개인정보보호위원회는 11월 4일 제18회 전체회의를 열고 개인정보보호법을 위반한 메타에 대해 216억 2,300만 원의 과징금·과태료와 시정명령을 부과하기로 의결하였습니다.
먼저, 위반사항 중 합법 처리 근거 없는 민감정보 수집·활용 관련입니다.
조사 결과 메타는 과거에 페이스북 프로필을 통하여 국내 이용자 약 98만 명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집하였고, 이러한 정보들을 광고주에게 제공해 약 4,000개 광고주가 이를 이용한 것이 확인되었습니다.
구체적으로 이용자가 페이스북에서 '좋아요'를 누른 페이지, 클릭한 광고 등 행태정보를 분석해 민감정보 관련 광고 주제를 만들어 운영한 사실이 확인되었습니다.
보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정하여 원칙적으로 처리를 제한하고 있으며, 예외적으로 정보주체에게 별도 동의를 받은 경우 등 적법 근거가 있는 경우에만 이를 처리할 수 있도록 규정하고 있습니다.
그러나 메타는 이러한 민감정보를 수집하고 맞춤 서비스 등에 활용하면서도 데이터 정책에 불분명하게 기재만 하고 별도로 동의를 받지 않고 추가적인 보호조치를 취한 사실도 없었습니다.
두 번째, 정당한 사유 없는 개인정보 열람 거절 관련입니다.
메타는 이용자의 개인정보 열람 요구에 대해 보호법상 열람 요구 대상이 아니라는 등의 이유로 거절을 하였습니다.
그러나 보호법 시행령은 개인정보의 보유 및 이용 기간, 또한 제3자 제공 현황, 개인정보 처리에 동의한 사실 및 내용을 열람 대상으로 정하고 있습니다. 메타가 해당 열람 요구를 거절한 것은 정당한 사유가 없다고 판단하였습니다.
마지막으로, 개인정보 유출 관련입니다.
메타는 서비스 중단 또는 관리되지 않는 홈페이지는 삭제 또는 차단 조치를 하는 등 안전조치를 하였어야 하나, 사용하지 않는 계정 복구 페이지를 제거하지 않았습니다.
이에 해커는 현재 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청했고, 메타는 위조 신분증에 대한 충분한 검증 절차 없이 이를 승인해 한국 이용자 10명의 개인정보가 유출된 사실이 있었습니다.
마지막으로, 처분 내용입니다.
이에 따라 개인정보위는 메타에 대해 민감정보 처리 제한 등과 관련한 보호법 규정 위반으로 과징금 및 과태료를 부과하는 한편, 민감정보 처리 시 합법 근거를 마련하고 안전성 확보 조치를 취할 것과 이용자의 개인정보 열람 요구에 대해 성실히 응할 것을 시정명령하였습니다.
이번 조사 처분은 글로벌 서비스를 운영하는 해외사업자에 대해서도 우리 법에서 정하고 있는 민감정보 처리 시 의무를 준수하여야 함은 물론, 개인정보의 열람 제공 등 정보주체의 권리를 충분히 보장하도록 하였다는 데 의의가 있습니다.
앞으로 개인정보위는 메타의 시정명령 이행 여부를 지속 점검하는 한편, 국내 이용자를 대상으로 서비스를 제공하는 글로벌 기업에 대한 차별 없는 보호법 적용을 통해 우리 국민의 개인정보 보호에 최선을 다하겠습니다.
감사합니다.
[질문·답변] ※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 저 이번 메타 관련된 이거 제재가 상당히 오래됐었고, 이게 지금 조사가 상당히 오래됐었고 또 메타도 답변을 상당 부분 지연했었다, 라는 이야기가 있었는데요. 그거 언제쯤 시점이었었고 또 얼마나 이게 답변을 지연시켰고, 이런 부분을 말씀해 주시면 감사하겠습니다.
<답변> 먼저, 저희가 인지한 시점 관련해서는 이번 사건은 지난 2020년 11월 처분이 있었던 페이스북 친구정보 제3자 앱 제공 관련 사건 시에 인지된 사건입니다. 그때부터 저희는 지속해서 메타와 자료 요구와 의사소통을 해왔고, 매년 저희가 메타 관련한 처분들을 함에 있어서 지속적으로 의사소통은 있었습니다. 따라서 인지된 시점은 시간이 있지만 그 사이에 충분히 의견을 서로 조율을 했었다는 점을 말씀드리겠습니다.
<질문> 민감정보 수집 관련해서 질문드리고 싶은데요. 앞선 2022년 9월, 2023년 7월 처분 건과 어떤 점이 차이가 있는지 궁금합니다.
<답변> 2022년 9월 처분 건은 타사 행태정보 수집 관련해서 이를 맞춤형 광고에 활용한 내용입니다. 예를 들어서 메타나 메타가 아닌 다른 플랫폼을 이용한 내용에 대해서 그 이용 행태를 수집해서 그것을 맞춤형 광고 타깃으로 제공한 내용입니다.
그리고 이번 건은 타사가 아닌 자사에서 민감정보를 동의 없이 수집해서 이를 맞춤형 광고에 활용했던 내용입니다.
<질문> 그러면 2022년에도 이렇게 뭔가 행태정보, 그러니까 관련해서 광고에 활용해서 문제가 된 거고 이번에도 그런 건데 그러면 뭔가 더 추후 비슷한 사안으로 조사를 하시거나 더 과징금이 부과될 여지가 있을까요?
<답변> 일단 지금까지 저희가 인지하였거나 문제가 제기됐던 건에 대해서는 조사를 완료하였고요. 더 이상 맞춤형 광고 관련해서는 추가적으로 제기된 건은 없습니다.
다만, 앞으로도 계속적으로 저희가 이 시정사항에 대해서 조치를 제대로 취하는지 등을 점검할 계획이기 때문에 추가적인 사항이 있는지는 계속 지켜보도록 하겠습니다.
<질문> 메타 대해서 재작년, 작년 계속 과징금과 시정명령 처분하셨잖아요. 그럼 두 차례 다 과징금도 납부를 했고 시정명령 내린 거에 대해서 다 개선도 한 건지.
<답변> 우선, 과징금 관련해서는 모두 납부하였고 그 후에 소송을 진행 중에 있고 시정명령 사항에 대해서도 저희가 기간을 두고 그것을 시정하도록 명령을 내리고 있기 때문에 시정조치 완료한 것으로 확인하였습니다.
<질문> 그 2개 다 완료가 된 건가요?
<답변> 다른 1건에 대해서는 한번 추가적으로 저희 담당자분 통해서 자세한 설명드리도록 하겠습니다.
<답변> (관계자) 2022년도 사건 같은 경우에는 저희 과징금은 납부했는데 시정명령에 대해서는 법원에서 집행정지가 인용돼서 현재 집행정지된 상태입니다. 그래서 법원에서 판단을 기다려야 되는 상황에 있습니다.
<질문> ***
<답변> (관계자) 네, 작년 것이 지금 다 그렇게 법원에서 소송 중에 있습니다.
<질문> ***
<답변> (관계자) 시정이 안 돼... 시정명령에 대해서 집행정지 신청을 한 겁니다, 시정을 안 하고요.
<질문> 개인정보위가 6월, 올해 4월에 온라인 행태정보 보호 민관협의체를 만들고 올해 말까지 가이드라인을 내는 것으로 제가 보도를 봤는데요. 그런 가이드라인이 나오기 전에 이렇게 뭔가 행태정보를 광고에 사용했다는 행위로 제재를 하는 것이 맞는지에 대한 비판에 대해서 어떻게 생각하시는지 궁금합니다.
<답변> 우선적으로 개인정보보호법에서는 개인정보 수집 시에 그 목적과 항목 그리고 보유기간 등을 정해서 제대로 된 동의를 받도록 하고 있습니다. 이를 맞춤형 광고에 활용하는 것은 자체적으로 판단할 사항이지만 개인정보보호법상 그 수집 절차에 있어서는 문제가 있었기 때문에 이를 지적한 내용입니다.
<질문> 그러면 이번에 과징금 부과기준이 올해 개보법 개정되면서 강화된 거에 따라서인 건가요? 아니면 그 이전 근거로 한 건가요?
<답변> 구법 적용사항이라서 개정법은 적용하지 않았습니다.
<질문> ***
<답변> 산정기준은 그 당시에는 관련 매출액에 저희가 판단하는 중요도와 민감도 그런 것들을 반영해서 부과 기준율을 곱해서 산정하고 있습니다.
<질문> 이게 지금 규모만 90만 명? 아, 98만 명으로 나와 있는데 피해 입은 시기는 혹시 언제인지 알 수 있을까요?
<답변> 2018년도 7월부터 이 시정사항이 완료된 2022년도 3월까지입니다.
<질문> 여기 민감정보 관련 주제 예시로 든 게 특정 종교, 동성애, 북한이탈주민 등 이렇게 나열됐는데 구체적으로 말씀해 주실 수 있으세요?
<답변> 예를 들면 종교관·정치관 같은 경우에는 프로필에서 관련 내용을 입력할 수 있는 필드를 마련해 놓고 본인이 그것을 입력하도록 하였고, 또 그런 광고 카테고리를 9만여 개 이상 만들어서 그중에 그런 종교 또 동성과의 결혼 여부 이런 것들을 활용해서 그 내용을 대상으로 타깃 광고를 한 사실이 있습니다.
그래서 예를 들면 그 주제와 관련된 어떤 집회 또는 어떤 단체의 가입을 유도하는 광고를 보내는 등의 내용이 있었습니다.
<질문> (온라인 질의 대독) 그러면 현장 질문이 어느 정도 정리된 관계로 이제 문자로 보내주신 질문을 대신 읽도록 하겠습니다.
디지털데일리 기자님의 질문입니다. 두 가지인데요. 먼저, 2022년 개인정보 불법 수집을 이유로 메타와 구글에 부과한 과징금 1,000억 원 관련 행정소송이 진행 중이나 개인정보위가 불리한 상황이 아닌가, 이번 과징금도 액수가 상당한 만큼 소송 가능성이 높은데 제재의 실효성이 있다고 보시는지요?
두 번째로는 구글, 메타와의 행정소송 패소 시 대안은 있으신가요?
<답변> 먼저, 타사 행태정보 관련, 소송 관련 질문을 주셨습니다. 현재 소송이 1심 진행 중에 있고 판단을 기다리고 있는 상황이기 때문에 결과가 어떻게 될지 유불리 또는 패소를 가정해서 답변드리는 것은 적절하지 않다고 판단이 됩니다.
또한 두 번째로, 저희가 앞서도 말씀드렸듯이 개인정보를 수집하고 이를 처리하는 과정에서 개인정보보호법을 준수해야 하는 것은 국내·국외의 사업자를 가리지 않고 개인정보를 처리하는 처리자의 정당한 의무입니다. 따라서 이에 대한 위반사항이 있는 것을 저희가 지적하는 것은 당연한 역할이라고 생각이 되고 이를 준수해야 하는 그런 것을 유도하는 것이 저희의 역할이기 때문에 어떤 소송에 대한 고려보다는 법 준수 여부에 대해서 저희가 집중해서 봤던 것을 말씀드리겠습니다.
<질문> (온라인 질의 대독) 다음은 문화일보 기자의 질문입니다. '메타에 대한 제재 건 중 민감정보와 관련한 건은 이번이 처음인가요?'라고 질문 주셨습니다.
<답변> 민감정보 수집으로 관련된 건으로는 이번이 처음입니다.
<질문> 발표하신 부분은 잘 들었는데 혹시 시정조치를 기간을 두고 요청을 하신다고 말씀을 하셨는데 구체적으로 언제까지 어떻게 바꿔주길 원한다고 이렇게 말씀을 하셨는지 궁금합니다.
<답변> 저희가 보통 시정명령을 내릴 때는 90일의 기간을 두고 시정명령을 내리고 있습니다. 그런데 이번 건에 대해서는 마찬가지로 처분 통지를 받은 날로부터 90일 이내에 시정명령 이행 계획을 제출하도록 하고 있습니다.
<답변> (사회자) 그러면 더 이상 질문이 없으시면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사합니다.