[공동성명] 표적광고로부터 개인정보를 보호하라!

이용자에 대한 상업적 감시에 반대한다

지난 9월 14일, 개인정보보호위원회(이하 개인정보위)는 구글과 메타가 맞춤형 광고 목적으로 동의 없이 타사 행태정보를 수집, 이용한 행위에 대해 시정명령과 함께 약 1,000억원의 과징금을 부과하였다. 이는 당연한 결정이지만, 구글과 메타가 이용자에게 알기 쉽게 알리고 동의받지 않은 것에 초점을 맞추었을 뿐, 쿠키 등 추적 장치를 통한 동의없는 개인정보 수집과 실시간 경매 과정에서 이루어지는 무분별한 개인정보 공유 등 표적 광고(맞춤형 광고, 타겟 광고, 감시 광고) 과정의 개인정보 침해에 대해서는 제대로 다루지 않고 추후 과제로 미루었다. 그러나 이미 우리의 일상 곳곳으로 파고 든 표적 광고는 개인정보침해의 문제뿐 아니라 정보흐름조작, 광고시장 독과점, 정치편향성 강화, 미디어 다양성 위기 등 다양한 해악을 야기하고 있다. 이에 표적 광고에 대한 적절한 규제가 시급하다.

지난 2022년 5월 16일 아일랜드 시민자유위원회(Irish Council for Civil Liberties)가 발표한 보고서에 따르면, 매일 미국에서 2,940억회, 유럽에서 1,970억회의 실시간 경매를 통해 이용자가 방문한 사이트와 위치가 추적, 공유되고 있다. 평균적으로 실시간 경매를 통해 한 개인의 행태정보가 노출되는 횟수는 미국이 747회, 유럽이 376회라고 한다. 아일랜드 시민자유위원회는 이를 “최대의 개인정보 침해 사건”이라고 부른다. 정도의 차이가 있을 뿐, 한국 이용자의 개인정보 역시 지금 이 순간에도 빅테크를 비롯한 광고업체에 의해 무단 수집되고 공유되고 있다. 

구글과 메타에 대한 결정 이후, 개인정보위는 이용자의 사생활을 보호할 수 있는 맞춤형 광고 제도개선 방향을 도출하기 위하여 <맞춤형 광고 제도개선 공동 작업반>을 구성하였다. 2017년 방송통신위원회가 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’을 발표하였지만 그동안 표적 광고 과정에서의 개인정보 침해를 사실상 방치해온 상황에서, 지금이라도 제도개선을 모색하는 것은 환영할만한 일이다. 그런데 개인정보위는 정보주체, 소비자의 관점이 반영되어야 할 제도개선 논의에 사실상 시민사회를 배제하고 있다. 작업반은 산업계가 주축이 되어 구성되었고 그나마 학계와 법조계 전문가만 참여하고 있을 뿐이다. 작업반장 3인도 학계, 산업계, 정부로 구성되었다. 개인정보위는 현재 참여하고 있는 전문가를 통해 시민사회의 입장이 반영될 수 있다고 하지만, 현재의 구성이 시민사회의 ‘균형있는’ 참여를 배제하고 있는 것은 명백한 사실이다. 이런 상황에서 작업반에서 나온 결과물이 시민사회의 신뢰를 받을 수 있을지 의문이다. 지금이라도 시민사회 전문가가 작업반에 참여할 수 있도록 보장할 것을 개인정보위에 강력하게 요구한다.

또한, 바람직한 표적 광고 제도의 개선 방향에 대해 다음과 같이 시민사회의 입장을 밝힌다.

첫째, 표적 광고에서 이용자 식별에 사용되는 다양한 형태의 이용자 아이디, 기기 식별자, 스마트폰 광고식별자, IP 주소 등은 모두 개인정보라는 점을 인정해야 한다. 한 이용자를 다른 이용자와 구별하고 특정 이용자의 사이트 방문기록, 위치, 구매내역, 관심사 등에 기반하여 이용자마다 서로 다른 광고를 내보내는데 어떻게 개인정보가 아닐 수 있겠는가. 구글, 메타, 네이버, 카카오 등 특정 서비스의 이용자 계정과 연결되지 않더라도 개인정보로 인정되어야 한다.

둘째, 이용자가 방문한 사이트나 서비스의 이용에 필수적인 경우가 아니라면, 쿠키를 통한 이용자 개인정보 수집에 대해 정보주체의 동의를 받아야 한다. 이미 유럽에서는 쿠키에 대한 동의를 받고 있는데, 이는 ePrivacy 지침에 따른 것이기도 하지만 유럽 개인정보보호법(GDPR)에 따른 것이다. 우리나라는 ePrivacy 지침은 없지만  개인정보보호법이 있으므로 개인정보의 수집에 다른 적법한 근거가 없다면 당연히 이용자의 동의를 받아야 한다.

셋째, 사이트 운영자는 자신의 사이트에서 운영하는 자사 및 제3자 쿠키의 운영 목적, 운영 주체, 수집되는 개인정보의 종류, 쿠키 지속기간, 사이트 운영에 필수적인지 여부 등에 대한 정보를 투명하게 이용자에게 제공하고 언제든 이용자가 동의를 하거나 철회할 수 있는 통제권을 부여해야 한다.

넷째, 쿠키를 통해 개인정보를 수집한 개인정보처리자는 정보주체의 동의없이 광고주 및 광고업체에 이를 제공하여서는 안된다. 특히 실시간 경매의 경우 낙찰받지않은 수많은 광고업체에도 무분별하게 개인정보가 제공되고 있다. 이는 명백히 불법이므로 중단해야 할 것이다.

다섯째, 이용자가 표적 광고를 볼 것인지 여부를 선택할 수 있어야 한다. 이는 옵트아웃이 아니라 옵트인이 되어야 한다. 표적 광고 목적으로 수집하는 개인정보가 ‘필수정보’로 규정되어서는 안된다. 표적 광고를 위해 필요한 방대하고 세밀한 개인정보를 모두 ‘필수정보’로 규정한다면 최소수집의 원칙 등 개인정보보호의 기본적인 원칙이 무의미해질 것이기 때문이다. 표적 광고를 보겠다고 적극적으로 선택한 이용자에게만 표적 광고가 보여져야 한다. 산업계는 표적 광고가 소비자에게 유용하다고 주장하는데 만일 그렇게 유용하다면 소비자가 적극적으로 선택할 것이니 옵트인으로 해도 무방할 것이다.

여섯째, 아동에 대한 특별한 보호를 위해 아동 개인정보의 프로파일링에 기반한 아동에 대한 표적 광고는 금지되어야 한다. 또한 민감정보의 프로파일링에 기반한 표적 광고 역시 금지되어야 한다. 표적 광고 제도개선 논의 과정에서 이러한 이슈들이 논의될 것으로 보이는 바, 광고의 주요한 대상인 이용자들을 대변할 수 있는 시민사회 전문가가 작업반에 참여할 것을 보장할 것을 다시한번 촉구한다.

2022년 11월 14일

경실련, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시민중계실, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹

공동성명 [원문보기/다운로드]