1월 4일 아일랜드 개인정보보호위원회(DPC)는 맞춤형 광고를 제공하는 메타를 상대로 페이스북의 위법한 개인정보 처리 관행에 대해 벌금으로 2억1000만유로, 인스타그램의 위법한 개인정보 처리 관행에 대해 1억8000만유로를 각각 부과하고 3개월 이내 위법한 처리 관행 시정을 명령했다.
(1월 19일에는 메타의 왓츠앱에 대해서도 5.5백만유로의 벌금과 6개월 이내의 시정명령을 내렸는데, 같은 쟁점이므로 여기서는 생략함)
아일랜드 개인정보보호위원회의 벌금과 시정명령의 연원을 찾아보면, 2018년 5월 25일의 비영리단체인 NOYB의 신고에서부터 시작한다. NOYB는 GDPR의 시행 첫날인 2018년 5월 25일, 약관에 근거해 맞춤형 광고를 하는 메타(당시는 페이스북)의 페이스북, 인스타그램, 왓츠앱 서비스에 대하여 '강제동의'를 이유로 신고했다.
지난 5년 동안의 숙려 끝에 아일랜드 DPC가 메타의 개인정보 처리 관행이 위법하다고 판단한 것이다. 그 과정에서 복잡한 쟁점이 부각됐다. 유럽연합(EU) 개인정보보호규정(GDPR)에 따르면 사업자는 개인정보 처리의 적법성 근거를 동의, 계약 등 6가지 가운데 하나만 만족하면 되는데 메타는 GDPR가 시행된 2018년 5월 25일 이전에 맞춤형 광고의 적법성 근거를 변경했다. 즉 변경 이전에는 이용자 동의에 기반을 두고 맞춤형 광고를 제공했지만 변경 이후에는 약관에 근거해서 맞춤형 광고를 제공했고, 약관에 동의하지 않은 이용자에 대해서는 서비스 제공을 제한한 것이다.
메타는 이용자가 변경된 약관에 동의하면 메타와 이용자 간에 계약이 체결된 것으로 간주하고 페이스북이나 인스타그램 서비스 제공과 관련된 이용자 개인정보 처리는 맞춤형 광고를 포함해 계약 이행을 위해 필요하기 때문에 이러한 처리 방식은 GDPR 제6장 1절 b항을 만족한다는 입장을 취했다.
그런데 이렇게 적법성의 근거를 동의에서 계약으로 이동시킨 것을 문제삼은 것이 NOYB의 신고 내용이었다. NOYB는 메타의 입장과 달리 메타는 개인정보 처리에 대한 법적 근거를 여전히 동의에 의존하고 있다고 주장했다. 나아가 변경된 이용약관에 동의를 해야만 서비스에 접근하도록 한 것은 맞춤형 광고를 위한 개인정보처리에 관한 동의를 강제(forcing)한 것이라 주장했고, GDPR은 서비스에 꼭(strictly) 필요한 모든 개인정보 처리를 명시적으로 허용하지만 광고를 위해 개인정보를 추가로 사용하려면 이용자의 옵트인 동의가 필요하다고 주장했다.
아일랜드 DPC의 초기 결정은 1월 4일 결정과는 달랐다. 초기 결정에서는 이러한 적법성 근거에 관한 쟁점과 관련해 유럽 내 비영리단체 NYOB가 주장하는 '동의의 강제'는 성립하지 않고, 메타가 계약을 적법 처리한 근거로 삼은 것이 GDPR 위반에 해당하지 않는다고 했다. 다만 투명성 의무에 관한 쟁점과 메타가 의존하는 법적 근거와 관련된 정보가 이용자에게 명확하게 설명되지 않았고, 그 결과 이용자는 자신의 개인정보에 대하여 어떤 처리 작업이 수행되고 있는지 등 투명성이 불충분하다고 판단했을 뿐이었다.
하지만 아일랜드 DPC의 초기 결정이 관련 감독기구에 제출된 뒤 이들 감독기구가 투명성 위반 판단에는 동의한 반면 '강제동의'에 관한 결정에 대해서는 47개의 관련 감독기구 가운데 10개 기구가 이의를 제기하여 협의에 도달할 수 없었으며, 이에 아일랜드 DPC는 유럽개인정보보호이사회(EDPB)에 '강제동의'에 관한 사항을 회부했다.
EDPB는 지난해 12월 이에 관한 구속력 있는 결정을 내렸다. 그 내용을 보면 “맞춤형 광고는 이용자와의 계약 이행을 위해 필요한 것이 아니기 때문에 메타는 맞춤형 광고 목적으로 개인정보 처리에 관한 법적 근거로서 계약에 의존할 수 없고, 이에 기반을 둔 개인정보 처리는 GDPR 제6조 위반에 해당한다”고 판단했다.
아일랜드 DPC의 4일 제재는 이와 같은 EDPB의 구속력 있는 결정에 대한 응답이었다.
한편 메타는 공식 블로그를 통해 “적법한 처리 근거에 대한 규제 불명확성이 존재한다”면서 이번 결정에 항소할 뜻이 있다고 밝힌 바 결국 소송으로 갈 것으로 예상된다.
메타 사안에 대한 아일랜드 DPC와 EDPB의 결정은 계약 이행에 필요한 범위를 해석하는 기준을 제시하며, 사업자가 임의로 약관에 기재했다고 해서 모두 계약 이행에 필요한 범위가 아님을 명시적으로 밝혔다는 점에서 큰 의미가 있다. 특히 맞춤형 광고와 관련해 처리 적법성의 근거는 계약이 아닌 동의에 있음을 확인했다.
우리나라 개인정보보호법 개정안도 제15조의 개인정보 수집·이용의 적법성 근거 중 “계약의 체결 및 이행을 위하여 불가피하게 필요한 경우”에서 '불가피하게'를 제거하고, 그 범위를 “정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우”로 확대할 예정이다.
따라서 앞으로 계약 이행에 필요한 범위가 어디까지인지가 중요한 쟁점이 될 것으로 예상되는바, 이번 사안은 개정안 조문 해석에도 참조할 필요가 있어 우리나라에도 미치는 영향이 상당하다고 할 수 있다.
김경환 법무법인 민후 대표변호사 oalmephaga@minwho.kr