50.

맞춤형 광고에 대한 각국의 규제상황과 판례

• 새 탭 열기
• 작성 이력 보기

■ 미국

o 미국의 CPRA(California Privacy Rights Act) (2023. 1. 1. 시행)

- 맞춤형 광고 규제를 위한 입법

- 크로스 컨텍스트 행동 광고(cross-context behavioral advertising) : 소비자가 의도적으로 상호 작용하는 특정 브랜드의 웹사이트, 애플리케이션 또는 서비스를 갖춘 하나의 기업이 아니라 특정 브랜드의 웹사이트, 애플리케이션 또는 서비스를 갖춘 다수의 기업이 소비자의 행동으로부터 획득한 소비자의 개인 정보를 바탕으로 소비자에게 맞춤화한 광고 (cf. 비맞춤형 광고 : 소비자와 기업 간의 현재의 상호작용에서 도출한 소비자 개인 정보(소비자의 정밀한 지리적 위치는 제외)만을 기초로 해서 만든 광고 및 마케팅)

- 행태정보(인터넷 또는 기타 전자 네트워크 활동 정보. 이는 탐색 기록, 검색 기록, 인터넷 웹사이트·애플리케이션 또는 광고에 대한 소비자의 상호 작용 정보를 포함하나 이에 국한하지 아니한다)를 개인정보로 분류함.

- 추론정보(소비자의 선호, 특성, 심리적 경향, 성향, 행동, 태도, 지식, 능력 및 적성을 고려하여 소비자 관련 프로필을 생성하고자 이 항에서 식별하는 정보에서 도출한 추론) 역시 개인정보로 분류함

- 확률적 식별자 : 개인 정보 정의에서 나열하는 범주에 속하거나 이와 유사한 개인 정보 범주를 사용하는 대신 확률에 기반하여 소비자 또는 소비자의 기기를 식별하는 요소

- 고유 (개인) 식별자 : 어떠한 소비자나 가족 또는 어떠한 소비자나 가족에 연결되는 기기를 오랜 기간 동안 다양한 서비스에 걸쳐 인지하는 데 사용할 수 있는 특별 식별자를 말하며, 이는 기기 식별자, 인터넷 프로토콜 주소, 쿠키, 비콘, 픽셀 태그, 모바일 광고 식별자 또는 이와 유사한 기술, 고객 번호, 고유 익명 정보, 사용자 가명, 전화 번호, 특정 소비자 또는 특정 소비자나 가족에 연결되는 기기를 식별하는 데 사용할 수 있는 기타 형태의 영구 식별자나 확률적 식별자를 포함하나 이에 국한하지 아니한다. ⇒ 고유 식별자는 개인정보에 해당함

- 공유 : 금전적 대가나 기타 유가 약인의 대가인지에 상관없이 기업이 교차 컨텍스 기반 행동 맞춤형 광고를 위해 구두나 서면 방식으로나 전자 또는 다른 수단을 이용하여 소비자의 개인 정보를 제3자에게 판매, 임대, 노출, 공시, 배포, 공개 및 전송하거나 달리 전달하는 것 (이는 기업이 자신의 이익을 위한 교차 컨텍스 기반 행동 맞춤형 광고와 관련하여 제3자와 체결하였으며 별도의 금전 교환이 이루어지지 않는 거래를 포함한다)

- 공유 거부권 : 소비자의 행태정보를 활용한 광고 목적으로 사업자가 개인정보를 제3자에게 전송하거나 제공하는 경우, 소비자는 이를 거부할 수 있음 (소비자가 기업이 제3자에게 개인정보를 판매하는 것을 쉽게 거부할 수 있도록 CCPA는 기업이 웹사이트에 "Do Not Sell My Personal Information(내 개인 정보를 판매하지 마십시오)"이라는 명확하고 눈에 띄는 링크를 게시하도록 요구하는데, CPRA는 이 권리를 확대하여, 기업은 "Do Not S ell/Do Not Share/Do Not Share My P ersonal Information for Cross‐Context Behavioral Advertising"라는 웹사이트의 명확하고 눈에 띄는 링크를 통해 소비자에게 이 새로운 권리를 알려야 함)

- 공유 거부 설정 및 탈법행위에 대한 구체적이고 자세한 규율을 하고 있음

o 미국 연방개인정보호법(ADPPA)(안) (2022. 10. 기준)

- 제2조 : "표적광고(targeted advertising)"는 알려진 사실과 수집한 대상 정보에서 도출된 가정을 기반으로 선택한 온라인 광고를 개인 또는 고유 식별자에게 표시하는 것을 말한다. 개인의 구체적인 요청에 대한 응답, 광고의 대상이 되는 제품 또는 서비스를 제공하는 서비스를 개인이 방문 또는 사용했을 때 표시되는 자사광고, 웹페이지 또는 온라인 서비스의 콘텐츠를 기반으로 광고가 표시되는 문맥광고, 또는 광고 측정지표를 측정하거나 보고하는 데만 사용되는 데이터의 처리는 여기에 해당되지 않는다.

- 제204조 : 표적광고에 참여하는 적용대상은 표적광고 이전과 그 이후에 늘 명확하고 눈에 잘 보이는 거부 수단을 제공해야 한다.

- 제205조 : 표적광고는 [적용대상이 해당 개인이 17세 미만이라는 사실을 실제로 알고 있는 경우]/[17세 미만의 개인에 대해] 명시적으로 금지된다.

- 제210조 : 연방거래위원회(FTC)는 제204조제(c)항의 '대상 정보 이전을 거부할 수 있는 권리', 제204조제(d)항의 '표적광고를 거부할 권리', 제206조제(c)항제(3)호제(D)목의 '개인이 모든 등록된 제3자정보수집법인에 1회의 요청을 제출하여 모든 대상 정보를 삭제하도록 하는 권리'를 개인이 쉽게 행사할 수 있도록 생성된 중앙집중형 거부 메커니즘(centralized opt-out mechanisms)의 타당성을 판단하기 위한 연구를 수행해야 한다. 연방거래위원회가 권리의 일부 또는 전부를 위한 중앙집중형 메커니즘이 타당하다고 판단한 경우 개인이 이러한 지시를 할 수 있게 적용대상에게 그러한 메커니즘을 확립하도록 하는 행정절차법 규정을 공포해야 한다.

o 미국의 BSAA(Banning Surveillance Advertising Act)안 (2022. 1. 18.)

- BSAA는 인종, 민족, 출신 국가, 성별, 종교 등 민감 정보나 데이터 브로커로부터 구매한 각종 개인정보를 토대로 이른바 개인별 맞춤형 광고를 노출시키는 마케팅 행위를 금지하고, 이를 위반하는 행위에 대해서는 건당 최대 5,000 달러의 과징금을 부과토록 규정함

- 이 법안은 기존 광고 기법의 대안으로서 검색 결과나 웹페이지 내용에 맞춰 관련 광고를 내보내는 이른바 맥락 광고(contextual advertising)를 명시적으로 허용함

o 미국 FTC vs 트위터 (2022. 5.)

- FTC는 트위터가 계정 인증 등 보안을 이유로 이용자의 전화번호 및 이메일 주소 등을 수집한 다음, 이를 기업 타깃 광고에 몰래 사용했다고 주장하면서, 2022. 5. 캘리포니아주 북부지방법원에 민사소송을 제기함

- 트위터는 2022. 6. 고객 개인정보의 타깃 광고 이용에 대한 사과문을 발표하고, 1.5억달러 과징금 납부 등 합의로 마무리함

o 맞춤형 광고와 아동ㆍ미성년자 연령 추정

- 2021. 5. 발의된 미국의 ‘아동 및 십대 온라인 개인정보보호법안’의 경우, 이용자가 13세 미만인지에 대한 ‘실제적 인식(actual knowledge)’을 기준으로 법적용 여부를 결정하나, 개정안은 사업자들이 알고리즘, 데이터 분석 등 여러 방법을 통해서 아동 및 미성년자가 서비스를 이용하고 있음을 합리적으로 추정할 수 있는 ‘추정적 인식(constructive knowledge)’을 기준으로 해서도 법을 적용해야 한다고 규정함

- 2021. 7. 발의된 미국의 ‘취약 아동 및 청소년을 위한 정보보호법안’의 경우도 마찬가지임

- 두 법안 공히 아동 대상의 표적 광고를 금지하고 있음

o IAB(Interactive Advertising Bureau)의 ‘예측가능한 프라이버시(Predictable Privacy)’

- 사용자가 단순하게 트래킹 승인 여부만 결정하게 할 것이 아니라, 트래킹 허용 시 적용되는 범위를 사용자가 인지하고, 이에 따른 가치, 즉 개인화된 광고가 가져다주는 가치에 대해 정확하게 전달이 되면, 사용자가 굳이 승인 거부를 하지 않을 것이다.

- TCF(Transparency and Consent Framework) : EU용 맞춤형 광고 프레임워크 / 2019. 8. 론칭된 TCF v2.0이 현재 버전임(소비자의 동의 거부권 또는 반대할 권리 행사 명시 등)

- USPrivacy : CCPA(California Consumer Privacy Act)를 위한 컴플라이언스 프레임워크

- IAB Canada TCF　:　캐나다를 위한 프레임워크

- GPP(Global Privacy Platform) : 2022. 9. 28. 완성한 것으로서 디지털 광고 공급망 참가자가 디지털 광고 공급망을 통해 사용자 개인 정보 보호 동의 및 선택을 알릴 수 있도록 하는 프로토콜 및 API 집합으로서 USPrivacy와 TCF를 포함하여 통합됨. 디지털 광고 공급망 전체에서 사용자 동의 신호를 전달할 수 있도록 하고 여러 글로벌 개인 정보 보호 관할권의 다양한 동의 신호 관리를 통합하는 데 도움이 되는 프로토콜을 제공함. 현재 미국, EU 등의 문자열을 지원하고, 향후 미국의 각주, 캐나다 등의 문자열도 지원할 예정임

- GPP는 GPC(Global Privacy Control, 2020년 4월 W3C의 Privacy Group에서 최초 소개된 개념으로서, 인터넷 이용자가 이용자의 프라이버시 선택을 알려주도록 고안된 제안)을 지원함

o 미국 DDA(Digital Adevertising Alliance)는 자율규제의 일환으로 ‘디지털 광고 책임성 프로그램’을 제시함 (2011.)

- 인터넷 기반 광고에 대해서는 적극적 고지를 해야 함

- 불필요하게 정밀한 위치 데이터 수집을 지양함

- 어린이의 민감 데이터 수집을 지양함

- 크로스 디바이스 광고에 대한 적극적인 소비자 고지가 필요함

- 자율규제에 협조하지 않은 기업에 대해서는 FTC에 위반 사례를 이첩함

o 애플의 App Tracking Control

- 이용자의 ‘명시적 동의’를 획득하는 경우에만 IDFA를 활용함

- 동의는 전체 앱에 영향을 주는 게 아니므로 개별 앱마다 이용자의 동의를 얻어야 함

- 동의의 회수는 개별 앱마다 1회에 부여됨

o 구글의 Topics API

- 구글은 서드파티 쿠키 대신에 FLoC(Federated Learning of Cohorts)을 활용할 계획이었는데, 이 기술은 성향이 비슷한 이용자들을 집단으로 묶어 그 집단에 대한 광고 타게팅을 지원하는 방식이었으나 프라이버시 침해 우려로 인해 결국 폐기되었음

- Topics의 경우, API만으로는 이용자를 재식별하기가 어렵고 기록되는 데이터의 민감도도 비교적 낮으며 데이터 처리의 투명성 또한 높다는 게 Google의 설명임

■ 일본

o 일본 개인정보보호법의 ‘개인관련정보’

- 2020. 6. 5. 의회 가결 / 2020. 6. 12. 공포

- 개인정보, 가명가공정보, 익명가공정보 중 그 어디에도 해당하지 않은 정보로서 제공하는 자에게는 개인데이터가 되지 않아도 제공받는 자에게는 개인데이터가 될 수 있는 정보 (예 : 행태정보, 쿠키정보 등)

- 제공받는 자에게 사전 동의 의무 부여 (제공받는 자가 개인 식별을 위해서 다른 정보와 대조할 것이 “예상”되는 경우에 한함)

- 제공하는 자의 경우, 제공받는 자의 동의의무 이행 확인 및 기록 의무 부과

■ EU CJEU

o Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388) (2018.6.5.)

- 독일 교육서비스 제공 기업은 페이스북 팬 페이지 관리자로, 페이스북 아일랜드와 계약을 체결하여 팬 페이지를 생성 및 운영함으로써 페이스북으로 하여금 사용자의 컴퓨터에 쿠키를 설치할 수 있는 기회를 제공한 셈이므로

- 팬 페이지 방문자의 개인정보 처리 목적과 수단을 결정하는 Facebook Inc와 페이스북 아일랜드가 주된 컨트롤러가 되나, 팬 페이지 관리자인 독일 교육서비스 제공 기업도 공동 컨트롤러로서 책임을 진다고 결론 내림

- 플랫폼 기업이 맞춤형 광고를 위해서 픽셀 등을 커머스 사이트에 심은 경우, 플랫폼 기업은 컨트롤러에 해당함

o Fashion ID (C-40/17, EU:C:2019:629) (2019.7.29.)

- 독일 온라인 의류 유통업체 Fashion ID는 페이스북의 소셜 플러그인인 '좋아요' 버튼을 홈페이지에 삽입하여 웹 사이트에 '좋아요' 버튼을 삽입하면 방문자가 해당 웹 사이트에 들어갈 때 개인정보가 페이스북 서버로 전송됨

- 이에 대해 독일 소비자 보호 공공단체인 Verbraucherzentrale NRW는 ▲웹 사이트 운영자가 개인정보보호 지침에 근거한 의무에 따라 정보를 제공할 의무를 이행하지 않았고 ▲개인정보 처리에 따른 동의를 수집하지 않은 점을 이유로 Fashion ID를 상대로 개인정보보호 위반 소송 제기함

- Fashion ID는 페이스북 아일랜드로 정보가 전송된 뒤 페이스북 아일랜드가 수행하는 개인정보 처리와 관련된 후속 작업에 관여하는 것이 불가능해 보이며, 그 결과 이러한 작업과 관련해서는 컨트롤러로 볼 수 없다고 언급함

- 또한 CJEU는 Directive 95/46/EC 제2조 제(h)항(‘정보주체의 동의’의 정의) 및 제7조제(a)호22)에 언급된 정보주체의 동의는 웹 사이트의 개인정보 처리 운영과 관련하여 Fashion ID가 수집해야 한다고 명시함

o Planet49 (C-673/17, EU:C:2019:801) (2019.10.1.)

- 온라인 게임 회사인 Planet49는 온라인 복권 프로모션을 진행하면서, 참가를 원하는 사람들에게 이름, 주소 등 개인정보를 웹상에 입력하도록 함. 이 때 쿠키 저장에 동의한다는 내용에는 ‘동의’한다는 체크표시가 기본 설정으로 되어 있었음. 독일 소비자 연맹은 이와 같은 동의를 얻는 방식이 독일 국내법을 위반하였다고 소송을 제기함

- CJEU는 Directive 2002/58/EC(ePrivacy 지침) 제2조 제(f)호 상의 ‘동의’는 사용자의 적극적인 행동이 반영된 의사표시를 의미하는 것으로, 이 사건과 같이 사전에 체크표시가 되어 있었던 경우, 웹 사이트 사용자의 기기에 이미 표시된 정보에 확인 버튼을 클릭했다 하더라도 동의가 유효하지 않다고 봄

- 정보주체의 통신 단말기에 저장되는 정보는 ‘어떠한 종류든(즉, 개인식별정보가 아니더라도)’ 프라이버시 영역에 속하는 것으로 해석 가능

■ EU

o EU의 DMA(Digital Markets Act) : 2023. 5. 시행

- 시장 독점적 지위 남용 방지 목적

- 게이트키퍼(직전 3개 회계년도 연속 EU 역내 연매출이 75억 유로 이상 등)

- 게이트키퍼의 금지사항

2. The gatekeeper shall not do any of the following:

(a) process, for the purpose of providing online advertising services, personal data of end users using services of third parties that make use of core platform services of the gatekeeper; (온라인 광고 서비스를 제공하기 위해 게이트키퍼의 핵심 플랫폼 서비스를 사용하는 제3자의 서비스를 사용하는 최종 사용자의 개인 데이터를 처리하는 것)

(b) combine personal data from the relevant core platform service with personal data from any further core platform services or from any other services provided by the gatekeeper or with personal data from third-party services; (관련 핵심 플랫폼 서비스의 개인 데이터를 추가적인 핵심 플랫폼 서비스의 개인 데이터 또는 기타의 게이트키퍼가 제공하는 다른 서비스의 개인 데이터와 결합하는 것, 또는 관련 핵심 플랫폼 서비스의 개인 데이터를 제3자 서비스 데이터와 결합하는 것)

(c) cross-use personal data from the relevant core platform service in other services provided separately by the gatekeeper, including other core platform services, and vice versa; and (관련 핵심 플랫폼 서비스의 개인 데이터를 다른 핵심 플랫폼 서비스를 포함하여 게이트키퍼가 별도로 제공하는 다른 서비스에서 교차 사용하거나 그 반대의 경우)

(d) sign in end users to other services of the gatekeeper in order to combine personal data, (개인 데이터를 결합하기 위해 최종 사용자를 게이트키퍼의 다른 서비스에 로그인시키는 것)

- 타깃 광고 목적의 개인정보 처리는 정보주체의 명시적인 사전 동의가 필요하며, 동의 요청은 매년 1회씩만 가능

o EU의 DSA(Digital Service Act) : 2024. 1. 1. 시행

- 온라인 광고 관련해서 해당 정보가 광고라는 사실, 광고주, 해당 광고가 노출되는 이용자를 결정하는데 사용된 주요 매개변수 등을 공개해야 함

- 미성년자 대상의 맞춤형 광고 금지

o 구글의 EU 맞춤형 광고 동의 방법

- 구글은 EU에서, 구글 회원 가입시 빠른 맞춤설정(1단계) 또는 수동 맞춤설정(5단계) 선택 화면을 제공함

- 빠른 맞춤설정 : ‘웹 및 앱 활동’, ‘유투브 기록’, ‘광고 개인 최적화’ md 동의 내용을 한 번에 보여주며 이러한 설정을 2주 내에 검토할 수 있도록 알람을 제공함

- 수동 맞춤설정 : 웹 및 앱 활동의 저장 유무 및 보유 기간(삭제시까지 보유 / 18개월 동안 / 저장하지 않음)을 직접 선택 ⇒ 유투브 기록의 저장 여부 및 보유 기간(삭제시까지 보유 / 36개월 동안 / 저장하지 않음)을 직접 선택 ⇒ 광고 개인 최적화 사용 여부를 직접 선택 ⇒ 개인정보보호 설정에 관한 알림을 구체적으로 설명하고 수신 여부를 선택하게 함 ⇒ 이용자 동의 및 설정 사항을 한 눈에 보여주고 쿠키 및 기기 아이디에 대하여 안내함

o 제3자 쿠키의 종식 (IAB Europe의 ‘Guidance to the Post Third-Party Cookie Era’ (2021. 2.))

- Apple은 브라우저 내 머신러닝 기반의 ‘ITP(Intelligent Tracking Prevention)’ 기술을 2017년 6월부터 일찌감치 Safari에 적용해 이용자가 자주 찾지 않는 사이트의 쿠키를 자동 삭제 및 차단함으로써 서드파티 쿠키 대부분을 사실상 무력화함

- Mozilla는 이용자 설정(보통, 엄격, 커스텀)에 맞춰 서드파티 쿠키 등을 자동 제한하는 ETP(Enhanced Tracking Prevention) 기술을 2019년 6월부터 Firefox에 본격적으로 활용(신규 설치 시 디폴트로 활성화)하기 시작했음

- Microsoft 역시 그와 유사한 MTP(Microsoft Tracking Prevention)‘ 기술을 2020년 1월부터 Edge에 공식 적용함

- 크롬 역시 제3자 쿠키를 퇴출함으로써, 거의 모든 브라우저에서 제3자 쿠키는 퇴출된 상황이라 할 수 있음

o The Privacy Collective vs Oracle, The Privacy Collective vs Salesforce

- 쿠키를 통해 사용자 정보를 수집한 후 이 정보를 다른 데이터와 연결하여 개인별 프로필을 작성하였으며, 이를 맞춤형 온라인 광고에 활용하고 제3자와 공유했다는 이유로 집단소송이 제기됨

■ 프랑스

o CNIL vs 구글 (2017. 5.)

- CNIL은 벨기에ㆍ네델란드ㆍ스페인ㆍ독일 감독기구와의 공동조사 결과, 맞춤형 광고에 사용하기 위해서 성적 취향(sexual preference)와 관련된 데이터를 사용했다는 이유로, 15만 유로의 과징금을 부과함

- 또한 쿠키를 이용하여 제3자 웹사이트 이용자의 행태정보를 수집하면서, 충분한 경고 제공 없이 또는 무효인 동의를 기반으로 해서 부당한 추적(unfair tracking)을 했다고 함

o CNIL vs 구글 (2019. 1.)

- CNIL은 Google이 데이터 처리 목적과 데이터 저장 기간에 대한 정보를 한 곳에서 제공하지 않고, 때로는 사용자가 해당 정보를 얻기 위해 5~6회 클릭하도록 한 경우도 있음을 확인함

- 맞춤형 광고 관련 정보는 클릭 5번, 위치추적 서비스 관련 정보는 클릭 6번, 개인정보의 저장기간에 대한 정보는 클릭 4번이 필요함

- CNIL은 Google이 불충분한 정보만을 제공함으로써, 특히 개인 맞춤형 광고에 요구되는 유효한 사용자 동의를 얻지 못했다고 판단함

- 맞춤형 광고를 위한 정보 처리의 유일한 법적 근거가 사용자의 동의라는 사실을 고지하되 설명이 충분하지 않아 사용자들이 동의의 효력에 대해 쉽게 파악할 수 없도록 함

- CNIL은 Google에 투명성 원칙과 정보주체의 유효한 동의 확보의 의무인 제5조, 제6조, 제13조, 제14조 위반 혐의로 5,000만 유로의 과징금 부과함

o CNIL의 개정 쿠키 가이드라인 (2020. 10. 1.)

- 2019. 7. 4. 도입된 기존 쿠키 가이드라인이 있었으나, 쿠키 벽 금지에 대한 내용이 유효하지 않다는 2020. 6. 19. 프랑스 최고행정법원의 판결에 따라 나온 개정임

- 개정된 가이드라인에서는 기존 가이드라인과는 달리 쿠키장벽 자체를 절대적으로 금지해야 한다는 입장을 제시하고 있지 않지만, 웹 사이트를 간단히 탐색하는 것만으로 쿠키 적용에 동의했다고 간주할 수 없으며, 동의를 위한 요건은 명확한 의사표명을 통해서만 인정된다고 봄 (묵시적 동의를 인정하지 않음. CJEU의 Planet49 판결 내용 반영함 )

- 쿠키 규제의 초점은 쿠키 수집 동의보다 더 쉽게 거부할 수 있도록 보장하는 것임

- 정보주체는 언제든지 동의를 철회할 수 있으며, 사용자 인증이나 온라인 장바구니 정보를 위해 반드시 필요한 온라인 추적 도구에 대해서는 동의 관련 요구사항 면제함

- CNIL은 웹사이트 퍼블리셔(publisher)가 아닌 제3의 주체가 쿠키를 설정하고 이러한 쿠키를 통해 다른 사이트에서 사용자의 온라인 활동을 추적 할 수 있는 경우, 각 사이트에 대해 개별적으로 사용자의 동의를 구할 것을 강력하게 권장함

- 동의 거부 또는 철회를 위한 사용자 인터페이스(UI)와 관련, 한 번의 클릭으로 모든 쿠키를 수락하도록 하는 반면 거부를 위해서는 여러 번의 클릭이 필요하도록 하는 등의 인터페이스는 부적합함

o CNIL vs 구글ㆍ아마존 (2020. 12. 10.)

- CNIL은 프랑스 쿠키 규정에 따라 Google LLC에 6천만 유로, Google Ireland Limited에 4천만 유로, 아마존 Europe에 3.5천만 유로의 벌금을 부과함

- 사용자의 사전의 동의 없이 광고 쿠키를 설정하는 행위, 사용자에게 적절하고 명확한 정보를 제공하는 것이 부족한 점, 사용자가 옵트 아웃했을 때 계속 쿠키 정보를 읽고 있는 점이 법령을 위반하였다고 봄

o CNIL vs 구글ㆍ페이스북 (2022. 1. 6.)

- Google 계열 웹사이트(google.fr, youtube.com)와 Facebook 웹사이트(facebook.com)는 이용자들에게 버튼 하나로 쿠키를 수락할 수 있는 인터페이스를 제공

- 그러나 양사 모두 쿠키 거부와 관련해서는 여러 차례 클릭을 해야만 전면 거부가 가능한 인터페이스를 적용함으로써 프랑스 이용자들의 동의의 자유에 영향을 미쳤고 ‘쿠키 거부도 수락만큼이나 쉬워야 한다’는 프랑스 정보보호법(Loi Informatique et Libertés)11) 제82조의 동등 난이도 원칙을 위반

- CNIL은 Google LLC와 Google Ireland에 각각 9,000만 유로와 6,000만 유로의 과징금을 부과했고 Facebook Ireland에도 6,000만 유로의 과징금을 부과

o CNIL, 오스트리아 등 vs Google Anylitics

- 이탈리아, 프랑스, 오스트리아와 덴마크, 프랑스의 개인정보 감독기구는 웹사이트 트래픽 분석을 위한 Google Analytics 활용 행위를 ‘적정 안전조치 없는 제3국(미국)으로의 개인정보 이전’에 해당한다며 GDPR 위반으로 판정

- 해당 개인정보 이전은 표준계약조항(Standard Contractual Clauses, SCCs)에 준해 이루어졌으나, 정보기관이 외국인 개인정보에 접근할 여지가 있는 미국의 법제 및 관행을 고려하면 추가적인 개인정보 보호 조치가 이루어졌어야 한다는 게 해당 감독기구들의 판단함

- Google 측은 ‘정보기관의 개인정보 요청에 대한 심의 절차를 두고 있으며 이전된 데이터는 기본적으로 암호화하는 등 추가적인 관리적/기술적 보호조치를 이행하고 있다’고 항변했으나, 감독기구들은 이를 적정 보호조치로 인정하지 않았음

■ 벨기에

o APD vs 페이스북 (2015. 12. 9.)

- 페이스북이 제3자 웹사이트에 설치한 트랙킹 쿠키와 소셜 플러그인을 통해서 이용자와 비이용자의 행태정보를 수집함

- 자체 쿠키 배너를 통해 Facebook이 제공하는 정보와 이 배너가 언급하는 쿠키 정책을 평가하는 과정에서 해당 정책이 처리 작업에 대해 불충분하게 명확하다는 사실을 발견함

- 사용자가 제공된 정보를 기반으로 하는 한 자신의 행동이 추적될 것이라는 점을 사용자가 이해한다고 합리적으로 기대할 수 없다고 판결했음

- 데이터 주체에게 데이터 액세스 및 수정 권한에 대해 알리지 않았기 때문에 정보가 불완전하다고 판결했음

- 동의 수집 메커니즘이 데이터 주체의 "자유롭고 구체적이며 모호하지 않은" 동의를 보장하지 않는다고 판결했음

- 제3자 웹사이트와 관련하여 Facebook이 제3자 웹사이트에서 쿠키를 사용하는 "목적과 수단"을 결정하므로 Facebook이 이러한 쿠키의 컨트롤러로 간주되어야 한다고 봄

o APD(벨기에) vs IAB Europe (2021. 2.)

- 2021. 2. APD는 TCF에 관련해서 다수의 GDPR 조항 위반을 확인하여 25만 유로의 과징금을 부과함

- 개인정보 처리에 관한 명확한 정보를 제공하지 않은 상태에서 획득한 동의는 유효한 동의로 볼 수 없음

- IAB Europe을 컨트롤러로 보아, IAB Europe이 TCF 참여 사업자들의 개인정보 관련 규정 준수 여부에 대한 모니터링을 IAB Europe이 제대로 이행하지 않았다고 제재함

■ 룩셈부르크

o CNDP(룩셈부르크) vs 아마존 (2021. 7. 16.)

- 2021. 7. 아마존에 대하여 부과된 7.46억 유로 규모의 과징금 처분을 부과함

- 맞춤형 광고 당시 적법한 동의를 얻지 않음

■ 스페인

o AEPD vs 페이스북 (2017. 9. 26.)

- AEPD는 적법한 동의를 받지 않은 점, 맞춤형 광고에 민감정보를 사용한 점, 동의 철회를 했음에도 관련 개인정보가 삭제되지 않은 점에 대하여 총 120만 유로의 과징금을 부과함

■ 이탈리아

o 이탈리아 데이터보호청(Garante)의 개정 쿠키지침 (2021. 7. 9.)

- 쿠키 : 이용자가 방문한 웹사이트(퍼블리셔)나 여타 웹사이트 또는 웹서버(써드파티)가 이용자 소유 단말기(terminal device) 내에 저장하는 문자열(text strings)을 의미

- 쿠키와 동일한 목적 수행이 가능한 기타 추적 도구에도 이 지침은 적용됨

- 쿠키 월(cookie wall) : 웹 사이트 컨트롤러가 쿠키 또는 기타 추적 도구의 저장 및 사용에 대한 동의 없이 데이터 주체에게 동등한 콘텐츠 또는 서비스에 액세스할 수 있는 옵션을 제공하는 경우를 제외하고 불법으로 간주

- 동의 : 이용자가 기존에 보류했던 동의를 웹사이트 운영자가 다시 얻어내기 위해 지나치게 반복적으로 배너를 제시하는 것은 금지. 재요청은 쿠키 처리 환경이 현저하게 변경되어 변경 사항을 정확하기 알릴 필요가 있는 경우 또는 이용자가 기기상에 쿠키가 이미 저장되어 있다는 사실을 파악할 수 없는 경우로서 배너가 마지막으로 표시된 후 최소 6개월이 경과된 경우

- 분석쿠키 / 기술쿠키

■ 영국

o 영국의 ICO vs Oculus Quest2

- Facebook 규정상으로는 Oculus Quest 2를 사용하려면 Facebook 계정이 있어야 하고 이를 생성하기 위해서는 이용자 연령이 만 13세를 넘어야 하지만, 실제로는 그보다 어린 이용자들도 나이를 속인 채 계정을 생성할 수 있음

- 플랫폼 기업에 의한 맞춤형 광고가 실제 아동이나 미성년자에게 제공되고 있다는 현실

o 영국 DCMS의 개인정보보호 규제 개혁에 관한 제안 문서 발표 (2021. 9.)

- 불필요한 쿠키 배너 등의 필요성 제거

- 쿠키에 대한 동의 ‘거부’ 모델로 전환 계획

■ 브라질

o 쿠키 지침

- 쿠키 배너에서: (i) 사용자가 필수가 아닌 모든 쿠키를 거부할 수 있는 액세스 가능하고 명확한 버튼을 제공해야 합니다. (ii) 기본적으로 비활성화된 동의 기반 쿠키(비필수 쿠키)도 유지합니다(따라서 수집하려면 사용자의 선택이 필요함).

- 쿠키 정책에서: (i) 쿠키의 각 목적/범주에 따라 의존하는 법적 근거를 식별해야 합니다(엄격히 필요한 쿠키는 적법한 이익을 기반으로 하고 동의 시 비필수 쿠키를 기반으로 할 수 있음). (ii) 쿠키를 정책의 범주로 분류합니다. (iii) 식별된 범주에 따라 특정 동의를 얻도록 허용합니다. (iv) 사용자가 필수가 아닌 모든 쿠키를 거부할 수 있는 액세스 가능하고 명확한 버튼을 제공합니다.

■ 기타

o 메타버스에서의 맞춤형 광고 (DagaGuidance)

- 메타버스 내의 행동이나 선호 등이 수집되어 분석될 수 있음

- 메타버스 내의 몰입형 황동으로 인해 수집될 수 있는 개인정보로는 표정, 혈압 변화, 시선 추적, 피부 온도, 호흡수, 대화 등 건강정보나 민감정보가 포함될 수 있어, 전통적인 맞춤형 광고에 비해서 더 많은 민감정보가 수집될 것으로 보임

- 상호운용성을 요하는 메타버스의 특성으로 불가피한 개인정보 공유나 결합이 발생할 수도 있음

- 메타버스 내의 맞춤형 광고는 개별 아바타에 따른 훨씬 정교한 알고리즘을 대입할 것으로 보임