안녕하십니까? 개인정보보호위원회 신기술개인정보과장 고낙준입니다.

바쁘신 가운데도 오늘 브리핑에 참석해 주신 기자님들께 깊은 감사의 말씀을 드립니다.

개인정보보호위원회는 온라인 행태정보의 보호와 안전한 활용을 위해 맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안을 마련하였습니다.

최근 온라인 광고시장의 대세로 자리 잡은 맞춤형 광고는 기업에게 새로운 비즈니스 기회를 제공하고, 정보 주체에 자신의 관심사가 반영된 광고를 효과적으로 볼 수 있도록 해주는 장점을 가지고 있습니다.

그러나 맞춤형 광고를 제공하기 위해 필요한 행태정보가 누적·축적·수집되고 처리 과정이 고도화됨에 따라 정보주체의 동의 없이 개인이 식별된 채로 처리되거나 사상·신념·정치적 견해 등 민감한 정보까지 추론할 수 있게 될 위험성이 증가하고 있습니다.

그럼에도 이용자는 자신의 행태정보가 어떻게 수집·활용되는지 쉽게 알 수 없어 권리 침해 가능성에 대한 우려의 목소리가 높아지고 있고, 기업의 측면에서도 행태정보에 대한 규율이 모호하여 처리 과정에서 법적 불확실성이 상존하고 있는 상황입니다.

개인정보위는 정보주체의 자기결정권을 보호하면서 기업이 법적 불확실성 없이 행태정보를 안전하게 처리할 수 있도록 하기 위하여 이번 정책 방안을 마련하게 되었습니다.

지난 2021년부터 논의를 시작한 결과 지난해 여름 가이드라인 초안을 만들었으나 현재 맞춤형 광고 생태계의 참여자별 역할과 책임이 불분명한 상태에서 이해관계자가 첨예하게 대립하여 발표가 지연되었습니다.

그렇기 때문에 이번 정책 방안에서는 광고 사업자 및 광고매체 사업자의 역할과 책임을 명확하게 하고 이를 바탕으로 방향성을 제시하는 것에 중점을 두었습니다.

이후 구체적인 맞춤형 광고 현황 조사나 민관협의체 구성을 통해 가이드라인을 만들 예정이며, 여기에는 정책 방안을 통해 명확화된 역할과 책임 내에서 구체화가 필요한 방안들을 담을 예정입니다.

그럼 이번 정책 방안의 주요 내용을 말씀드리도록 하겠습니다.

첫 번째, 맞춤형 광고 관련 이해관계자의 역할과 책임을 명확하게 제시하였습니다.

지난 2017년에 제정된 온라인 맞춤형 광고 개인정보보호 가이드라인에서는 개인식별정보와 결합하여 행태정보를 처리하는 경우 이용자로부터 사전 동의를 받도록 규정하고 있으나, 개인식별정보와 결합하지 않은 행태정보 처리에 대하여는 별도 규율사항이 없었습니다.

아울러, 누가 어떤 역할을 해야 하는지도 불분명했습니다.

이번 정책 방안에서는 기존 가이드라인의 한계를 보완하기 위하여 맞춤형 광고 관련 주요 이해관계자인 광고 사업자와 광고매체 사업자에게 일정한 역할과 책임을 부여하였습니다.

먼저, 광고 사업자와 관련해서 개인식별정보와 결합하지 않은 행태정보에 대한 규율사항을 마련하였습니다.

특정 개인을 식별하지 않고 행태정보를 처리하려는 사업자의 경우 수집·이용 과정에서 개인식별성이 발생하지 않도록 개인정보위가 제시한 의무·권고사항을 따라야 합니다.

한편, 광고매체 사업자와 관련해서는 이용자가 자신의 행태정보를 효과적으로 확인할 수 있도록 처리 과정을 투명하게 공개하는 역할을 부여하였습니다.

자신의 웹앱에서 직접 수집하는 행태정보뿐만 아니라 자동 수집 도구를 통하여 제3자가 수집해 간 행태정보 역시 개인정보처리방침에 포함하여 기재할 것을 권고하며, 개인정보보호 책임자에게는 주기적으로 행태정보 수집 도구 현황을 파악하고 점검하는 역할을 권고하였습니다.

이와 별도로 통상의 브라우저에서 제공하는 프라이버시 보호 기능이 구현되지 않아 이용자의 권리침해 우려가 제기된 인앱 브라우저에 대한 보호 방안도 같이 제시하였습니다.

인앱 브라우저를 운영하는 사업자는 이용자를 식별하여 행태정보를 처리하는 경우에 동의를 받는 등 적법 수집요건을 갖추어야 하며, 제공하는 서비스의 목적을 벗어나거나 사생활 침해 가능성이 높은 정보의 경우 그 수집을 제한합니다.

이에 더하여 이용자 앱을 설정을 통하여 원하는 브라우저의 웹 페이지를 열 수 있도록 대체수단을 제공할 것을 권고하였습니다.

둘째, 정보 주체의 행태정보 이해 및 보호 역량을 강화하는 방안을 마련하였습니다.

정보 주체의 자기결정권은 자신에 관한 정보가 언제, 누구에게, 어느 범위까지 알려지고 이용되도록 할 것인가를 스스로 결정할 수 있는 권리는 말합니다.

그러나 현재 이용자는 자신의 행태정보가 처리되고 있는 것을 인식하지 못하거나 처리 과정에 동의를 하였다 하더라도 관련 내용을 충분히 숙지하지 못한 상태에서 동의를 하고 있는 상황입니다.

이번 정책 방안에서는 이용자가 자신의 행태정보 처리에 대해 충분히 이해하고 행태정보 보호를 효과적으로 실천할 수 있는 방안을 마련하였습니다.

정보주체의 대상별·수준별로 맞춤형 행태정보 보호 콘텐츠를 마련·운영하여 행태정보에 대한 이해의 역량을 높이고 행태정보 보호를 위한 이용자 실천 수칙을 홍보하여 정보주체가 본인의 행태정보를 효과적으로 보호할 수 있도록 하겠습니다.

셋째, 현황조사 실시 및 개인정보 처리방침 평가 시 행태정보 수집·이용 사실을 함께 점검하는 방안을 마련하였습니다.

기존의 광고와 달리 맞춤형 광고는 정형화된 시장 구조와 거래 흐름이 불분명해서 정확한 시장 파악이 어려우며 행태정보의 처리·유통 과정이 외부에 노출되지 않는 폐쇄성으로 인하여 행태정보 처리에 참여하는 주체와 구체적인 수집·활용 방식에 대해 자세히 알기 어려웠습니다.

이번 정책 방안에서는 맞춤형 광고와 관련하여 정확한 시장 상황과 행태정보 처리 현황을 파악하는 온라인 맞춤형 광고 현황조사를 오는 상반기 중에 실시할 예정입니다.

또한, 맞춤형 광고 관련 주요 이해관계자인 광고 사업자와 광고매체 사업자가 행태정보 수집 사실을 개인정보처리방침에 공개하도록 한 것과 관련하여 개인정보처리방침 평가 시 함께 점검할 계획이며 점검 과정에서 우수하게 작성된 처리방침을 발굴·홍보하여 우수사례를 확산해 나갈 계획입니다.

마지막으로, 민관협의체를 구성·운영하여 처리 현장에서 적용할 구체적인 처리 방법들을 함께 모색하는 방안을 마련하였습니다.

이번에 발표하는 정책 방안은 행태정보의 주요 처리 준칙과 정보주체의 권리 보호를 위한 정책 방향을 담고 있습니다.

맞춤형 광고 관련 사업자는 정책 방안에서 제시된 조치를 충실히 이행하기 위하여 행태정보 처리를 개선하기 위한 노력을 하여야 합니다.

한편, 개인정보보호위원회는 정책 방안을 바탕으로 둔 실제 행태정보를 처리하는 과정에서 적용할 구체적인 처리 기준과 방법들을 민관과 협력해서 마련해 나가도록 하겠습니다.

이를 위해 온라인 행태정보 보호, 민관협의체를 오는 1월 중에 구성하여 공동으로 운영할 예정이며 이를 통해 온라인 맞춤형 광고 가이드라인을 연말까지 개정할 예정입니다.

이상으로 맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안의 주요 내용을 간략히 설명드렸습니다.

맞춤형 광고 생태계는 애플이 앱 투명성 정책을 시행하고 구글이 제3자 쿠키 지원을, 지원 중단을 예고하는 등 이용자의 행태정보 처리에 큰 변곡점을 맞이하고 있습니다. 이에 따라 맞춤형 광고를 목적으로 행태정보 처리에 대한 관심이 그 어느 때보다 높아지고 있는 것도 사실입니다.

이번에 발표한 정책 방안에는 맞춤형 광고를 목적으로 하는 행태정보 처리 과정에서 정보주체의 권리 보호 수준을 높이는 방안들이 담겨 있습니다.

개인정보보호위원회는 이번 정책 방안을 시작으로 이용자의 행태정보 처리가 적법하고 투명하게 처리될 수 있도록 노력하겠습니다.

추가적으로 설명이 필요한 부분은 질의응답을 통해 보다 상세하게 답변드리도록 하겠습니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 이해한 게 맞는지 한번 여쭙고 싶어서 하는 말인데요. 개인정보를 식별할 수 없는 정보를 활용하는 것에 대한 동의는 필요 없으나 여기 투명성 관련해서는 이것이 맞춤형 광고라는 거는 표기하도록 돼 있는데 이게 그러면 모든 맞춤형 광고에 대해서는 그 표기가 들어가야 되는 게 되는 것이 맞는지.

<답변> 네, 그렇습니다. 개인정보를 특별... 개인을 식별하지 않는 정보인 행태정보를 수집하는 경우에는 사실 개인정보법상 의무 대상에서 제외가 됩니다. 다만, 맞춤형 광고를 통해서 행태정보가 계속 축적·수집될 경우에는 어떤 식별성이 나중에 사후에도 발생할 가능성이 존재합니다.

그렇기 때문에 저희가 권고 사항을 통해서 이용자가 내가 행태정보가 수집되고 있고 내 광고가 거기에 활용되고 있다, 라는 것을 알려줌으로써 이용자가 나중에 사후 거부라든지 본인의 행태정보를 스스로 통제할 수 있는 그런 권한을 가지게 됩니다. 그런 차원에서 저희가 권고한 것입니다.

<질문> 제가 이게 내용이 좀 어려워서 제대로 이해를 했는지 잘 모르겠는데 아동 대상 관련해서요. 이게 웹앱의 주된 이용 대상이 14세 미만의 아동인 경우 뭔가 수집도구를 설치하지 않거나 공공기관이 운영하는 경우에는 수집도구 설치가 금지된다고 되어 있는데요. 이게 그러면 주된 이용 대상이 14세 미만이라는 거는 어떻게 결정하는 건지 좀 궁금해서요.

<답변> 이 경우에는 아까 말씀드린 대로 주된 서비스를 이용하는 서비스, 그러니까 예를 들어서 아이들이 좋아할 만한 콘텐츠나 이런 것들이 나올 때 저희가 로그인을 하면 14세 미만이라는 걸 명확히 알 수 있겠지만 그렇지 않은 경우도 활용을 많이 합니다.

그래서 아동이 주로 서비스, 이용하는 서비스로 한정한 겁니다. 예를 들어서, 예컨대 EBS 같은 경우는 중학생, 고등학생, 중학생이나 초등학생들 콘텐츠가 존재하기 때문에 그런 데 들어오는 경우에는 대부분 그 연령에 맞는 이용자라고 판단할 수가 있는 거고요. 유튜브 같은 경우에도 아이들이 주로 하는, 볼 수 있는 주요 콘텐츠들 같은 경우에는 이런 경우에는 14세 미만이 보통 들어올 수 있다는 판단이 될 수 있습니다. 그 경우에 대해서 이런 서비스, 그런 맞춤형 광고 수집이나 이런 걸 하지 말라는 것입니다.

<질문> 그럼 죄송한데, 추가 질문드릴게요. 이게 그럼 게임 같은 경우에는 사실 연령이 다양한데 이럴 경우에는 어떻게 판단하시나 해서요.

<답변> 그거는 사실은 게임 같은 경우는 로그인을 보통 많이 하고 자기 계정을 들어가기 때문에 그건 누군지 판단할 수 있을 것입니다. 그런 경우에는 판단할 수 있는 경우에는 가능하지만 저희가 주로 많이 보는 것들은, 행태정보 수집 같은 경우는 로그인이 안 된 상태에서 많이 하기 때문에 그 상황은 조금 다른 것으로 보고 있습니다.

<질문> 가이드라인이 연말에 나온다고 하셨는데 그렇다면 이게 당초에 발표했던 것보다 1년 이상 더 늦어지는 거잖아요. 이게 업계의 반발이 심해서인지 아니면 특별한 이유가 있는 건지 궁금하고요.

그리고 한 가지 더 여쭤보면 '개인정보에 해당할 가능성이 높으나 구체적인 처리사항과 환경 고려해야 함' 이렇게 명시되어 있는데 이렇게 모호하다는 거잖아요, 사실. 그러면 이 광고사업자가 이걸 자체적으로 판단하는 건지 아니면 개보위에서 이런 판단을 해줄 수 있는 건지. 예를 들면, 보호법 위반인지를 확인하기 위해서 사전적정성 검토제도 같은 게 있잖아요. 이런 이와 유사한 제도를 할 생각이 있는지, 이걸 어떻게 판단하는지 궁금합니다.

<답변> 먼저 말씀하신 부분은 저희가 아까 모두에도 말씀드렸듯이 이게 어떤, 어떤 사업자가 어떤 역할을 해야 되는지도 사실은 불분명한 상황에서 저희가 가이드라인을 만들다 보니까 아마 이용자들이 반발이 좀 있었던 부분이 있었습니다. 그렇기 때문에 저희가 어떤 이해관계자분의 책임과 역할을 명확하게 하고 그 가이드라인보다 덜하지만 어떤 역할을 해야 될지 방향성을 제시하는 차원에서 이것들을 만든 것입니다.

그래서 어떤 합의점을 도출하고자, 워낙 이해관계가 첨예했기 때문에 처음부터 깊숙하게 어떤 가이드라인으로 들어가기보다는 어떤 방향성을 설정해서 합의를 모은 다음에 그다음에 또 구체적인 것들은 나눠서 가지라는 차원에서 이렇게 정리를 해서 한 것이고, 민관협의체를 통해서 이 가이드라인에 나온 내용들을 다시 좀 더 구체화하는 방안들을 가지게 되기 위해서 이런 방안들을 만들었고요.

앞에 말씀드린 대로 사실 개인정보인지 여부는 법에 따르면 사실은 개인을 알아볼 수 있는 정보고 그 상황은 여러 가지 맥락에 따라서 우리가 판단을 해야 됩니다. 일률적으로 단정적으로 이게 개인정보다, 아니다, 라는 판단을 할 수 없는 거고요. 그 판단은 1차적으로 사업자가 판단을 해야 되겠지만 사실은 이렇게 지켰는데도 불구하고 개인정보가 수집되거나 개인정보로 판단이 돼서 법을 위반할 사례도 존재할 수 있습니다.

그렇다면 아까 좋은 말씀하셨기 때문에 사전적정성과 유사하게 저희가 만약 이렇게 가이드라인을 지켰는데도 만약 어떤 개인정보 수집되거나 법 위반사항이 발견한다면 그 부분에 대해서는 법에 따라서 과징금이나 이런 걸 산정할 때 최대한 그런 부분을 고려할 수 있는 조항들이 있습니다. 그런 것들을 적극적으로 활용할 수 있을 겁니다.

<질문> (온라인 질의 대독) 현장질문이 어느 정도 정리된 관계로 이제 문자로 보내주신 질문을 대신 읽도록 하겠습니다. 연합뉴스 기자님께서 질문 주셨는데요. 온라인 맞춤형 광고 가이드라인은 권고수준이라 강제성이 없는데 실효성이 있다고 보는지 궁금합니다, 라는 질문 주셨습니다. 답변 부탁드리겠습니다.

<답변> 제가 권고사항 아까 말씀드린 대로 개인 식별성이 없는 정보는 사실은 보호법상 의무 대상이 아닙니다. 다만, 저희가 권고사항으로 이야기를 드린 거는 권고사항을 지킨다면 개인 식별성을 많이 낮출 수가 있습니다. 지금 수집할 단계에 나는 개인정보가 아니라는 단순 검색어만 수집했다, 라고 생각할 수 있겠지만 그것들이 누적이 되고 축적이 돼서 결합이 되는 순간 개인정보가 될 수도 있습니다, 사후에.

그렇기 때문에 권고사항을 지킨다면 저희는 개인 식별성을 낮출 수 있다, 라고 판단이 들고 있고, 그리고 그 개인정보법 위반에 대해서는 저희가 이 분야에 대해서는 가이드라인이 나온 후에 사전 실태점검을 통해서 어떻게 처리하고 있는지 볼 수 있을 겁니다.

그래서 만약 잘 지킨 사업자라면 아마 그 실태 점검이나 이런 데서 위반사항이 발견되지 않을 것이고, 그렇지 않은 사업자라면 아마 발견될 가능성이 높다고 생각을 합니다. 그런 걸 통해서 저희가 간접적으로 이 권고사항에 대한 이행을 저희가 사업자들과 같이 논의하도록 하겠습니다.

<답변> (사회자) 더 이상 질문이 없으시면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주신 기자분들께 다시 한번 감사 말씀드립니다.

<끝>