다소 늦은 감이 있지만, 개인정보보호위원회에서 작년 1월에 공개한 ‘맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안’(이하 정책 방안이라 함)을 읽고 참고할만한 내용을 요약해본다.
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9888
개인정보보호위원회
맞춤형 광고에 쓰이는 “행태정보” 처리, 적법성과 투명성 높인다- 개인정보위, 「맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안」 발표- 광고 사업자 및 광고 매체 사업자의
www.pipc.go.kr
정책 방안 문서에 작년 4분기 온라인 맞춤형 광고 가이드라인 개정을 추진하겠단 언급이 있으나 현재 개정본을 공개하진 않은 상태이고, 개정본 공개 시 가이드라인을 다시 읽어봐야 하는 번거로움이 남아 있는 상태긴 하다.
행태정보 처리가 항상 개인정보 처리를 의미하진 않아 개인정보 보호법의 규제 밖에 있는 경우가 있기 때문에 필수 보다는 권고적 성격의 내용이 많이 포함되어 있으나 행태정보 처리자에게 보호 기준을 제공했다는데 의의가 있다고 생각한다. 이는 기존 온라인 맞춤형 광고 가이드라인도 동일했고, 많은 사업자 들은 해당 가이드 라인의 내용을 자율적으로 준수해 왔다.
1. 목적
비즈니스 관점에서 행태정보의 중요성이 높아지고 있고 행태정보 기반 프로파일링 수행으로 인한 사생활 파악 등 행태정보 보호의 중요성과 처리 위험성이 높아지고 있으나 관련 규율체계가 미흡한 상황이라 온라인 행태정보 처리 기준을 제시함으로써 광고 플랫폼 기업의 법적 불확실성 해소방안을 제공하고, 이용자의 행태정보 인식 제고 및 권리행사 보장을 지원하기 위함
2. 중요 용어
행태정보: 웹 사이트·앱 방문 이력, 구매·검색 이력 등 개인의 관심·흥미·기호·성향 등을 추론하거나 분석할 수 있는 온라인 활동 정보
- 온라인 식별자: 행태정보 수집 과정에서 이용자나 이용자의 기기를 특정하기 위해 부여한 식별자를 의미하며, 모바일에서는 보통 GAID(Google Advertising ID)나 IDFA(ID For Advertising)을, PC에서는 주로 쿠키를 활용
- 당사자 광고: 자사 또는 타사 사이트에서 직접 수집한 행태정보를 활용해 자사 사이트 이용자에게 맞춤형 광고 제공
제3자 광고 광고 사업자가 여러 사이트에서 행태정보를 수집해 임의의 사이트 이용자에게 맞춤형 광고 제공:
- 이용자 식별 기반의 행태정보 처리: 플랫폼이 로그인한 이용자 기기에 이용자를 식별할 수 있는 쿠키나 토큰을 생성하여 행태정보를 처리하는 경우로 이용자 식별자를 매개로 플랫폼 회원정보와 결합 가능하므로 개인정보 처리로 봄
기기 식별 기반의 행태정보 처리: 플랫폼에 접속한 기기를 기준으로 임의의 번호나 부호를 식별자로 부여하여 개인을 식별하지 못하는 상태로 다른 기기와 구별만 가능한 상태에서 행태정보를 처리하는 경우. 누적·축적 수집된 행태정보 중 개인을 식별할 수 있는 정보가 포함되거나 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있다면, 개인정보로 볼 수 있어 기기 식별 기반의 행태정보 처리가 항상 개인정보 처리가 아니라고 생각해서는 안됨
- 맞춤형 광고: 행태정보를 처리하여 이용자의 관심, 흥미, 기호 및 성향 등을 분석·추정한 후 이용자에게 맞춤형으로 제공되는 온라인 광고(예: SNS 사업자가 게시글 사이에 자사 또는 타사의 광고를 보여주는 경우)
맞춤형 정보추천: 행태정보를 처리하여 이용자의 관심, 흥미, 기호 및 성향 등을 분석·추정한 후 이용자에게 맞춤형으로 제공되는 온라인 추천. 사업자의 본질적인 서비스와 동일하고 이용자가 합리적으로 예측 가능한 정보여야 함(예: OTT 사업자가 개인의 영화 시청 이력을 분석하여 다른 영화를 추천하는 경우)
3. 국내·외 법적 규율체계
3.1 국내
개인정보보호법, 온라인 맞춤형 광고 개인정보 보호 가이드라인
3.2 EU
GDPR, e-Privacy Directive, EDAA(European Interactive Digital Advertisin Alliance), DMA(Digital Markets Act), DSA(Digital Services Act)
3.3 미국
FTC(Federal Trade Commission)의 행태정보 기반 온라인 광고에 대한 자율규제 원칙, DAA(Digital Advertising Alliance)의 FTC 원칙에 따른 산업계가 지켜야 할 자율규제 원칙, CPRA(California Privacy Rights Act)
3.4 일본
개인정보보호법, 전기통신사업법(Telecommunications Business Act)
4. 맞춤형 광고 관련 생태계의 문제
맞춤형 광고 생태계는 이해관계가 다른 다양한 참여자로 구성되어 있어 여러 문제점이 발생하고 있음
- 이용자 : 웹·앱을 방문하고 검색하는 등 활동 과정에서 행태정보 생성
- 웹·앱 사업자(광고 매체 사업자) : 자사 웹·앱의 일부 공간을 맞춤형 광고 공간으로 제공하고 광고 사업자가 자신의 매체를 통해 행태정보를 처리할 수 있도록 허용
- 광고주 : 광고 사업자를 통해 이용자에게 맞춤형 광고가 이루어지도록 요청
- 광고 사업자 : 자사 또는 타사의 웹·앱을 통해 행태정보를 처리하고 임의의 웹·앱에 맞춤형 광고를 전송
1) 광범위한 트래킹 행위 발생
서울대 전기정보공학부 연구실에서 이용자 수 기준 상위 100개 웹·앱을 대상으로 조사한 결과,
- 90개 웹에 제3자 쿠키 설치, 제3자 쿠키 개수 상위 10개 사이트는 평균 300여개
- 64개 앱이 ADID를 서버로 전송, 평균 4.1개의 서버 도메인으로 ADID 전송
2) 전통적 광고시장과 달리 정형적인 시장 구조 및 거래 흐름이 없어 시장 파악이 어렵고 행태정보 처리과정이 외부에 드러나지 않아 불투명
3) 이용자가 행태정보 처리에 관해 쉽게 이해할 수 있도록 설명하는 안내가 없어 이용자의 인식 부족 초래 및 정보주체의 권리행사 방해
4) 웹·앱 사업자, 광고 사업자, 이용자 등의 이해관계가 모두 상이해 보호조치 합의 어려움
5) 맞춤형 광고 서비스 형태, 행태정보 수집·처리 방식의 복잡성으로 모든 문제상황에 대응하는 행태정보 보호조치 마련 곤란
6) 행태정보의 안전한 처리를 공동으로 논의할 기관 및 제도가 부재한 상황
7) 기술발전 속도가 매우 빨라 맞춤형 광고 환경 변화에 유연히 대응하면서 현실에 적합한 행태정보 보호 방안을 담은 법·제도 개선 추진 어려움
5. 주요 법적 쟁점
5.1 개인정보 보호법은 개인정보처리자가 주된 규율 대상이라 누가 개인정보처리자인지 명확하게 규명해야 할 필요가 있음
행태정보 처리 과정에서 개인식별정보를 수집하거나 이를 행태정보와 결합하여 이용하는 자가 개인정보처리자에 해당
당사자 광고: 행태정보를 직접 수집·활용해 자사 웹·앱 이용자 대상 맞춤형 광고를 하는 웹·앱 사업자가 개인정보처리자에 해당
제3자 광고: 여러 웹·앱에서 행태정보를 수집·활용해 임의의 사이트에서 맞춤형 광고를 하는 광고 사업자가 개인정보처리자에 해당
5.2 웹·앱 사업자가 행태정보를 직접 수집·이용하지 않더라도 행태정보 처리에 관해 역할과 책임이 부여되어야 하는지 검토할 필요가 있음
웹·앱이 행태정보 수집대상인 이용자와의 접점이고 수집도구 설치 등 행태정보 처리에 부분적으로 관여하는 점을 이유로 책임 있는 의무 이행 필요가 있음
해외의 경우 여러 명의 컨트롤러가 공동으로 처리의 목적과 방법을 결정하는 경우 공동 컨트롤러 정의에 따라 광고 사업자와 웹·앱 사업자가 상호 협의 하에 책임을 부담
개인정보보호법에서 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항을 개인정보처리방침에 공개해야 함을 규정하고 있기 때문에 자신의 웹·앱에서 직접 수집하는 행태정보뿐 아니라 해당 웹·앱에서 수집도구를 통해 제3자가 수집해가는 행태정보에 대하여도 관련 사항을 투명하고 구체적으로 공개할 필요가 있음
6. 이해관계자 별 역할과 책임 명확화
6.1 광고사업자, 웹·앱 사업자(직접 행태정보를 수집하는 경우)
개인을 식별하여 행태정보를 처리할 경우 개인정보 보호법 상 의무 준수 필요
- 적법한 수집 요건을 갖추고 선택 동의가 근거인 경우 미동의 시에도 서비스 제공 거부 불가
- 처리정지, 동의철회 기능 제공
개인을 식별하지 않고 행태정보를 처리할 경우 아래의 의무·권고사항 이행 필요
| 의무 | 권고 |
| 개인정보와 행태정보 처리시스템을 분리·운영하고 결합 매칭키가 없도록 해야함 | 개인을 식별할 가능성이 없는 행태정보라도 처리사실을 개인정보처리방침에 공개 |
| 행태정보에 개인정보를 포함하지 말고 온라인 식별자에 개인을 식별할 가능성이 높은 정보를 사용해선 안됨 | 맞춤형 광고에 ⓘ표시를 하고 ⓘ클릭 시 행태정보 처리 사실을 구체적으로 안내 어떤 내용을 어떻게 안내해야 한다는 언급은 없으나, ⓘ클릭 시 개인정보 처리방침으로 연결되게 구성하고 개인정보 처리방침 작성지침의 내용을 준용해 안내하면 될 것으로 판단함(붙임 1 참고) 수집하는 행태정보 항목, 행태정보 수집 방법, 행태정보 수집 목적, 보유·이용기간, 거부방법, 제공받는 사업자, 제공하는 행태정보 항목, 행태정보 제공목적, 제공받는 자의 보유이용기간 자동 수집 장치를 설치・운영하는 경우 작성 예시2 넣자. |
| ⓘ클릭 시 맞춤형 광고 및 행태정보 처리에 관한 거부를 할 수 있는 기능으로의 링크를 제공해 사후 통제권 부여 | |
| 행태정보의 누적·축적·수집 및 행태정보 간 결합으로 인한 식별 가능성을 방지하기 위해 필요 최소한의 기간 동안만 보관·관리 | |
| 행태정보 취급자 대상 교육, 행태정보의 개인 식별 가능성을 주기적으로 점검 | |
| (동의를 근거로) 만 14세미만 아동의 행태정보와 개인 식별정보를 결합해 맞춤형 광고를 제공할 경우 법정 대리인 동의 획득 | 개인이 식별되지 않더라도 이용자가 만 14세 미만 아동임을 알고 있거나 아동을 주 이용자로 하는 서비스를 운영하는 경우 맞춤형 광고 목적으로 행태정보를 처리하지 않아야 함 |
6.2 웹·앱 사업자(제3자가 수집도구를 통해 행태정보를 수집할 수 있도록 허용하는 경우)
행태정보를 수집 대상인 이용자와의 접점이고 수집 도구 설치 등 실제 행태정보 처리에 부분적으로 관여하고 있기 때문에 책임 있는 역할 수행 필요
| 의무 | 권고 |
| 없음 | 제3자가 수집해가는 행태정보에 대해서도 웹·앱별로 분리하여 개인정보처리방침에 안내 수집도구 명칭, 수집해가는 사업자, 수집도구 종류(유형), 수집해가는 행태정보 항목, 수집해가는 목적, 거부방법(붙임 2 참고) |
| CPO는 웹·앱에 설치된 행태정보 수집도구의 현황을 주기적으로 파악해 목적이 달성되었거나 이용자 권리침해 우려가 큰 수집도구 삭제 | |
| 웹·앱의 주 이용자가 만 14세 미만 아동인 경우 맞춤형 광고 목적으로 아동의 행태 정보 수집도구를 설치하지 않아야 함 |
붙임 1(출처 : 개인정보 처리방침 작성지침)
붙임 2 (출처 : 개인정보 처리방침 작성지침)
'(개인)정보보호 동향' 카테고리의 다른 글
| 2025년 지방기능경기대회 기술위원(심사장, 심사위원) 공개모집 (0) | 2025.02.15 |
|---|---|
| [자료] 개인정보 질의 응답 모음집 (3) | 2025.01.03 |
| 다이렉트 자동차보험 판매 12개 손해보험사 개인정보 보호법 위반으로 처분 (0) | 2024.12.19 |
| [자료] 자동화된 결정에 대한 정보주체의 권리 안내서 (3) | 2024.12.17 |
| [자료] 개인정보의 안전성 확보조치 기준 안내서(2024.10.) (12) | 2024.11.05 |
