<김진해 개인정보보호위원회 대변인>
안녕하십니까? 개인정보보호위원회 대변인 김진해입니다.
바쁘신 가운데 브리핑에 참석해주신 기자분들께 감사의 말씀을 드립니다.
금일 브리핑은 금일 오전 개인정보위 전체회의에 상정된 심의·의결 및 보고된 안건에 관련된 것으로서 제가 먼저 전체적인 내용을 설명드린 뒤 송상훈 조사조정국장께서 개인정보보호 법규 위반행위에 대한 처분에 관한 내용을 브리핑해 주시겠습니다.
먼저, 금일 회의에 상정·처리된 안건은 총 6건으로 심의·의결 안건이 3건, 보고안건이 3건이었습니다.
먼저, 개인정보보호 기본계획 수립에 관한 건은 향후 3년간의 개인정보보호 정책방향에 대한 밑그림을 그린 것으로 국무회의의 보고일인 어제 개인정보정책국장이 브리핑해드렸고 보도된 바와 같습니다.
둘째, 공공기관의 가명정보 결합 및 반출 등에 관한 고시 제정 건은 공공기관의 가명정보 결합·반출에 대한 기준 및 준수사항을 고시 제정한 것으로서 12월 초에 보도자료를 배포해드리겠습니다.
결합전문기관 지정 심사결과 건은 저희 개인정보위가 지정하는 결합전문기관의 심사결과에 대한 것으로 주간보도계획을 통해 공지해드린 바와 같이 금주 금요일에 조간으로 배포해드리겠습니다.
교육 분야 가명·익명 처리 가이드라인 발간 건은 교육부 공동보도자료로 금주 목요일 석간으로 배포해드리도록 하겠습니다.
코로나19 관련 과태료·과징금 징수유예 건은 코로나19 확산에 따른 영세중소상인의 개인정보 관련 과태료 등을 징수 유예해 경제적 부담을 경감하는 내용으로 지난 11월 24일 화요일에 조간으로 보도자료를 기배포해드렸습니다.
아울러, 이번 주 금요일, 11월 27일입니다. 개인정보위 비전선포식에 관해서 안내해드리겠습니다.
이 자리는 명실상부한 개인정보보호 컨트롤타워로서 개인정보위의 비전과 정책방향을 국민들께 공개하는 자리입니다.
개인정보위 비전은 안전한 개인정보, 신뢰하는 데이터시대로, 이는 국민 한 분, 한 분의 개인정보에 대한 확실한 안전망이 갖춰진 가운데 대한민국이 데이터 강국으로 도약할 수 있다는 의미를 담고 있습니다.
비전선포식은 11월 27일 금요일 오후 2시에 정부서울청사 별관 대강당에서 개최되며, 관련 보도자료는 선포일 당일인 27일 조간으로 배포해드리도록 하겠습니다.
<송상훈 개인정보보호위원회 조사조정국장>
안녕하십니까? 조사조정국장 송상훈입니다.
오늘 오전 제7회 개인정보보호위원회에서 의결한 페이스북의 개인정보보호 법규 위반에 대한 처분 내용을 말씀드리겠습니다.
이번 조치는 지난 8월 5일 위원회가 출범한 이후 이루어진 첫 번째 제재이자, 해외사업자를 대상으로 한 첫 고발 사례입니다.
위원회는 페이스북 친구의 정보가 미국 대선 등에 불법적으로 활용됐다는 논란이 언론에서 제기된 것을 계기로 조사를 시작하였습니다.
그간의 조사결과를 바탕으로 지난 제6회 위원회 회의에서 피심인 측의 의견 진술을 충분히 듣고 이를 토대로 오늘 회의에서 주요 쟁점에 대한 논의를 거쳐 의결하였습니다.
그럼 이번 조사를 통해 밝혀진 페이스북의 개인정보보호 위반 사례에 대해 말씀드리겠습니다.
첫째, 페이스북은 이용자의 개인정보를 제3자에게 제공하는 경우 당사자의 동의를 받아야 하는 법적 의무가 있음에도 불구하고 당사자 동의를 받지 않고 다른 사업자에게 개인정보를 제공한 사실을 확인하였습니다.
이용자가 페이스북 로그인을 통해 다른 사업자의 서비스를 이용할 때 본인 정보와 함께 페이스북 친구의 개인정보가 동의 없이 다른 사업자에게 제공되었으며, 다른 사업자에게 개인정보가 제공된 페이스북 친구는 본인의 개인정보가 제공된 사실조차 모르는 상태인 것으로 확인되었습니다.
페이스북의 위법 행위로 인한 피해 규모는 페이스북이 자료를 제출하지 않아 정확히 알 수는 없으나, 조사 결과 2012년 5월부터 2018년 6월까지 약 6년간 위반행위가 이어져온 것으로 드러났으며, 국내 페이스북 이용자 1,800만 명 중 최소 330만 명 이상의 개인정보가 제공된 것으로 확인되었습니다.
페이스북 친구정보가 최대 1만여 개 앱을 통해 제공될 수 있었던 상태인 점을 고려하면 더 많은 개인정보가 넘어갔을 것으로 추정하고 있습니다.
다른 사업자에게 제공된 페이스북 친구의 개인정보 항목은 학력·경력, 출신지, 가족, 결혼·연애상태, 관심사 등이 포함된 것으로 밝혀졌습니다.
둘째, 페이스북은 위원회가 요구하는 자료를 제출할 법적 의무가 있음에도 불구하고 조사과정에서 거짓으로 자료를 제출하거나 불완전한 자료를 제출하는 등 조사를 방해하였습니다.
구체적으로 말씀드리면, 페이스북은 다른 사업자에게 동의 없는 개인정보 제공을 중단한 시점과 관련된 증빙자료를 거짓으로 제출했다가 위원회가 반증을 제시한 후에야 관련 자료를 제출해서 법 위반 기간을 확정짓는 데 혼란을 초래했고, 이미 제출된 자료에 비춰보아 개인정보가 동의 없이 제3자에게 제공된 페이스북 친구 수를 구분할 수 있는 게 명확함에도 불구하고 친구 수를 제출하지 않아 위반행위 규모 산정을 어렵게 하는 등 조사를 방해하였습니다.
셋째, 페이스북은 이용자의 비밀번호를 암호화하는 등 기술적인 보안조치를 해야 하는 법적 의무가 있음에도 불구하고 별다른 암호화 조치 없이 이용자 비밀번호를 평문으로 저장하였습니다.
넷째, 페이스북은 이용자에게 1년에 1번 이상 개인정보 이용내역을 통지해야 하는 법적 의무가 있음에도 불구하고 이용내역을 1번도 통지한 적이 없습니다.
우리 위원회는 페이스북의 이러한 위법행위에 대해 다음과 같이 처분을 하였습니다.
우선, 정보주체의 동의를 받지 않고 개인정보를 제3자에게 제공한 행위에 대해서는 과징금 67억 원을 부과하였고, 위반행위의 주체인 페이스북아일랜드와 동 사의 개인정보 담당이사를 수사기관에 고발하기로 하였습니다.
그밖에 개인정보 암호화 조치 위반과 이용내역 통지 위반, 거짓자료 제출 등 법위반 행위에 대해서는 총 6,600만 원의 과태료를 부과하였습니다.
이번 조사는 페이스북이 일부 자료를 제출하지 않거나 거짓자료 제출과 같은 조사방해 등으로 조사 개시부터 처분까지 2년 반이 넘게 걸렸습니다. 앞으로 개인정보보호위원회는 국내사업자와 해외사업자 구분 없이 엄정하게 법을 집행하여 우리 국민의 개인정보가 확실히 보호되도록 하겠습니다.
감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 개인정보 유출에 대한 과징금이 이번에 67억 원으로 이전에 있는 사례보다 액수가 많이 늘어난 것 같습니다. 이렇게 액수, 과징금 액수가 큰 배경이 있는지 궁금하고요. 페북 외에 구글 등 국내기업에서 다른 해외기업과 같은 기준으로 개인정보 유출에 대한 규제가 필요하다는 얘기가 많은데 이게 실제로 조사하거나 제재 진행 중인 사항이 혹시 있는지 이것도 답변 부탁드립니다.
<답변> (송상훈 조사조정국장) 과징금 액수 67억 원은 관련 규정에 따라서 관련 매출액의 3% 이내에서 산출하도록 되어있습니다. 저희 관련 규정상에서 최고금액을 책정했다고 하는 점을 말씀드리고, 이 67억 원은 개인정보보호 법규 위반한 과징금 중에서 역대 최대 규모입니다.
그리고 지금 현재 조사 중인 건은 이 건 이외에도 다수의 건이 동시에 진행되고 있다는 점을 말씀드리겠습니다.
<질문> 그러니까 법규에서 정한 금액에서 최대로 과징금을 매겼다는 것은 그만큼 페북의 개인정보 유출 이번 사례가 질이 안 좋다고 판단한 걸로 보면 되는 거죠?
<답변> (송상훈 조사조정국장) 아까 말씀드렸듯이 이번이 최초로 피심인 대상으로 고발을 했습니다. 고발사유 여러 가지가 있겠습니다만 기본적으로 법적으로 조사에 협조할 의무가 있음에도 불구하고 조사 방해했다고 하는 점이 가장 크게 작용한 것으로 말씀드릴 수 있겠습니다.
<질문> (사회자) 질문하시는 동안에 그러면 온라인으로, e브리핑으로 온 질문 하나 드리겠습니다. 중앙일보 기자입니다. 세 가지 질문했습니다. 페이스북에 형사고발한 게 국내 처음인지, 두 번째 페이스북 친구란 다른 사업자의 서비스를 이용한 이용자를 포함한 이용자의 친구를 의미하는지, 세 번째 조사 계기가 2016년 미 대선에 페이스북 이용자의 정보가 제공되었다는 것인데 페이스북이 정보를 제공한 사업자가 이와 관련 있는 것인지, 어떤 사업자인지를 질문했습니다.
<답변> (박영수 조사1과장) 예, 조사1과장 답변드리겠습니다. 첫 번째 질문 내용은 형사고발한 게 국내에서 처음이냐는 질문이었는데, 아까 조사국장에서 말씀드린 바와 같이 국내에서 개인정보보호 법규 위반으로 고발한 사례는 처음입니다.
그리고 이 친구가... 이 친구의 정의를 정확히 말씀드리면 페이스북 이용자이면서 앱에 가입한 이 이용자의 페이스북 친구입니다.
그리고 2016년 ‘캠브리지 애널리티카 사건’ 관련해서 이 사건도 연결이 돼있느냐, 라는 질문이었는데, 예, 맞습니다. 그 사건을 계기로 해서 이 법위반 사실을 인지하게 되었고 그래서 조사 시작했는데 그때 관련된 이 사업자는 GSR이라는 사업자인데 GSR이 만든 라이프앱 거기에서 이런 위반행위가 최초로 인지가 되었고 세계적으로 논란이 된 바 있습니다.
<질문> 질문 몇 가지 있는데요. 거짓으로 자료 제출했다고 하신 부분 있잖아요. 정확한 조금 더 상세한 내용을 알 수 있는지 하고, 그리고 아까 매출의, 이 관련된 영향을 받은 매출의 3%를 기준으로 나온 과징금이라고 하셨는데 사실 페이스북이 국내에서 벌어들이는 수입에 비해서 좀 ***
<답변> (박영수 조사1과장) 두 가지 질문하신 겁니까? 첫 번째 질문 관련해서 거짓자료 제출한 것은 여러 가지 사례가 있는데, 대표적인 사례는 아까도 브리핑하면서 말씀드린 그 내용인데, 위반행위가 중단된 시점 그러니까 ‘그래프 API 버전1이 언제까지 사용되었느냐’라고 했을 때 2016년 5월...
<답변> (관계자) ***
<답변> (박영수 조사1과장) 2015년...
<답변> (관계자) ***
<답변> (박영수 조사1과장) 2015년 4월 30일 종료되었다고 했다가 위원회가 FTC 소장을 확인하고 이게 2018년 6월까지 사용되었다는 그 사실을 확인해서 이 반증을 제시했고, 그 결과로 그 관련된 Whitelisted Developers가 개발한 68개 앱에 관한 자료를 그 이후에 제출하게 됐습니다. 그게 대표적인 사례입니다.
그리고 매출 관련해서는 페이스북은 광고매출이 전체 매출액의 98% 정도를 차지하는데 그거는 세계 매출액이고, 한국인이 관련된 이 매출액을 산출할 때 자료를 정확하게 제출하지 않고 섞어서 냈습니다. 여기에는 인스타그램 매출액도 포함돼 있고 이런 것들을 저희가 산정방식을, 합리적인 산정방식을 적용을 해서 기준매출액을 산정했고 거기에 가감하는 매출액 정하는 절차에 따라서 최종적으로 금액을 산정하게 됐습니다.
<질문> *** 이제 매출 산정과정이, 과징금 산정과정이 궁금한 게 아니고, 과징금에 대해서 퍼센티지로 하는 방식이 부당하다, 좀 적절치 않다는 의견들이 있는 것 같은데.
<답변> (박영수 조사1과장) 관련 매출의 3%를 적용하는 게 적절치 않다는 주장이요?
<질문> 혹시 개인정보위에서 장기적으로 개선해 나갈 계획 같은 게 있나, 여쭤보는 겁니다.
<답변> (박영수 조사1과장) 정책적인 방향까지 제가 말씀드릴 수 있는 사항은 아닌 것 같고요. 일단은 법령상에 규정되어 있는 게 관련 매출액의 3%라서 그것을 적용한 겁니다.
정확히 말씀드리면 매출액을 정하는 매출액 연도가 위반행위가 종료된 시점 직전 3개년의 평균 매출액을 적용을 하게 됩니다.
<끝>