프랑스가 최초로 구글에 개인정보취급 위반으로 5천만 유로의 벌금을 부과했습니다

프랑스의 정보자유위원회(CNIL)가 2019년 1월 21일 GDPR(Global Data Protection Regulation, 일반 데이터 보호 규정)에 따라 투명성 부족, 부정확한 정보, 그리고 개인화 광고에 대한 유효한 동의 절차 미흡으로 구글에 5천만 유로(약 630억원)의 벌금을 부과하였습니다. 참고로 2017년 구글의 모기업 알파벳(Alphabet)의 매출은 1,109억 달러(124조 4,852억원), 순이익은 127억 달러(14조 2,557억원)로 이번에 부과한 벌금은 매출액의 0.05%, 순이익의 0.44% 수준입니다.   

 

GDPR은 개인정보 처리 미흡 및 사고, 침해의 정도에 따라 최대 2천만 유로 또는 전세계 총 매출 4% 이내 중 높은 금액의 징벌적 성격의 벌금을 부과할 수 있는 조항이 있어, EU, 비EU국가를 막론하고 뜨거운 감자로 떠오른 바 있었습니다. 하지만 이러한 높은 벌금은 위반의 정도와 파급력에 따라 달리 적용되기 때문에 개인사업자나 중소기업은 행정지도나 과태료 수준의 낮은 처벌로 그칠 수 있음이 알려지면서 어느정도 진정되는 모습이 보였습니다.

 

실제로 작년 5월 25일 GDPR이 본격적으로 발효된 이후, GDPR 위반으로 벌금 부과사례가 생겨났는데, 작년 11월 21일 독일의 채팅 앱인 크누델스(Knuddels)의 개인정보유출 사고에 대해 2만 유로(약 2,500만원)를 부과한 사례, 그리고 작년 10월 오스트리아에서 감시카메라를 인근 인도를 촬영하여 행인의 영상을 수집한 소매점에 4,800유로(약 600만원)의 벌금을 부과한 사례 등이 있음이 알려졌습니다. 프랑스는 최근까지 벌금 부과 사례가 없었는데 작년 12월 27일, CNIL이 자국의 통신사인 Bouygues Telecom에 웹사이트의 보안조치 및 민감정보의 암호화 미흡으로 200만명 회원정보가 무방비로 외부로 노출되었다며 25만 유로(약 2억 5천만원)의 벌금을 부과한 이래로 한 달 뒤인 현재 구글의 위법행위에 대한 벌금을 부과하였습니다.

 

하지만 이번 구글의 사례는 글로벌 기업에 대해 최초로 GDPR 위반에 대한 백억원대의 벌금을 부과한 사례가 되면서 많은 주목을 받게 되었습니다. 

 

벌금을 부과하기 앞서 EU 및 프랑스의 프라이버시 보호 협회인 ‘NOYB’, La Quadrature du Net(LQDN)은 구글이 개인화 광고 서비스 과정에서 합법적으로 개인데이터를 처리하지 않았다는 사유로 작년 5월 25일과 28일에 CNIL에 진정서를 제출하였습니다.

이에 CNIL은 작년 6월 조사에 착수하여 먼저 구글이 EU내에서 정식 사업장을 갖고 EU역내에서 개인정보를 처리하고 있는지 파악하였으나, 구글의 유럽지사가 위치한 아일랜드 DPA는 안드로이드와 구글에서 제공하는 서비스 처리에 대한 결정권이 없는 것으로 판단하였습니다.  

또한 작년 9월에는 구글이 개인정보 처리 시 프랑스 데이터 보호법 및 GDPR의 요건을 준수하는 지 파악하였습니다.

 

조사 결과 CNIL은 구글이 GDPR의 두 가지 규칙을 위반했다고 판단하였습니다.

 

1. 투명성(Transparency)의 원칙 위반

투명성의 원칙이란 개인정보처리자는 개인정보 처리사항에 대한 고지 및 연락을 용이하게 하고 명확하고 평이한 언어로 이해하기 쉽게 제공해야 한다는 의미입니다. 하지만 구글에서 제공하는 개인정보 처리관련 정보는 사용자가 쉽게 접근할 수 없다고 판단하였습니다. 데이터 처리 목적, 데이터 저장 기간, 개인화 광고에 사용되는 개인정보의 범주 등 필수 제공정보를 확인하는 데 과도하게 복잡한 절차를 거쳐야 하고, 특히 개인 위치정보 수집에 대한 정보를 받고자 할 경우에 5-6단계나 거쳐야 하는 것으로 확인하였습니다. 또한 제공하는 항목 중 일부는 포괄적이지 않고 불명확하게 작성되어 있으며, 

 

 

2. 개인화 광고 처리 규정 위반

 

구글은 개인 맞춤형 광고 설정을 위해 사용자의 동의를 얻지만, 위원회는 두 가지 이유로 동의가 유효하지 않다고 지적하였습니다.

그 중 하나는 개인화 광고 처리에 관한 정보가 여러 웹사이트에 흩어져서 제공되어 사용자의 개인정보가 어느 사이트에까지 활용되는 지(구글 검색, 유튜브, 구글홈, 구글지도, 플레이스토어, 구글 Photo 등) 인식할 수 없는 점이고, 다른 하나는 개인화된 광고 표시 설정 단추가 ‘추가 옵션’을 클릭해야만 확인할 수 있고, 또한 기본적으로 ‘맞춤 설정 표시’로 설정되어 있는 것입니다.

 

GDPR에서는 사용자의 유효한 동의를 얻기 위해서는 동의여부 체크박스에 체크하는 행위와 같이 사용자의 명확한 의사표현이 수반되어야 합니다. 따라서 기본적으로 동의가 체크되어 있는 것은 사용자의 명확한 행동이 있다고 볼 수 없으므로 이러한 개인정보 처리는 제대로 된 동의절차를 거치지 않았다고 할 수 있습니다.

  

따라서 CNIL은 구글이 개인정보보호를 위한 조치를 하고 있다고 하더라도, 현재 수준으로는 엄청난 양의 데이터를 보유하고 다양한 서비스를 하고 있는 구글의 위치에서는 사용자에게 충분한 수준의 개인정보 보호조치 및 정보제공을 하고 있지 못하다고 판단하였으며, 이것이 일시적으로 발생한 문제가 아닌 과거부터 지금까지 지속되어 온 문제였음을 강조하였습니다.

 

이에 구글은 어제(1월 24일) 대변인을 통해 아래와 같은 보도 자료를 통해 무고함을 호소하였으며, 또한 프랑스 고등행정법원에 항소 결정을 발표하는 등 강하게 반발하는 입장입니다.

 

---

“우리는 투명하고 가능한 한 단순한 맞춤 광고를위한 RGPD(GDPR) 동의 절차를 만들기 위해 열심히 노력해 왔습니다. (중략) 또한 우리는 이 결정이 유럽 및 기타 지역의 출판사, 독창적 인 콘텐츠 제작자 및 기술 회사에 미치는 영향에 대해서도 우려하고 있습니다."

---

미 정부는 아직까지 별 다른 목소리를 내고 있지는 않으나 작년 7월, EU가 구글에 반독점법 위반으로 50억 달러의 벌금을 부과할 당시 트럼트 대통령이 트위터를 통해 ‘유럽연합이 미국을 이용해 왔지만, 오래가지 못할 것이다.’라고 비난한 바 있어, 이번 사태에 대해서도 또 다른 반응을 보일지 궁금해지고,

 

또한 이번 사건이 구글 뿐만 아니라 애플, 페이스북, 아마존 등 미국의 글로벌 IT기업에도 해당될 수 있는 사안이고 이번 법정 공방의 결과가 글로벌 기업에 대한 GDPR위반에 따른 벌금의 부과 수준의 선례가 될 수 있기 때문에, 향후 결과가 주목됩니다.  

 

- 출처 - 

1. https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la

2. EU 개인정보보호법 발효 이후 각국의 대응 동향, 2018.12.26, 소프트웨어정책연구소, https://spri.kr/posts/view/22538?code=industry_trend

3. https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients

4. https://www.lemonde.fr/pixels/article/2019/01/24/donnees-personnelles-google-va-faire-appel-de-l-amende-record-infligee-par-la-cnil_5413581_4408996.html