개인정보위, 종교·성적 지향 정보 수집한 메타에 216억 과징금 철퇴
메타가 개인정보보호위원회로부터 철퇴를 맞았다. 개인정보위원회는 4일 전체회의를 열고 개인정보보호법을 위반한 메타에 대해 216억2320만 원의 과징금·과태료와 시정명령을 부과하기로 의결했다고 5일 밝혔다.
개인정보위는 앞서 따르면 메타가 동의 없이 민감정보를 수집·활용하는 행위와 정당한 사유 없이 개인정보 열람을 거절하였다는 민원, 해킹으로 개인정보가 유출됐다는 신고 등과 관련한 조사를 진행했다.
개인정보위 조사 결과 메타는 과거에 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관·정치관, 동성 결혼 여부 등 민감정보를 수집해 약 4000명의 광고주들에게 제공했다.
이용자가 페이스북에서 ‘좋아요’를 누른 페이지, 클릭한 광고 등 행태 정보를 분석해 민감정보 관련 광고주제(특정 종교, 동성애, 트랜스젠더, 북한이탈주민 등)를 만들어 운영했다.
개인정보보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정하고 원칙적으로 처리를 제한하고 있다. 만약 정보주체에게 별도로 동의를 받은 경우 등 적법 근거가 있는 경우에만 처리할 수 있다.
메타는 민감정보를 수집하고 맞춤 서비스 등에 활용하면서도, 데이터 정책에 불분명하게 기재한 채 별도 동의를 받지 않고 추가적인 보호조치를 취하지도 않은 것으로 나타났다.
이후 메타는 조사 과정에서 지난 2021년 8월 프로필에서 민감정보를 수집하는 행위를 중단하고, 2022년 3월에는 민감정보 관련 광고 주제를 파기하는 등 자진 시정조치를 취했다.
하지만 메타는 이용자의 개인정보 열람 요구(개인정보를 처리한 기간, 페이스북 로그인을 통한 개인정보 제공 현황, 페이스북 외부활동 정보 수집 근거 및 동의 내역 등)에 대해 개인정보보호법상 열람 요구 대상이 아니라는 등의 이유로 거절했다.
개인정보위는 개인정보보호법 시행령에 따라 메타가 해당 열람 요구를 거절한 것은 정당한 사유가 없다고 판단했다. 또 메타는 서비스 중단 또는 관리되지 않는 홈페이지는 삭제하거나 차단해야 하지만 계정 복구 페이지를 제거하지 않았다.
해커는 이 점을 이용해 현재 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청했고, 메타는 위조 신분증에 대한 충분한 검증 없이 이를 승인해 한국 이용자 10명의 개인정보가 유출되기도 했다.
개인정보위는 메타에 대해 민감정보 처리 제한 등과 관련한 보호법 규정 위반으로 과징금 216억1300만원과 과태료 1020만원을 부과했다. 민감정보 처리 시 합법 근거를 마련하고 안전성 확보조치를 취할 것과 이용자의 개인정보 열람 요구에 대해 성실히 응할 것을 시정명령했다.
개인정보위는 “해외사업자에 대해서도 우리 보호법이 정하고 있는 의무를 준수하고 정보주체 권리를 충분히 보장하도록 했다는 데 의의가 있다”며 “앞으로도 국내 이용자를 대상으로 서비스를 제공하는 글로벌 기업에 대한 차별 없는 보호법 적용을 통해 우리 국민의 개인정보보호에 최선을 다할 것”이라고 전했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network