페북 '얼굴정보' 수집이 꼼수로 적발된 이유

페이스북이 이용자로부터 얼굴인식 정보를 제공받는 과정에서 개인정보보호법을 위반했다는 제재 결정이 나옴에 따라 그 배경이 주목된다.

25일 개인정보보호위원회는 페이스북을 비롯한 넷플릭스, 구글 등 해외 플랫폼 사업자들을 대상으로 개인정보보호법 위반 행위를 적발, 과징금 총 66억6천만원과 과태료 2천900만원을 부과하는 등 시정명령을 내렸다.

과징금의 대부분이 페이스북의 불법 얼굴인식 정보 생성 및 수집에 따른 것이다. 개인정보위는 2018년 4월19일부터 기본 설정을 변경하기 전인 2019년 9월2일까지 페이스북이 이같은 위법 행위를 했다고 판단, 이에 대해 과징금 64억4천만원을 부과했다.

개인정보위에 따르면 페이스북은 얼굴인식 정보를 생성하고 수집하는 과정에서 정보 주체인 이용자 동의를 제대로 받지 않은 것으로 확인됐다.

페이스북은 이용자 정보를 수집 및 활용, 관리하는 방식을 안내하는 '데이터 정책'을 2018년 4월 수정, 얼굴인식 기능이 활성화될 수 있다는 내용을 명시했다. 이 기능이 활성화돼 있으면 이용자가 프로필에 등록한 사진, 영상 등을 토대로 얼굴에 대한 수치화된 정보(템플릿)를 생성, 수집하게 된다. 이 정보를 토대로, 페이스북에 등록되는 이미지 중 이용자가 포함돼 있는지 여부를 판별해 알려준다.

문제는 이용자가 가입 전 얼굴인식 기능을 비활성화할 수 없었다는 점이다.

박영수 개인정보위 조사1과 과장은 "데이터 정책에 얼굴인식 기능을 사용한다는 언급은 있었지만, 가입 전에는 얼굴인식 기능 제어 페이지에 접근할 수 없었다"며 "이용자가 가입 전 얼굴인식 기능을 비활성화할 방법이 없는 상태에서, 얼굴인식 사용에 동의한다는 것이 기본 설정으로 적용돼 있었다"고 설명했다.

이용자가 가입하자마자 이런 설정을 수정하지 않고 무심코 프로필에 얼굴 이미지를 등록하게 되면, 추가적인 동의 절차 없이 얼굴 정보가 수집된 것이다.

얼굴인식 정보 불법 수집 외에도 페이스북은 주민등록번호 불법 처리, 개인정보 처리 주체 변경 미고지, 개인정보 처리 위탁 및 국외 이전 관련 내용 미공개, 자료 미제출 등의 위법 행위에 대해 과태료 총 2천600만원이 부과됐다.

주민등록번호의 경우 계정 분실에 따른 이용자 재확인 과정에 신분증이 사용되면서 주민등록번호를 처리한 점이 문제가 됐다. 박영수 과장은 페이스북의 소명 사항으로 "주민등록번호 수집과 관련해 이미 수집돼 있는 주민등록번호는 삭제하는 과정을 거쳤고, 비식별 조치 솔루션 개발 작업도 시작, 연말 완료할 것이라는 답을 받았는데 시정명령 이행 점검 과정에서 확인할 계획"이라고 답했다.

이번 제재는 해외 사업자의 개인정보 수집 동의 방식에 대한 조사 과정에서 적발된 위법사항에 따른 것이다. 개인정보위는 이번 조사가 완결된 것이 아니며, 추가적인 사실관계 확인이나 법령 검토 등이 필요한 사항에 대해서는 계속 조사를 이어나갈 계획이라고 밝혔다. 즉 이번 제재 대상 사업자들에게 추가 제재가 내려질 가능성도 있다. 박 과장은 "시간이 상당히 걸리는 내용이나 사실관계 확인이 복잡한 내용, 법령 검토가 필요한 부분들이 일부 남아 있어 이에 대해 계속 조사하겠다는 의미"라고 첨언했다.

이번 제재 결과에 대해 윤종인 개인정보위 위원장은 인터넷 사업자의 동의 방식에 대해 깊은 우려를 표명했다.

윤종인 위원장은 "데이터 시대 개인정보의 활용은 기업과 정보 주체 모두에게 매우 중요하고, 정보 주체와 정보 처리자 간 신뢰가 기본이어야 함에도 서비스 제공에 필수적이지 않은 정보를 필수 정보로 수집할 수 있게 요구하는 경우, 개인정보 제공에 동의하지 않으면 서비스 제공 자체를 거부하는 경우 등이 있다"며 "개인정보 수집에 편향된 기술과 디자인은 정보 주체의 개인정보 보호에 대한 합리적 기대에 부합하지 않으며, 페이스북의 동의 없는 얼굴인식 수집도 이러한 기본적인 내용으로 비춰봤을 때 심각히 우려되는 사항"이라고 강조했다.