네이버, 다음, 구글, 메타 등 플랫폼별 수집 범위 규정 필요
플랫폼이 이용자에게 필요 이상의 개인정보를 요구하는 상황을 방지하기 위해 '행태정보' 수집 및 이용에 대한 세분화된 관리·감독이 필요하다는 지적이 나왔다. 행태정보는 이용자의 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등이 포함된 정보다.
국회 입법조사처는 '온라인 맞춤형 광고에서의 행태정보 보호' 보고서를 통해 이같이 주장했다.
플랫폼사들이 맞춤형 광고 사업을 위해 이용자 행태정보를 무분별하게 수집하는 행태는 잇따라 포착되고 있다.
지난 7월 SNS 페이스북과 인스타그램을 운영하는 메타는 국내 서비스 이용약관을 이처럼 개정하려 하다가 개인정보보호법 위반 소지가 있다는 비판을 받고 철회한 바 있다.
개인정보보호위원회가 지난달 구글과 메타에 각각 과징금 692억원, 308억원을 부과하기도 했다. 행태정보 수집 사실을 명확히 알리지 않고, 동의도 제대로 받지 않은 점이 문제가 됐다.
해외 당국도 플랫폼의 부당한 개인정보 수집 행태를 문제 삼고 있다. 지난 2019년 프랑스는 구글이 맞춤형 광고 이용 동의를 제대로 받지 않았다는 이유로 유럽연합(EU) 일반 개인정보보호법(GDPR)을 위반했다고 판단, 과징금 5천만 유로(당시 약 642억원)를 부과했다. 같은 해 독일도 인스타그램 등이 이용자 행태정보를 수집 및 결합하는 것을 금지했다. 벨기에는 지난 2월 맞춤형 광고 솔루션이 이용자에게 동의를 받는 과정이 모호하다며 과징금 부과 및 시정조치를 했다.
구글 가입 시 동의 화면 비교. 국내에서는 서비스 가입 시 타사 행태정보 수집·이용 사실을 명확히 알리지 않고, 그 설정화면을 '더보기' 메뉴로 가려둔 채 기본값을 ‘동의’로 설정했다. 이와 달리 유럽에서는 이용자가 직접 선택하도록 단계별로 구분해 동의를 받았다.
입법조사처는 대응책으로 플랫폼들이 개인정보 최소 수집 원칙을 준수하도록, 이용자가 행태정보 수집에 동의하지 않을 경우 서비스 사용을 전면 금지하는 상황을 방지해야 한다고 봤다. 이를 위해 플랫폼이 필요한 정보만을 수집하는지 점검하고, 서비스 유형을 세분화해 수집하는 개인정보를 최소화하는 방안을 검토할 것을 제안했다.
행태정보에 대한 별도의 보호책도 필요하다고 지적했다. 다른 개인정보와 연계 분석될 경우 개인정보 노출 및 침해 위험성이 높아지기 때문이다.
일례로 EU가 행태정보 기반 추적 기술 '쿠키'에 대한 별도 프라이버시 규정을 두고 있으며, 미국 '캘리포니아 소비자 프라이버시 법'도 쿠키를 고유 식별자 또는 고유한 개인 식별자의 한 유형으로 명시하고 있다고 언급했다.
일본도 지난 4월 시행된 개정 개인정보보호법에서 행태정보들이 해당되는 '개인관련정보' 개념을 도입하고, 다른 정보와 결합해 정보 주체를 식별할 가능성이 있는 자에 대해 정보 주체로부터 미리 동의를 받아야 한다고 규정했다.
우리나라는 방송통신위원회가 2017년 '온라인 맞춤형 광고 개인정보보호 가이드라인'으로 행태정보 처리 시 준수사항을 제시하고 있다. 그러나 행태정보 유형, 사용 영역・방식 등을 세분화하고 있지 않다. 입법조사처는 행태정보 유형, 사용 영역 및 방식 등에 따른 보호 필요성을 검토해 행태정보 규제 체계를 법제화해야 한다고 주장했다.
많은 이용자로부터 방대한 행태정보를 수집, 개인정보 침해 가능성이 높은 빅테크 플랫폼 기업에 대해서는 별도 규제가 필요하다고 봤다.
EU는 내년 시행되는 EU '디지털시장법'에서 핵심 플랫폼 기업이 수집한 개인정보를 맞춤형 광고에 이용하는 것, 다른 수단으로 수집한 개인정보와 결합하거나 다른 서비스와 교차해 사용하는 것을 금지했다. 이용자의 명확하고 명시적이며 정보에 입각한 별도의 동의가 있는 경우에는 예외적으로 맞춤형 광고가 가능하나, 미성년자에 대해서는 엄격히 금지했다.
입법 최종 단계만 남은 '디지털서비스법'은 초대형 온라인 플랫폼 서비스 제공자가 온라인 인터페이스에 광고를 표시하는 경우, 광고 내용, 맞춤형 광고 여부, 맞춤형 광고에 사용된 주요 매개변수 등을 저장하고 공개하도록 요구하도록 했다.
<개인정보 보호법 시행령 개정 사항>
올해 2월 9일 개인정보보호위원회가 입법 예고했던 개인정보 보호법 시행령 일부개정령(안)이 지난 7월 12일 국무회의에서 의결되어 7월 중 공포가 예정되어 있습니다.
주요 개정사항은 다음과 같습니다.
1. 신기술 특성에 따른 파기 방법 규정 개선
2. 과징금 및 과태료 제재기준 정비
3. 출연사업 위탁근거 정비
여기서 주목해야할 점은 신기술 특성에 따른 파기 방법 규정 개선입니다.
개인정보 처리 과정에서 블록체인 등의 신기술을 적용하는 사례가 점차 늘어나고 있습니다. 그러나, 해당 신기술들의 기술적 특성으로 인해 전통적인 방법1을 적용한 개인정보 파기가 어려운 경우가 있습니다.
따라서 신기술 적용을 원하는 기업들이 개인정보보호법을 준수하는데 어려움이 있었는데요, 이를 해결하기 위해 해당 기업들은 규제샌드박스 실증특례 제도를 이용해왔습니다.
1. 전통적인 방법: 개인정보보호법 시행령 제16조 제1항 제1호에 따라 ‘복원이 불가능한 방법으로 영구 삭제’
2. 규제샌드박스 실증특례 제도: 규제샌드박스 제도는 신기술·신산업 분야의 새로운 제품이나 서비스에 대하여 일정기간 동안 기존의 규제를 면제하거나 유예시켜주는 제도
이번 시행령 개정에서는 ‘복원 불가능한 방법으로 영구 삭제’만 명시하던 시행령 조항에 ‘기술적 특성으로 인하여 영구 삭제가 현저히 곤란한 경우로서, 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치’를 추가하였고 이에 따라 ‘개인정보 익명 처리’라는 추가적인 개인정보 파기 방법도 명문화되었습니다.
이에 따라, 블록체인 등 신기술을 활용한 제품 및 서비스에서 규제샌드박스 실증특례 제도 없이도 익명처리를 통해 개인정보 파기가 가능해졌기 때문에 각종 기업에서 개인정보 처리에 블록체인 등의 신기술 적용이 확산될 것으로 기대됩니다.
다만, 파기를 위해 익명처리한 개인정보가 개인정보 보호법 제58조의2에서 규정하는 익명정보(시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보)에 적합한지에 대한 검증은 철저하게 필요합니다.
①개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 하여야 한다.
1. 전자적 파일 형태인 경우
가. 복원이 불가능한 방법으로 영구 삭제
나. 기술적 특성으로 인하여 가목에 따른 영구 삭제가 현저히 곤란한 경우로서, 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치
익명처리를 했다고 판단 했으나 실제로는 익명정보가 아닌 가명정보 수준으로 처리가 된 경우 ‘개인정보 파기’에 해당되지 않기 때문에 K-익명성 검증 등 다양한 방법으로 익명처리 과정에 대한 검증이 필요합니다.
'생활정보' 카테고리의 다른 글
| 카카오 서버 복구 언제쯤 완료되는가? (2) | 2022.10.18 |
|---|---|
| 유튜브 쇼츠 수익 창출 방법 (0) | 2022.10.18 |
| 공산국가 쿠바, 동성결혼 허용 (0) | 2022.09.30 |
| 망사용료법에 대해서 반대하는 이유 (0) | 2022.09.30 |
| 다음블로그 서비스 종료 티스토리 이전방법 (0) | 2022.09.30 |
댓글