적법한 동의 없이 이용자의 행태정보를 수집해 맞춤형 광고를 한 메타가 추가 과징금 처분을 받았다.
개인정보보호위원회는 지난 26일 전체회의를 열고 메타아일랜드와 인스타그램에 대해 각각 65억1700만원과 8억8600만원의 과징금을 부과했다.
앞서 개인정보위는 지난해 9월 적법한 동의 없이 이용자의 타사 행태정보를 수집해 이용한 메타에 대해 과징금 308억원을 부과하고 시정명령을 내렸는데, 이는 2018년 7월 이후의 서비스에 해당한다. 2018년 7월 이전 국내 서비스에 대한 개인정보처리자는 메타아일랜드와 인스타그램이다. 이에 개인정보위는 메타아일랜드 및 인스타그램에 대해 추가 조사를 진행했다.
메타아일랜드는 페이스북 계정 생성 시 작은 스크롤 화면에서 '데이터정책' 전문을 보여줘 이용자가 타사 행태정보 수집 사실을 명확히 인지하고 동의했다고 볼 수 없었다. 타사 행태정보는 이용자가 다른 웹사이트나 애플리케이션을 방문한 이력, 구매·검색 이력 등 이용자 관심과 흥미, 성향을 파악할 수 있는 온라인상의 활동정보다.
인스타그램도 별도 동의 절차 없이 계정 생성 시 약관 및 개인정보 처리방침에 동의한 것으로 간주했다. 특히 개인정보 처리방침에 타사 행태정보 관련 내용을 포함하지도 않았다.
메타아일랜드와 인스타그램 모회사인 메타는 개발자(사업자)가 자신이 운영하는 웹사이트나 앱에서 간편 로그인 기능을 제공하기 위해 '페이스북 로그인'을 설치하는 경우, 타사 행태정보 수집 도구가 함께 설치되도록 해 행태정보를 수집한 것으로 확인됐다.
이에 따라 개인정보위는 메타가 '페이스북 로그인'을 통해 해당 정보가 전송·수집되는 사실을 사업자와 이용자 모두 알 수 없도록 하는 등 부정한 방법으로 개인정보를 취득한 것으로 보고 고발 여부를 검토했으나, 메타는 3개월 이내에 해당 행위를 자진 시정하겠다고 공식의견을 제출했다. 개인정보위는 메타에 자진 시정 기회를 주고 이행 여부를 확인할 계획이다.
아울러 개인정보위는 최근 개인정보 유출이 발생한 오픈AI에 대해 신고 의무 의반으로 과태료 360만원을 부과하고 개선권고 조치를 내렸다.
지난 3월 20일부터 21일 사이 오픈AI의 챗GPT 플러스에 접속한 전 세계 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에 노출됐다. 이 중 한국 이용자 687명의 개인정보도 함께 유출됐다.
개인정보위는 또 개인정보보호 법규를 위반한 17개 종합병원 중 16개 병원에 대해 6480만원의 과태료를 부과하고 개선을 권고했다. 조사결과 2018년 4월부터 2020년 1월까지 각 병원에서는 민감 정보가 포함된 총 18만5271명의 환자 정보가 유출된 것으로 드러났다.
개인정보처리시스템에 대한 접근 통제, 접속기록 관리 등 안전 조치 의무를 소홀히 한 카페24, 커넥트웨이브, 아임웹, 엔에이치엔커머스 등 쇼핑몰솔루션 제공사업자에 대해선 총 1200만원의 과태료를 부과하고, 시정조치 명령과 개선 권고 등을 하기로 했다.
조재학 기자 2jh@etnews.com
