를 위한 개인정보의 실시간 경매와 관련한 문제
• 디지털 광고시장에서의 개인정보 유통과 디지털 트윈 등의 문제
• 알고리즘 편향성과 피드 조작의 문제 등에 대한 대응 (끝)