크로미엄 기반 웹브라우저 '브레이브'를 운영하는 브레이브소프트웨어가 구글을 유럽 일반 개인정보보호법(GDPR) 위반으로 재차 고소했다. GDPR의 주요 원칙 중 목적 제한의 원칙을 위반했다는 혐의다. 해당 원칙은 기업·기관이 소비자를 대상으로 명시한 목적에 부합하는 데이터만 수집하도록 요구한다.
16일 미국 지디넷에 따르면, 브레이브는 구글이 본부를 두고 있는 아일랜드의 데이터보호위원회(DPC)에 이같은 내용을 담은 고소장을 16일 제출했다. 브레이브는 구글에 데이터 수집 목적과 그에 대한 법적 근거를 명확히 할 것을 요구했다.
고소장을 제출한 브레이브 최고 정책·산업관계 책임자인 조니 라이언은 데이터 수집 목적에 대해 '새로운 서비스 개발'이라고 명시한 사례를 들며 "구글의 개인정보 보호 정책이 모호하고 구체적이지 않다"고 지적했다.
구글의 개인 맞춤형 광고도 문제의 소지가 있다고 봤다. 사용자 관심사에 따라 광고를 제공하고 있으나, 사용자는 광고 제공 과정을 제대로 알지 못한다는 것이다. 해당 광고를 보게 되는 이유에 대해서도 제한된 정보만 습득할 수 있다고 비판했다.
라이언은 고소장에 구글의 사용자 데이터 수집 목적을 항목별로 정리한 내용을 담았다. 이 연구는 구글의 데이터 수집 목적을 ▲회계 ▲맞춤형 광고 ▲데이터 분석 ▲안드로이드와 크롬 업데이트 ▲보안 ▲사용자와의 상호작용 등 다양한 항목으로 분류했다.
라이언은 "구글이 모든 사람의 개인정보를 보유하더라도 이를 구글이 원하는 모든 목적에 따라 사용할 수 있다는 의미는 아니다"라며 "데이터 수집 목적 각각에 대한 법적 근거를 찾고 투명성을 확보해야 한다"고 주장했다.
그에 따르면 구글은 데이터 수집에 대한 상세 설명을 요구하는 브레이브 측의 요구를 반복적으로 거부했다.
브레이브가 구글을 GDPR 위반 혐의로 고소한 건 처음이 아니다. 지난 2018년 9월에도 영국과 아일랜드 사법기관에 구글과 광고기술업체를 대상으로 소송을 제기했다. 구글과 협업하는 광고 업체들이 웹사이트 방문자에게 맞춤형 광고를 제공할 때 사용자 데이터를 잠재적 광고주에 노출한다는 점을 지적했다. 브레이브는 이를 개인정보에 적절한 보안을 보장해야 한다는 GDPR 5조 1항 F호에 위배된다고 봤다.
관련기사
- 개보위, '데이터 3법' 도입 앞두고 국제 협력 강화 준비2020.03.18
- GDPR 발효 1년6개월…누적벌금 1천473억원2020.03.18
- "IoT 활용 1번지 '아태 지역', 사이버위협 대비해야"2020.03.18
- [기자수첩] 데이터 3법 후속논의도 서둘러야2020.03.18
DPC는 구글의 사용자 데이터 처리 방식을 조사 중이다. GDPR은 조항을 위반한 기업·기관에 연 매출의 4% 또는 2천만 유로(약 272억원) 중 더 큰 금액의 과징금을 부과한다.
구글은 지난해 1월 GDPR 위반 혐의로 프랑스 데이터 보호 감시기관 CNIL로부터 5천만 유로(약 680억원)의 과징금을 부과받기도 했다. 데이터 처리 관련 정보를 찾기 어렵게 배치해둔 점, 사용자를 대상으로 포괄적인 약관 동의를 받는 점 등이 문제가 됐다.