종교·성정체성 등 민감정보 광고주에 넘긴 메타, 216억 과징금 철퇴

사유 없이 개인정보 열람 거절
안전조치 의무 위반 제재도 병행

개인정보보호위원회는 종교·성 정체성 등 민감정보를 이용자 동의 없이 수집·활용한 메타에 216억2320만원의 과징금 및 과태료를 부과하기로 했다고 5일 밝혔다.

개인정보위 조사 결과 메타는 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집했다. 이런 정보들을 광고주에게 제공해 약 4000개 광고주가 이를 이용한 것이 확인됐다.

구체적으로 이용자가 페이스북에서 '좋아요'를 누른 페이지, 클릭한 광고 등 행태정보를 분석해 민감정보 관련 광고 주제(특정 종교, 동성애, 트랜스젠더, 북한이탈주민 등)를 만들어 운영했다.

개인정보보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정해 처리를 제한하고 있다. 예외적으로 정보 주체에게 별도로 동의를 받은 경우 등 적법한 근거가 있는 경우에만 처리할 수 있다.

그러나 메타는 민감정보를 수집·활용하면서도 데이터 정책에 불분명하게 기재만 하고 별도 동의를 받지 않았다. 추가적인 보호 조치를 취하지도 않았다.

아울러 메타는 개인정보 처리 기간, 제공 현황 등 이용자의 개인정보 열람 요구에 대해 개인정보보호법상 열람 요구 대상이 아니라는 등의 이유로 거절했다. 이에 대해 개인정보위는 정당한 사유가 없는 조치라고 판단했다. 개인정보보호법 시행령은 개인정보의 보유 및 이용 기간, 제공 현황, 개인정보 처리에 동의한 사실 및 내용을 열람 대상으로 정하고 있다.

한국 이용자 10명의 개인정보가 유출된 사실도 확인했다. 메타는 사용하지 않는 계정 복구 페이지를 제거하지 않았다. 이에 해커는 해당 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청했다. 메타는 위조 신분증에 대한 충분한 검증 절차 없이 이를 승인해 개인정보 유출로 이어졌다.

최유리 기자 yrchoi@asiae.co.kr