개인정보보호위원회는 이용자 개인정보보호를 소홀히하고 관련법을 위반한 메타에 과징금 216억 1300만 원, 과태료 1020만원 과 함께 시정명령을 부과하기로 의결했다고 5일 밝혔다.
개인정보위 조사에 따르면 메타는 2018년 7월부터 2022년 3월까지 페이스북 ‘프로필’ 기능을 통해 국내 이용자 약 98만명의 종교관과 정치관, 동성과 결혼 여부 등과 같은 민감한 정보를 수집했다. 이어 이러한 정보들을 광고주에 제공했고, 약 4000개의 광고주가 이를 이용했다.
또 메타는 이용자가 페이스북에서 ‘좋아요’를 누른 페이지와 클릭한 광고 등 온라인이용기록(행태정보)을 분석한 뒤 이용자에 관한 9만7000여개의 광고주제를 제공했다. 해당 광고주제에는 동성애, 트랜스젠더, 북한이탈주민 등 민감정보에 관련한 것도 포함돼 있었다.
개인정보 보호 관련법에서는 사상, 신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감 정보로 규정해 처리를 제한하고 있다. 예외적으로는 정보 주체에 별도로 동의를 받는다거나 적법한 근거가 있을 때에만 이를 처리할 수 있도록 규정하고 있다.
그러나 개인정보위원회에 따르면 메타는 이같은 민감한 정보를 수집하고 맞춤 서비스 등에 활용하면서도 ‘데이터 정책(Data Policy)’에 불분명하게 기재하고 별도로 동의를 받지 않았으며 추가적인 보호조치를 취하지 않았다.
뿐만 아니라 메타는 정당한 사유 없이 개인정보 열람을 거절로 인한 이용자의 권리 침해, 서비스 중단 페이지 차단 조치 미흡으로 인한 국내 이용자 계정 유출 등의 문제를 일으켰다.
메타는 이용자의 개인정보를 처리한 기간, 로그인을 통한 개인정보 제공 현황, 외부활동 정보 수집 근거·동의 내역 등 개인정보의 열람 요구에 대해 보호법상 열람 요구 대상이 아니라는 등의 이유로 거절했다. 그러나 개인정보위에 따르면 관련 법상 해당 내용들은 열람 대상으로 정하고 있기 때문에 메타의 열람 요구를 거절은 정당한 사유가 없다고 판단했다.
메타는 또 서비스 중단 또는 관리되지 않는 홈페이지는 삭제·차단 조치를 하는 등 안전조치를 했어야 하는데 사용하지 않는 계정 복구 페이지를 제거하지 않았다. 이에 해커는 현재 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청했고, 메타는 이 신분증을 충분히 검증하지 않고 승인해 국내 사용자 10명의 개인정보가 유출됐다.
개인정보위원회 관계자는 “이번 조사·처분은 글로벌 서비스를 운영하는 해외사업자에 대해서도 우리 보호법에서 정하고 있는 민감정보 처리 시 의무를 준수해야 함은 물론, 개인정보의 열람 제공 등 정보주체의 권리를 충분히 보장하도록 했다는 데 의의가 있다”며 “앞으로 메타의 시정명령 이행 여부를 지속 점검해 나갈 예정”이라고 말했다.