[박춘식 교수의 보안이야기] 프랑스 데이터보호에 관한 감독기관인 정보처리·자유전국위원회(CNIL: Commission nationale de l'informatique et des liberte)은 현지시간 2012년 2월27일, Google의 새로운 개인정보보호정책에 대해서, 유럽데이터보호지령에 위반될 가능성이 있다는 견해를 밝혔다.
 
Google은 1월24일, 제품 및 서비스를 통일하는 조합으로 개인정보보호정책을 정리 통합하는 방침을 발표했다. Google계정을 가진 이용자가 복수의 Google서비스를 사용하고 있는 경우, Google은 그 이용자에 대해서 각 서비스로부터 개별적으로 얻은 정보를 하나로 할 수 있다.
 
Google은 이것이 서비스 향상으로 이어질 수 있다고 주장하고 있지만, 개인정보보호를 염려하는 소리도 높으며 유럽연합(EU)의 데이터보호에 관한 제29조 작업분과(Article 29 Working Party)로부터 추가정보의 제출을 요구 받았다. Google은 ‘즐겁게 데이터보호당국의 질문에 답할 것이다’라고 하면서 3월1일의 새로운 정책 시행을 중지하거나 연기하는 등의 조치를 취할 의향은 보이지 않았다.
 
CNIL은 제29조 작업분과의 의뢰를 받아서 새로운 정책의 처음 분석을 실시하여 이번 ‘Google의 새로운 정책은 유럽의 데이터보호지령의 조건을 만족하고 있지 않다’라는 가판단을 내렸다.
 
CNIL은 Google에 보낸 편지에서 “새로운 정책의 조항과 서비스 전체에서 데이터를 통합하려고 하는 Google의 발언으로부터는 투명성이 높아지는 것 보다 구글의 실제의 관습에 대한 불안이 심해진다. 초기 조사에서는 정확하게 어느 데이터가 어느 서비스 사이에서 어떠한 목적으로 통합되는 가, 개인정보보호 전문가들도 대단히 알기 어렵다”라고 이 건에 관해서 3월 중순까지 질의서를 보낼 것을 고지하였다.
 
또한 CNIL은, Google이 정책 개정에 대해서 사전에 EU당국에 개요를 설명하였다고 주장하고 있는 것에 대해서 “모든 당국이 보고를 받은 것은 아니다. 내용을 안 것은 새로운 정책이 발표되는 수 시간 전으로, 피드백을 보낼 여유는 없었다”고 설명하였다.
 
뉴욕타임즈나 영국의 파이낸셜 타임즈에 의하면, 구글 개인정보보호정책 담당 법무고문인 Peter Fleischer은 “당사는 간결하며 명확하며 투명성 높은 새로운 개인정보보호정책이 유럽의 모든 데이터보호법 및 원칙에 맞다고 확신하고 있다”고 설명하고 있다. 또한 ”CNIL과 협의하는 기회를 얻으려고 몇 번이나 시도했지만 약속을 받아내지 못했다”고 반론했다. (일본경제신문. 2012.02.29)
[박춘식 서울여자대학교 정보보호학과 교수]