2024-03-05 10:30 (화)
인스타그램·메타 등 개인정보보호법 위반으로 총 74억300만원 과징금 부과
상태바
인스타그램·메타 등 개인정보보호법 위반으로 총 74억300만원 과징금 부과
  • 길민권 기자
  • 승인 2023.07.28 16:38
이 기사를 공유합니다

개인정보위, 메타 아일랜드·인스타그램·메타에 후속 제재

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 7월 26일 전체회의를 개최하여 적법한 동의 없이 이용자의 타사 행태정보를 수집해 맞춤형 광고 등에 이용한 Meta Platforms, Ireland Limited(이하 ‘메타 아일랜드’)와 Instagram LLC(이하 ‘인스타그램’)에 대해 각각 65억 1천 7백만 원과 8억 8천 6백만 원의 과징금 부과를 하는 한편,

타사 행태정보란, 다른 사업자의 웹사이트 및 앱 방문‧사용 이력, 구매‧검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악‧분석할 수 있는 온라인상의 활동정보를 말한다. 

‘페이스북 로그인’ 기능에 행태정보 수집 도구를 결합시켜 사업자 및 이용자 모르게 타사 행태정보를 수집한 Meta Platforms, Inc.(이하 ‘메타’)는 3개월 내 자진 시정 계획을 공식 제출해옴에 따라, 시정 후 그 결과를 개인정보위에 보고하도록 의결하였다.

◆메타 아일랜드 및 인스타그램

개인정보위는 지난해 9월 적법한 동의 없이 이용자의 타사 행태정보를 수집‧이용한 메타에 대해 과징금 및 시정명령을 부과하면서, 메타 아일랜드 및 인스타그램에 대해서는 추가조사를 진행하기로 한 바 있다.

메타 아일랜드 및 인스타그램의 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제22조 제1항에 따른 동의 의무 위반에 대해서는 추가조사 절차 및 법리 검토를 진행했다. 

이에 따른 조사 결과, ’18. 7. 14. 이전 한국 이용자에게 페이스북 및 인스타그램 서비스를 제공한 메타 아일랜드 및 인스타그램이, 이용자의 타사 행태정보를 수집, 맞춤형 광고 등을 통해 수익을 창출하는 과정에서 이용자로부터 적법한 동의를 받지 않은 것을 확인하였다.

메타 아일랜드는 페이스북 계정 생성 시 작은 스크롤 화면을 통해 “데이터 정책” 전문을 보여주고 있어, 이용자가 타사 행태정보 수집 사실을 명확히 인지하고 동의하였다고 볼 수 없었고, 인스타그램은 별도의 동의 절차 없이 인스타그램 계정 생성 시 약관 및 개인정보 처리방침에 동의한 것으로 간주하였으며, 그마저도 해당 개인정보 처리방침에는 ‘타사 행태정보 관련 내용’이 포함되어 있지 않았다.

이는 행위 시 법령인 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률상 개인정보보호 규정인 제22조 제1항 위반에 해당하여 과징금 부과 대상이다.

◆메타

한편, 메타는 개발자(사업자)가 자신이 운영하는 웹사이트 및 앱에서 간편 로그인 기능을 제공하기 위해 ‘페이스북 로그인’을 설치하는 경우, ‘페이스북 로그인’의 기능과 전혀 관련이 없는 타사 행태정보 수집 도구가 함께 설치되도록 하여 이용자의 해당 웹사이트 또는 앱 내에서의 행태정보를 메타로 전송‧수집되도록 한 것이 확인되었다.

이에 따라 개인정보위는 메타가 ‘페이스북 로그인’을 통해 해당 정보가 전송·수집되는 사실을 사업자와 이용자 모두 알 수 없도록 하는 등 부정한 방법으로 개인정보를 취득한 것으로 보고 고발 여부를 검토하였는데, 이 과정에서 메타는 3개월 내에 해당 행위를 자진 시정하겠다고 공식의견을 제출하였다.

개인정보위는 메타가 자진 시정하겠다는 의사를 밝힌 점, 자진 시정을 통해 개인정보보호법에서 규정한 개인정보보호 목적을 달성할 수 있다고 예상 가능한 점, 이용자 측면의 동의 의무 위반에 대해서는 이미 시정명령 및 과징금을 부과한 점 등을 종합적으로 고려하여, 현시점에서 메타에 대한 법 위반 판단을 일시적으로 유보하고 자진 시정 기회를 부여하여 개인정보 침해 소지를 빠르게 해소하되, 그 이행 여부를 점검‧확인할 계획이다.

개인정보위는 “’2020년 8월 출범 후 페이스북이 개인정보를 무단 제공한 사건에 대한 제재를 시작으로 페이스북, 넷플릭스, 구글 등의 동의방식에 대한 제재(’21.8.25.), 맞춤형 광고 관련 구글‧메타에 대한 제재(’22.9.14.) 등 국내 사업자뿐만 아니라 글로벌 빅테크의 법 위반에 대해서도 엄정하게 법을 집행해왔다.”면서 “이번 처분이 앞으로 국내외 플랫폼 기업들이 개인정보를 수집‧이용하는 과정에서 꼭 필요한 정보를 수집하고 그 처리 과정을 투명하게 알리도록 노력하는 계기가 되기를 기대한다.”고 밝혔다.  

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★