'맞춤형 광고' 개인정보 제공 강제한 메타, 660만원 과태료 낸다

개인정보보호위원회는 8일 제2회 전체회의를 개최하고, 메타의 이용자가 타사 행태정보 제공을 거부하면 페이스북 및 인스타그램 서비스를 가입해 이용할 수 없도록 한 개인정보보호법 위반행위에 대하여 심의, 메타에게 시정명령 및 660만원의 과태료 부과, 공표 등 시정조치를 의결했다.

타사 행태정보란 다른 사업자의 웹사이트 및 앱 방문‧사용 이력, 구매‧검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악‧분석할 수 있는 온라인상의 활동정보를 말한다.

개인정보위는 이번 처분은 메타가 페이스북과 인스타그램 서비스 가입 및 타사 행태정보 수집 전에 이용자에게 타사 행태정보 제공을 거부할 수 있는 선택권을 부여하지 않은 행위가 법 위반임을 분명히 밝히고, 이용자가 타사 행태정보의 제공을 거부하더라도 서비스를 계속 이용할 수 있도록 하고자 하는 것이라고 밝혔다.

고학수 개인정보보호위원회 위원장이 2월 8일 오전 서울 종로구 정부서울청사에서 개최된 제2회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.

개인정보위는 그간 주요 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태에 대해서 계속적으로 점검해 왔으며, 지난해 9월 메타가 적법한 동의 없이 이용자의 타사 행태정보를 수집·이용한 행위에 대해서는 처분한 바 있다.

지난해 5월 메타는 한국의 페이스북 및 인스타그램 이용자를 대상으로 행태정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의방식을 변경하려다 논란이 되자 철회한 바가 있는데, 당시 메타는 해당 동의화면만 철회했을 뿐 여전히 페이스북 및 인스타그램에 가입시 타사 행태정보의 제공을 거부할 수 없도록 운영하고 있다.

메타는 이용자의 타사 행태정보가 수집되지 않도록 설정할 수 있는 '페이스북 외부 활동' 기능을 2019년 출시했으나, 페이스북 계정 생성 시에는 이를 설정할 수 없으며, 계정을 생성한 후 페이스북에 로그인해 5단계 이상을 거쳐야만 확인이 가능하다.

이와 관련해 개인정보위는 페이스북 및 인스타그램 이용자가 다른 사업자의 웹사이트 및 앱을 방문·사용한 ‘온라인 활동기록’인 타사 행태정보가 페이스북 및 인스타그램 서비스 제공에 필요한 최소한의 개인정보인지 여부를 중점 조사했다.

조사 결과, 이용자의 타사 행태정보는 페이스북 및 인스타그램 서비스에 필요한 최소한의 개인정보가 아니며, 이를 제공하지 않으면 서비스를 가입하고 이용할 수 없도록 한 메타의 행위는 개인정보 보호법을 위반한 것임을 확인했다.

우선 페이스북과 인스타그램 서비스 이용자는 친구의 소식을 알고 소통하기 위해 해당 SNS 서비스를 이용하는 것이며, 맞춤형 광고를 보기 위한 목적으로 서비스를 이용한다고 보기는 어렵다고 판단했다.

또한 개인정보위는 ▲메타가 맞춤형 광고를 위해 이용자 식별 기반의 타사 행태정보 외에도 페이스북 및 인스타그램 서비스 내에서 이용자로부터 이미 광범위한 개인정보를 수집하고 있고, ▲메타와 유사한 광고 플랫폼들이 다른 웹 또는 앱에서의 활동 기록을 이용자 계정과 결합하지 않고도 사용한 기기를 식별하는 등 메타와 다른 방법을 통해 맞춤형 광고를 제공하고 있으며, ▲실제로 메타 서비스 이용 중 타사 행태정보 제공을 거부하는 설정을 하더라도 서비스를 문제없이 이용 가능하다는 점과 ▲메타의 실명기반의 타사 행태정보 수집을 이용자가 예상하기 어렵고, ▲사생활의 비밀과 자유를 심각하게 침해할 수 있음을 종합적으로 고려해 메타의 맞춤형 광고를 위한 이용자 식별 기반의 타사 행태정보는 보호법 제39조의3 제3항에 따른 필요한 최소한의 정보가 아니라고 판단했다.

개인정보위는 이번 처분이 맞춤형 광고 자체나 플랫폼의 행태정보 수집 행위에 대한 원칙적 금지를 의미하는 것이 아니라, 플랫폼 이용자의 타사 행태정보가 반드시 필요한 최소한의 개인정보가 아니므로 수집 전에 이용자에게 이에 대한 선택권을 부여함으로써 타사 행태정보 수집 이용을 거부하더라도 서비스를 계속해서 이용할 수 있도록 하는 취지임을 분명히 했다.