- 행태정보가 개인정보 아니라는 기업 요구 그대로 수용
- 불법적 개인정보 처리관행 합법화하겠다는 것과 다르지 않아
1. 오늘(5/20) 경제정의실천시민연합, 민주사회를위한변호사모임 디지털정보위원회, 서울YMCA 시민중계실, 안산소비자단체협의회, 정보인권연구소, 진보네트워크센터, 참여연대, 한국소비자연맹은 서울 광화문 정부 서울청사 개인정보보호위원회 앞에서 < “산업계의 하수인인가, 개인정보 감독기구인가?” 개인정보보호위의 산업계만을 위한 맞춤형 광고 가이드라인 폐기 요구 기자회견>을 개최하였습니다.
2. 메타, 구글 등 빅테크를 포함한 국내외 광고사업자들은 이용자의 성향이나 관심사에 따라 서로 다른 광고를 내보내는 표적 광고(맞춤형 광고)를 운영하고 있습니다. 이들 사업자들은 표적 광고를 위해 자사의 플랫폼 뿐만 아니라 제3자 웹과 앱, 즉 이용자가 방문한 웹사이트나 사용한 앱을 통해 이용자 행태정보를 광범위하게 수집하고 있습니다. 특히 표적 광고의 가장 큰 문제 중 하나는, 이용자가 사이트에 접속하는 아주 짧은 순간에, 자동적으로 광고 게재를 위한 실시간 경매(Real Time Bidding)가 수행되며 이 때 경매에 참여한 수백개의 광고사업자들에게 이용자의 개인정보(행태정보)가 공유될 뿐 아니라 낙찰받지 못한 광고사업자들도 이용자의 개인정보를 제공받을 수 있다는 것입니다. 또한 표적 광고를 위해 방대한 이용자 행태정보가 수집, 처리되고 수백개 광고업체들에게 공유되고 있음에도 불구하고, 이용자는 이에 대해 고지를 받거나 동의를 요청받은 적이 없습니다. 이용자가 어떤 사이트를 방문하든, 나를 따라다니는 표적 광고에 수많은 이용자들이 불쾌감을 느끼거나 프라이버시를 침해당하고 있다고 생각하지만, 현실적으로 이를 거부할 수단이 없습니다. 무엇보다 불법적인 개인정보 수집과 공유가 지금도 계속되고 있지만, 규제기관(예전에는 방송통신위원회, 2020년 이후 개인정보보호위원회)은 이를 방치해 왔습니다.
3. 지난 2022년 개보위는 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집, 이용한 행위에 대해 시정명령과 함께 약 1,000억원의 과징금을 부과하였고, 이어 온라인 맞춤형 광고의 제도개선 방안 마련에 나섰으나 산업계가 반발하자 가이드라인 발표를 미루었습니다. 이후 2024년 1월 개보위는 산업계 편향의 온라인 행태정보 가이드라인 민관협의체를 구성해 다시 가이드라인 초안을 마련하였는데, 아직 공개하지는 않았으나 불법적인 개인정보 처리 관행을 인정하고 이용자의 권리를 방치하는 내용으로 구성하였습니다.
4. 시민사회는 그동안 다양한 경로로 온라인 표적 광고에서 이용자의 개인정보 보호를 요구해왔습니다. 하지만 개보위는 산업계의 요구는 수용하면서 시민사회의 의견은 전혀 반영하지 않고 있습니다. 이에 시민사회는 기자회견을 개최하여 맞춤형 광고 가이드라인 초안의 문제점이 무엇인지 시민사회 입장을 명확히 밝히고, 산업계의 이익을 대변하고 이용자의 권리 침해를 방치하는 개보위를 규탄하였습니다. 오늘 기자회견에 참석한 경실련 소비자정의센터 위원 김보라미 변호사, 민변 디지털정보위원회 위원장 김하나 변호사, 진보네트워크센터 오병일 대표, 한국소비자연맹 정지연 사무총장 등은 기자회견을 마친 후 개인정보보호위원회에 의견서를 제출하였습니다. 끝.
▣ 붙임1. 개인정보보호위 맞춤형 광고 가이드라인 초안에 대한 시민사회 의견서
▣ 붙임2. 기자회견 참석자 주요발언
▣ 붙임3. 표적 광고(맞춤형 광고)의 작동 방식 설명자료
▣ 붙임1. 개인정보보호위 맞춤형 광고 가이드라인 초안에 대한 시민사회 의견서
산업계의 하수인인가, 개인정보 감독기구인가?
개보위는 산업계만을 위한 맞춤형 광고 가이드라인 폐기하라
개인정보보호위원회(이하 개보위)는 지난 2024년 4월 4일 온라인 행태정보 보호 민·관 협의체를 구성하고, 맞춤형 광고 개인정보 보호 가이드라인(이하 가이드라인) 작성을 위한 작업을 해왔다. 본 협의체가 산업계 편향적으로 구성되었음에도 불구하고, 시민사회 참가자들은 맞춤형 광고 수행 과정에서 시민들의 개인정보를 보호하는 방향으로 규범을 만들기 위해 노력해왔다. 그러나 현재 협의체에서 논의되고 있는 가이드라인 초안은 오히려 현재의 불법적인 개인 행태정보 수집을 합리화하고 있어 개인정보 보호의 관점에서 도저히 용납할 수 없는 수준이다. 시민사회는 협의회에서 뿐만 아니라 개보위와 별도의 간담회를 통해 가이드라인 초안의 문제를 지적했지만, 산업계의 이익을 대변하고자 하는 개보위의 입장은 완고한 것으로 보인다. 이에 우리는 가이드라인 초안의 문제점을 공개적으로 지적하면서, 현재의 가이드라인 초안을 시민사회는 수용할 수 없음을 명확히 밝히고, 이 상태로 가이드라인이 제정된다면 모든 수단을 동원하여 이에 대응할 것이다.
방대한 행태정보의 불법적인 수집과 처리
메타, 구글 등 빅테크를 포함한 광고사업자들은 이용자의 성향이나 관심사에 따라 서로 다른 광고를 내보내는 맞춤형 광고(표적 광고)를 운영하고 있다. 같은 사이트라도 이용자마다 서로 다른 광고가 나오고, 같은 이용자가 서로 다른 사이트를 방문할 때 동일한 광고가 따라다니는 이유는 이 때문이다. 맞춤형 광고를 하기 위해서 광고사업자들은 이용자의 성향이나 관심사를 파악해야 한다. 이는 광고사업자들이 웹사이트나 앱에 심어놓은 쿠키나 픽셀과 같은 추적기(이용자의 행적을 쫓는다는 의미에서 트래커라고 한다)를 통해서 이루어진다. 이용자가 뉴스 사이트에 방문하고 클릭한 기사 내역, 배달앱을 통해 주문한 내역, 쇼핑몰에서 구매한 내역 등 방대한 행태정보를 수집하고 이를 분석하여 성향이나 관심사를 파악하는 것이다.
나아가 이용자가 어떤 사이트에 접속하는 아주 짧은 순간에, 맞춤형 광고를 게재하기 위해 자동적으로 실시간 경매가 수행된다. 추적기를 통해서 파악된 이용자의 행태정보가 수십개 광고사업자들에게 공유되고 낙찰된 광고사업자의 광고가 이용자에게 보여지게 된다. 그러나 낙찰받지 못한 광고사업자들도 자신들이 전송받은 이용자 행태정보를 수집하고 다른 목적으로 활용할 가능성을 배제할 수 없다.
이처럼 맞춤형 광고를 위해 어마어마한 이용자 행태정보가 수집되고 공유된다. 그러나 이용자는 이에 대해 전혀 고지받거나 동의를 요청받은 적이 없다. 즉, 몇 년동안 맞춤형 광고를 목적으로 이용자 행태정보의 불법적인 수집과 처리가 관행적으로 이루어져 왔다. 지금 이 순간 수천만 국내 이용자가 웹사이트에 접속하거나 앱을 이용할 때마다 불법적인 수집과 처리는 계속되고 있다. 그러나 지금까지 규제기관(예전에는 방송통신위원회, 2020년 이후 개인정보보호위원회)은 이를 방치해왔다. 그나마 2022년부터 개보위가 맞춤형 광고 가이드라인을 마련하기 위한 작업을 하고 있으나, 계속 지연되었을 뿐 아니라 산업계의 요구에 밀려 현재의 불법적인 관행을 오히려 정당화하는 가이드라인이 나올 위기에 처해있다.
맞춤형 광고를 위한 행태정보가 개인정보가 아니라는 개보위
가이드라인 초안의 첫번째 문제는 맞춤형 광고를 위한 행태정보의 처리를 개인정보의 처리로 간주하지 않는 것이다. 물론 메타나 구글이 계정과 연동하여 행태정보를 수집하는 것은 개보위도 개인정보의 처리로 인정하고 있다. 그런데 다른 광고사업자가 쿠키 ID나 ADID 등 추적기를 통해 행태정보를 수집하는 것은 기본적으로 개인정보가 아니라는 것이다. 이는 기기 식별자를 개인정보가 아닌 것으로 간주하며 개인정보를 좁게 규정하려는 최근 개보위의 해석과 연결되며, 시민사회는 이러한 해석을 비판하는 입장을 발표한 바 있다.
개보위의 입장은 국제 동향과도 배치된다. 유럽연합은 IP 주소, 자동차번호, 쿠키 ID 등의 식별자도 개인정보로 인정하고 있으며, 개인정보보호법(GDPR)과 ePrivacy 지침에 따라 쿠키 ID 등을 통해 이용자 행태정보를 수집할 때 고지하고 동의를 받도록 하고 있다. 미국의 경우 연방 차원의 개인정보보호법은 없지만 연방거래위원회가 소비자 보호를 위해 추적 금지(Do-Not-Track) 정책을 시행해왔고, 캘리포니아주 프라이버시보호법(CPRA)의 경우 쿠키 ID, 픽셀 태그, ADID 등을 명확하게 개인정보로 규정하고 있다. 파이어폭스, 사파리, 브레이브 등 브라우저 업체들도 광고 목적의 제3자 쿠키를 차단할 수 있는 옵션을 제공하고 있고, 아이폰은 프라이버시 보호를 내세우며 앱추적 투명성 정책을 시행하고 있다. 기업들도 인정하고 있는 개인정보 침해 위협을 외면하는 개보위는 부끄럽지 않은가.
무엇보다 개인정보의 프로파일링에 기반하여 서로 다른 광고를 보여주는 맞춤형 광고가 개인정보와 관계없다고 주장하는 것은 언어도단에 가깝다. 자신의 개인 행태정보에 기반하여 서로 다른 광고가 보여지고 이에 이용자들은 영향을 받는다. 이 과정에서 정보주체의 권리가 침해되지 않도록 보장해야 할 책무가 개보위에 있다.
제대로 된 고지와 동의 절차도 없어
그나마 개보위는 구글과 메타가 계정과 연결하여 행태정보를 수집하는 것은 개인정보의 처리로 인정하고 있다. 이미 구글과 메타가 적절한 이용자 동의없이 행태정보를 수집하여 개인정보 보호법을 위반한 것에 대하여 시정명령과 과징금을 부과한 바 있다. 그러나 정작 가이드라인 초안에서는 구글과 메타가 제3자 웹사이트나 앱에서 행태정보를 수집할 때 이용자에게 고지하고 동의를 받도록 요구하지는 않고 있다. 다만, 구글이나 메타 서비스에 가입할 때 동의를 받도록 할 뿐이다. 그러나 서비스에 가입할 당시에 내가 앞으로 어떤 웹사이트와 앱을 방문할지 어떻게 미리 예측하고 가입 시에만 이에 대한 동의를 받도록 하는지 납득하기 어렵다.
구글과 메타를 비롯한 모든 광고사업자들은 이용자 행태정보를 수집할 때, 그 사실을 이용자에게 고지하고 적절한 방식으로 동의를 받아야 한다. 유럽의 웹사이트에서 제3자 쿠키에 대해 이용자가 처음 접속할 때 동의 여부를 선택하도록 하고, 이후에도 쿠키 설정을 변경할 수 있도록 하는 것처럼 말이다. 이는 구글이나 메타 서비스에 가입할 때 동의를 받는 것으로 해결할 수 없다. 미래의 어떤 시점에 어떤 사이트나 앱을 통해 내 행태정보를 수집하는지에 대해서 어떻게 사전 동의를 할 수 있겠는가. 더구나 행태정보가 수집되는 그 사이트에서 고지를 하고 동의를 받지 않는다면, 어떠한 광고 사업자가 내 행태정보를 수집하는지 이용자가 어떻게 인지할 수 있겠는가. 가이드라인 초안은 이용자가 전혀 인지하지 못한 상황에서 방대한 행태정보를 불법적으로 수집하는 관행을 유지하겠다는 것과 다르지 않다.
아동의 개인정보 수집까지 방치할 것인가
민감정보와 아동의 개인정보에 기반한 맞춤형 광고는 금지되어야 한다. 아동을 주 대상으로 한 사이트에서의 광고나 해당 이용자가 아동임을 알게된 경우, 또한 수집된 행태정보가 민감정보이거나 이를 추정할 수 있는 경우에는 이에 기반하여 맞춤형 광고를 해서는 안된다. 민감정보는 법률에서 허용하고 있는 경우나 별도의 동의를 받은 경우에만 처리할 수 있으며, 아동의 개인정보는 법적 대리인의 동의를 받아야 하는 바, 민감정보와 아동의 개인정보에 기반한 맞춤형 광고는 명백한 개인정보보호법 위반이다. 이는 유럽, 미국을 비롯한 전 세계적인 흐름이기도 하다. 그런데 가이드라인 초안은 민감정보와 아동의 개인정보에 기반한 맞춤형 광고를 금지하지 못하고, 단지 하지 말 것을 ‘권고’하는데 그치고 있다. 이는 오히려 금지가 아님을 선언하는 꼴이 아닌가. 이처럼 어처구니 없는 권고에 그칠 수밖에 없는 이유는 개보위가 행태정보 수집을 개인정보가 아닌 것으로 규정했기 때문이다. 그런데 개인정보가 아니라면 개인정보의 처리도 아닐 것이고, 그렇다면 개보위는 무슨 근거로 아동에 대한 맞춤형 광고 금지를 ‘권고’하는 것일까. 이와 같은 자기 모순에도 불구하고 개보위는 가이드라인 초안을 수정하지 않을 만큼 산업계의 이익 보호를 위해 노력을 아끼지 않고 있다.
차기 정부는 개인정보 감독기구로서 개보위의 위상을 확립하라!
이처럼 가이드라인 초안은 맞춤형 광고를 위한 불법적인 개인정보 처리 관행을 정당화하고 있다. 우리 시민사회는 현재 가이드라인 초안을 인정할 수 없으며, 이러한 상황이라면 차라리 발표하지 않는 것이 낫다. 이렇게 가이드라인이 발표되면 비단 맞춤형 광고 목적의 개인정보 처리에만 부정적 영향을 주는 것이 아니라, 개인정보에 대한 잘못된 해석이 개보위의 다른 사안에까지 영향을 줄 수 있기 때문이다. 이러한 개보위의 입장은 국제적으로도 부끄러운 일이다.
사실 이러한 개보위의 산업계 편향은 새삼스러운 일은 아니다. 윤석열 정부에서 개인정보보호위원회는 부담스러운 ‘보호’를 떼고 싶어 하였다. 그러나 이제 조만간 새로운 정부가 들어설 것이다. 새 정부는 개보위가 개인정보처리자의 애완견이 아니라 감시견의 역할을 제대로 할 수 있도록, 개인정보 감독기구로서의 위상을 바로 세워야할 것이다.
현재의 가이드라인 초안을 폐기하고, 불법적 관행을 바로잡을 수 있도록 근본적으로 방향을 전환할 것을 다시 한번 개보위에 촉구한다. 현재의 가이드라인 초안을 개보위가 막무가내로 밀어붙인다면, 시민사회의 커다란 저항에 직면할 것이다. 끝.
2025년 5월 20일
경제정의실천시민연합, 민주사회를위한변호사모임 디지털정보위원회, 서울YMCA 시민중계실, 안산소비자단체협의회, 정보인권연구소, 진보네트워크센터, 참여연대, 한국소비자연맹
▣ 붙임2. 기자회견 참석자 주요발언
1. 맞춤형 광고가 개인정보를 침해하는 이유 / 오병일 (진보네트워크센터 대표)
이미 많은 이용자들이 내가 어느 사이트를 가든 따라다니는 소위 맞춤형 광고에 대해 기분나빠하고 있습니다. 누군가 나를 감시하는 느낌이 들기 때문입니다. 아주 정확한 느낌입니다. 그러나 맞춤형 광고가 어떻게 작동하는지 아는 사람들은 많지 않습니다. 이것은 개인정보보호위원회의 책임입니다.
시민사회 의견서와 함께 배포된 자료에 설명이 되어 있습니다만, 맞춤형 광고가 작동하는 과정에서 방대한 개인정보가 수집되고 공유가 됩니다. 맞춤형 광고가 제대로 기능하기 위해서는 지금 접속하는 이용자의 취향과 관심사를 알아야 하는 것이 당연합니다. 그런데 어떻게 제 취향과 관심사를 수집할까요? 바로 쿠키나 픽셀과 같은 추적기 또는 트래커라고 부르는 기술을 이용합니다. 첨부 자료의 페이스북 외부활동을 한번 보십시요. 페이스북을 운영하는 메타가 이용자가 어떤 사이트에 접속했는지, 어떠한 앱을 실행했는지 모두 파악하고 있음을 볼 수 있습니다. 실제 수집하는 정보는 이것보다 훨씬 구체적이고 방대합니다. 예를 들어, 배달앱을 통해 어떠한 음식을 주문했고 쇼핑 사이트에서 무엇을 구매했는지 파악합니다.
그리고 방대한 행태정보 수집을 분석하여 파악한 내 취향과 관심사를 광고주들에게 공유합니다. 내가 어떤 사이트에 접속하는 1초도 되지 않는 그 짧은 순간에, 내 개인정보를 제공받은 광고주들이 실시간 경매를 수행하고 낙찰받은 광고주의 광고가 제게 전달됩니다. 제 개인정보는 수십개의 광고주에게 전달이 되고, 결국 낙찰받지 않은 광고주 역시 제 개인정보를 공유받게 됩니다.
당연히 이러한 개인정보 수집과 제공에 대해 정보주체에게 고지하고 동의를 받아야 하지만, 우리가 모두 알고 있듯이 우리는 이러한 요청을 받은 바 없습니다. 다시 말해 개인정보보호법을 위반한 불법적인 개인정보 처리입니다. 지금 이순간, 한국의 수천만 이용자가 웹사이트에 접속하고 앱을 실행하는 매 순간마다 이러한 불법행위들이 계속되고 있습니다. 그럼에도 불구하고 개인정보보호위원회는 지난 몇 년동안 이러한 불법행위들을 방치하고 있습니다.
지난 2022년 9월, 개인정보보호위원회는 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집, 이용한 행위에 대해 시정명령과 함께 약 1,000억원의 과징금을 부과한 바 있습니다. 이와 함께 당시 개보위는 온라인 맞춤형 광고의 제도개선 방안 마련을 위한 작업반을 구성하고 가이드라인 작업을 하였지만, 결국 산업계의 반발로 무산되었습니다. 그리고 작년 4월에 온라인 행태정보 보호 민·관 협의체을 출범하여 다시 가이드라인을 논의하고 있습니다. 그런데 가이드라인 초안에서 개보위는 맞춤형 광고를 위한 쿠키나 ADID를 개인정보로 인정하지 않으려하고 있습니다. 시민사회의 거듭된 문제제기에도 불구하고 개보위는 광고 산업의 위축을 우려하면서 정보주체의 권리 침해는 외면하고 있습니다. 이것이 저희 시민사회가 기자회견을 하게 된 이유입니다.
제가 방문한 웹사이트, 제 구매기록, 제 앱 사용내역을 토대로 저를 프로파일링해서 제 취향과 관심사에 맞는 광고를 내보내는데 개인정보가 아니라니, 이를 어떻게 이해해야 할까요? 더구나 이런 얼토당토한 얘기를 하는 것이 비단 광고 산업계 뿐만 아니라, 소위 말하는 전문가들, 나아가 개인정보보호위원회까지 이에 동조하는 것이 너무나 당혹스럽습니다. 유럽연합 개인정보보호이사회(EDPB)도 IP 주소, 쿠키ID, ADID 등이 개인정보라고 인정하고 있습니다. 미국 캘리포니아주 개인정보보호법도 쿠키 ID와 ADID 등을 개인정보로 인정하고 있습니다.
며칠전 시민사회와 개보위가 이 이슈를 갖고 간담회를 했는데, 이러한 명백한 해외 사례가 있음에도 불구하고, 이것을 개인정보가 아닌 것으로 보는 해외 사례를 찾으려고 노력하는 개보위를 보고 너무나 서글펐습니다. 정보주체의 권리 보호를 위한 최후의 보루가 되어야 하는 개인정보보호위원회가 어찌 이렇게 망가진 것입니까. 브라우져 업체들도 이용자 프라이버시를 위해 제3자 광고 쿠키를 차단하기 위한 기능을 두고 있고, 애플도 이용자 프라이버시 보호를 내세우며 아이폰의 광고식별자를 사용할 때 동의를 받도록 하고 있습니다. 업체도 인정하는 광고 식별자의 개인정보성을 개인정보 감독기구인 개보위가 부인한다는 것이 너무나 화가 납니다. 우리 시민사회는 이러한 엉터리 가이드라인을 인정할 수 없습니다. 엉터리 가이드라인을 폐기하고 지금 당장 개인정보보호법에 따라 맞춤형 광고를 위한 불법적인 개인정보 처리에 철퇴를 내릴 것을 촉구합니다!
2. 개인정보 감독기구로서의 역할을 방기하고 있는 개보위에 대한 규탄 발언 / 김하나 (민변 디지털정보위원회 위원장)
저희는 오늘 개인정보보호위원회가 그동안 몰두한 친산업 정책을 규탄하고 심각한 우려를 표하기 위하여 이 자리에 섰습니다.
고학수 위원장은 2023. 12.말 송년기자간담회에서 윤석열 대통령이 '개인정보보호위원회의 명칭을 개인정보위원회'로 바꾸는 것이 어떠냐고 제시한 것을 언급하였습니다. 그리고 직접 "우리가 보호 위주의 조직이라고 생각하지 않는다.""개인정보 데이터를 (중략) 현시점에 또는 가까운 미래에 어떤 상황에 어떻게 쓰면 좋을지 방향을 제시하는 것이 위원회가 하는 가장 핵심적인 역할"이라고 말했습니다.
위원장의 이러한 발언은 현재 개인정보보호위원의 정체성을 정확히 보여줍니다.
개인정보보호위원회는 '보호'가 아닌 '활용' 방점을 둔 정책을 꾸준히 추진하였습니다. 맞춤형 광고 관련 편향적인 정책뿐만이 아니라 1) "전 분야 마이데이터 사업", 2) 가명정보 활용을 위한 각종 정책적 지원을 넘어 이제 3) AI 산업을 위하여 원본정보 활용을 위한 개인정보보호법 개정을 추진하고 있습니다.
간단히 설명드리겠습니다.
여러분 마이데이터사업 들어보셨나요? 들어보지는 못하였더라도 한번쯤 경험은 해보았을 것입니다.
스타벅스 커피쿠폰이나 포인트 제공을 대가로 카드사와 은행정보을 연결하고, 통신사와카드사를 연결한 경험이 있을 것입니다.
마이데이터 사업은 은행, 카드사, 보험사, 통신사 등 여러 곳에 흩어져 있는 개인의 금융, 비금융 데이터를 한곳에 모아 개인정보처리자가 활용하는 것입니다. 정보주체가 자신의 정보를 직접 관리하고 통제한다고 광고하지만, 결국 그 사업의 목표는 정보를 한데 모아 은행사, 카드사, 보험사 등이 소비자에 마죠 금융상품을 더 잘 팔 수 있도록 소비자를 유인하기 위한 것입니다. 문제는 정보주체아 소비자가 마이데이터 사업의 실질, 즉 나의 은행거래, 카드거래, 보험가입내역 등이 한데 모아져 사업자들이 이를 활용할 수 있다는 것을 정확히 인지하지 못한채 이 과정이 이루어진다는 것입니다.
마이데이터 사업의 가장 큰 문제점은 정보주체의 정보가 집적되므로 개인정보가 유출되고, 사생활 침해될 우려가 높아지고, 개인정보가 유출시 책임소재를 가리기 어렵다는 한계가 있습니다. 그런데 개인정보보호위원회는 이 마이데이터 사업을 '전 분야'에 걸쳐 추진하기 위한 정책을 차근차근 추진 중입니다.
가명정보 활용 관련 정책도 문제입니다. 가명정보는 결합과정에서 개인 식별률이 급격히 증가한다는 문제가 발생하고 이에 대한 적절한 규제가 필수입니다. 그런데 개인정보보호위원회는 고시를 개정하여 가명정보 결합기관 자체결합을 허용하였고, '개인정보 활용 생태계를 조성'한다며 가명정보 활용 경진대회를 개최하고 있으며, 국내 병원이 보유한 의료 데이터를 가명처리하여 첨단바이오 국제 공동연구에 활용할 수 있게 하였다며 성과로 내세우고 있습니다.
개인정보보호위원회가 과학기술정보통신부 산하 기관인지요? 서로 누가누가 산업계 요구를 충족시켜 주는지 경쟁을 하는 듯합니다. 가명정보 활용 경진대회가 웬말입니까?
개인정보보호위원회 보도자료를 보면 '정보유출'에 '엄정대응' 했다는 자료가 넘쳐납니다. 개인정보보호위원회에 묻고 싶습니다. 이렇게 지속적이고 반복적으로 정보유출이 이루어지고 있고, 이것이 '자율규제'의 실상인데, 이 문제에 대한 대안 무엇입니까.
특히 개인정보 유출은 그 피해가 얼마나 발생하는지 정보주체가 가늠하기 어렵습니다. 정보유출 사건에서 징벌속 손해배상제도 도입, 입증책임 전환은 수년 전부터 논의되고 있는데 법 개정이 이루어지지 않는 이유는 무엇입니까?
이제는 개인정보보호위원회가 하다하다못해 AI산업을 위해 개인정보 원본을 활용하게 하는 법개정까지 추진하고 있습니다.
원본정보 활용이 아니라 감독당국의 무관심 속에 정보주체, 소비자에 전가되는 이 피해 어떻게 해결하고 예방할지 고민할 시기 입니다.
지난해 개인정보보호위원회 출신 고위 공직자 6명중 5명이 대형로펌에 재취업한 것이 논란이 되었습니다.
개인정보보호위원회가 대형로펌을 필두로 산업계 요구에 헌신적으로 대처하는 사이, 대다수의 시민은 마이데이터 사업, 가명정보 활용의 문제점을 인식하지 못한 채 정보를 집적하고, 집적된 정보가 유출되고 있습니다. 개인정보보호위원회는 이에 전혀 책임이 없다고 생각하시는지요.
개인정보는 공유재가 아닙니다. 개인정보보호위원회는 정보착취 수준의 정책 추진을 중단하고, SKT 사태 확인된 정보주체 보호에 미흡햐 제도적 한계를 법 개정으로 해소하고 정보주체를 상대로 한 교육활동에 전념하여야 합니다.
산업계를 대변하는 일은 과학기술정보통신부에 맡기고, 개인정보보호위원회를 왜 합의제 독립기구로 두었는지 그의미를 생각해 보시기를 바랍니다.
3. 온라인맞춤형광고 광고산업의 편의가 아니라 소비자의 권리를 중심에 놓아야 합니다 / 정지연 사무총장(한국소비자연맹)
존경하는 시민 여러분, 언론인 여러분.저는 오늘 소비자를 대표하여, 온라인 맞춤형 광고의 개인정보 침해 문제와 이를 정당화하는 개인정보보호위원회의 가이드라인 초안에 대해 깊은 우려를 표명하고자 이 자리에 섰습니다.최근 SKT 사태를 보면서 소비자들은 디지털AI 사회가 얼마나 취약한지 실감을 하고 있고 불안한 상황입니다. 그리고 우리는 지금 디지털 환경 속에서 광고산업의 이익 논리와 개인정보 자기결정권이 충돌하는 중대한 갈림길에 서 있습니다. 개인정보보호위원회는 이 갈림길에서 소비자의 편에서 개인정보 보호를 위해 앞장서야 함에도 불구하고, 안타깝게도 산업계의 하수인처럼 행동하고 있습니다.
첫째, 광고식별자는 개인정보인가 아닌가 이 물음이 오늘의 출발점입니다.구글이나 메타 등 글로벌 플랫폼 사업자들은 이용자의 온라인 활동을 추적하기 위해 쿠키 ID, ADID, IP 주소, 기기 식별자 등 이른바 '광고식별자'를 수집합니다. 물론 구글이나 메타는 이를 개인정보로 보고 있습니다. 그러나 관련한 많은 사업자들은 이를 기반으로 행동 패턴을 분석하고, 이를 실시간으로 광고 경매에 사용해 수익을 창출합니다.그런데도 개인정보보호위원회는 이 식별자들이 '개인정보'가 아니라고 주장하며, 정보주체 보호 의무를 사실상 면제하려 하고 있습니다.
이는 소비자 입장에서 매우 심각한 문제입니다. 왜냐하면: 이 정보들이 단독으로는 이름처럼 직접적인 식별이 되지 않더라도, 플랫폼 내부에서는 개별 소비자를 고유하게 식별할 수 있는 정보로 사용되고 있고, 실제로 행태정보는 개인의 관심사, 성향, 건강 상태, 심지어 정치적 성향까지 프로파일링할 수 있기 때문입니다.우리나라 개보위의 입장은 글로벌스탠다드 와도 맞지 않는데 유럽연합은 쿠키 ID, IP 주소 등도 개인정보로 명확히 규정하고 있으며, 미국 캘리포니아도 CPRA법에서 ADID와 같은 광고식별자를 개인정보 범주에 포함시키고 있습니다.광고식별자를 개인정보가 아니라고 해석하는 것은, 산업계의 책임을 벗겨주기 위한 매우 편의적인 해석입니다. 이것이 바로 개보위가 소비자 보호기관이 아니라 산업 규제 완화 기관처럼 비치는 첫 번째 이유입니다.
두 번째는 정보주체의 동의는 언제, 어떻게 받아야 하는가이고 이것의 핵심은 개인정보의 실질적 통제권입니다. 개보위는 이번 가이드라인에서, 행태정보 수집 시마다 이용자에게 고지하고 동의받는 것이 아니라, 단순히 ‘가입 시 동의’로 포괄적인 사전 동의를 받은 것으로 갈음하려 하고 있습니다.예를 들어, 메타나 구글이 자체 플랫폼에서 동의만 한 번 받으면, 이후 사용자가 어떤 사이트를 방문하든, 어떤 앱을 실행하든 그 사람의 행태정보를 마음대로 수집·처리할 수 있다는 논리입니다.그러나 어떤 소비자도 페이스북이나 메타에 가입할 때, 다음날 접속할 쇼핑몰에서 소비자가 클릭하거나 검색하는 내용이 실시간 광고 경매에 사용될 줄은 모를것입니다. 정보주체의 동의는 구체적이고, 사안별로, 시점별로 이루어져야 하며, 철회도 가능해야 하는 것이 기본 원칙입니다. 유럽의 GDPR은 물론, 전 세계 주요 개인정보보호 법제가 이러한 ‘정보주체 중심성’을 강화해가고 있습니다. 그럼에도 불구하고 개보위는, 가입 시 한 번 받은 포괄적 동의로 수년간의 디지털 행태 감시를 정당화하려 합니다. 이것이야말로 소비자의 개인정보에 대한 자기결정권을 심각하게 침해하는 문제라고 생각합니다.
세 번째 아동 대상 맞춤형 광고조차 ‘금지’하지 못하는 가이드라인 – 이것을 과연 개인정보보호라고 할 수 있습니까? 개인적으로 가장 심각한 부분은 아동의 문제일 것입니다. 현재 가이드라인 초안은 아동을 대상으로 한 맞춤형 광고를 명시적으로 금지하지 않고 ‘권고’에 그치고 있습니다. 아동의 민감한 행태정보를 수집하고, 이를 기반으로 광고를 보내는 행위를 개보위는 '금지'하지 않고, '하지 않는 것이 좋겠다'고 말하고 있는 것입니다. 그러나 이는 개인정보보호법뿐 아니라 아동복지, 국제 인권 기준에도 정면으로 반하는 태도입니다.
EU의 GDPR은 아동 대상 프로파일링을 원칙적으로 금지하고 있고, 미국 COPPA는 13세 미만 아동의 온라인 정보 수집을 엄격히 제한하며, 부모 동의를 필수로 요구합니다.국내 개인정보보호법 역시 아동 개인정보 수집에는 법정대리인의 동의를 요구하고 있습니다.
그럼에도 불구하고, 개보위는 산업계의 눈치를 보며 아동 대상 맞춤형 광고조차 금지하지 못하고 ‘권고’ 수준으로 축소하고 있습니다. 아이들에게까지 맞춤형 광고를 허용하는 정부라면, 개인정보보호위원회는 도대체 왜 존재하는 것입니까?
우리는 다음과 같이 요구합니다.
1) 현재 가이드라인 초안을 전면 폐기하고, 행태정보를 개인정보로 인정하라
2) 모든 광고식별자 수집에 대해 실질적 동의와 개별 고지를 의무화하라
3) 맞춤형 광고 범위 제한 및 소비자 옵트아웃(opt-out) 권리를 보장하라
4) 아동과 민감정보 기반 맞춤형 광고 전면 금지하라
5) 시민사회 참여가 보장된 새로운 협의체 구성하라
마지막으로 개인정보보호위원회는 개인정보 감독기구다운 책임 있는 역할을 해야합니다. 개인정보보호위원회는 이름 그대로 개인정보를 보호하는 기관이어야 합니다.‘산업활성화’는 다른 부처의 역할입니다. 개보위는 소비자의 권리를 지켜야 합니다. 소비자는 자신의 정보가 어떻게 수집되고, 어디에 쓰이는지 알 권리가 있습니다. 이러한 정보주체의 권리가 보장되지 않는다면, 디지털 경제는 소비자 신뢰 없이 붕괴될 수밖에 없습니다.우리는 정보가 아니라 권리를, 산업이 아니라 사람을 중심에 두는 개인정보 보호 정책을 요구합니다. 개보위가 끝내 산업계의 입장만을 반영한 가이드라인을 밀어붙인다면, 우리는 법적, 사회적, 국제적 대응을 포함한 모든 수단을 동원하여 맞설 것입니다.광고는 기업의 권리가 아닙니다. 개인정보는 소비자의 권리입니다.이 상식을 개보위가 끝내 외면한다면, 우리는 더 크게 외칠 것입니다. 감사합니다.
▣ 붙임3. 표적 광고(맞춤형 광고)의 작동 방식 설명자료
표적 광고(맞춤형 광고)는 어떻게 이용자의 개인정보를 처리하는가?
1. 트래커를 통한 이용자 행태정보 수집 및 분석
- 메타, 구글 등 빅테크를 포함한 광고사업자들은 웹사이트(예를 들어, 뉴스 사이트)나 앱에 심어놓은 쿠키나 픽셀과 같은 추적기(이용자의 행적을 쫓는다는 의미에서 트래커라고 한다)를 통해 이용자 행태정보를 수집한다.
- 웹사이트를 방문할 때 웹사이트에서 이용자의 기기(컴퓨터나 스마트폰)에 심어놓은 작은 텍스트 파일을 쿠키라고 한다. 웹사이트 이용에 필요한 쿠키도 있지만, 표적 광고를 위해 이용자의 행적을 추적하는 마케팅 쿠키도 있다. 이러한 마케팅 쿠키는 이용자가 방문하는 웹사이트가 아니라 통상 제3자 광고 사업자(구글이나 메타 등 빅테크도 포함)가 설치한다. 광고 사업자는 이용자가 서로 다른 사이트를 방문해도 쿠키 ID를 통해 동일한 이용자임을 식별하며, 해당 이용자의 행태정보를 수집한다.
(the Guardian 웹사이트의 구글 광고. IP주소나 쿠키 ID 등을 통해 동일 이용자임을 식별하고, 해외 사이트에 접속해도 한글 광고가 뜬다.)
- 이렇게 수집되는 이용자 행태정보에는 이용자가 뉴스 사이트에 방문하고 클릭한 기사 내역, 배달앱을 통해 주문한 내역, 쇼핑몰에서 구매한 내역 등이 포함되며, 이를 통해 이용자의 성향이나 관심사를 분석한다. 예를 들어, 구글은 다음과 같이 이용자의 행태정보를 바탕으로 이용자를 프로파일링한다.
- 이들 광고사업자들은 분석을 위해 방대한 이용자 행태정보를 수집한다. 페이스북 이용자라면 ‘Facebook 외부 활동’에서 메타가 자신에 관해 수집한 개인정보를 확인할 수 있다.
2. 실시간 경매(RTB)를 위한 이용자 개인정보 공유
최근 표적 광고는 실시간 경매(Real-Time Bidding, RTB)라는 방식을 통해 이루어진다. 실시간 경매는 이용자가 홈페이지에 접속할 때 이용자의 브라우저에 웹페이지가 로딩되는 0.1초 정도의 짧은 순간에, 이용자의 개인정보를 기반으로 광고 경매를 수행하고 가장 높은 값을 부른 광고를 이용자에게 보여질 수 있도록 하는 광고 기술을 의미한다.
예를 들어, 경매 과정에 다음과 같은 개인정보가 활용됨 : 입찰 요청을 위한 고유 식별자, 이용자 IP 주소, 쿠키 ID, 이용자 ID, 이용자 브라우저 및 기기 유형, 이용자의 위치, 이용자의 시간대, 이용자 시스템이 사용하는 언어, 기기 유형(데스크탑, 브랜드, 모델명, 운영체제), 이용자 관심사 유형, 이전에 방문한 사이트, 해당 사이트에서 이용자 움직임 (마우스 커서 등), 이용자 활동 (스크롤, 클릭, 미디어 시청 등), 검색어, 세션 시간, 사이트 행동 (특정 주제에 대한 관심사, 다운로드 등), 인구통계적 데이터 등 (출처 : ICO, 에드테크 와 실시간 경매 업데이트 보고서, 2019.6.20)
실시간 경매는 다음과 같이 이루어진다.
1) 이용자가 웹사이트(광고가 보여지는 웹사이트로서 이를 게시자[publisher]라고 한다)에 접속한다.
2) 쿠키에 저장된 이용자 개인정보가 광고 입찰을 위해 광고주들에게 전송된다.
3) 이 정보에 기반하여 광고주 측은 입찰에 참여한다. (즉, 자신이 광고하고자 하는 상품에 맞는 이용자가 접속할 때 가장 높은 입찰 가격을 부를 것임) 이때 더 정밀한 타게팅을 위해 광고주는 자신이 보유하고 있거나 데이터 브로커로부터 얻은 개인정보를 결합하기도 한다.
4) 낙찰된 광고가 이용자가 방문한 웹사이트에 표시된다.
이때 낙찰받지 못한 광고주(광고주를 대리하는 광고사업자)들도 자신들이 전송받은 이용자 개인정보를 수집하고 다른 목적으로 활용할 가능성을 배제할 수 없다. 이처럼 맞춤형 광고를 위해 어마어마한 이용자 행태정보가 수집되고 공유된다.
