메타, 구글의 개인정보 남용에 대한 세계 각국의 대응

[box type=”note”]

페이스북(메타), 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다.

그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다. 빅테크에 대한 규제기관과 이용자의 대응을 몇 편에 걸쳐 소개합니다. (진보네트워크)

빅테크에 대한 규제기관과 이용자의 대응 (원문 링크)

1. 빅테크(메타, 구글, 애플, 아마존) 독점력 남용: 세계 각국의 대응 양상
2. 메타, 구글의 개인정보 남용에 대한 세계 각국의 대응

[/box]

빅테크 독점의 기반은 방대한 이용자와 이용자 개인정보입니다. 네트워크 효과와 더불어 빅테크는 서로 다른 서비스의 이용자 개인정보를 통합하여 그 규모를 확대해왔습니다. 그러나 빅테크는 개인정보 처리에 대해 알기쉽게 이용자에게 고지 및 설명하지 않았으며, 동의없이 이용자 개인정보를 처리하거나 제3자에게 제공해왔습니다. 빅테크의 불법적 개인정보 처리에 대해 각 국의 개인정보 감독당국이 조사하고 시정요구를 하고 있으며, 이용자들도 침해된 권리에 대한 손해배상 소송으로 대응하고 있습니다.

 

[divide style=”2″]

메타(Meta)

미국

• 비컨 기능: 2009.9. 페이스북 비컨(Beacon) 기능과 관련한 집단 소송 제기 → 2010년 합의를 통해 페이스북은 총 이용자 및 변호인단 비용으로 9.5만달러을 배상했습니다.

• 스폰서 스토리: 2011.4. 5명의 원고는 페이스북이 스폰서 스토리를 통해 광고에 사람들의 사진과 이름을 부당하게 사용했다며 집단소송 제기 → 2013년, 약 2,000만 달러의 소송 합의안이 마련되었고 61만여명의 페이스북 이용자에게 총 900만 달러 배상과 법원 비용 및 기부금 등에 1,100만 달러를 지불하는 것으로 합의했습니다.

• 개인정보처리방침: 2009.12. EPIC(Electronic Privacy Information Center) 등 9개의 시민단체는 페이스북의 개인정보처리방침을 문제 삼으며 FTC에 제소 → 2011.11, FTC는 페이스북의 사용자 프라이버시와 관련된 기만적 관행에 대해 합의를 마쳤다고 발표하였고, 2012년 8월 동일한 내용의 동의 명령(consent order)을 내렸습니다.  페이스북은 사용자에게 명시적이며 확실한 공지를 하고, 사용자가 설정한 개인정보 보호 설정을 넘어 개인정보를 공유하기 전 명시적 동의를 얻고, 포괄적인 개인정보 보호 체계를 갖추고, 2031년까지 2년마다 제3자가 감사를 실시하는 데 동의했으며, 위반 사항 하나 당 최대 16,000달러의 벌금 부과에 합의했습니다.

• 쿠키를 통한 로그아웃 이용자 행태 정보 수집: 2012. 페이스북이 로그아웃 이용자의 행태 정보를 쿠키를 통해 수집한 것에 대해 집단소송 제기 → 2022.2. 메타는 9000만달러(약 107억8000만원)를 지급하기로 합의했습니다.

• 캠브리지 애널리티카 사태: 2018.12. 워싱턴DC, 캠브리지 애널리티카에 수천만 명의 가입자 개인정보를 유출한 혐의로 페이스북에 소송 제기 → 2022.5.23. 미국 워싱턴DC 검찰은 메타 CEO 저커버그에 대해 캠브리지 애널리티카 스캔들에게 역할을 했다며 소송 제기했습니다.

• 개인정보 제3자 불법제공 (50억 달러 합의): 2019.7. FTC는 페이스북이 제3자 앱 개발자에게 이용자의 개인정보를 불법적으로 제공한 것에 대해, 50억 달러의 민사 벌금(civil penalty)을 납부하기로 하는 것을 포함한 동의 의결 (consent order) 합의 → 2020.4.23. 법원이 페이스북-FTC 50억 달러 합의 승인 판결했습니다.

 

영국

• 캠브리지 애널리티카 사태: 2018.10. 영국 개인정보보호 당국(ICO)은 페이스북이 제3자 앱 개발자에게 이용자의 개인정보를 불법적으로 제공한 것(캠브리지 애널리티카 스캔들)에 대해 법정 최고벌금인 50만 파운드(약 7억 5천만원) 부과.

한국

• 캠브리지 애널리티카 사태: 2020.11. 한국 개인정보보호위원회는 페이스북의 제3자 앱을 통한 개인정보 무단 제공(캠브리지 애널리티카 스캔들)에 대해 과징금 67억원 부과

• 진보넷 vs. 메타: 2021.4. 진보네트워크센터와 법무법인 지향, 페이스북을 상대로 개인정보분쟁조정위원회에 집단분쟁조정 신청 → 2021.10.29, 개인정보분쟁조정위원회는 집단분쟁조정 참가자(181명)에게 각 30만원의 손해배상금을 지급할 것, 신청인들의 개인정보를 제공받은 제3자의 신상과 제공된 개인정보 유형 및 내용을 신청인들에게 열람하게 할 것의 내용을 담은 조정안 제시했지만, 메타는 조정안을 거부 → 2022.1, 메타의 개인정보 침해(동의없는 제3자 제공)에 대한 손해배상 청구소송 제기했습니다.

 

[divide style=”2″]

구글(Google)

유럽연합

• 스트리트뷰 촬영 차량의 무단 개인정보 수집: 2010년, 독일 함부르크 주 개인정보보호 당국의 감사를 통해 구글이 스트리트뷰 촬영을 위해 전 세계 30개국의 거리를 촬영하며, 촬영 차량에 설치된 기기를 통해 가정 및 사무실 등의 사설 무선네트워크 사용자로부터 방대한 양의 개인정보를 수집했다는 사실이 밝혀졌습니다. 2011.3. 프랑스 개인정보보호당국(CNIL)은 구글 스트리트뷰 차량의 무단 개인정보 수집에 대해 10만 유로 (한화 약 1억 6천만원),  2013.4. 독일의 개인정보보호당국은 14만 5천 유로 (한화 약 2억 1천만원)의 벌금을 부과하였으며 그외 영국, 체코, 아일랜드, 덴마크 및 일본 등 18개 국가에서는 데이터의 삭제와 서비스 중지 명령을 내렸습니다.

• ’12년 개인정보정책 개정: 2012.3. 구글은 당시 60여개의 서비스와 제품마다 별도로 적용되었던 이용약관과 개인정보 정책을 통합시키는 새로운 개인정보 정책 개정을 발표 → 유럽연합의 27개 회원국을 대표하여 프랑스 개인정보보호당국(CNIL)은 통합된 개인정보정책의 시행을 연기할 것을 구글에 요청하고 조사에 착수 → 2012.10. CNIL은 조사 보고서를 발표 → 2013.7. CNIL의 조사에 이어 영국, 이탈리아, 독일, 스페인, 네덜란드 당국도 조사에 착수했으며 위법 사항을 지적하고 개인정보 정책의 개정을 요구. → 2013년 스페인은 총 90만 유로의 벌금을 부과, 프랑스 당국은 2014년 1월 당시 법률상 최대인 15만 유로의 벌금을 부과했습니다.

프랑스

• 개인정보와 추적광고 정책에 벌금: 2018년 5월 유럽연합 일반개인정보보호법 (GDPR)이 발효된 후, NOYB(No of Your Business, 오스트리아의 디지털 권리 옹호단체, 비영리)와 LQDN(La Quadrature du Net; 프랑스의 디지털 권리 옹호단체, 비영리)은 구글의 불투명한 개인정보처리 정책과 추적 광고의 법적 근거 부족 등을 사유로 CNIL에 신고, 2020년 CNIL은 5,000만 유로의 벌금을 부과하는 최종 판결을 선고했습니다.

스페인

• 잊힐 권리: 2022.5. 스페인 개인정보보호기구 AEPD, GDPR 위반(잊힐 권리 침해) 이유로 구글에 1,050만 달러 벌금 부과했습니다.

미국

• 스트리트뷰 차량 정보 수집: 스트리트뷰 차량이 무선네트워크 정보를 수집한다는 사실이 밝혀지며 각국에서 손해배상 청구 소송 및 당국의 조사가 활발히 진행되었습니다. 2010년 미국에서는 집단소송이 제기되었으며 이후 판결을 통해 1,300만 달러(한화 약 153억원)의 배상금을 지불하는 것으로 최종 합의되었습니다.

• 구글 버즈 제소: 2010.2.16, 미국의 정보인권 단체 EPIC은 연방거래위원회에 구글 버즈를 제소했습니다. EPIC은 구글 버즈가 지메일 사용자를 대상으로 의미 있는 개인정보의 통제나 옵트인 방식의 동의절차를 제공하지 않은 채 이메일 서비스를 소셜네트워크서비스로 전환하였다고 주장했습니다. 같은 달, 사용자들의 집단 소송도 제기 → 2010.11. 구글은 850만 달러로 집단 소송에 합의 → 2011.3. 연방거래위원회는 구글과의 동의명령에 합의하고 발표했습니다. 연방거래위원회는 구글이 구글 버즈를 출시하며 행한 불공정하고 기만적인 관행을 인정했으며, 포괄적인 개인정보보호 계획의 구현 및 향후 20년 동안 정기적이고 독립적인 개인정보보호 감사를 요구했습니다.

• 사파리 사용자 개인정보 불법 수집: 2012.2. 구글이 악의적인 방법으로 애플의 모바일 웹브라우저인 사파리(Safari) 사용자의 개인정보를 불법적으로 수집했다는 사실이 보도 → FTC는 이러한 구글의 개인정보 침해에 대해, 2011년 구글 버즈로 인해 합의했던 동의명령의 위반으로 판단하여 고발했습니다. 이후 2,250만 달러의 벌금 부과로 최종 판결. 구글은 해당 관행으로 인한 프라이버시 침해를 인정하며 사파리 이용자 등 기기에 설치된 추적 쿠키를 삭제하는 것에 합의했습니다.

• 유튜브 아동 채널 불법 정보 수집: 2019.9. 유튜브에 대해 아동 대상 채널 시청자로부터 부모에 대한 고지와 동의 절차 없이 인터넷 상에서 이용자를 추적하는 데 이용되는 영구적 식별자(persistent identifiers)를 수집하여 COPPA를 위반하였다는 이유로 1억 7,000만 달러의 과징금 부과했습니다.

• 동의 없는 위치 정보 불법 수집 및 광고 이용: 2020.5 애리조나주는 구글이 사용자 동의 여부와 관계없이 위치 정보를 임의로 수집하고 이를 광고 사업을 위해 이용했다며 구글의 소비자 기만 행위에 대해 소송을 제기 → 다른 주들도 잇따라 소송을 제기했고, 2022.11.14. 구글은 40개 주 정부와 3억9천150만 달러(5천206억 원)를 지급하기로 합의했습니다. 구글은 안드로이드와 아이폰에 탑재된 검색 엔진을 통해 이용자들이 ‘위치 히스토리’라는 기능을 비활성화한 뒤에도 위치 정보를 계속 추적했습니다. 2022.1. 추가로 소송을 제기한 주들은 소송이 진행되고 있습니다.

캐나다

• 구글 스트리트뷰 차량 불법 정보 수집: 2010.10. 캐나다 개인정보보호당국(OPC)은 구글 스트리트뷰에 대한 조사를 통해 구글이 캐나다 개인정보보호법(PIPEDA)를 위반한 것으로 결론, 관련되어 수집한 데이터의 삭제 및 법을 준수할 수 있는 개인정보 보호 절차 등을 갖출 것을 명령했습니다.

한국

• 구글 스트리트뷰 차량 불법 정보 수집: 한국에서는 2011년 경찰청의 수사를 통해 구글 스트리트뷰 개인정보 침해 사실이 확인되었으며, 2014년 방송통신위원회가 2억 1,230만원의 과징금을 부과했습니다.

 

[divide style=”2″]

틱톡(TikTok)

이탈리아

• 블랙아웃 챌린지 사건: 10세 아동이 틱톡에서 질식게임인 ‘블랙아웃 챌린지’를 하다가 사망한 사건이 발생하자, 2021년 1월 이탈리아 개인정보보호 감독기구가 아동 여부가 확인되지 않은 개인들의 개인정보처리를 금지했습니다.

네덜란드

• 개인정보보호지침 영어로만 설정해 벌금: 네덜란드 개인정보보호 감독기구는 2021년 4월, 틱톡이 16세 미만 네덜란드 이용자들에게 개인정보보호지침을 영어로만 제공한 것에 대하여 750,000유로의 과징금을 부과했습니다.

미국

• 부모 권리 보호 및 과징금: 2019. 2, 미국 FTC는 틱톡에 대해 ①부모 동의 없이 13세 미만 아동의 이미지, 음성, 위치정보 등 수집, ②개인정보 장기간 보유, ③부모의 데이터 삭제 요구에 불응하였다는 이유로 570만 달러의 과징금 부과했습니다.