구글, 메타의 불법 표적광고와 싸우는 한국, 유럽, 미국

[box type=”note”]페이스북(메타), 구글, 한국의 네이버와 카카오와 같은 빅테크는 현재 인터넷을 둘러싼 많은 문제의 중심에 있다고 해도 과언이 아닙니다. 친구와의 소통에서부터, 호텔과 항공기 예약, 뉴스 유통과 여론의 형성, 영화, 음악, 게임 등 문화 향유까지 빅테크는 이용자의 일상적 삶을 영위하는 기반이 되고 있습니다.

그러나 빅테크의 주요 사업모델인 맞춤형 광고를 위해 이용자의 세세하고 방대한 개인정보를 (불법적으로) 수집하고 있습니다. 빅테크가 소통의 통로를 독점하면서 이용자가 어떤 뉴스를 볼 것인지, 무엇을 소비할 것인지, 어떤 정치적 입장을 가질 것인지, 불투명한 알고리즘을 통해 통제할 수 있다는 우려도 커지고 있습니다. 이미 몇 년 전부터 전 세계 정부와 의회가 빅테크가 야기하는 문제를 연구하고 규제 방안을 제안하고 있는 것은 당연한 일입니다.

국내에서도 이러한 문제의식이 없지 않지만, 아직 이에 대한 연구와 토론이 충분히 이루어지고 있지는 않습니다. 이에 진보네트워크센터는 진보통신연합 APC의 지원을 받아, 빅테크의 문제점과 대안을 알기쉽게 정리하고 유용한 자료의 아카이브를 구축하려고 합니다. 빅테크에 대한 규제기관과 이용자의 대응을 몇 편에 걸쳐 소개합니다. (진보네트워크)

빅테크에 대한 규제기관과 이용자의 대응 (원문 링크)

[/box]

표적 광고 기술이 발전하면서 이용자도 모르게 이용자의 인터넷 이용 기록(행태 정보)이 방대하게 수집, 제공되고 있습니다. 표적 광고는 이용자의 취향이나 관심사에 맞는 광고를 보여주는 것인만큼, 다양한 경로를 통해 이용자의 개인정보를 수집할 수 밖에 없으며 광고의 효과를 측정하기 위해 이용자에 대한 추적이 이루어지기도 합니다.

이 과정에서 이용자에게 적절한 고지 및 동의가 이루어지지 않음으로써 개인정보 침해 논란이 발생하고 있습니다. 특히 표적 광고는 빅테크 기업의 주요 수익 기반이기 때문에 표적 광고 과정의 개인정보 처리에 대한 규율은 빅테크에 커다란 영향을 미칠 수밖에 없습니다.

[divide style=”2″]

구글(Google)

한국

과징금 1000억 부과: 2022.9.14. 개인정보보호위원회, 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집, 이용한 행위에 대해 시정명령과 함께 약 1,000억원의 과징금 부과했습니다.

유럽연합

구글 실시간 입찰(RTB)에 대한 진정: 닥터 라이안(Dr Ryan; Brave), 오픈 라이츠 그룹(Open Rights Group), UCL(University College London)은 구글 및 IAB의 실시간 입찰(RTB) 시스템에 대해 GDPR 위반으로 영국 및 아일랜드의 개인정보 감독기구에 진정했습니다(2018.9.12.). 이는 에 룩셈부르크, 벨기에 등 4개 국가에서 이어졌고(2019.5.20), 프랑스, 독일 등 9개 국가에서 추가 진정이 있었습니다(2019.6.4.).

2022년 5월 현재 실시간 입찰(RTB; Real-Time Bidding)의 산업 규모는 1,170억 달러에 달합니다. 위 자료와 이미지는 미국과 유럽에서 이뤄지는 RTB 데이터 유출의 방대한 규모를 보여줍니다. (출처: ICCL, 2022)

국제광고협회에 25만 유로 과징금: 2019년, Ryan 박사와 판옵티콘 재단(Panoptykon Foundation)과 Bits of Freedom 등 유럽의 정보인권단체가 국제광고협회(IAB) 유럽을 상대로 제기한 민원에 대해 벨기에 감독기구는 27개 개인정보 감독기구의 동의 하에 IAB 유럽의 ‘투명성 및 동의 프레임워크(TCF)’가 GDPR 위반이라고 결정, 25만 유로의 과징금을 부과하고, 2달 내에 시정조치 계획 요구했습니다(2022.2.2).

슈렘스II 판결 이후 동향: 프라이버시 실드를 무효화시킨 슈렘스II 판결 이후, 구글 애널리틱스 등 유럽에서 미국으로 전송되는 개인정보에 대한 GDPR 위반 관련 문제가 커지고 있습니다. 정보인권단체 NOYB(None Of Your Business)는 유럽경제지역을 기반으로 하고 미국으로 데이터를 전송하는 웹사이트와 데이터를 전송받는 구글을 대상으로 각국 개인정보보호당국에 101건의 진정 제기했고(2020.8), 오스트리아 감독기구인 DSB는 구글 애널리틱스를 통해 미국으로 개인정보를 이전하는 것에 대해 GDPR 위반이라고 결정했습니다(2021.12.22). 유럽개인정보보호감독관(EDPS)이 구글 애널리틱스를 사용한 것에 대해 유럽의회를 대상으로(2022.1.5), 프랑스 CNIL이 마찬가지의 결정을 내렸습니다(2022.2.10).

슈렘스 II(Schremes II) 사건의 개요 (출처: 프로젝트 무어)

미국

이메일 스캔(2004~2017): 구글은 이메일 내용 속 문맥을 분석하여 사용자에 대한 추적(맞춤형) 광고를 집행하기 위한 목적으로도 이메일을 스캔해왔습니다. 이러한 관행은 2004년 지메일 런칭부터 광고 목적을 위한 이메일 내용 스캔 중단을 발표한 2017년까지 이어졌습니다.

이메일 스캔 중단 요구: 2004년, 지메일 서비스가 시작된 이후 31곳의 정보인권 및 시민권 단체는 지메일의 정책으로 인한 프라이버시 침해에 우려를 표하며 광고 목적을 위한 이메일 내용 스캔 중지, 데이터 정책의 명확화를 요청하는 서한을 발표했습니다. 지메일 출시 직후 유럽연합과 미국 등 각국에서 개인정보 보호 지침 위반 및 통신비밀과 관련한 법률 위반 등으로 관할 당국에 신고와 민원이 접수되었습니다.

2010년 이후 미국 내 일부 사용자들로부터 사생활 침해와 통신법 위반 등으로 일련의 소송이 제기되었으나, 광역 집단소송으로 통합되거나 병합될 수 없는 것으로 판결되며 구글의 정책에 큰 영향을 미치진 못하고 있습니다.

2017년, 구글은 지메일 내용 스캔을 통한 광고를 중단할 것을 밝혔습니다.

프랑스

프랑스 국가정보처리자유위원회(CNIL)은 사전 동의 및 적절한 고지없이 이용자 컴퓨터에 광고 쿠키를 저장한 것에 대해 구글에 과징금 부과했습니다(2020.12.7.). 사전 동의 및 적절한 고지 없이 구글 프랑스(google.fr)의 이용자 컴퓨터에 광고 쿠키를 저장한 것에 대한 것으로 서비스에 필수적이지 않은 쿠키의 경우 동의가 필요합니다(프랑스 개인정보보호법 제82조 위반)

CNIL은 쿠키를 쉽게 거부할 수 있는 기능을 제공하지 않았다는 이유로 구글 및 페이스북에 과징금을 부과했습니다(2021.12.31.). 구글 프랑스(google.fr) 및 유튜브(youtube.com) 이용자가 쿠키를 쉽게 거부할 수 없는 것에 대해, 구글(Google LLC)에 9천만 유로, 구글 아일랜드(Google Ireland)에 6천만 유로, 총 1억 5천만 유로의 과징금 부과했습니다.