구글이 유럽연합(EU) 일반개인정보보호법(GDPR) 위반 혐의로 제소됐다.
미국 지디넷은 지난 12일 브레이브브라우저(Brave Browser) 개발업체가 영국(UK)과 아일랜드 사법기관에 구글과 또 다른 광고기술업체를 EU GDPR의 프라이버시 보호조항 위반 사유로 소송을 제기했다고 보도했다.
브레이브브라우저 측의 최고정책책임자(CPO) 조니 라이언 박사는 구글 및 타 광고업체가 '입찰요청(bid request)'이라 불리는 절차를 거칠 때 이용자 데이터를 노출시킨다고 주장했다. 입찰요청은 이용자가 '행동기반 맞춤형 광고(behavioral ads)' 유형을 집행하는 웹사이트에 방문했을 때 발생한다.
이 광고 표시영역의 코드는 대규모로 이용자데이터를 수집한 뒤 광고플랫폼 업체에 되뿌리는데, 그 과정에서 사이트 방문자의 데이터가 특정 이용자를 겨냥해 광고를 보여주려는 잠재적 광고구매처에 노출된다는 설명이다. 실시간입찰(RTB) 프로세스다.
라이언 박사는 "온라인 산업에서 입찰요청이라 알려진 (데이터) 브로드캐스트 때문에 데이터 유출(breach)이 발생하고, 이는 권한 없는 접근으로부터 민감한 데이터를 보호하는 데 실패하는 것"이라며 "GDPR상 불법이다"라고 지적했다.
입찰요청을 통해 노출되는 데이터는 이용자가 읽거나 보고 있는 콘텐츠, 위치 정보, IP주소, 기기 세부 정보, 여러 유형의 추적ID 등이다. 라이언 박사는 이런 데이터가 이용자의 성적 관심사, 윤리관, 정치적 견해, 기타 개인에 관한 상세 내용을 간접적으로 알 수 있는 정보를 포함한다고 주장했다. 더불어 이용자는 그 데이터를 볼 수 있는 광고 입찰자를 누구로 할지를, 심지어 익명 입찰자라 해도, 온전히 통제할 수 없다고 강조했다. 이런 입찰요청을 통한 데이터 노출은 GDPR 5조 1항 F호(Article 5, paragraph 1, point f.)에 위배된다는 지적이다.
라이언 박사는 "행동기반 맞춤형 광고 산업계의 중심에 대규모의 체계화된 데이터 유출이 발생하고 있다"며 "2년에 걸쳐 GDPR 계도기간이 주어졌지만 애드테크 업체들은 법률을 준수하는 데 실패했다"고 말했다. 또 "우리의 제소는 GDPR 62조를 준용해 EU 전반의 애드테크 산업내 활동을 조사하는 계기가 돼야 한다"며 "이 업계는 이걸 해결할 수 있고 광고는 민감한 개인정보를 브로드캐스팅하지 않더라도 유용하며 적절해질 수 있다"고 덧붙였다.
관련기사
- EU "일본을 GDPR '적정성 결정' 대상국으로"2018.09.14
- 애플, 앱 개발자에 프라이버시 정책 추가 요구2018.09.14
- EU-일본, GDPR 적정성 평가 마무리 합의2018.09.14
- "GDPR은 기술 아닌 법…각국 문화·정서 반영해야"2018.09.14
구글 측은 현재 적용된 GDPR 준수 도구로 이용자들에게 그 데이터와 광고 설정을 통제할 수 있게 했다는 입장이다. 구글 대변인은 "우리는 모든 우리 제품에 개발 최초 단계부터 프라이버시 및 보안을 적용하고 있으며 EU GDPR 규정을 준수하는 데 매진하고 있다"면서 "우리는 개인화된 광고를 비롯해 EU에서 우리가 제공하는 모든 서비스에 걸쳐 이용자에게 유의미한 데이터 투명성과 통제권을 제공하고 있다"고 답했다.
브레이브브라우저의 제소는 오픈라이츠그룹(Open Rights Group)과 영국 유니버시티칼리지런던(UCL)의 공학 및 물리과학 연구위원회(EPSRC) 소속 연구원 마이클 빌(Michael Veale)의 지원으로 진행되고 있다. 소장은 각국 개인정보보호 독립감독기구 '영국정보커미셔너(UK Information Commissioner)'와 '아일랜드데이터보호커미셔너(Irish Data Protection Commissioner)'에 각각 제출됐다. 구글과 함께 제소된 다른 광고기술업체가 유죄 판결을 받을 경우 이들은 2천만유로 또는 세계 연간매출의 4% 과징금을 부과받게 된다.
