플랫폼이 이용자에게 필요 이상의 개인정보를 요구하는 상황을 방지하기 위해 '행태정보' 수집 및 이용에 대한 세분화된 관리·감독이 필요하다는 지적이 나왔다. 행태정보는 이용자의 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등이 포함된 정보다.
국회 입법조사처는 30일 '온라인 맞춤형 광고에서의 행태정보 보호' 보고서를 통해 이같이 주장했다.
플랫폼사들이 맞춤형 광고 사업을 위해 이용자 행태정보를 무분별하게 수집하는 행태는 잇따라 포착되고 있다.
지난 7월 SNS 페이스북과 인스타그램을 운영하는 메타는 국내 서비스 이용약관을 이처럼 개정하려 하다가 개인정보보호법 위반 소지가 있다는 비판을 받고 철회한 바 있다.
개인정보보호위원회가 지난달 구글과 메타에 각각 과징금 692억원, 308억원을 부과하기도 했다. 행태정보 수집 사실을 명확히 알리지 않고, 동의도 제대로 받지 않은 점이 문제가 됐다.
해외 당국도 플랫폼의 부당한 개인정보 수집 행태를 문제 삼고 있다. 지난 2019년 프랑스는 구글이 맞춤형 광고 이용 동의를 제대로 받지 않았다는 이유로 유럽연합(EU) 일반 개인정보보호법(GDPR)을 위반했다고 판단, 과징금 5천만 유로(당시 약 642억원)를 부과했다. 같은 해 독일도 인스타그램 등이 이용자 행태정보를 수집 및 결합하는 것을 금지했다. 벨기에는 지난 2월 맞춤형 광고 솔루션이 이용자에게 동의를 받는 과정이 모호하다며 과징금 부과 및 시정조치를 했다.
입법조사처는 대응책으로 플랫폼들이 개인정보 최소 수집 원칙을 준수하도록, 이용자가 행태정보 수집에 동의하지 않을 경우 서비스 사용을 전면 금지하는 상황을 방지해야 한다고 봤다. 이를 위해 플랫폼이 필요한 정보만을 수집하는지 점검하고, 서비스 유형을 세분화해 수집하는 개인정보를 최소화하는 방안을 검토할 것을 제안했다.
행태정보에 대한 별도의 보호책도 필요하다고 지적했다. 다른 개인정보와 연계 분석될 경우 개인정보 노출 및 침해 위험성이 높아지기 때문이다.
일례로 EU가 행태정보 기반 추적 기술 '쿠키'에 대한 별도 프라이버시 규정을 두고 있으며, 미국 '캘리포니아 소비자 프라이버시 법'도 쿠키를 고유 식별자 또는 고유한 개인 식별자의 한 유형으로 명시하고 있다고 언급했다.
일본도 지난 4월 시행된 개정 개인정보보호법에서 행태정보들이 해당되는 '개인관련정보' 개념을 도입하고, 다른 정보와 결합해 정보 주체를 식별할 가능성이 있는 자에 대해 정보 주체로부터 미리 동의를 받아야 한다고 규정했다.
우리나라는 방송통신위원회가 2017년 '온라인 맞춤형 광고 개인정보보호 가이드라인'으로 행태정보 처리 시 준수사항을 제시하고 있다. 그러나 행태정보 유형, 사용 영역・방식 등을 세분화하고 있지 않다. 입법조사처는 행태정보 유형, 사용 영역 및 방식 등에 따른 보호 필요성을 검토해 행태정보 규제 체계를 법제화해야 한다고 주장했다.
많은 이용자로부터 방대한 행태정보를 수집, 개인정보 침해 가능성이 높은 빅테크 플랫폼 기업에 대해서는 별도 규제가 필요하다고 봤다.
관련기사
- '구글·메타'부터 철퇴...찜찜한 맞춤형 광고 사라질까2022.09.14
- 구글·메타, 개인정보법 과징금 1천억원…역대 최대2022.09.14
- 페북·인스타, '개인정보' 요구하며 계정 인질 잡던 방침 바꾼다2022.07.28
- 광고 활용도 필수동의 하라는 메타...위법성 가르는 쟁점은 '이것'2022.07.25
EU는 내년 시행되는 EU '디지털시장법'에서 핵심 플랫폼 기업이 수집한 개인정보를 맞춤형 광고에 이용하는 것, 다른 수단으로 수집한 개인정보와 결합하거나 다른 서비스와 교차해 사용하는 것을 금지했다. 이용자의 명확하고 명시적이며 정보에 입각한 별도의 동의가 있는 경우에는 예외적으로 맞춤형 광고가 가능하나, 미성년자에 대해서는 엄격히 금지했다.
입법 최종 단계만 남은 '디지털서비스법'은 초대형 온라인 플랫폼 서비스 제공자가 온라인 인터페이스에 광고를 표시하는 경우, 광고 내용, 맞춤형 광고 여부, 맞춤형 광고에 사용된 주요 매개변수 등을 저장하고 공개하도록 요구하도록 했다.