지난 7월 개정된 개인정보 처리방침에 대한 메타의 동의 강요로 온라인이 떠들썩했다. 메타는 약 2천만명의 한국 이용자들이 사용하고 있는 페이스북과 인스타그램 서비스를 제공하는 글로벌 기업이다. 메타는 지난 5월에 자신의 개인정보 처리방침 개정을 공지하면서 ▶개인정보의 수집 및 이용 ▶개인정보의 제공 ▶개인정보의 국가 간 이전 ▶위치정보 서비스 약관 ▶개인정보 처리방침 업데이트 ▶서비스 약관 등 6가지 개정된 정책에 대한 동의를 요구하였다. 그런데 6가지 모두 ‘필수’로 되어 있었고, 이에 동의하지 않으면 서비스 이용을 할 수 없다니, 사실상 동의를 강제하는 것이나 다름없었다. 메타의 협박에 이용자들은 반발하였고, 메타의 개인정보 처리방침이 불법이 아니냐는 비판도 제기되었다. 결국 메타는 7월 28일, 동의절차를 철회하겠다고 발표하였다.
그렇다면 문제가 해결된 것일까? 동의를 요구하는 절차가 없어졌을 뿐, 이용자가 페이스북과 인스타그램을 계속 사용하면 개정된 정책이 그대로 적용되게 된다. 이용자들이 단지 동의 클릭을 하는 게 불편해서 반발한 것이 아니라면, 메타의 대응은 이용자를 기만한 것이 아닐 수 없다. 메타 개인정보 처리방침의 불법성은 여전히 남아있기 때문이다.
개인정보 최소수집의 원칙 위반
메타가 수집하는 개인정보의 세밀함과 방대함은 놀랄 정도다. 우선 페이스북이나 인스타그램을 사용하면서 내가 입력한 기본적인 개인정보(이름, 연락처, 학력, 직업 등), 내가 올린 사진과 글, 댓글, 친구 관계, ‘좋아요’한 기록 등 서비스 이용기록 등이 모두 내 개인정보에 해당한다. 뿐만 아니라 나도 모르게 수집되는 개인정보도 무수히 많다. 내가 사용하는 컴퓨터와 스마트폰 종류, 운영체제, 배터리 전량과 내 스마트폰이 탐지하는 전파(기지국, GPS, 와이파이, 블루투스 등) 신호의 강도, 아이피 주소 등 내 이용환경에 대한 매우 세밀한 정보가 수집된다. 나아가 페이스북이나 인스타그램 서비스 바깥에서 어떤 사이트에 접속했는지, 배달앱을 통해 무엇을 주문했고, 쇼핑몰에서 어떤 상품을 주문했는지까지, 인터넷과 앱을 이용한 나의 행태정보가 모두 기록에 남는다.
이렇게 방대한 개인정보를 수집하면서도 메타는 이를 모두 ‘필수정보’로 규정하고 이에 동의하지 않으면 서비스 제공을 거부한다. 그런데 우리나라 개인정보 보호법은 목적에 필요한 최소한의 개인정보를 수집해야 하며, 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부해서는 안 된다. (제16조, 제39조의3) 메타가 수집하는 일부 정보는 선택 사항이기는 하지만 (정확하게 무엇이 선택정보이고 무엇이 필수정보인지 명확하지 않은 것도 문제다), 그 외의 이 모든 방대한 개인정보를 필수정보로 규정하는 것은 납득하기 힘들다. 목적에 필요한 최소한의 개인정보 수집 원칙은 개인정보 보호를 위한 대원칙이며, 우리나라 개인정보보호법도 이러한 원칙을 천명하고 있다. 메타는 맞춤형 광고를 위해 이 모든 개인정보가 필요하다고 주장할지 모르지만, 이러한 논리가 수용된다면 개인정보 보호원칙이 무력화될 수밖에 없다.
메타는 당신이 온라인에서 뭘 했는지 알고 있다
더 놀라운 사실은 메타가 페이스북과 인스타그램 서비스 바깥에서 우리가 웹과 앱을 사용한 기록을 보유하고 있다는 것이다. 페이스북 이용자라면 ‘설정 및 개인정보 > 설정 > 내 Facebook 정보 > Facebook 외부 활동 > 보기’를 방문해보자. 혹은 (https://www.facebook.com/off_facebook_activity/)로 접속하면 된다. 최근 몇 달 동안 내가 방문한 사이트와 사용한 앱들의 기록을 볼 수 있을 것이다. 보다 상세한 정보(예를 들어, 언제 앱을 실행해서 장바구니에 넣었는지 등)는 다운로드를 받아야 확인할 수 있다. 이러한 정보는 내가 페이스북이나 인스타그램에 로그인하지 않아도, 심지어 내가 페이스북이나 인스타그램 이용자가 아닐지라도 수집된다.
아마도 대부분의 이용자들이 이러한 사실을 모를 것이다. 내가 접속했던 웹사이트, 내가 실행했던 앱은 물론이고, 메타 역시 이러한 사실을 고지하거나 사전에 동의받지 않았기 때문이다. 동의없는 개인정보 수집 역시 개인정보보호법 위반이다.(제15조, 제39조의3) 메타는 이를 ‘파트너’로부터 제공받는 개인정보라면서 마치 자신들은 책임이 없는 것처럼 얘기하지만, 메타가 이러한 개인정보를 자신의 서버에 저장하고 자신의 목적을 위해 처리하기 때문에 메타 역시 개인정보책임자로서 이를 위한 적법한 처리 근거가 있어야 함은 분명하다.
맞춤형 광고의 개인정보 침해
메타가 방대한 개인정보를 수집하는 이유는 궁극적으로 이용자 개인정보를 기반으로 맞춤형 광고를 하기 위해서다. 맞춤형 광고는 타겟광고, 혹은 감시 광고라고도 부르는데, 개인에게 더 맞춤형 광고를 내보내기 위해서는 당연히 더 많은 개인정보가 필요하다. 특히 메타의 경우 광고 수익이 전체 수익의 98%를 차지하고 있으니 의존도가 매우 크다. 요새 인터넷상의 배너 광고의 내용이 개인마다 다르다는 것은 많은 사람들이 느끼고 있을 것이다. 또한 내가 어떤 사이트에 가든 똑같은 광고가 따라오는 것이 기분 나쁘다는 이용자도 증가하고 있다. 필리핀을 검색하면 어떤 사이트에 가도 필리핀 여행 광고가 따라오는 식이다.
그럼 이러한 맞춤형 광고는 어떻게 작동하는 것일까. 우선 메타와 같이 쿠키나 다른 추적장치를 통해 개인의 관심사나 성향을 파악한다. 어떤 이용자가 배너 광고를 내보낼 사이트(예를 들어, 뉴스 사이트, 커뮤니티 게시판, 쇼핑 사이트 등)에 접속을 시도하면, 해당 이용자의 개인정보가 광고주를 대리하는 광고 업체에 전달된다. 이 개인정보를 기반으로 가장 높은 입찰가를 제시한 업체의 광고가 이용자에게 보내지게 되는 것이다.
예를 들어, 어떤 이용자가 등산을 좋아한다는 것이 인터넷 행태정보를 바탕으로 파악이 되어 있다면, 그 이용자가 웹사이트에 접속할 때 등산용품 업체가 제일 높은 입찰가를 제시할 것이고, 해당 이용자는 등산화 광고를 보게 될 것이다. 이러한 일종의 실시간 경매가 발생하는데, 놀랍게도 우리가 어떤 사이트에 접속하는 1초 미만의 시간 동안에 이러한 처리가 이루어진다. “자, 다음 경매품은 친애하는 엘리 양의 개인 데이터입니다.”로 시작하는 애플 광고가 경매 현장을 배경으로 한 이유는 실제로 맞춤형 광고가 개인정보의 실시간 경매를 기반으로 하고 있기 때문이다. 전 세계 이용자가 웹사이트에 접근할 때마다 실시간 경매와 개인정보 전송이 이루어진다. 그래서 해외 한 인권단체는 이를 사상 최대의 개인정보 유출 사태라고도 부른다.
개인정보보호위원회, 위법한 개인정보 처리에 시정 요구해야
위법한 개인정보 처리는 중단되어야 한다. 메타와 같은 글로벌 대기업 역시 마찬가지다. 개인정보보호위원회는 이미 지난해부터 메타의 개인정보보호법 위반 행위에 대해 조사하고 있다고 하는데, 조속히 조사를 완료하고 위법성이 해소될 수 있도록 시정명령이 내려질 필요가 있다.
나아가 맞춤형 광고 과정에서 발생하는 개인정보보호법 위반 행위는 비단 메타만의 문제는 아니다. 이용자의 관심사 파악을 위한 개인정보 수집에서부터, 광고 업체에 개인정보를 제공하는 행위까지 모두 이용자에 대한 적절한 고지와 동의 없이 일어난 일이다. 유럽연합의 사이트에 방문해 본 사람들은 알겠지만, 사이트에 처음 방문할 때 쿠키에 대한 동의를 받는 팝업이 뜬다. 사이트 이용에 필수적인 쿠키와 광고 목적의 쿠키를 구분해서 동의를 할 수 있다. 그러나 국내에서는 아직 쿠키를 통한 이용자 행태정보 수집과 맞춤형 광고 과정의 개인정보 처리에 대한 규범이 존재하지 않는다.
이러한 문제가 해결되어야 이번 메타 사태가 아무런 소득 없는 해프닝에 그치지 않을 수 있다.
