25.
구글과 메타의 맞춤형 광고를 위한 타사 행태정보 수집에 대한 해외 처분 및 소송 사례
새 탭 열기
작성 이력 보기

생성자

기여자

구글과 메타는 맞춤형 광고를 위해 회원들의 온라인 활동정보를 수집하여 분석하고 그에 맞춰 광고를 표시한다.

이 온라인 활동정보에는 구글 또는 메타 플랫폼 내에서 활동한 정보(자사 행태정보)도 있지만, 구글과 메타는 여기에 그치지 않고, 회원들이 제3자의 웹사이트나 앱(구글의 애널리틱스 또는 메타의 픽셀, SDK, 페이스북 로그인, 소셜 플러그인 등 구글과 메타가 제공하는 도구들을 설치한 수많은 사업자들의 웹사이트와 앱)에서 활동한 기록(타사 행태정보)까지 모두 회원들의 단말기(PC, 모바일)에서 수집하여 맞춤형 광고에 활용하였다.

그러나 구글과 메타는 이러한 맞춤형 광고 목적의 타사 행태정보 수집에 대하여 회원들로부터 명시적인 동의를 얻지는 않았다.

이에 한국 개인정보 보호위원회는 2022. 9. 14. 구글과 메타에 대하여 구 개인정보보호법 제39조의3 제1항(정보통신서비스 제공자의 수집ㆍ이용 동의 획득의무) 위반을 이유로 시정명령 및 합계 약 1,000억원의 과징금 처분을 하였다.

그리고 이에 대해 구글과 메타는 위 처분의 취소를 구하는 행정소송을 제기하였고, 서울행정법원은 2025. 1. 23. 이에 대해 개인정보 보호위원회의 처분이 적법하다는 판결을 선고하였다.

한편, 이러한 구글과 메타의 행위는 한국에서만 이루어진 것이 아니라 전 세계적으로 이루어졌기 때문에, 당연히 다양한 국가에서 이에 대한 문제 제기가 있었다. 아래에서는 그 중 대표적으로 독일, 프랑스, 미국에서 진행된 처분 및 소송 사례에 대하여 정리하였다.

1. 독일의 사례

독일 연방카르텔청(Bundeskartellamt)은 2019. 2. 7.자 보도자료를 통해, 페이스북(메타)이 페이스북 회원의 개인정보를 페이스북 웹사이트 외부(타사 웹사이트 포함)에서 수집하여 페이스북 회원 계정에 통합시키는 것은 회원의 자발적인 동의가 있어야만 허용된다면서, 회원의 자발적인 동의 없이 위와 같은 다양한 출처의 개인정보를 수집하여 회원 계정에 결합하는 것을 금지한다고 결정한 사실을 밝혔다.

그러자 메타(구 페이스북)는 2019년 위 결정에 대하여 소를 제기하였고, 뒤셀도르프 고등법원(OLG Düsseldorf)에 사건이 회부되었다. 이에 해당 소송을 담당한 뒤셀도르프 고등법원은 2019. 8. 26. 원고의 요청에 따라 위 연방카르텔청의 결정에 대하여 집행정지를 명하였으나, 2020. 6. 23. 독일 연방대법원(BGH)은 독일 연방카르텔청의 신청을 받아들여 위 뒤셀도르프 고등법원의 집행정지 결정을 뒤집고 원고에 대한 처분의 집행정지 요청을 기각하였다.

이후 메타는 독일 연방카르텔청의 결정 이행을 위한 구체적인 조치들을 집중적으로 협상했고, 2024. 10. 협상이 완료됨에 따라 뒤셀도르프 고등법원에 계류 중이었던 소송을 취하하였다. 그리고 위 이행 조치에는 메타 회원이 새로운 계정센터를 통해 타사 행태정보의 개인정보로서의 수집과 회원 계정 결합에 대해 스스로 자유롭게 결정할 수 있는 권리를 보장하는 것이 핵심 내용으로 포함되었다.

위와 같이 독일에서는 한국 개인정보 보호위원회의 메타에 대한 처분과 동일한 취지의 처분이 있었으며, 메타가 이에 대해 소송을 제기하기도 하였으나 결국 독일 연방카르텔청의 결정을 수용하여 메타 회원들의 자유로운 동의권을 보장하는 방향으로 각종 조치들을 이행하기로 하고 2024. 10. 소를 취하하였다.

2. 프랑스의 사례

2019. 1. 21. 프랑스 개인정보보보호 규제당국(CNIL)은 구글이 이용자의 유효한 동의 없이 맞춤형 광고를 제공하여 GDPR에 따른 투명성 원칙 등을 위반하였다고 판단하여 5,000만 유로의 과징금을 부과하니다.

이에 따르면, 구글이 회원으로부터 유효한 동의를 얻기 위한 '충분한 정보'가 제공되어 있지 않고, 유효한 동의는 '모호하지 않고', '구체적'이고, 이용자의 '능동적'이고 '명확한' 행위에 의하여 이루어져야 하나, '옵션 더보기'를 클릭해야 맞춤형 광고를 설정할 수 있고, 해당 옵션이 미리 기본값으로 선택되어 있어 유효한 동의가 아니라는 것이었는바, 역시 우리나라에서의 처분과 동일한 취지였다.

이에 대하여 구글 역시 불복하여 소를 제기하였으나, 프랑스 최고행정법원(Conseil d’État)은 구글의 소를 기각하면서 특히 아래와 같은 점을 강조했다.

GDPR에 따르면 정보주체의 동의란 정보주체가 진술 또는 명확한 긍정적 행동을 통해 자신과 관련된 개인정보 처리에 대한 동의를 표시하는 것으로서 정보주체의 의사를 자유롭고 구체적이며 정보에 기반하여 명확하게 나타내는 표시를 의미함 (해당 판결문 문단번호 21번 참조)

21. Firstly, Article 6 du GDPR provides that “Processing shall be lawful only if and to the extent that at least one of the following applies: / a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes”. 11 of Article 4 of the same Regulation specifies that consent means “any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her”.

구글 회원 계정 생성시에는 이용자에게 먼저 ‘개인정보처리방침 및 이용약관’이 표시되는데, 이 페이지에서는 구글이 처리하는 정보의 특성과 처리 목적에 대한 간략하고 매우 일반적인 정보만 제공되고, 이용자가 별도로 “옵션 더보기” 링크를 클릭하여야만 계정 설정 옵션이 있는 페이지가 나타남(일종의 트리 구조). 그리고 이를 클릭하지 않더라도 "Google 이용약관에 동의합니다" 및 "위에서 설명하고 개인정보처리방침에 자세히 설명된 대로 내 정보가 사용되는 데 동의합니다" 확인란을 선택하여 계정을 생성할 수 있음 (해당 판결문 문단번호 22번 참조)
구글의 위와 같은 계정 생성 절차에서 이용자는 맞춤형 광고 목적을 포함하여 정보 처리에 대한 동의를 요청받지만, 이 목적과 관련하여 이용자에게 제공되는 정보는 일반적이며 다른 목적들에 대한 설명들과 섞여 희석되어 있는바, 동의 전에 제공해야 하는 정보의 명확성 및 접근성 요건을 충족하지 못함. 이처럼 충분한 사전 정보가 제공되지 않는 경우, 위 목적을 위해 획득된 동의는 정보에 기반한 것으로 간주될 수 없고 유효하지 않음 (해당 판결문 문단번호 23번 참조)
또한 “옵션 더보기”의 경우 기본값이 이미 동의로 설정되어 있는데, 이처럼 미리 선택된 박스를 통해 동의를 획득하는 것 역시 ‘명확한 적극적 행위’를 요구하는 ‘동의’의 요건을 충족하지 않음 (해당 판결문 문단번호 23번 참조)

23. (중략) Although further information on the advertisement targeting purpose is provided at the second level (by clicking on “more options”) and separate consent is collected for this purpose, it would appear that such information is itself inadequate given the scope of the processing. Finally, there is the fact that consent is collected by means of a preticked box. Under these circumstances, the CNIL’s Restricted Committee was right in considering that the methods used for collecting consent do not meet the GDPR’s provisions, which require a clear affirmative action, without the allegation that the Regulation does not impose separate collection of consent for the advertisement targeting purpose having any influence on this point.

위와 같이 프랑스에서는 한국 개인정보 보호위원회의 구글에 대한 처분과 동일한 취지의 처분이 있었으며, 구글이 이에 대해 소를 제기하였으나 프랑스 최고행정법원은 한국 구글 사건 1심 판결과 동일한 취지의 판결을 하였다.

3. 미국의 사례

미국에서는 이미 2011년도에 ‘페이스북 회원이 소셜 플러그인의 한 유형인 ‘좋아요’ 버튼이 구현된 타사 웹사이트에 방문하면, 원고는 사용자 ID, 사용자의 방문 웹사이트, 방문 날짜, 방문 시간, 기타 브라우저 관련 정보를 전송받아 맞춤형 광고 목적으로 활용한다는 점’이 문제되어 민사소송이 제기되었다.

이는 복잡한 초기 소송과정을 거쳐서 2020. 4. 9. 제9연방항소법원에서 페이스북 회원들의 프라이버시권을 포함한 소송상 이익이 인정되었고, 이후 원고는 2022. 2. 14. 9천만 달러를 지급하고 위와 같이 부적절하게 수집한 데이터를 삭제하는 내용의 합의안을 제출했다(다만 원고는 법위반은 부인하면서도 소송의 종결을 위해 합의안을 제출했다).

이후 2022. 11. 10. 이 합의안에 대한 최종 승인 명령이 이루어졌고, 이에 대한 항소가 있었으나 2024. 2. 21. 제9연방항소법원은 위 최종 승인을 유지하는 판결을 하였다.

Facebook, Inc. Internet Tracking Litigation 제9연방항소법원 판결문(2024. 2. 21.) 일부 발췌 및 번역

1. In 2011, Facebook users began suing Facebook for tracking their online activities without their consent, stating common law and statutory causes of action in contract and tort. These lawsuits against Facebook were consolidated in a multidistrict litigation proceeding. Ultimately, the parties entered into a settlement agreement under which Facebook agreed to pay $90 million into a settlement fund, then the seventh-largest amount in a privacy class-action settlement. Facebook further agreed to search for, collect, sequester, and delete “all cookie data” it improperly received or collected between April 22, 2010 and September 26, 2011.

1. 2011년, 페이스북 이용자들은 페이스북이 자신의 동의 없이 온라인 활동을 추적했다며 페이스북을 상대로 소송을 제기하기 시작하였고, 계약 및 불법행위에 대한 보통법 및 성문법상 청구를 주장하였다. 페이스북을 상대로 한 이 소송들은 다지구 소송(MDL) 절차로 병합되었다. 결국 양측은 합의에 도달했고, 페이스북은 합의금으로 9천만 달러를 지급하기로 했다. 이는 당시 개인정보보호(프라이버시) 집단소송 합의금 중 7번째로 큰 금액이었다. 페이스북은 또한 2010년 4월 22일부터 2011년 9월 26일 사이에 부적절하게 수신 또는 수집한 “모든 쿠키 데이터”를 검색, 수집, 분리보관 및 삭제하기로 합의했다.

위와 같이 미국에서는 민사소송이 진행된 바 있으며, 메타는 해당 소송에서 자신의 법위반을 인정하지는 않았으나 9천만 달러의 합의금 지급 및 수집 데이터를 삭제하는 것에 합의하였다.

최근 작성일시: 2025년 10월 13일

지금 회원가입하고 법률레터 받아보세요!