지난 9월 14일 개인정보보호위원회는 구글과 메타의 개인정보 불법 수집 관행에 대해 시정명령과 함께 약 1000억원의 과징금을 부과했다. 여기서 말하는 구글과 메타의 개인정보 불법 수집 관행이란 이용자의 인지나 이용자의 동의 없이 이용자의 타사 행태정보를 수집해서 온라인 맞춤형 광고에 활용하는 행위를 의미한다.
온라인 맞춤형 광고란 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등과 같이 이용자의 관심, 흥미, 기호, 성향 등을 파악·분석할 수 있는 온라인상의 활동 기록인 행태정보를 통해 이용자의 성향 등을 분석·추정해서 이용자에게 맞춤형으로 제공하는 온라인 광고를 의미한다.
구글이나 메타의 경우 맞춤형 광고를 통한 매출이 전체 매출의 81%, 98%를 각각 차지할 정도로 핵심 비즈니스 모델이라 할 수 있고 맞춤형 광고의 이용자에 대한 추적 기술과 개인화 기술이 나날이 발전하고 있음에도 이용자에게 정확한 고지 없는 수집과 무분별한 개인 추적, 알아도 거부할 수 없는 환경, 통제되지 않는 개인정보 결합이나 공유, 제어되지 않는 이용 때문에 심각한 인권 침해를 야기하고 있다는 보고가 끊이지 않고 있다.
예컨대 미국인의 경우 매일 747회 정도의 맞춤형 광고에 노출되고 유럽인의 경우 매일 376회 정도 노출되는 데도 이러한 수집 사실에 대해 이용자는 정확하게 인지하지 못하고 있고, 거부나 통제도 어렵다.
게다가 CA(Cambridge Analytica) 사건에서도 볼 수 있듯 이용자 정보는 무분별하게 제3자에게 제공돼 정치적 성향 분석 목적이나 선거 목적 등으로 이용되기도 했지만 이에 대한 인식이나 통제는 불가능했다.
또 다른 예로 유럽연합(EU)에서는 맞춤형 광고로 수집된 개인정보를 통해서 한 가톨릭 신부가 동성애자임이 드러난 사건도 있고, 미국에서는 시위대에 대해 영장 없는 전화기 추적에 이용되기도 하였지만 정작 이용자는 이를 전혀 알 길이 없었고, 이 때문에 거부나 사후적인 통제도 불가능했다.
이러한 현실과 우려 때문에 각국은 맞춤형 광고 규제를 강화하고 있다. 미국 캘리포니아주의 경우 CCPA(California's Consumer Privacy Act)를 강화한 CPRA(California Privacy Rights Act)를 시행(예정)하면서 맞춤형 광고에 필요한 행태정보와 광고식별자(ADID, IDFA 등)를 개인정보로 규정하고 맞춤형 광고를 크로스 콘텍스트 행동 광고(cross-context behavioral advertising)로 개념을 정의, 명시적으로 규제하고 있다. 특히 소비자의 행태정보를 활용한 광고 목적으로 사업자가 개인정보를 제3자에게 전송하거나 제공하는 경우 소비자는 이를 거부할 권리가 있음을 명확하게 고지하라고 규정했다.
미국 연방정부를 보더라도 역시 동일한 추세다. 미국은 개인정보 보호에 관한 통일법인 미국 연방개인정보보호법(ADPPA)의 제정을 앞두고 있는데 맞춤형 광고에 대한 명시적인 개념 정의를 신설해 개인에 대한 광고뿐만 아니라 고유 식별자에 대한 광고로까지 확대하면서 미성년자에 대한 맞춤형 광고를 금지하고, 나아가 맞춤형 광고 시 늘 명확하고 눈에 잘 보이는 거부 수단의 제공 의무를 포함하고 있다.
그 외에 BSAA(Banning Surveillance Advertising Act)안은 인종, 민족, 출신 국가, 성별, 종교 등 민감정보나 데이터 브로커로부터 구매한 각종 개인정보를 토대로 이른바 개인별 맞춤형 광고를 노출하는 마케팅 행위를 금지하고 있다. '아동 및 10대 온라인 개인정보보호법안'의 경우는 13세 미만인지에 대해 실체적 인식이 아닌 추정적 인식을 기준으로 해서 아동에 대한 맞춤형 광고를 금지한다.
EU의 경우 시장 독점적 지위 남용 방지 목적의 DMA(Digital Markets Act)와 전자상거래법이라 할 수 있는 DSA(Digital Service Act)의 시행을 앞두고 있다. 구글이나 메타 등의 대규모 플랫폼 기업을 게이트키퍼로 지정하고 게이트키퍼의 핵심 플랫폼 서비스를 사용하는 제3자의 서비스를 사용하는 최종 사용자의 개인 데이터를 온라인 광고 서비스를 제공하기 위한 목적으로 처리하는 것, '관련 핵심 플랫폼 서비스'의 개인 데이터를 '추가적인 핵심 플랫폼 서비스'의 개인 데이터 또는 '기타의 게이트키퍼가 제공하는 다른 서비스'의 개인 데이터와 결합하는 것 등을 금지하는 한편 맞춤형 광고 목적의 동의 요청을 연 1회로 제한하고 미성년자 상대의 맞춤형 광고를 금지한다.
이 같은 입법 노력 외에도 맞춤형 광고에 대한 유럽사법재판소의 Planet49 판결, 맞춤형 광고에 대한 각국 개인정보보호 당국의 제재(2017년 5월 CNIL vs 구글, 2019년 1월 CNIL vs 구글, 2020년 12월 CNIL vs 구글·아마존, 2022년 1월 CNIL vs 구글·페이스북, 2015년 12월 APD vs 페이스북, 2021년 2월 APD vs IAB Europe, 2021년 7월 CNDP vs 아마존, 2017년 9월, AEPD vs 페이스북 등)도 계속 쌓이고 있다.
맞춤형 광고 문제는 단순한 문제가 아니다. 국제 인권보호 단체 암네스티 인터내셔널은 구글과 메타의 비즈니스 모델이 전 세계 인구에 대한 지속적인 감시(surveillance)에 기반을 두고 있어 이용자의 프라이버시, 개인정보 자기결정권 침해가 일어날 뿐만 아니라 특히 알고리즘을 이용해 언제 어디서나 사람들에 대한 상세한 프로필을 생성하고 추론하는 이들의 행태로 말미암아 이용자는 사적 영역 내에서 스스로의 정체성을 형성할 권리를 침해받고 있다고 보았다.
개인정보가 무분별하게 수집·분석되고 자기 의사와 무관하게 정체성이 규정되는 디지털 환경에 무방비로 놓여 있는 한 인격체를 지키려는 노력을 맞춤형 광고라는 한정된 영역에서조차도 하지 못한다면 더 강력한 디지털 환경에서 한 인격체를 지키기는 어려울 수 있다.
* 법무법인 민후 김경환 변호사 작성, 전자신문, 블로그(2022. 12. 6.) 기고.