자사 플랫폼 내 이용자 민간정보 수집 및 활용
현행 보호법, 사상·신념 등 원칙적으로 처리 제한
개인정보위, 메타와 보호법 위반 혐의로 행정소송 중
2022년 시정명령·과징금 부과했으나 실제 시정 없어
이용자의 종교·정치관, 동성 결혼 여부 등 민감정보를 수집해 무단으로 광고주에 제공한 메타가 개인정보보호위원회로부터 수백억대 과징금을 부과받았다.
개인정보보호위원회(이하 개인정보위)는 지난 4일 제18회 전체회의에서 메타에게 과징금 216억2320만원의 과징금·과태료와 시정명령을 부과하기로 의결했다고 5일 밝혔다.
개인정보위는 지난 2020년 11월 메타가 동의 없이 민감정보를 수집 및 활용하는 행위를 인지하고 관련 조사에 착수했다. 그 과정에서 메타가 정당한 사유 없이 개인정보 열람을 거절했다는 민원과 개인정보가 유출됐다는 신고도 접수해 함께 조사를 진행해 왔다.
조사에 따르면 메타는 과거 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집했고 이를 광고주에게 제공해 약 4000개 광고주가 민감정보를 이용했다. 이용자가 페이스북에서 ‘좋아요’를 누른 페이지가 클릭한 광고 등 행태정보를 분석해 관련 광고주제를 만들어 운영한 사실이 있었다. 이용자가 피해받은 시기는 2018년 7월부터 메타의 시정 조치가 완료된 2022년 3월까지다.
이은정 개인정보보호위원회 조사1과 과장은 “페이스북 내 프로필 필드를 마련해 종교관이나 정치관 등을 입력할 수 있도록 했으며 9만여 개의 광고 카테고리를 만들어 이용자 타깃 광고를 한 사실이 확인됐다”며 “민감정보와 관련된 집회나 단체에 가입을 유도하는 광고를 보내는 식”이라고 설명했다.
현행 개인정보 보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정해 원칙적으로 처리를 제한하고 있다. 예외적으로 정보 주체의 별도 동의를 받는 등 적법 근거가 있을 시에만 이를 처리할 수 있도록 규정하고 있다.
메타가 정당한 사유 없이 이용자의 개인정보 열람 요청을 거절하기도 했으며, 서비스 중단 또는 관리되지 않는 홈페이지는 삭제나 차단조치를 취해야 하나 이를 제거하지 않아 한국 이용자 10명의 개인정보가 유출된 사실이 확인됐다.
과징금 규모는 매출액에 사안의 중요도나 민감도를 반영해 부과기준율을 곱해 산정됐다. 시정명령은 통상적인 경우와 마찬가지로 사업자가 처분 통지를 받은 날부터 90일 내 시정 이행 계획을 제출하도록 한다.
개인정보위가 메타에 개인정보보호법 위반 혐의로 과징금을 부과한 것은 이번이 처음이 아니다. 앞서 개인정보위는 이용자 행태정보를 무단 수집해 온라인 맞춤형 광고에 활용한 것이 개인정보보호법 위반 행위라며 2022년 9월과 2023년 7월 두 차례에 거처 메타에 각각 308억원, 74억원의 과징금을 부과한 적 있다.
이에 메타는 즉각 반발하며 두 차례 모두 행정소송을 제기했다. 2022년 개인정보보호위원회가 내린 시정명령에 대해서 메타는 개인정보 수집에 대한 동의를 받아야 할 주체는 플랫폼 사업자인 자신이 아니라 웹사이트 및 앱 서비스 제공자라는 입장을 고수하고 있다. 시정명령도 메타가 법원에 신청한 집행정지가 인용되면서 시정 조치가 이뤄지지 못하고 있다.
메타의 행정소송 제기 가능성에 따른 제재 실효성에 대한 물음에 이 과장은 “현재 소송 1심이 진행 중이며 법원의 판단을 기다리고 있어 유불리하다거나 패소를 가정한 답변은 불가하다”며 “이용자 개인정보를 수집하는 과정에서 개인정보보호법을 준수하는 것은 국내외 사업자를 가리지 않은 처리자의 정당한 의무로, 이를 위반하는 것을 지적하는 건 당연하다고 생각한다”고 답변했다.
이 과장은 “현재까지 문제가 제기된 건에 대해선 조사를 완료했으며 앞으로도 시정 사항에 대해 조사 및 점검을 이어갈 계획”이라고 말했다.