 |
| [연합] |
[헤럴드경제=박지영 기자]#. 운동화를 사고 싶은 당신. 여러 온라인 쇼핑몰을 돌아다니며 관심이 가는 제품들을 찾았습니다. 브랜드 홈페이지에 들어가 ‘장바구니’에도 담았습니다. 결제는 하지 않았네요. 유튜브에 들어갔습니다. 아까 장바구니에 담은 그 운동화의 광고가 뜹니다. 페이스북에 접속했습니다. 살까 말까 심각하게 고민했던 또 다른 제품의 광고가 뜹니다. 흠칫하게 됩니다. “혹시 누가 내 폰 훔쳐봤나?”
비밀은 구글과 메타(페이스북 운영사)가 온라인 쇼핑몰에 제공한 ‘비즈니스 도구’들에 있습니다. 온라인 쇼핑몰이 구글·메타가 제공한 프로그램을 사용하면 이용자의 행태 정보가 구글·메타에 전달됩니다. 제품을 검색하고, 후기를 살펴보고, 장바구니에 담고… 일련의 과정을 온라인 쇼핑몰과 구글·메타가 공유합니다. 구글·메타는 기존에 가지고 있던 당신의 계정 정보와 기기 정보, 행태 정보를 결합해 광고를 제공합니다. ‘맞춤형 광고’가 만들어지는 과정입니다.
문제는 여러분이 이같은 정보 제공에 동의한 기억이 없다는 겁니다. 구글·페이스북 안에서 수집된 정보가 그 안에서 사용되는 것이라면 몰라도, 다른 사이트에서 활동한 기록이 구글·페이스북에 제공되는 것까지 동의한 적은 없었던 것 같은데 말이죠. 개인정보보호위원회는 2022년 9월 맞춤형 광고 시스템이 “정보 주체의 동의를 적법하게 받지 않았다”며 구글과 메타에 각각 692억원, 308억원의 과징금을 부과했습니다.
메타·구글은 불복해 소송을 제기했습니다. 소송 결과가 지난 23일 나왔습니다. 서울행정법원 행정2부(부장 고은설)는 원고 패소 판결했습니다. 개보위 제재에 문제가 없다는 취지였습니다. 헤럴드경제는 1심 판결문을 입수해 분석했습니다. 법원은 구글 67쪽, 메타 60쪽의 판결문을 통해 구글·메타의 개인정보 수집이 부당하다고 결론 내렸습니다.
 |
| 구글 [연합] |
첫 번째 쟁점은 ‘개인정보 수집·이용 주체’가 누구냐는 것입니다. 구글·메타는 자신들이 제공한 비즈니스 도구를 사용한 웹·앱 사이트 사업자들이라고 주장했습니다. 예를 들어 한 온라인 쇼핑몰 운영자가 구글, 메타가 제공한 프로그램(구글 애널리틱스, 메타 픽셀 등)을 활용해 이용자에 대한 정보를 얻고 있다고 합시다.
쇼핑몰 운영자가 구글·메타의 프로그램을 사용하면 홈페이지에 코드가 생깁니다. 방문자 유입 경로, 체류 시간, 어떤 설명을 눈여겨봤는지 등을 알게 해주는 단서입니다. 구글·메타는 이같은 정보를 보고서 형태로 가공해 쇼핑몰 운영자들에게 제공합니다. 구글·메타가 “개인정보 수집·이용 동의를 받을 주체는 웹·앱 사업자”라고 주장하는 이유입니다.
법원의 판단은 달랐습니다.
메타 맞춤형 광고 제재 불복소송 1심 판결문(25.01.23)
이용자가 이 사건 서비스(페이스북, 인스타그램)에 접속하면 원고는 쿠키를 생성해 이용자 기기에 저장한다. 원고의 회원이 이 사건 서비스에 로그인을 하면 새로운 쿠키를 추가 생성해 이용자 기기에 저장한 뒤 이용자의 이 사건 서비스 회원 계정과 결합해 둔다. (중략)
이용자가 비즈니스 도구를 설치한 웹·앱 사업자의 웹·앱을 방문해 물품 구매 등 일정한 행위(타사 행태정보)를 하면, 비즈니스 도구가 이용자 식별자 또는 광고 식별자와 결합된 타사 행태정보를 이용자 기기에서 원고 서버로 전송하도록 지시한다. (중략) 원고는 온라인 식별자를 매개로 타사 행태정보를 이 사건 서비스의 회원 계정과 매칭함으로써 이용자 개인이 식별된 상태의 타사 행태정보를 이용자별로 축적해 수집한다.
핵심은 ‘결합’입니다. 개인정보보호법은 A라는 정보로 개인을 특정할 수 없어도, B라는 정보와 결합해 쉽게 개인을 알아볼 수 있다면 A 역시 ‘개인정보’라고 봅니다. 익명의 이용자가 스마트폰으로 쇼핑몰에 들어가 물건을 살펴본 기록(타사 행태정보) 자체는 개인정보가 아닐 수 있습니다.
하지만 구글·메타는 ‘이용자 식별자’를 만들어 보관했습니다. 이용자의 기기에 붙은 ‘해시태그’라고 보시면 됩니다. 행태정보와 기기에 심어진 식별자, 기기와 연동된 계정 정보를 결합하면 누가, 어디서, 무엇을 했는지 알 수 있습니다. ‘개인정보’가 되는 것입니다.
법원은 이런 결합은 메타·구글만이 할 수 있다는 점에서 개인정보 수집·이용 주체는 메타·구글이라고 판단했습니다.
메타 맞춤형 광고 제재 불복소송 1심 판결문(25.01.23)
원고가 이용자 기기에서 온라인 식별자와 결합한 타사 행태정보를 자신의 서버로 전송받는 시점에 원고는 회원들의 개인정보인 타사 행태정보를 취득한다고 볼 수 있다. 웹·앱 사용자는 이러한 과정에서 이용자 식별자와 결합한 타사 행태정보를 전송받지 못하므로 개인정보를 취득한다고 볼 수 없다. (중략) 웹ㆍ앱 사업자로서는 자신의 회원이나 이용자 중 누구의 행태정보가 원고에게 제공되는지 식별하기도 어려워 보인다.
1심 재판부는 “이용자의 행태정보에 분석이나 광고효과의 측정은 모두 익명의 통계로 제공될 뿐이어서 개인 식별을 할 필요가 없다”며 “웹·앱 사업자가 모두 원고(메타)에게 광고를 의뢰하는 광고주도 아니다. 맞춤형 광고는 1차적으로 원고가 자신의 수익을 위해 생성·제공하는 것이므로 원고에 우선하여 웹·앱 사업자에게 개인정보로서 타사 행태정보의 이용 목적이나 행위가 있다고 보기 어렵다”고 지적했습니다.
구글·메타는 비즈니스 도구가 ‘모두를 위한 것’이라고 강조해 왔습니다. 웹·앱 사업자는 방문기록을 분석해 사업을 개선합니다. 구글·페이스북을 통해 맞춤형 광고까지 내보내면 효율성도 높아집니다. 이용자는 자신에게 딱 맞는 광고를 제공받는 효과도 있습니다.
하지만 법원은 최종 이익이 구글·메타에게 돌아간다고 판단했습니다. 구글·메타는 광고주가 된 웹·앱 사업자로부터 ‘광고비’를 받기 때문입니다. 웹·앱 사업자를 통해 개인정보를 제한 없이 수집하고, 이를 바탕으로 광고 효율성을 높여 일부 광고주로부터 막대한 광고 수익을 얻습니다. 결국 과도한 개인정보 수집은 메타·구글을 위한 것이지, 전체 웹·앱 사업자를 위한 것이 될 수 없다고 꼬집은 겁니다.
 |
| 마크 저커버그 메타 최고경영자(CEO).[AFP] |
두 번째 쟁점은 이용자가 개인정보 수집·이용에 동의했냐는 것이었습니다. 구글·메타는 계정을 만들 때 ‘데이터 정책’에 관련 내용을 기재하고 동의를 받았다고 주장합니다. 페이스북의 경우 데이터 정책이 공백 포함 1만 4600여개 글자, 694줄로 이루어져 있습니다. 하지만 법원은 이용자가 이해하기 어려워 타사 행태정보 수집·제공에 동의했다고 볼 수 없다고 판단했습니다.
무엇보다 양사가 해외에서는 분명하게 관련 정보를 제공한다는 점을 중요하게 봤습니다.
메타 맞춤형 광고 제재 불복소송 1심 판결문(25.01.23)
원고(메타)는 이용자들이 이 사건 서비스에 가입하고자 하는 경우 가입 단계에서 ‘데이터 정책’에 ‘동의’를 체크해야 가입이 가능하도록 하고 있다. (중략) 전체적으로 공백 포함 14,600여개 글자, 694줄로 이루어져 있다. (중략)
원고는 우리나라와 달리 유럽 이용자가 이 사건 서비스에 접속하는 경우, 타사 행태정보를 결합하기 위한 쿠키 사용 허용 여부에 대한 동의 화면을 제공하고 있고, 유럽 이용자가 쿠키 사용에 동의하지 않는 경우 타사 행태정보가 ‘삭제된다’고 안내하고 있다.
구글 맞춤형 광고 제재 불복소송 1심 판결문(25.01.23)
원고(구글)는 미국 신규 가입자에 대한 개인정보 수집 동의를 위한 고지 내용을 수정하였는데, 수정된 고지 내용에 따르면 미국의 이용자들은 타사 행태정보가 수집되고 맞춤형 광고 제공을 위해 이용될 수 있다는 사실, 계정 생성 시 타사 행태정보가 수집되도록 설정되어 있으나 그 설정을 바꿀 수 있다는 사실을 쉽게 알 수 있다.
해외 사례를 보면 구글·메타가 적법한 방식으로 타사 행태정보를 수집·이용할 방법이 충분히 있다는 겁니다. 이용자는 자신의 구글·메타가 자신의 정보를 어떻게 수집·이용하는지 분명히 알 수 있어야 합니다. 또 이에 대해 동의할 수도, 거부할 수도 있어야 합니다. 개인정보 ‘자기결정권’입니다.
법원은 특히 메타의 판결문을 통해 타사 행태정보 수집의 위험성에 대해 경고했습니다. 1심 재판부는 “인터넷 활동의 익명성을 상실시킬 위험이 있다. 장기간 수집된 이용자별 행태정보를 분석할 경우 사상·신념, 정치적 견해, 건강, 신체적·생리적·행동적 특징 및 민감정보까지 식별하게 될 가능성이 높다”고 지적했습니다.
그러면서 “원고의 타사 행태정보 수집은 기술적으로 복잡하고 은밀하게 이루어져 이용자들이 인지하기 쉽지 않다”며 “이용자 입장에서는 온라인에서의 행동이 감시당하고 있는 것은 아닌지 불안감을 느낄 가능성이 크다. 현대사회에서 정보주체인 이용자들에게 개인정보에 해당하는 타사 행태정보에 관한 자기결정권을 보장할 필요성이 매우 높다”고 했습니다.
구글·메타는 1심 결과가 나온 직후 ‘유감’을 표시했습니다. 메타는 “저희의 제품과 서비스가 모든 적용 가능한 법률을 준수하고 있다고 확신한다”고, 구글은 “법원의 판결을 신중히 검토하고 향후 대응 방향을 결정할 예정”이라는 입장을 밝혔습니다.
구글과 메타는 2라운드에서 반전을 끌어낼 수 있을까요?
