SNS 이용자라면 자신이 구매하려 했던 상품이 광고로 제시돼 놀랐던 경험을 한 번쯤 해봤을 것이다. 이러한 맞춤형 광고는 편의성을 극대화할 수 있지만 동시에 소비자의 정보를 과도하게 수집한다는 점에서 사생활 침해의 위험을 지니고 있지만 규제 방안은 미흡한 상태다. 이에 The HOANS에서 맞춤형 광고를 위한 데이터 과잉 수집 실태와 개선 방안을 짚어봤다.
최근 페이스북과 인스타그램을 운영하는 IT 기업 메타(META)의 개인정보 수집 동의 약관을 두고 논란이 일고 있다. 메타는 이용자에게 맞춤형 광고 표시를 위한 행태정보 수집 및 이용에 동의하라고 요구하며 원활한 서비스 제공을 위해 각국 지사와 데이터 센터 등에 수집한 정보를 제공하겠다고 밝혔다. 동의하지 않을 시 더는 해당 계정을 사용할 수 없다는 조건도 덧붙였다. 이용자들의 거센 반발에 지난 7월 동의하지 않는 계정 서비스 중단 방침은 철회됐지만 여전히 메타의 행태정보 수집은 계속되고 있다. 이는 비단 메타에 국한된 일이 아니다. 구글은 맞춤형 광고를 위해 이용자의 행태정보를 파트너사와 공유한다. 애플은 자사 서비스와 계정을 통해 수집한 행태정보를 바탕으로 광고 사업을 확대할 계획이라고 밝혔다. 이렇듯 맞춤형 광고를 명분으로 한 데이터 과잉 수집이 만연한 상황이다.
편리함을 위해 내 사생활을?
맞춤형 광고란 개인의 ▲웹사이트 방문 기록 ▲앱 실행 기록 ▲검색 기록 등 이용자의 성향을 나타내는 행태정보를 분석한 후 소비자가 관심을 가질 만한 상품을 제시하는 광고를 말한다. 소비자가 필요로 하는 상품을 먼저 노출함으로써 손쉽게 상품과 서비스에 접근하도록 유도하는 방식이다. 이는 소비자가 직접 검색하지 않아도 원하는 상품이 광고로 제시된다는 점에서 광고의 유용성과 편의성을 극대화할 수 있다. 하지만 일각에선 광고 제공을 위해 정보를 수집하는 과정에서 사생활 침해가 발생할 수 있다는 우려도 제기된다.
최근 대부분 기업이 온라인 맞춤형 광고를 주된 마케팅 채널로 활용한다. 문제는 그 과정에서 기업이 수집하는 정보의 범위가 과도하다는 점이다. 일례로 메타는 개인정보 처리 방침을 개정하며 ▲연결 관계 정보(친구, 팔로워 등) ▲앱 ▲기기 정보(IP주소, GPS 등)를 정보수집 대상에 포함했다. 이에 따라 페이스북은 이용자가 다른 앱이나 웹브라우저를 사용한 기록을 수집한다. 메타가 이용자의 스마트폰 사용기록을 감시한다는 뜻이다.
▲ 플랫폼 간 공유된 본 기자의 활동 데이터
본 기자는 최근 나이키 신발을 사고 싶어 포털 사이트와 쇼핑 앱을 이용해 해당 신발의 구입 정보를 알아봤다. 이후 평소처럼 페이스북 피드를 내리던 중 검색했던 신발 모델의 구입처가 광고로 제시되는 모습을 확인할 수 있었다. 곧바로 페이스북 설정 내 ‘외부활동기록’을 살펴보니 본 기자가 사용한 앱과 포털 사이트 및 검색 내역이 모두 기록돼있었다. 이처럼 메타는 외부로부터 이용자의 스마트폰 활동 기록을 수집‧활용하고 있지만 이에 대한 별도의 동의 절차가 없어 이용자 대부분이 메타의 데이터 수집 및 공유를 인식하지 못하는 실정이다.
인스타그램과 페이스북 계정을 생성하기 위해선 메타의 세 가지 이용 약관에 필수로 동의해야 한다. 이용 약관에는 “회원님과 관련성이 높은 광고를 보여드리기 위해 회원님의 개인정보를 활용”한다는 내용이 포함돼 있으며 이에 동의한 이용자는 계정 생성과 동시에 정보 수집에 동의했다고 간주된다. 추가 설정을 통해 맞춤형 광고 표시를 거절할 수는 있지만 메타의 정보 수집 자체를 거부할 수는 없다.
메타뿐만 아니라 ▲세금 계산 앱 ▲카메라 보정 앱 ▲이미지 보정 앱 등 정보가 과잉 수집되는 온라인 플랫폼은 허다하다. 특히 비디오 제작 및 공유 플랫폼인 ‘틱톡’은 이용자의 신상뿐 아니라 목소리와 얼굴 정보를 수집하는 내용의 개인정보 개정약관을 고시해 논란을 샀다. “본 플랫폼을 제공함에 있어 도움을 주는 제3자에 귀하의 정보를 공유한다”는 모호한 이용 약관을 통해 플랫폼이 이용자의 정보를 수집 및 공유할 수 있도록 유도한 것이다.
개인정보 과잉 수집을 막기 위한 세계의 노력
맞춤형 광고를 명분으로 한 개인정보 과잉 수집이 논란이 되자 이를 규제하기 위한 세계 각국의 노력이 계속되고 있다. 특히 개인정보보호 관련 법 제도가 잘 정비돼있는 유럽연합의 일반 개인정보 보호법(GDPR)은 잊힐 권리를 명시하여 사용자 요청 시 개인정보를 삭제하도록 규정했다. 또한 유럽개인정보보호이사회는 2021년 ‘소셜미디어 이용자 타겟팅 가이드라인’을 발표해 맞춤형 광고에 대해 선택권을 주고 개인정보 사용의 투명성과 접근권을 명확히 한 바 있다.
일본은 개인정보 보호법에 개인의 권리가 침해되는 상황과 개인 관련 정보에 대한 사항 등을 구체화하여 자국 내 개인정보 과잉 수집 피해에 대한 법망을 촘촘히 개정했다. 한국 역시 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’을 제시하며 이용자의 개인정보 통제권을 보장하기 위해 노력하고 있지만 진행이 더디다는 지적이 계속되고 있어 법적 보완이 요구되는 상황이다.
구멍 난 법안 사이로 새어나가는 개인정보
현행 개인정보 보호법은 최소 수집을 원칙으로 삼는다. 개인정보처리자는 정보 주체의 동의를 받았거나 법률에 따라 상호 합의한 계약을 이행하는 등 필요한 경우에 한해 최소한의 개인정보를 수집해야 한다. 그러나 기업이 맞춤형 광고를 위해 ▲웹사이트 방문 이력 ▲앱 사용 이력 ▲구매 및 검색 이력 등의 행태정보를 수집하는 것은 현행법상 위법하지 않아 문제가 된다. 행태정보는 이용자의 관심과 기호를 파악할 수 있는 온라인상의 활동 정보로, 이용자의 성향을 나타낼 뿐 개개인의 신원 식별이 가능한 개인정보가 아니기 때문에 개인정보 보호법에 저촉되지 않는다는 이유에서다.
맞춤형 광고로 인한 사생활 침해 우려가 증가하자 지난 2017년 방송통신위원회는 맞춤형 광고를 위한 데이터 수집 시 이용자의 개인정보 통제권을 보장하기 위해 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’을 제시했다. ▲행태정보 수집 및 이용의 투명성 ▲이용자 통제권 보장 ▲행태정보 안전성 확보 등의 내용을 담고 있지만 가이드라인에 불과해 법적 구속력이 없다는 한계를 지닌다. 이를 보완하기 위해 지난 3월 국회는 개인정보 개념에 온라인 행태정보를 포함하는 내용을 담은 개인정보 보호법 일부 개정안을 발의했다. 하지만 해당 개정안은 현재까지 구체적인 논의 없이 계류 중인 상태다.
한편 해외 기업의 개인정보 보호책임을 담당하는 대리인 제도 또한 제 역할을 다하지 못하고 있다. 정보통신망법에 따르면 해외 정보통신서비스 제공자는 개인정보 유출 시 국내 대리인을 통해 사실을 통보하고 자료를 제출할 의무가 있다. 하지만 대다수 해외 기업 대리인이 사실상 유명무실한 페이퍼 컴퍼니로 관측돼 논란이다. 실제로 김영식 국민의힘 의원실 조사 결과 9개 외국계 기업 대리인의 주소지는 모두 동일했으며 개인정보 업무를 제3자 기업으로 넘기거나 하나의 기업이 여러 업체의 대리인을 겸하는 현상도 확인됐다. 이러한 페이퍼컴퍼니가 개인정보 보호책임이라는 본연의 역할은 다하고 있을지 의문이 제기된다.
한국의 개인정보보호, 법적 공백 보완이 우선
IT 기술과 온라인 플랫폼이 발전함에 따라 편의를 얻는 만큼 그 과정에서 사생활 침해가 발생하지 않도록 주의해야 한다. 무엇보다 정부와 국회의 법적 보완이 절실하다. 장여경 정보인권연구소 상임이사는 지난 7월 국회 토론회에서 “맞춤형 광고에 대해 소비자의 선택권을 부여하는 방향의 입법이 요구된다”며 개정안에 대한 의견을 드러냈다. 정보 수집이라는 기업의 목적을 완전히 저해할 수 없으니 이용자에게 정보 제공 선택권을 부여하는 입법이 필요해 보인다. 모두가 사생활 침해의 우려 없이 정보 주권을 보장받을 수 있도록 관련 부처의 적극적인 조치가 요구된다.
정윤희·김은서·이상훈 기자
ddulee3880@korea.ac.kr
