안녕하십니까? 조사조정국 조사1과장입니다.

오늘 오후 14시, 14회 개인정보보호위원회에서 의결한 페이스북, 넷플릭스 등 개인정보보호 법규 위반에 대한 처분 내용을 말씀드리겠습니다.

위원회는 지난해 국정감사 과정에서 '해외사업자의 개인정보 수집 동의 방식에 문제가 있다.'라는 민병덕 의원의 지적과 시민단체의 신고 등에 따른 후속조치로 이번 조사를 시작했습니다.

그간의 조사결과를 바탕으로 지난 13회 위원회 회의에서 피심인 측의 의견진술을 충분히 듣고 이를 토대로 오늘 회의에서 주요 쟁점에 대한 논의를 거쳐 의결하였습니다.

조사 결과, 페이스북, 넷플릭스, 구글 등 3개 사업자의 법위반 사항을 적발하고 개인정보보호 실태가 미흡한 사실을 확인했습니다.

먼저, 페이스북 관련 사항을 말씀드리겠습니다.

페이스북은 2018년 4월부터 2019년 9월까지 약 1년 5개월간 이용자의 동의 없이 얼굴인식 템플릿을 생성·수집하였고, 이러한 위반행위에 대해서 64억 4,000만 원의 과징금을 부과하였습니다.

또한, 위법한 주민등록번호 수집, 개인정보처리 주최 변경 미고지, 개인정보처리 위탁 및 국외이전 관련 내용 미공개, 자료 미제출에 대해 2,600만 원의 과태료를 부과했습니다.

동의 없는 얼굴인식 정보 수집 등에 대해서 시정명령을 하였고, 카드정보 등 개인정보 추가수집 시 법정 고지사항이 불명확하여 개인정보처리 실태가 미흡한 점에 대해서는 개선을 권고하였습니다.

다음으로, 넷플릭스의 관련 사항입니다.

넷플릭스는 서비스 가입절차가 완료되기 전에 동의 없이 개인정보를 수집하였고, 이러한 법위반 행위에 대해 2억 2,000만 원의 과징금 부과와 시정명령을 하였습니다.

또한, 개인정보 국외이전 관련 내용을 공개하지 않은 행위에 대해서는 320만 원의 과태료를 부과했습니다.

마지막으로, 구글의 경우 법위반으로 볼 수 있는 사항은 발견되지 않았으나 개인정보 추가수집 시 법정상의 고지가 불명확하고, 국외이전 개인정보 항목을 구체적으로 명시하지 않은 행위에 대해서 이를 개선토록 권고하였습니다.

해외사업자의 개인정보 수집 동의 방식에 대한 이번 조사는 완결된 것이 아니며, 추가적인 사실관계 확인이나 법령 검토 등이 필요한 사항에 대해서는 계속 조사를 이어나갈 계획입니다.

의결에 앞서 윤종인 위원장은 인터넷사업자의 동의 방식에 대해 깊은 우려를 표명하였습니다.

그 내용으로는 데이터 시대 개인정보의 활용은 기업과 정보주체 모두에게 매우 중요하고, 정보주체와 정보처리자 간의 신뢰가 기본이 돼야 되는데 서비스 제공에 필수적이지 않은 정보를 필수정보로 수집 동의하도록 요구하는 경우, 개인정보 제공에 동의하지 않으면 서비스 제공 자체를 거부하는 경우 등에 대해 개인정보 수집에 편향된 기술과 디자인은 정보주체의 개인정보 보호에 대한 합리적 기대에 부합하지 않는다는 점을 강조하고, 이러한 상호신뢰를 저해하는 행위에 대해서는 깊은 우려를 표명하셨습니다.

이와 관련해서 페이스북의 동의 없는 얼굴인식 수집도 이러한 기본적인 내용으로 비춰봤을 때 심각히 우려되는 사항이라고 말씀하셨습니다.

명확하지 않은 표현과 오해를 불러일으킬 수 있는 문장구조 등은 정보처리자의 상대적 정보 우월성과 서비스 제공 여부에 관한 최종 결정권 등과 결합할 때 정보주체로 하여금 본인의 권리 행사를 크게 제약하게 된다는 점을 들어서, 정보주체를 기만하거나 부당하게 이용하거나 정보주체에게 위험한 디자인을 하지 말 것을 당부하셨습니다.

위원회는 앞으로 조사에 있어서도 이러한 점을 간과하지 않고 짚어나갈 예정입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 조사결과 잘 봤고, 앞으로 일단은 추가적인 사실관계 확인이나 법령 검토가 필요하면 조사를 계속 이어나가실 계획이라고 하셨는데, 그렇다면 오늘 발표하신 페북, 넷플릭스, 구글 외에 또 다른 해외사업자를 대상으로 정보... 이렇게 조사를 추가해나가실 계획이신 건지, 구체적으로 앞으로 향후 계획을 말씀해주시면 감사하겠습니다.

<답변> 지금 추가조사라고 하는 것은 사업자를 추가해서 한다는 건 아니고 지금 이 3개 사업자가 주가 돼서 조사를 하게 되는데, 조사과정에서 지금 시간이 상당히 걸리는 이런 내용들, 사실관계 확인이 좀 복잡한 경우 그다음에 법령 검토, 나중의 소송도 대비해서 법령 검토가 필요한 부분들, 이런 부분들은 일부 남아져 있는데, 그런 부분들에 대해서 계속 조사를 하겠다는 의미입니다.

<질문> (사회자) 그러면 인터넷으로 들어온 질문을 드리도록 하겠습니다. 지디넷코리아의 기자께서 질문해주셨는데요. 이 질문은 앞서 지금 과장님께서 말씀하신 그 답변과 동일하기 때문에 넘어가도록 하겠습니다.

그다음에 연합뉴스의 차장께서 질문해주셨습니다. ‘이번 제재대상 3사의 개인정보보호 조치 미흡으로 개인정보 침해 피해를 본 이용자 수가 궁금합니다.’라는 질문을 주셨습니다.

<답변> 지금 개인정보 수집 관련해서 말씀을 드리면, 먼저 페이스북은 2018년 4월 19일부터 2019년 9월 2일까지 1년 5개월간 위반행위가 있었던 기간 중에 한국인 이용자의 얼굴인식 정보가 수집된 경우가 약 20만 명에 해당이 됩니다. 그리고 넷플릭스 같은 경우는 2020년 기준으로 봤을 때 가입을 중단한, 가입을 중단했는데 개인정보가 수집된, 동의 없이 수집된 이용자가 500만에 달합니다.

<질문> (사회자) 다음으로 지디넷코리아의 기자님께서 질문을 주셨습니다. ‘페이스북은 가입과정에서 주민등록번호를 수집하지 않는 것으로 알고 있는데, 어떠한 이유로 주민등록번호 불법 처리가 문제가 됐는지 설명해주시기 바랍니다.’라는 질문을 주셨습니다.

<답변> 페이스북이 주민등록번호를 수집한 것은 가입단계에서가 아니고 계정을 분실했거나 해서 그것을 재가입... 재확인하는, 아이디를 다시 받거나 하는 이런 과정에서 신원확인이 필요한데 그 신원확인을 하는 수단으로서 정부 발급 신분증 또는 비정부 발급 신분증 모두 사용 가능하게는 돼있습니다. 그런데 거기에 운전면허증이라든지 정부 발급 신분증이 올라오도록 해놓고 있는데, 거기를 통해서 주민등록번호가 수집된 것입니다.

<질문> 페이스북은 지난 11월에도 개인정보보호법 위반행위로 67억 원 과징금을 받았고 이번에도 적지 않은 과징금을 받았는데, 13일에 피심인 측들이 와서 의견진술을 다 받았다고, 충분히 받았다고 하셨잖아요. 그때 앞으로 페이스북이 이런 부분에 대해서 어떻게 개선해나갈지, 이런 부분에 대해서 페이스북이 소명한 것들이 있었나요?

<답변> 페이스북 대리인이 참석을 하고, 그때 당시에 페이스북코리아에서도 왔었고 답변을 했는데, 부인하는 부분들에 대해서, 법위반에 대해서 부인하는 부분들에서도 얘기를 했고, 개선하는 것에 대해서도 얘기를 했습니다.

예를 들면, 주민등록번호 수집과 관련해서 이미 수집되어있는 주민등록번호는 삭제하는 과정을 거쳤다고 하는데 그것은 우리가 시정명령, 이행점검 과정에서 확인해야 될 사항이고요. 그 삭제조치와 함께 비식별 조치하는 솔루션을 개발하는 작업을 시작했답니다. 그게 올 연말까지 완료 목표로 하고 있다고는 하는데, 그 사항도 시정명령, 이행점검 과정에서 확인할 예정입니다.

<답변> (사회자) 금일 브리핑을 마치도록 하겠습니다. 참석해주셔서 대단히 감사드립니다.

<끝>