프라이버시 이슈를 모아, 프리-뷰. 1. 올해 상반기, 해외에서 일어난 개인정보 주요 이슈와
2. EU GDPR 위반으로 구글・메타가 부과받은 과징금,
3. 각국 정부의 개인정보 규제 동향을 정리했어요. |
|
|
페이스북, 일리노이주 이용자 160만 명에게 1인당 397달러의 보상금 지급
페이스북이 개인 생체정보를 무단 수집·사용한 것에 대한 7년간의 소송이 드디어 끝났어요. 페이스북의 사진·동영상에서 얼굴을 자동으로 식별해 태그를 제안하는 기능이 일리노이 개인 생체정보 보호법(BIPA)를 위반했다며, 일리노이 주민 3명이 2015년에 시작해, 집단 소송으로까지 커진 소송이에요.
결과는 페이스북의 패! 전 세계적으로 안면 인식 기술에 대한 인식이 나빠지고, 소송도 길어지자 페이스북 측에서 거액의 합의금을 제안하며 물러난 거죠. 합의금 6억 5천만 달러 중 변호사 수임료 9천750만 달러를 제외한 금액은 전부 일리노이에 거주하였던 페이스북 이용자 160만 명에게 지급되었어요.
왜 일리노이 주민들만 주는 거야?
BIPA는 일리노이 주에서만 적용되기 때문이에요. 미국은 각 주(State)마다 지켜야 하는 법률을 따로 제정하기도 하는데, 현재 일리노이 주의 BIPA가 미국에서 가장 강력하게 생체 정보 이용을 규제하고 있어요. 개인이 소송을 제기할 수 있는 곳도 일리노이뿐이고요.
일리노이 '개인 생체정보 보호법' 주의보🚨
일리노이 개인 생체정보 보호법 위반 관련 소송으로 기업들이 줄줄이 합의금을 내놓고 있어요. 4월에는 구글이 1억 달러, 8월에는 스냅챗이 3500만 달러를 지급하겠다 밝혔어요. 마이크로소프트, 아마존도 BIPA 위반 혐의로 고발된 상태고요.
나는 일리노이 주에서 사업하는 거 아니니까 상관없어~🤷♀️
일리노이 주만 주의하면 된다는 생각은 금물. 생체 인식 기술이 점점 보편화되는 만큼 관련 규제에 대한 논의가 전 세계적으로 이뤄지고 있어요. 사람들의 개인정보 보호에 대한 인식도 강화되고 있어, 생체정보를 사용하는 기업은 특히 주의가 필요해요.
|
|
|
트위터 끊이지 않는 개인정보 이슈… 이번엔 임원의 내부 고발까지
트위터의 개인정보 보안에 심각한 결함이 있다는 내부 고발이 나왔어요. 트위터의 전 보안책임자가 84쪽이나 되는 보고서를 통해 문제점을 고발한 거예요. 보고서에는 ‘직원 절반 이상이 이용자의 개인정보 열람 가능’, ‘탈퇴 후에도 개인정보를 삭제하지 않음’, ‘직원 절반이 구식 서버 사용’ 등의 글로벌기업의 보안 정책이라곤 믿을 수 없는 내용들이 담겼어요.
더 문제가 된 이유는…
트위터는 올해만 해도 5월에 이용자의 개인정보를 7년간 무단으로 광고에 사용한 건에 대해 과징금 1억 5천만 달러를 받았으며, 8월에는 540만 계정 정보가 유출되는 사건도 겪었어요.
2009년 버락 오바마 전 미국 대통령을 포함한 다수의 계정이 해킹된 이후, 트위터는 2011년에 미 연방거래위원회(FTC)와 향후 20년간 개인정보 보호를 위한 노력을 강화하겠다는 합의를 했었어요. 만약 고발 내용이 사실이라면 트위터는 오래도록 이 약속을 지키지 않은 것이니, 더 큰 책임을 면하기 어려울 거예요. |
|
|
7760만 명 개인정보 유출한 미국 T-모바일, 합의금 5억 달러 지급
미국 대형 통신사 T-모바일이 개인정보 유출 사고와 관련한 소송에서 사용자에게 3.5억 달러, 보안 강화 비용으로 1.5억 달러를 지급하기로 합의했어요. T-모바일은 2021년 사이버 공격으로 인해 7760만 명이라는 수많은 이용자의 개인정보가 유출되는 사고를 겪었는데요. 이전 4년 동안 데이터 유출 사고가 4번이나 발생했던 T-모바일에서 또다시 대규모 정보를 유출한 사건이었던 만큼, 길게 소송을 이어가지 않고 합의를 통해 빠르게 소송을 끝낸 것으로 보여요. |
|
|
삼성전자, 미국에서 고객 개인정보 유출로 인한 집단소송
삼성전자는 올해 3월과 7월 두 번이나 해킹으로 인해 고객 개인정보가 유출되었는데요, 이에 대해 미국의 한 소비자가 삼성전자 미국법인을 상대로 집단소송을 제기했어요. 삼성전자가 해킹 사실 확인 후 공지까지 한 달이나 소요됐다는 점에서 책임을 피할 수 없을 것으로 보여요. 개인정보에 관한 관심이 높아지고 미국에서도 관련 소송이 이어지고 있는 만큼, 미국에 진출한 다른 기업들도 주의가 필요해요. |
|
|
올해 GDPR 위반으로 과징금을 부과 받은 기업 중 단연 주목할 곳은 빅테크기업, 구글(Google)과 메타(Meta)에요. 각국에서 이들에게 왜 이렇게 높은 벌금을 부과했는지, 그 이유를 프리-뷰가 짧게 정리해 봤어요.
🇫🇷 프랑스 : [구글] 쿠키 수집 과정에서 다크 패턴 사용(쿠키 수집 허용 유도)
🇪🇸 스페인 : [구글] 고객의 잊혀질 권리 침해(개인정보 삭제 요청에도 데이터 미삭제)
🇮🇪 아일랜드
- [페이스북] 개인정보 보호를 위한 보안 조치 미흡
- [인스타그램] 아동 개인정보 보호 조치 미흡(아동 개인정보 공개 자동 설정)
|
|
|
한국에서도 온라인 플랫폼 제재에 칼을 빼들었다고 👀
한국에서도 최근 두 기업에게 과징금을 부과했죠. 개인정보보호위원회가 구글에 692억 원, 메타에 308억 원의 벌금을 부과했어요. 구글과 메타가 자신의 플랫폼과 타사 사이트 방문 시 생성된 행태정보를 이용자의 동의 없이 수집하여 광고에 활용했기 때문이에요. 이는 지금까지 한국에서 개인정보 보호법 위반으로 내려진 과징금 중 가장 큰 금액이에요. |
|
|
국회 통과를 앞두고 있는 개인정보 보호법 개정안에는, '개인정보 처리방침 평가제 도입'의 내용도 함께 담겨있는데요. 현재 구독자님 회사의 개인정보 처리방침은 어떻게 관리 중이신가요? 몇 년 전에 만들어만 두고 까맣게 잊고 계신 건 아닌가요? 서비스가 변경되었다면, 처리방침도 당연히 바꿔야 한다는 사실!
미뤄뒀던 개인정보 처리방침 업데이트, 이제 간편하게 플립하세요! |
|
|
EU 디지털서비스법(Digital Services Act) 제정 합의
온라인 광고와 유해 콘텐츠를 차단하도록 온라인 플랫폼 기업에 책임을 부과하는 디지털서비스법이 EU 의회에서 합의되어, 2024년부터 시행될 예정이에요. 위반 시에는 전 세계 매출액의 6%까지 과징금으로 부과될 수 있어요. 규제 대상은 유럽 내에 서비스를 제공하는 기업으로 한정되지만, GDPR처럼 전 세계적으로 영향력을 끼칠 수 있으니, 국내 기업도 계속 관심을 기울일 필요가 있어요.
[ 법안 주요 내용 ]
- 마약·테러·성 착취물 등 불법 콘텐츠 식별 및 삭제
- 콘텐츠 추천 시스템의 알고리즘 설계 방식 설명 의무
- 다크패턴 광고와 어린이를 대상으로 한 광고 금지
- 인종·성별·종교 등 민감한 개인정보를 활용한 타겟 광고 금지
- 광고 콘텐츠임을 명확히 명시
|
|
|
GDPR 과징금 산정에 관한 가이드라인 발행
EU 개인정보보호이사회(EDPB)가 GDPR 위반 시 과징금 산정을 위한 새로운 가이드라인 초안을 발행했어요. 이전에는 GDPR 83조에 따라 언제 벌금을 부과해야 하는지 일반 원칙만 제시한 반면, 이번 가이드라인에서는 5단계 방법론을 통해 상세히 안내하고 있어요. |
|
|
미-EU 데이터 전송 관련 협약 체결…데이터 전송 가능
|
|
|
미국 연방 개인정보 보호법(ADPPA) 하원 통과
미국 연방 차원의 개인정보보호법(American Data Privacy and Protection Act)이 하원에서 통과됐어요. 현재 미국은 개별 분야별 혹은 주(State)에서만 규율하는 법률이 존재할 뿐, 미국 전체적으로 적용되는 개인정보 보호법이 없는 상태에요. 그래서 한국의 개인정보 보호법이나 유럽의 GDPR을 참고하여 기업이 자율적으로 방침을 세워야 했지만, ADPPA가 제정되고 나면 이제 구체적인 방침을 따라야 하는 거죠. 상원 통과까지는 시간이 걸리겠지만, 미리 내용을 살펴보고 준비해야 해요. |
|
|
|
