프랑스 데이터 보호 감시기관 CNIL이 구글에 일반개인정보보호법(GDPR) 위반 혐의로 5천만 유로(약 642억원) 벌금을 부과했다고 테크크런치를 비롯한 외신들이 21일(현지시간) 보도했다.
GDPR 위반 혐의로 벌금이 부과된 것은 이번이 처음이다.
구글은 지난 해 5월 GDPR이 공식 발효된 직후 곧바로 제소됐다. 당시 nyob(Non of Your Business)'를 비롯한 비영리기관들이 구글과 페이스북을 GDPR 위반 혐의로 제소했다.
GDPR 위반 혐의로 제소된 사건은 각국 데이터보호기관으로 이관된다. 이에 따라 구글과 함께 제소된 페이스북에 대해서도 어떤 결정이 내려질지에 관심이 쏠리고 있다.
■ "개인정보 활용 설명, 고의로 모호하게 만들었다"
CNIL은 구글의 개인정보 처리 과정 중 특히 투명성과 동의절차 등이 GDPR을 위반했다고 지적했다. GDPR은 개인정보 처리 과정에 대해 투명하게 밝힐 것을 요구하고 있다. 또 서비스 가입 등을 조건으로 동의를 강요하는 행위도 금지하고 있다.
일단 CNIL은 구글이 데이터 처리 관련 정보를 여러 곳에 흩어 놓은 점을 문제 삼았다.
즉 ▲데이터 처리 목적 ▲저장기간 ▲개인맞춤형 광고에 사용되는 개인정보 범주 같은 핵심 정보들을 한 곳에서 볼 수 없도록 흩어놨다는 것. 그러다보니 추가 정보를 더 알기 위해선 링크를 누르고 다른 곳으로 가야만 하는 상황이다.
이 때문에 소비자들은 자신들의 정보가 구체적으로 어떻게 활용되는지 제대로 알 수 없도록 돼 있는 부분이 투명성 규정에 위배된다는 게 CNIL의 판단이다.
구체적인 사례도 들었다. 이를테면 사용자가 맞춤형 광고에 개인정보가 어떻게 사용되는지 알아보려면 5, 6번 정도 링크를 누르고 들어가야만 한다. CNIL은 또 구글이 의도적으로 광범위고 모호한 표현을 사용해 개인 정보 이용 현황을 제대로 알기 힘들도록 했다고 지적했다.이와 함께 CNIL은 구글이 약관 동의를 강요한 부분도 GDPR 위반이라고 지적했다. 구글 계정이 없을 경우 이용자 경험이 악화될 수 있다는 등의 문구를 통해 동의를 강요하고 있다는 것이다.
또 어떤 설정을 선택할 지 여부에 대해 질문할 때 구체적으로 어떤 의미가 있는지에 대해 이용자들에게 제대로 알려주지 않는 부분도 문제 삼았다.
구체적인 사례도 들었다. 구글은 안드로이드 폰 이용자들에게 개인맞춤형 광고를 보는 것을 동의하느냐고 질문한다. 이 때 동의를 할 경우 안드로이드폰 뿐 아니라 유튜브, 구글맵, 구글 포토 등 다른 서비스에서도 자동 적용된다.
그럼에도 불구하고 구글은 이용자의 동의가 해당 기기 뿐 아니라 다른 서비스에까지 적용된다는 사실을 제대로 알려주지 않고 있다.
CNIL은 또 구글 계정을 만들 때 포괄적으로 동의를 구하는 관행도 GDPR 위반이라고 판단했다. 구글은 계정을 만드는 이용자들에게 "위에 묘사된 방식과 (구글) 프라이버시 보호 정책에 규정된 정보처리 방식에 동의한다"는 항목을 체크하도록 하고 있다.
GDPR은 서비스 가입을 전제로 동의를 강요하거나, 포괄적으로 동의를 요구하는 등의 행위를 금지하고 있다.
CNIL은 "구글은 계정 만드는 행위와 기기 동의를 설정하는 행위를 분리해야 한다"고 지적했다. 특히 CNIL은 구글이 지난해 9월 조사 이후 달라진 게 없다고 꼬집었다.
■ 막스 슈렘스 "GDPR 위반 첫 처벌 큰 의미"
이번 소송을 주도한 것은 nyob를 이끄는 막스 슈렘스다. 슈렘스는 오스트리아 법과대학 재학 당시 페이스북을 상대로 한 사생활 침해 소송에서 승리하면서 유명해진 인물이다.
슈렘스는 대학 졸업 이후 nyob를 결성한 뒤 개인정보 보호 운동을 주도하고 있다.
막스 슈렘스 의장은 "유럽 데이터 보호 당국이 처음으로 GDPR을 이용해 명백한 위법행위를 처벌하게 돼 기쁘다"며 "GDPR 도입 이후, 우리는 구글 같은 대기업이 단순히 법칙을 다르게 해석하고, 종종 그들의 제품을 표면적으로 바꾼다는 것을 발견했다"고 말했다.이어 "당국이 단순히 불평을 주장하는 것으로는 충분하지 않다는 것을 분명히 하는 것이 중요하다"며 "기본권을 보호하기 위한 우리의 노력이 결실을 맺는 것에 기쁘다"고 덧붙였다.
그 동안 프랑스에선 개인정보 보호 규정을 위반할 경우 최대 15만 유로(1억 9천만원)까지 벌금을 부과할 수 있었다. 이 규정은 GDPR 발효 2년 전에 300만 유로(38억원)로 상향 조정됐다.
하지만 지난 해 GDPR이 공식 발효되면서 벌금 액수가 대폭 늘어났다. GDPR을 위반할 경우 최대 2천만 유로(256억원) 혹은 전 세계 연간 매출의 4% 중 더 많은 금액까지 벌금을 부과할 수 있다.
관련기사
- 애플 CEO "미국도 GDPR같은 프라이버시법 필요"2019.01.22
- 구글, EU GDPR 위반 혐의로 제소돼2019.01.22
- EU "일본을 GDPR '적정성 결정' 대상국으로"2019.01.22
- EU-일본, GDPR 적정성 평가 마무리 합의2019.01.22
구글 모기업인 알파벳은 2017년 매출 1천108억 달러(125조원)를 기록했다. 이에 따라 GDPR 위반 사건일 경우 최대 40억 유로(5조원)까지 벌금을 부과받을 수 있다.
구글 측은 "우리는 GDPR의 이러한 기대와 동의 요건을 충족시키기 위해 노력하고 있으며, 다음 단계를 결정하기 위한 검토를 하고 있다"고 말했다.
