유럽연합, 개인정보보호 새 규정 발표… 페이스북, EU서 맞춤형 광고하려면 사전동의 받아야

유럽집행위원회가 빅테크 기업의 개인정보 침해 사건에 대한 조사 속도를 높이기 위해 새로운 규정을 발표했다고 지난 7월 4일(현지 시간) 로이터가 보도했다. 국경을 넘나드는 유럽 개인정보 보호 규정(이하 GDPR) 시행 시 각국 데이터 보호 당국(DPA) 간 협력을 간소화하기 위한 조치다.

GDPR은 유럽연합의 개인정보보호 법령으로 유럽 내 사업장을 운영하는 기업뿐 아니라 전자상거래 등을 통해 해외에서 유럽연합 시민의 개인정보를 처리하는 기업에도 적용된다.

유럽연합에서 GDPR 위반 사례를 주로 처리해 온 기관은 아일랜드 데이터 보호 위원회다. 빅테크 기업 상당수가 아일랜드에 기반을 두고 있기 때문이다. 그러나 국경을 초월한 개인정보 침해 사례를 개별 국가 기관이 감당하고 있다는 우려와 함께 아일랜드 데이터 보호 위원회가 부과하는 벌금 수준이 너무 약하다는 불만이 있어왔다.

새로운 규정은 각 국가의 데이터 보호 당국들이 사건 개요를 서로 공유하여 사전 조사 단계에서 고소인에게 조사 범위에 대한 피드백을 제공하고, 국가간 협력 및 분쟁 해결을 위한 공동 기한을 설정할 것을 요구한다.   

고소인은 사건 전체 혹은 일부가 기각되면 이에 대한 설명을 들을 권리가 있으며, 당국이 사건을 조사하기로 결정하면 규정에 따라 사건에 관여할 수도 있다. 또한 조사 대상 기업의 의견 청취 절차를 마련하고 기업이 관련 자료에 접근할 수 있는 권리도 부여하고 있다.

기술 로비 단체인 컴퓨터 및 통신산업 협회는 기업이 이의를 제기할 권리와 공정한 심리를 받을 수 있는 기간이 현실적으로 부족하다고 언급했다. 반면 유럽디지털권리센터(European Center for Digital Rights) 설립자인 맥스 슈렘스는 새로운 규정에 대해 “위원회의 제안은 기술적으로나 실질적으로나 허점이 있다”며 “오히려 시민들의 기존 권리를 박탈하는 것”이라고 비판했다.

한편 지난 4일 유럽사법재판소(CJEU)는 독일의 반독점 규제 당국인 연방 카르텔청(German Federal Cartel Office)이 페이스북 모기업 메타의 개인정보 침해 문제에 관여한 것은 문제가 없다고 판결했다.  

지난 2019년 독일 카르텔청은 페이스북에 이용자의 사전 동의 없이 광고 비즈니스 활용을 위한 개인정보 수집을 중단할 것을 명령했다. 시장 지배적인 권한을 남용해 이용자 정보를 수집했다는 것이다. 메타는 담합 관련 문제를 다루는 카르텔청이 개인정보 보호 문제에 관여하는 것은 권한을 넘어서는 것이라며 유럽사법재판소에 판단을 구한 바 있다. 

유럽사법재판소는 “EU 국가의 독과점 감독 기관은 기업의 행위에 대한 적법성 여부를 조사할 수 있다”고 판단했다. 이번 판결로 유럽연합 내 독과점 감독 기관들은 빅테크 기업 조사 시 더 많은 권한을 가질 수 있게 됐다.  

안드레아스 문트 독일 연방 카르텔청장은 “데이터는 시장 지배력 구축을 위한 결정적인 요소”라며 “이번 판결은 데이터 경제의 비즈니스 모델에 광범위한 영향을 미칠 것”이라고 언급했다. 프랑스의 기업경쟁력강화위원장 브누아 꾀레도 트위터를 통해 이번 판결을 “개인정보 보호를 위한 획기적인 결정”이라고 평가했다.

유럽디지털권리센터 맥스 슈렘스는 “메타가 시장 지배적인 위치를 이용해 이용자들이 원하지 않는 것을 강요할 수 없다는 것을 의미한다”며 “이것은 메타뿐만 아니라 GDPR을 회피하려는 다른 온라인 광고 회사들에게도 큰 타격일 것”이라고 언급했다.

뉴욕 타임스는 사용자 동의 없는 데이터 수집이 금지된다면, 방대한 데이터를 기반으로 운영되는 페이스북의 표적 광고 비즈니스 모델이 약화될 수 있다고 논평했다.