2020-01-07 17:05  |  MCN·뉴미디어

[글로벌 이슈] EU "페이스북· 구글, 데이터 독점 규제"

[콘텐츠경제 김수인 기자] 기업이 보유한 이용자 데이터는 기업 경쟁력의 척도나 다름없는 시대가 됐다.

이용자 데이터를 많이 보유한 기업일수록 데이터를 토대로 개인별 맞춤 서비스를 제공할 수 있다. 이용자의 편의와 서비스 접근성이 향상되기 때문이다.
center
기업이 보유한 이용자 데이터가 기업의 경쟁력이 되는 시대가 됐다. 사진=pixabay
이용자 데이터가 기업의 주요 자산으로 인식됨에 따라 데이터 수집과 관리의 중요성도 높아지고 있다. 이용자 본인의 동의를 받지 않은 데이터 수집과 관리 미비로 인한 데이터 유출은 이용자에게 직접적으로 피해를 주며, 기업은 신뢰도 하락으로 이어진다.

페이스북은 2016년 미국 대선을 앞두고 8,700만 명에 달하는 이용자 데이터를 비밀리에 수집하여 특정 후보에게 제공했다. 2018년 3월에 해당 사건이 보도된 이후, 페이스북은 선거 개입 의혹이 불거지며 미국 상·하원 청문회에서 질타를 받았다.

구글 또한 이용자 데이터 유출로 몸살을 앓았다. 2018년 10월 구글 플러스는 자사 이용자 50만 명의 성명, 메일 주소, 직업, 성별, 나이 등 데이터가 외부 개발자들에게 노출됐다. 구글은 유출 사건 발생 이후 즉각 이용자에게 알리지 않았다는 점에서 비판의 목소리가 높았다.

글로벌 플랫폼의 기업의 이용자 데이터 유출이 지속해서 발생하자 개인 정보 보호를 위해 규제를 강화해야 한다는 목소리가 높아지고 있다.

각국과 주요 국제기구는 글로벌 플랫폼의 이용자 데이터 수집·관리 절차를 통제해 데이터 보호 방안을 마련하고 하고 있다. 특히 EU는 일반 개인정보보호법(GDPR)을 토대로 기업의 이용자 데이터 유출에 대해 과징금을 부과하고 있다.

EU는 2018년 5월 25일부터 이용자 데이터 보호 법령인 일반 개인정보보호법(General Data Protection Regulation, 이하 GDPR)을 모든 회원국에 일괄 시행하고 있다. EU는 회원국 내에 데이터 규제 환경을 조성하고 기업의 정보 처리 의무를 강화하고자 해당 법령을 제정했다.

center
기업들의 이용자 데이터 수집과 유출 문제가 불거지자 EU는 이용자 데이터 보호 법령인 게인정보보호법을 시행하고 있다. 사진=pixabay
EU 회원국에서 직접 사업을 운영하는 기업, 인터넷을 통해 EU 회원국과 사업 교류를 하는 기업, EU 회원국의 활동을 모니터링 하는 기업 등 세가지 유형의 기업이 GDPR에 적용을 받는다. 이 중에서 GDPR 법령을 위반한 기업에는 막대한 과징금을 부과한다.

GDPR 도입 이전인 1995년부터 EU는 자체 이용자 데이터 보호 지침인 ‘Directive 95/46/EC’를 회원국에 적용했다. 하지만 최근 이용자 데이터 유출 사례가 급격히 증가하자 더욱 강화된 이용자 데이터 보호 방침을 제시할 필요성을 인식한 것이다.

이러한 배경에서 제정된 GDPR은 크게 세 가지 측면에서 더욱 강화된 방침을 제시하고 있다.

첫째, 과징금 부과 규정을 통일했다. 기존의 Directive 95/46/EC는 회원국이 개별적으로 과징금을 부과했지만, GDPR은 과징금 부과 기준을 EU 전체 국가에 일괄 적용했다. 앞으로 규정을 위반한 기업은 72시간 내에 규제 당국에 밝히지 않으면, 최대 2%의 매출에 달하는 과징금을 내야 한다.

둘째, 법령이 적용되는 범위가 확대됐다. Directive 95/46/EC는 EU 내에 사업장이 위치한 기업에만 법령을 적용했다면, GDPR은 인터넷을 통해 EU 회원국과 사업 교류를 하는 기업과, EU 회원국의 행동을 모니터링하는 기업으로까지 적용 범위를 확대했다.

셋째, 기업의 정보 처리 의무가 확대됐다. Directive 95/46/EC에 의하면, 기업은 정보 주체에 처리목적을 통지하고 이용자 데이터를 최소 처리하는 등 몇 가지 의무를 수행하면 됐다. 하지만 GDPR에 의하면, 기업들은 이용자 데이터 보호 책임자를 지정하고, 이용자 데이터 처리에 따른 영향을 평가하는 등 의무가 확대됐다.

EU 국가별 GDPR 법령 위반은 메일 발송 오류 등 위반 내용의 심각성이 낮은 경우도 있었지만, 대규모 데이터 유출 사건 등 이용자가 극심한 피해를 본 사건도 있었다.

글로벌 플랫폼도 GDPR의 법망을 피해갈 수는 없다. 지난해 1월 프랑스의 데이터보호 위원회는 구글이 두 가지 측면에서 GDPR을 위반했다는 이유로 5,000만 유로의 과징금을 부과했다. GDPR 시행 8개월간 부과된 과징금 중 최대 규모였다.

center
구글과 페이스북은 이용자 데이터 수집과 유출 문제로 GDPR을 위반해 프랑스와 아일랜드에서 조사를 받았다. 사진=pixabay
구글이 위반한 첫 번째 항목은 개인 맞춤형 광고에 대한 정보 제공이다. 구글은 개인 맞춤형 광고 제공 목적으로 이용자에게 데이터 수집에 대한 동의를 구하고 있다. 하지만 프랑스의 데이터보호 위원회는 구글이 동의 절차 수집 과정에서 제공하는 정보가 불충분해 이용자들이 본인의 데이터가 광고 서비스에 어떻게 적용되는지 알기 힘들다는 이유를 들어 제재를 가했다.

페이스북도 이용자 데이터 유출과 관련하여 GDPR 법령을 어겼다는 이유로 아일랜드의 데이터 보호위원회의 조사를 받고 있다. 2018년 9월, 페이스북은 자사 네트워크가 해킹을 당해 이용자 5,000만 명(추정치)의 데이터가 유출될 위험에 놓였다고 발표했다.

데이터가 유출된 실제 이용자 수는 2,900만명으로 알려져 당초 추정치보다 낮았지만 300만 명에 달하는 유럽 이용자의 데이터가 외부로 유출됐다. 이용자의 성명, 생년월일, 직장, 주소, 연락처 등 개인정보가 노출된 것이다.
아일랜드의 데이터 보호위원회는 해킹 공격에 대한 구체 정보와 이용자의 피해 실태 자료를 페이스북에 요청했다. 데이터 보호위원회는 지난해 10월까지 페이스북의 GDPR 법령 위반 혐의에 대한 조사를 마쳤다. 데이터 보호위원회는 페이스북의 위반 혐의가 확실해질 경우, 글로벌 매출의 4%에 달하는 최대 16억 3,000만 달러의 과징금을 부과할 수도 있다.

EU 각국의 규제기관은 GDPR에 입각하여 국제 IT 기업을 상대로 이용자 데이터 법령 위반 여부를 판별하고 있다. 이용자 데이터 보호와 관련하여 글로벌 플랫폼 기업의 경각심이 높아질 것으로 전망된다.

김수인 기자 ksi@conbiz.kr

<저작권자 © 콘텐츠경제, 무단 전재 및 재배포 금지>

인터넷신문위원회

PLAY NEWS