동의 없이 민감정보를 수집·활용해 광고주에게 제공한 메타에 과징금이 부과됐다.
개인정보보호위원회(개인정보위)는 5일 메타에 개인정보보호법 위반으로 216억2320만원의 과징금 및 과태료, 시정명령을 부과하기로 의결했다고 밝혔다.
개인정보위 조사에 따르면 메타는 지난 2018년 7월부터 지난 2022년 3월까지 페이스북 프로필을 통해 국내 이용자 98만명의 종교관·정치관, 동성혼 여부 등 민감정보를 수집해 광고주에게 이를 제공했다. 이용자가 페이스북에서 ‘좋아요’를 누른 페이지, 클릭한 광고 등 행태정보를 분석해 민감정보 관련 광고주제를 만들어 운영한 것이다. 광고주들은 이를 통해 관련 집회 참가 또는 단체 가입을 유도하는 광고를 보냈다.
개인정보보호법에서는 사상과 신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정해 원칙적으로 처리를 제한하고 있다. 예외적으로 정보 주체에게 별도 동의를 받은 경우에만 처리할 수 있도록 규정하고 있다. 그러나 메타는 이를 수집, 맞춤 서비스 등에 활용하면서도 동의를 받지 않았고 추가적인 보호조치를 취하지도 않은 것이다.
개인정보위는 지난 2020년 페이스북(현 메타)이 동의 없이 제3자에게 개인정보를 제공한 것과 관련해 조사를 진행하며 이번 사건에 대해서도 인지했다. 이후 메타에 지속적으로 자료를 요구해왔다. 메타는 조사가 진행 중이던 지난 2021년 8월 민감정보 수집 행위를 중단하고, 2022년 3월 민감정보에 해당하는 광고 주제를 파기하는 등 자진 시정조치를 취했다.
이에 대해 개인정보위는 과징금 216억1300만원을 부과하고, 민감정보 처리 시 합법 근거를 마련하고 안전성 확보 조치를 취할 것 등을 명령했다.
개인정보위는 이외에도 메타가 이용자의 개인정보 열람 요구를 정당한 사유 없이 거절한 점, 서비스 중단 또는 관리되지 않는 홈페이지를 삭제·차단 조치하지 않아 개인정보를 유출한 점 등에 대해 과태료 1020만원을 부과하고 시정명령을 내렸다.
메타는 2022년에도 타 웹사이트와 앱 방문 이력, 이용자 흥미·성향 등의 행태정보를 이용자 동의 없이 수집해 맞춤형 광고에 활용해 과징금 308억600만원을 부과받았다. 당시에는 타사의 행태정보를 수집해 처분을 받았으며, 이번에는 자사의 민감정보를 동의 없이 수집한 내용으로 처분을 받게 됐다. 메타가 민감정보 관련해 제재를 받은 것은 이번이 처음이다.
이은정 개인정보위 조사1과장은 “맞춤형 광고 등과 관련해 문제가 제기됐던 건에 대해서는 조사를 완료했다. 추가 제기된 부분은 없다”면서 “시정 조치를 취하는지 지속적으로 점검할 계획”이라고 밝혔다.
다만 이번 제재 또한 소송전으로 가게 될 가능성이 크다. 메타는 2022년 처분과 관련해 행정소송을 진행하고 있다. 아직 관련 소송이 진행 중인 상황에서 제재 실효성이 있느냐는 질문에 이 조사1과장은 “개인정보를 수집하고 처리하는 과정에서 준수해야 하는 것은 개인정보처리자의 의무다. 위반사항이 있으면 지적하는 것은 당연한 역할”이라며 “소송에 대한 고려보다는 법 준수 여부에 대해 집중해 살폈다”고 답했다.
메타는 개인정보위로부터 2020년 제3자에게 개인정보를 무단 제공해 67억원의 과징금을 부과받았다. 이후 개인정보보호법 위반과 관련 2022년 308억600만원, 지난해 74억원의 과징금을 추가로 부과받았다.