프랑스 정보보호 주관기관인 정보자유국가위원회(CNIL)는 최근 미국 구글에 일반개인정보보호법(GDPR)을 근거로 5000만유로 과징금을 부과했다. 심각한 위반 발생 시 최대 2000만유로 또는 전 세계 매출 4%로 규정된 과징금 한도를 적용한 첫 사례다. 개인정보 수집·처리 과정이 투명하지 않고, 개인정보 제공 동의 절차에서 이용자에게 선택권을 충분히 부여하지 않았다는 이유다.
구글은 CNIL의 이번 조치에 대해 항소를 결정한 상태다. 개인정보 수집·처리와 이용자 동의 과정이 GDPR 기본 방침과 사용자 경험 테스트를 바탕으로 투명하고 간단하게 이뤄진다는 게 구글 주장이다.
유럽연합(EU)이 정보주체 권리 보호를 기치로 내걸고 기업에 데이터 관리 책임을 엄중히 묻기 시작했다. 글로벌 IT공룡을 먼저 겨냥한 EU의 선전포고를 세계 IT업계가 예의주시한다. 한국 기업도 예외는 아니다.
◇구글, 투명성 원칙과 합법적 절차 위배
CNIL은 구글의 개인정보 수집·처리 절차와 개인정보 이용내역 안내가 지나치게 복잡하다고 지적했다. 데이터 수집·처리 목적과 저장기간 등에 대한 내용이 여러 곳에 산재됐다. 몇몇 개인정보에 대한 내용을 확인하려면 따로 링크를 클릭해 찾아야 하는 불편을 겪는다. 개인화나 위치추적 관련 서비스의 경우 최대 5~6단계를 거쳐야 한다.
구글 일부 서비스에 대한 개인정보 관련 안내가 모호하다고 지적했다. 유튜브, 지메일, 플레이스토어 등 20개에 달하는 서비스 사이에서 처리·조합되는 데이터 규모가 방대하며 그 목적도 포괄적이고 불명확하다. 일부 데이터에 대해서는 보존기간에 대한 안내도 제공하지 않는다. 맞춤형 광고 관련해 개인정보를 수집·처리하는 이유와 근거, 그리고 이용자 동의 중요성에 대한 설명도 충분하지 않다.
GDPR 12조는 정보주체로부터 개인정보를 제공받은 기업 등 정보 관리자가 해당 정보 처리에 대해 간결하고 투명하게, 이해와 접근이 쉬운 형태로 안내해야 한다고 명시한다. 투명성의 원칙에 근거해 정보주체 누구든 자신의 데이터가 어디서 어떻게 쓰이는지 쉽게 알 수 있어야 한다는 내용이다. 이어 GDPR 13조에서는 개인정보를 수집하는 경우 정보주체에게 제공해야 하는 내용을 다룬다.
권현준 한국인터넷진흥원(KISA) 개인정보정책단장은 “GDPR에서 투명한 정보 제공과 그에 따른 합법적 동의 절차는 큰 비중을 차지한다”며 “CNIL은 구글이 데이터 처리 목적과 저장 관련 내용을 한 곳에서 제공하지 않는 점을 지적했다. 또 모호한 설명과 불편한 접근성으로 이용자 판단을 의도적으로 흐린다고 봤다”고 말했다. 이어 “GDPR는 이용자 동의가 서비스 이용 목적에 부합하도록 자발적으로 이뤄져야 한다고 규정한다. 또 이메일 회신과 같은 적극적인 행동으로 이를 뒷받침할 수 있어야 한다고 본다”면서 “피고용인이 회사에 제공하는 개인정보 관련해서도 문제를 삼는 등 정보주체의 자유로운 의사표현이어야 한다는 점을 강조한다”고 덧붙였다.
◇CNIL “이용목적별로 구분해 이용자 동의 구해야”
CNIL이 구글의 개인정보 수집·처리 과정 가운데 가장 문제 삼은 것은 맞춤형 광고 제공에 대한 동의 절차다. GDPR 6조는 정보주체가 하나 이상의 특정 목적을 갖고 자신의 개인정보 이용에 동의해야 정보 관리자의 해당 정보 수집·처리가 적법한 것으로 본다.
GDPR 7조에서 이용자 동의 관련 입증책임이 정보 관리자에 있으며, 이용자 동의가 여러 사안과 이어질 경우에는 각각 명확하게 구별해 알기 쉽게 제시해야 한다고 규정한다. 이용자 동의가 자유롭게 이뤄졌는지 판단할 때는 정보 관리자가 서비스 제공에 불필요한 개인정보를 요구했는지 여부를 고려한다.
CNIL은 구글의 이용자 동의 절차 자체가 유효하지 않다고 지적했다. 개인정보 수집·처리에 대한 안내가 산재된 것은 맞춤형 광고 관련해서도 마찬가지다. 게다가 수집된 이용자 동의에 있어 목적이 특정하지도 않고 범위 구분도 명확하지 않다는 주장이다.
CNIL은 이용자가 구글 계정을 생성할 경우를 예로 들었다. 이용자가 계정 만들기 버튼 위에 있는 추가옵션 버튼을 클릭해 선택사항을 조정할 수 있으나, 이것만으로 GDPR를 준수했다고 볼 수는 없다고 판단했다. 별도 과정을 거쳐야 할 뿐 아니라, 맞춤형 광고 노출 여부 옵션도 기본 선택된 상태로 제시된다. 구글 약관과 개인정보보호정책을 모두 동의해야 계정을 만들 수 있다는 점도 문제 삼았다. 동의 목적을 특정하지 않아 모든 개인정보 이용에 전적으로 동의하는 것과 다를 바 없다는 지적이다.
이창범 동국대 경찰사법대학 교수는 “이번 사례는 그동안 GDPR 해석에서 논란의 여지가 있던 개인정보 수집·처리 과정을 다뤘다는 점에서 큰 의의를 갖는다”며 “이용자 동의 관련 논란은 향후 재판 결과를 지켜볼 필요가 있다”고 설명했다. 그는 “GDPR 이전에는 맞춤형 광고와 위치 기반 서비스에서 가명정보 기반으로 이용자 행동패턴 등을 활용하는 게 용인됐다. 시행 이후 구글 외에도 이미 다수 기업이 이 문제로 제소된 상태”라며 “이번 사례에 따라 가명정보 방식 활용에도 이용 목적별로 구분해 동의를 요한다면 결국 개별 서비스마다, 또 새로운 기능을 확장할 때마다 일일이 동의절차를 거쳐야 할지도 모른다. 구글 항소에 대해 향후 EU 재판소에서 어떤 판결을 내릴지가 관건”이라고 부연했다.
◇EU vs 미국 IT업계
EU GDPR 리스크가 현실화되면서 세계 IT업계에 긴장감이 감돈다. 직격탄을 맞은 곳은 물론 미국이다. EU GDPR의 주요 제정 목적 중 하나가 역내 단일 디지털 시장 조성인 만큼, 유럽지역에서도 위세를 떨치는 주요 글로벌 인터넷 기업이 시험대에 오를 것으로 보인다. 유럽지역 인터넷 검색 시장에서 90% 이상 점유율을 보유한 구글이 첫 적용사례로 낙점됐다는 사실이 이를 방증한다.
권 단장은 “GDPR 적용은 유럽 각국 감독기관이 담당한다. 이 중 프랑스 CNIL은 EU 정보보호분야에서 주도적 위치에 있는 기관”이라며 “시행 이후에도 소극적으로 관망해왔던 여러 기업이 본격 대응할 것”이라고 말했다.
미국 IT업계가 CNIL의 이번 조치에 대해 놀라움과 성토를 쏟아내는 반면, 유럽 시민단체는 구글에 매겨진 과징금 액수가 적다는 불만을 제기한다. 5000만유로도 큰 금액이지만 구글 세계 매출 규모에 비하면 턱없이 부족하다는 지적이다. 구글 모회사 알파벳은 지난 3분기에만 337억4000만달러 매출을 올렸다.
이 교수는 “GDPR 시행 이후 시정 권고나 명령, 소액의 과징금 부과 조치는 꾸준히 이어졌다. 이번 과징금은 CNIL에서 구글의 위반 수준을 검토해 신중하게 책정한 것으로 보인다”면서 “GDPR는 시장경쟁법적 특성도 지닌다. 데이터 관련 시장 지배적 기업에 대한 책임을 강화한 것이다. 법 적용에 있어 소속국가에 따라 기업을 차별하진 않을 것으로 보인다”고 밝혔다.
팽동현기자 paing@etnews.com