[빅테크 vs 개인] ① 구글‧메타 "우리는 제3 사업자"…왜? [데이터링]


'수집 주체'는 누구?…개인정보의 "타사 행태정보 수집 동의 의무는 플랫폼"

[아이뉴스24 김혜경 기자] 개인정보보호법 제39조의3.

구글과 메타가 1천억원이 넘는 과징금을 물게 된 핵심 처분 근거다. 개인정보보호위원회는 구글‧메타가 자사 서비스 가입자의 타사 행태정보를 수집, 맞춤형 광고에 활용하면서 적법한 동의를 받지 않았다고 판단했다.

반면 양사는 위원회 조사과정에서 개인정보 수집 주체가 아니라는 논리를 내세웠다. 행태정보 수집 도구를 설치한 웹·앱 사업자에 동의 의무가 있으며 자신들은 개인정보를 제공받은 것에 불과하다는 것. 왜 구글‧메타는 수집 주체와 제3의 사업자 의무를 강조하고 나섰을까.

구글과 메타 CI [사진=각 사]

◆ '정보통신서비스 제공자'와 '개인정보 처리자'

개인정보위에 따르면 구글은 2016년 6월부터 올해 7월까지 자사 서비스에 가입한 이용자의 타사 행태정보를 수집해 맞춤형 광고 등에 이용했다. 애드센스(AdSense)와 애드몹(AdMob), 애드매니저(AdManager) 등 행태정보 수집 도구를 웹사이트 혹은 애플리케이션 사업자에게 제작·배포했다. 웹브라우저에서는 이용자 식별 쿠키를, 모바일에서는 이용자 식별 토큰을 사용해 로그인 활동을 관리했다.

메타도 2018년 7월 14일부터 올해 7월까지 페이스북 등 자사 서비스에 가입한 이용자의 타사 행태정보를 수집, 맞춤형 광고에 활용했다. 픽셀, SDK 등의 행태정보 수집 도구를 다른 사업자에게 제작‧배포하거나 페북의 '좋아요' 버튼, 소셜 로그인 기능을 통해서도 이용자의 타사 행태정보를 수집했다. 전체 한국 계정 가운데 행태정보 수집을 허용하도록 설정된 계정 수는 구글의 경우 82%, 메타는 98%로 집계됐다.

개인정보위는 구글·메타를 정보통신서비스 제공자이자 개인정보처리자로 판단했다. 보호법 제39조의3 제1항에 따르면 정보통신서비스 제공자는 개인정보를 이용하려고 수집하는 경우 ▲개인정보 수집‧이용 목적 ▲수집하는 개인정보 항목 ▲개인정보 보유‧이용 기간의 모든 사항을 이용자에게 알리고 동의를 받도록 규정하고 있다.

정보통신망법에 따르면 '정보통신서비스 제공자'란 전기통신사업자 혹은 영리를 목적으로 전기통신사업자의 역무를 이용, 정보를 제공하거나 정보의 제공을 매개하는 사업자다.

보호법 제2조 제5호에서는 '개인정보 처리자'란 업무를 목적으로 개인정보 파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관과 법인, 단체, 개인을 뜻한다고 규정하고 있다. 정보통신망법의 정보통신서비스 제공자는 보호법상 개인정보 처리자에 해당되는 셈이다.

구글·메타 측 주장은 크게 두 가지로 나뉜다. 행태정보 수집 주체는 플랫폼 사업자가 아니라는 점과 그럼에도 불구하고 자신들은 이용자에게 명확히 알리고 동의를 받았다는 것. 지난달 31일 비공개로 진행된 1차 전체회의에서 양측 법률 대리인은 타사 행태정보 수집 주체에 대해 많은 시간을 할애해 논리를 펼쳤다.

구글‧메타 서비스에 가입한 이용자의 타사 행태정보 수집‧이용 절차. [사진=개인정보위]

1차 회의 속기록을 살펴보면 양사는 "이용자와의 관계에 있어서 누가 정보통신서비스 제공자이고 누구의 행태정보가 수집되는지를 기준으로 동의를 받아야 한다"며 "보호법 39조의3 제1항에서는 정보통신서비스 제공자가 동의를 받도록 규정하고 있는데 웹·앱 사업자(퍼블리셔)가 동의를 받는 것이 당연하다"고 주장했다.

이어 "만약 동의를 받는 주체가 플랫폼 사업자라면 보호법 39조의3이 아닌 15조 제1항 적용 여부를 따져봐야 할 것"이라며 "수집 책임을 부담하는 자는 퍼블리셔이고 정보를 이전받아 사용하는 행위는 제3자 제공 혹은 처리위탁에 따른 보호법상 조치를 이행해야 될 문제"라고 덧붙였다.

양사의 주장은 '정보 수집'과 '정보 처리' 주체를 분리해야 한다는 뜻으로 풀이된다. 제3자가 행태정보를 수집하며, 자신들은 제공받은 정보를 처리한 것이라는 주장이다.

개인정보위는 구글‧메타가 타사 행태정보 처리 과정에서 주도적으로 관리·통제권을 행사하므로 이들에게 동의 의무가 있다고 판단했다. 1차 회의에서 양청삼 조사조정국장은 "플랫폼은 사업자로부터 행태정보를 제공받았다고 주장하지만 사업자는 행태정보를 수집‧보관한 사실이 없어 제공의 주체가 될 수 없다"며 "플랫폼이 수집하는 행태정보는 이용자 기기에서 직접 전송·수집되며 플랫폼 회원 계정과 결합된다. 이 과정에서 다른 사업자는 플랫폼에 수집되는 행태정보를 보거나 저장할 수 없다"고 설명했다.

특히 플랫폼 사업자의 행태정보 수집 도구는 필수 수집항목이 정해져 있어 다른 사업자가 선택하거나 임의로 변경할 수 없어 통제권을 보유했다고 볼 수 없다고 위원회는 설명했다. 양 국장은 "구글 측이 지난해 6월 제출한 답변서를 보면 타사 행태정보 수집‧이용 주체인 부분을 인정하고 있다"며 "쿠키는 이용자 장치에 생성되고 플랫폼 사업자만이 접근할 수 있다고 답한 바 있다"고 전했다.

'데이터 통제권'과 수집된 행태정보가 '누구의 목적'을 위해 쓰였는지 따져보자는 것.

윤종인 위원장은 "양사가 행태정보 수집 도구를 타사 사이트에 설치한 후 수집하는 데이터에 대해 지적하고 있는 것"이라며 "제3의 사업자가 해당 사실을 이용자에게 알린다고 해서 플랫폼 사업자가 가져가는 데이터를 통제할 수 있느냐의 문제"라고 강조했다. 이어 "디바이스가 아닌 이용자 식별을 통해 타사 사이트의 정보를 가져가는 이유가 무엇인지도 핵심"이라고 부연했다.

서종식 위원은 "플랫폼 사업자 측은 제3의 사업자가 자신의 이익을 위해 정보를 수집·보관한 후 제공하는 것이라고 하지만 맞춤형 광고 관련 서비스를 제공하는 것은 플랫폼의 비즈니스"라면서 "결국 플랫폼 사업자의 비즈니스를 위해 행태정보가 필요한 것"이라고 말했다.

타사 행태정보 수집 과정과 맞춤형 광고에 활용한다는 목적성, 개인정보 서비스 제공 등 전체적인 서비스 이용 양태를 따져봤을 때 플랫폼 사업자가 타사 행태정보를 수집하는 행위는 정보통신서비스 제공자와 이용자 관계에서 이뤄지는 것이라고 위원회는 판단했다.

이에 양사는 "퍼블리셔가 의사를 결정하고 플랫폼은 광고 서비스를 제공하는 것이 본질"이라며 "플랫폼 제공 서비스를 사용하는 행위와 이용자 개인정보를 공유할지 여부를 결정하는 것이 제3의 사업자"라고 반박했다.

◆ '제3자 동의 의무'라면서…왜 '동의 항목' 넣었나

1차 회의에서 고성학 위원은 "타사 행태정보 수집 관련 다른 웹사이트나 앱 운영자가 동의를 받아야 할 사항이라고 강조하면서도 구글·메타 측은 동의 항목에서 이 같은 내용을 언급하고 있다"며 "제3자가 동의를 받아야 한다고 주장한다면 양사가 동의 항목을 넣은 것은 무슨 이유인가"라고 반문했다.

강정화 위원은 "지난번 메타의 동의 방식 변경 사례를 살펴보면 동의를 하지 않을 경우 서비스 이용을 제한하는 등 선택적 동의는 아니였다"며 "광범위한 정보를 수집하면서 일방적으로 동의하도록 요구하거나 제3자가 불법적으로 수집한 정보라고 하더라도 그대로 활용했다면 문제가 있다"고 말했다.

양사는 "글로벌 회사이다 보니 각국의 규제가 다를 수 있다"며 "개인정보와 조금이라도 관련이 있으면 이 같은 내용을 이용자에게 우선 알린다는 차원에서 동의를 받았던 것인데 한국법 관련해선 검토하지 못했다"고 답했다.

◆ 구글‧메타 "결합 없더라도 이용자 행태 추적 가능"

조사 과정에서 구글과 메타는 국내 사업자를 언급하기도 했다. 이들은 1차 회의에서 "이용자 계정과 결합하지 않는 국내 사업자는 별도 제재를 받지 않고 있다"며 "그러나 결합이 없더라도 쿠키 정보와 모바일 광고 아이디를 사용하면 브라우저와 기기 수준에서 이용자의 행태를 추적할 수 있다"고 설명했다.

또 "광고 플랫폼 사업자들은 행태정보를 사용하고 있는데 소수를 제외하고 대부분 동의를 받고 있지 않은 상황"이라며 "타사 사이트의 행태정보와 계정정보가 연계될 때 어떻게 처리해야 되는지에 대해서는 확립된 기준이 없다"고 전했다.

개인정보보호위원회(위원장 윤종인)는 14일 열린 전체회의에서 개인정보보호법을 위반한 구글과 메타에 시정명령과 함께 총 1천억4천700만원의 과징금을 부과하기로 결정했다. [사진=김혜경 기자]

◆ '경쟁법' 위반 여부도 쟁점으로 부각될까

개인정보위는 해외 처분 사례로 ▲2019년 7월 유럽사법재판소 페이스북‧패션(Fashion)ID 판결 ▲2020년 12월 프랑스 개인정보감독기구(CNIL) 구글 쿠키 동의 여부 과징금 부과 ▲2019년 2월 독일 연방카르텔청 페이스북 경쟁법 위반 시정명령 ▲2020년 6월 독일 연방대법원 페이스북 경쟁법 위반 결정 등을 들었다. 이중 독일 사례는 보호법이 아닌 경쟁법 위반 여부에 초점을 맞췄다는 점에서 시사하는 바가 크다는 분석이다.

윤 위원장은 "개인정보 처리자가 꼭 한 명이라고 주장할 필요는 없다고 생각한다"며 "외국 사례에서 구글·메타 측은 동의 의무 혹은 계약 이행이라는 관점에서 이용자 개인정보 처리가 가능한지 등을 다툰 것으로 알고 있는데 유독 한국에선 개인정보 보호법 해석 관점을 강조하는 이유가 무엇인지 의문"이라고 꼬집었다.

이어 "제3의 웹·앱 사업자 대비 구글, 메타 등은 글로벌 빅테크기업이라는 측면에서 개인정보 이슈가 경쟁법과 얽혀 있는 것은 사실"이라며 "시장지배력 차원에서 봤을 때 해당 사업자들은 플랫폼 사업자가 제공하는 서비스를 선택하는 것이 유리하기 때문"이라고 덧붙였다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스