2022.10.25┃1호(09.25~10.24)┃지난호 |
|
|
안녕하세요! DPP(Data Protection&Privacy) 입니다.
사전에 안내드린것과 같이, 10월부터는 기존의 개인정보보호 리포트(월간)를 대신하여 보다 흥미롭고 다양한 프라이버시 이슈들을 뉴스레터로 발행해서 전달해 드립니다.
앞으로 많은 관심과 구독 부탁드립니다. ^^
|
|
|
🔐 구글과 메타가 맞춤형 광고를 제공하기 위한 이용자의 행태정보를 불법으로 수집하였다는 이유로 1천억원의 과징금을 부과 받았습니다.
🔐 판교 SK C&C 데이터센터에서 화재가 발생하면서 카카오톡을 포함한 카카오 주요 서비스가 장시간 장애를 일으키는 사태가 발생하였습니다.
🔐 이용자의 개인정보보호와 도용 방지를 위해 블로그 전용 ID가 도입되었습니다.
|
|
|
■ 구글, 메타 개인정보보호법 위반으로 과징금 1천억 부과
지난 9월 14일 법 위반에 대한 시정명령과 함께 구글에 692억원, 메타에 308억원의 과징금이 부과되었습니다. 이는 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 최초의 제재라는 점과 국내 개인정보보호 법규 위반 사건 중 최대 규모 과징금(1천억원)이라는 점에서 업계에 큰 파장을 불러 일으키고 있으며, 양사의 한국법인 대표는 이번 제재와 관련하여 얼마전 진행된 개인정보보호위원회 국정감사에 증인으로 출석하기도 하였습니다.
행태정보? 맞춤형 광고?
2017년 2월, 방송통신위원회가 제정한 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’에 의하면 ‘행태정보’는 웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동정보라고 정의하고 있으며, '온라인 맞춤형 광고'는 행태정보를 처리하여 이용자의 관심, 흥미, 기호 및 성향 등을 분석/추정한 후 이용자에게 맞춤형으로 제공되는 온라인 광고를 의미한다고 정의하고 있습니다.
즉, 구글과 메타는 실제 이용자의 활동정보를 수집, 분석하여 관심사에 해당하는 광고를 선별해서 노출하는 것입니다.
행태정보 수집·이용 절차
이번 제재의 대상이 된 것은 행태정보 중에서도 타사 행태정보입니다. 타사 행태정보는 구글, 메타가 아닌 다른 서비스에서의 이용자 활동정보를 말하는데요. 이를 구글과 메타가 수집, 분석하여 자사 서비스 이용자에게 맞춤형 광고를 노출하고 있는 것입니다.
그렇다면, 구글과 메타는 어떻게 다른 서비스 이용자의 행태정보를 수집할 수 있는 것일까요? 양사는 외부 서비스들이 사용할 수 있는 행태정보 분석 도구를 제작·배포하고 이를 사용하는 서비스에서 수집된 행태정보를 본인들에게 전송되도록하여 타사 행태정보를 활용하는 것입니다.
|
|
|
제재의 사유
구글과 메타가 제재를 받은 이유는 무엇일까요? 개인정보보호법에 따르면 이용자에게 적법하게 동의를 받은 경우, 행태정보를 수집하거나 맞춤형 광고를 제공하는 것이 가능합니다. 구글과 메타는 이러한 요건을 지키지 못하였다는 이유로 제재를 받게 되었습니다.
조사결과에 따르면 구글은 서비스 가입 시 타사 행태정보 수집 사실을 명확히 알리지 않았고 기본 설정값을 '동의'로 설정하였으며, 설정 화면을 '옵션 더보기'로 가려두었습니다. 메타는 페이스북 계정 생성 시, 한 번에 다섯줄 밖에 보이지 않는 화면에 700줄에 가까운 정책 전문을 게재하였을 뿐 법에서 요구하는 내용을 준수하지 않았습니다.
시사점
이번 제재에 대해서 구글과 메타는 타사 행태정보 수집에 대한 동의를 본인들이 직접 받을 필요가 없고, 동의도 받고 있다고 주장하였으나 위원회에서는 행태정보를 맞춤형광고에 직접 활용하는 양사가 동의도 직접 받아야 하며, 이에 대한 동의는 이용자가 쉽고 명확하게 인지하여 자유롭게 선택할 수 있어야 한다고 판단하였습니다.
이는 행태정보를 수집하는 방식과 관계 없이 이를 직접 활용하는 사업자가 수집에 대한 동의도 받아야 한다는 점과 이러한 동의에 대해서 단순히 이용자의 동의여부에 체크가 되어있는지가 아닌 이용자가 스스로의 의지로 동의를 선택할 수 있도록 제공하고 있는지를 판단하였다는 점에서 큰 의미가 있습니다.
<함께보면 좋은 컨텐츠>
|
|
|
#엔플 Pick ! 📌 엔플이가 재미있게 읽은 또 다른 컨텐츠 |
|
|
지난 10월 15일 판교 SK C&C 데이터센터에서 화재가 발생하면서 카카오톡을 포함한 카카오 주요 서비스가 장시간 장애를 일으키는 사태가 발생하였습니다. 보조전원장치의 리튬배터리에서 발생한 화재로인해 서버실에 대한 전원이 차단되면서 데이터센터의 모든 서버가 중단된 것으로 밝혔으며, 정부와 정치권에서도 이에 대한 여러가지 후속대책을 예고하고 있어 업계에 큰 파장을 일으킬 것으로 예상됩니다. |
|
|
(카카오 먹통사태 긴급 기자회견 - MBC NEWS) |
|
|
개인정보보호 위원회가 법령을 위반한 8개 사업자에 대해서 과태료를 부과하였습니다. 처분을 받은 8개 사업자 중 6개 사업자가 담당자의 실수와 같은 내부요인으로 개인정보를 유출하였으며, 개인정보위에서는 이러한 유출사고를 방지하기 위해서 지속적인 개인정보보호 교육의 중요성을 강조하였습니다.
개인정보보호위원회가 한국인터넷진흥원(KISA)과 생활 속 개인정보 보호 실천 문화 조성을 위해 9월 26일부터 10월 23일까지 4주간 ‘내정보 지킴이 캠페인’을 진행하였습니다. 스페셜 서포터즈인 네이버는 아동의 개인정보 보호에 많은 관심을 기울이고 있는 기업으로써 오프라인으로 아동 개인정보 보호 체험 부스도 운영하였습니다.
호주에서 두 번째로 큰 이동통신사 옵터스가 해킹 공격을 당해 980만명의 개인정보가 유출된 사실이 알려지면서 호주 시민들이 불안에 떨고 있습니다. 특히, 서비스 현 이용자는 물론 과거 고객까지 '이름, 생년월일, 이메일 주소, 주소, 여권 번호, 운전면허 번호' 등의 개인정보가 유출된 것이 밝혀지면서 호주 최악의 해킹사건으로 기록된 가운데 수백만명이 신분증 교체에 나서고 있습니다.
VPNoverview는 유명 기업들을 대상으로 최악의 Privacy Policy에 대한 조사를 진행하였습니다. 해당 조사는 전체적인 가독성에 대해서 '읽기수준, 난이도, 읽는데 소요되는 시간' 등을 점수로 표현하여 순위를 선정하였으며, Top20에는 Disney+, Instagram, Zoom, Wikipedia, Uber Eats, Netflix, Microsoft, Spotify, Nintendo, Yahoo 등이 포함되어 있습니다. 조사결과 60% 이상이 가독성 측면에서 문제가 있었고, 다수 기업들이 연관 없는 데이터를 수집하는 것으로 확인되었습니다. |
|
|
블로그 아이디 도입과 개인정보보호
지난 10월 12일 블로그 서비스는 기존의 네이버ID가 아닌 별도의 블로그 전용 아이디를 도입하였습니다. 이는 1월 12일에 의결된 개인정보보호위원회의 개선권고에 따른 것입니다.
|
|
|
개선권고는 개인정보보호법 제61조 제2항에서 규정하는 조항으로 위원회는 개인정보보호를 위해서 필요한 경우 법을 위반하지 않은 기업에게도 서비스의 개선을 권고할 수 있고, 권고를 받은 사업자는 이를 이행하기 위해서 노력해야 한다는 내용을 담고 있습니다. 즉, 네이버가 직접적으로 법을 위반하지 않아도 개선권고에 대해서는 이를 성실하게 이행하고 결과를 알려야 하는 것입니다.
위원회가 블로그 서비스에 대한 개선을 권고한 사유는 블로그 서비스 주소을 통해 노출된 이용자의 네이버 아이디가 스팸메일 발송이나 패스워드 대입 공격 등을 통해 악용된다는 것입니다. 블로그는 20년 가까이된 오래된 서비스인데 왜 이제와서 문제가 되는걸까요? 이는 개인정보보호법이 강화되고 이용자들의 인식이 높아지는 것에서 원인을 찾을 수 있습니다.
블로그가 처음 서비스되던 시절만해도 인터넷을 통한 스팸발송이나 피싱과 같은 범죄는 지금처럼 심각하지 않았습니다. 하지만 시간이 흘러 스팸메일이나 불법광고, 계정 도용시도 등 네이버 아이디를 통해서 이용자들에게 피해를 줄 수 있는 방법들이 많아졌고 이용자들 역시 이러한 피해를 겪으며, 방지대책을 요구하는 목소리가 높아진 것입니다. 이렇듯 과거에는 문제가 되지 않았던 것들이 시간이 지나면서 개인정보보호와 관련된 이슈로 바뀌게 되었습니다.
20년이나 이어온 서비스를 개선하는 것은 결코 쉬운일이 아니지만 오늘날 기업에게는 높은 수준의 개인정보보호가 요구되고 있으며, 네이버와 같이 전 국민이 이용하는 서비스에게는 다른 기업보다 더 높은 수준의 개인정보보호를 요구하기도 합니다. 더 이상 이용자의 사용성이 저해된다는 이유로 이러한 요구들을 외면하기는 어려운 상황입니다.
개인정보보호 위원회는 해당 개선권고에 대해서 “정보통신 기반 서비스에서 개인정보를 안전하게 처리하기 위해서는 서비스 기획 설계 단계에서부터 개인정보보호를 면밀히 고려할 필요가 있다”라고 강조하고 “이번 개선권고를 통해 서비스 이용자의 개인정보보호를 위한 개인정보보호 중심 설계(Privacy by Design, PbD)가 보편적으로 정착될 수 있도록 지속적으로 노력해 나가겠다” 라고 밝힌 바 있습니다.
따라서 앞으로도 높아지는 개인정보보호 요구에 맞춰 기존의 서비스들이 개선되는 사례가 발생할 수 있으며, 언제든지 이러한 요구사항들에 대처할 수 있도록 미리 대비하는 자세가 필요하겠습니다.
|
|
|
NPN은 임직원분들을 대상으로 하는 사내 뉴스레터 입니다.
본 뉴스레터 링크 및 내용의 외부 공유는 금지되어 있습니다.
|
|
|
뉴스레터 구독 및 취소는 아래 메일주소로 문의 주세요.
dl_npn@navercorp.com
|
|
|
|