사용자가 인스타그램으로 영상을 볼 때면, 인스타그램에 적용된 알고리즘도 사용자를 감시한다. 인스타그램 피드를 내려볼 때마다 신속하게 정보를 흡수하고는 사용자가 특별히 주목하는 바를 확인한다. 사용자가 인스타그램에 다시 접속하도록 유도하는 콘텐츠 외에도 사용자가 제품을 구매할 확률이 높은 광고도 보여주려는 목적이다.
메타는 자사 앱 전반에 걸쳐 사용자의 행동을 압축한 정보를 '활동'이라고 칭한다. 활동은 사용자의 SNS 게시글이나 댓글, 다른 사용자와 주고받는 암호화되지 않은 메시지, 사용하는 해시태그, 특정 콘텐츠나 영상 시청 소요 시간 등을 아우른다.
정보 압축 후에는 압축된 정보는 개인 정보를 대거 공개한다. 공개되는 정보에는 개인의 음악 취향부터 월경주기까지 포함될 수 있다. 노르웨이 프라이버시 감시 기구 데이터틸시넷(Datatilsynet) 대변인 토비아스 주딘(Tobias Judin)은 "메타 압축하는 데이터는 사용자의 온라인 행동 모두 담는다. 따라서 개인 관심사와 성향 등도 파악할 수 있다"라고 설명했다. 사용자의 온라인 활동 정보 사용자가 보는 광고 유형을 알리는 데 이용한다면, 행동 광고가 된다. 주딘 대변인은 "말 그대로 사용자의가 SNS 플랫폼에서 하는 모든 활동이 가록되고, 행동 광고를 제공할 목적으로 이용될 수 있다"라고 설명했다.
유럽 각국 법원에서는 지난 몇 년간 메타가 사용자에게 '예', '아니오'로 답변할 수 있는 명확한 동의를 구하지 않는다면, 광고 목적으로 개인 정보를 사용할 수 없다는 주장을 펼쳐왔다. 그러나 2023년 7월, 노르웨이는 한발 더 나아가 메타의 행동 광고 제공 관행을 '불법'이라고 판결했다. 노르웨이 데이터 감시 기구는 메타에 자국 내 행동 광고 금지 위협을 가하며, 메타가 광고 제공 방식을 변경하지 않는다면, 매일 과징금 10만 달러를 부과할 계획이라고 다짐했다. 행동 광고 금지는 8월 4일(현지 시각) 시행됐다. 시행 3일 전인 8월 1일(현지 시각), 메타가 1월에 게재했던 블로그 게시글을 업데이트하며, 노르웨이 당국의 결정을 따를 의사를 발표했다.
해당 게시글에는 "메타는 8월 1일 자로 유럽연합, 유럽경제지역(EEA), 스위스 사용자를 대상으로 행동 광고용 특정 데이터 사용 과정에 이용한 법적 기반을 '합당한 이익'에서 '합의'로 변경할 계획임을 선언한다"라고 명시되었다. 그러나 변경 사항을 적용할 시점이나 노르웨이는 특별히 언급되지 않았다. 메타는 와이어드의 추가 설명 요청에 응하지 않았다.
[사진=Freepik]
노르웨이는 메타의 블로그 게시글 내용을 자국 감시 기구의 승리 덕분이라고 본다. 주딘 대변인은 "메타는 결국, 자발적으로 변경 사항을 적용한다고 주장하지만, 매우 설득력이 없는 주장이다. 사용자에게 동의를 구한다면, 메타의 광고 매출 타격이 발생할 것이다. 게다가 과거 관행을 보면, 메타는 규제 당국이 강제하지 않을 때는 프라이버시를 위해 매출을 포기할 의지를 보인 적이 없었다"라고 지적했다. 메타의 2023년 2분기 광고 매출에서 유럽 여러 국가의 매출이 차지하는 비중은 약 1/4이었다.
행동 광고 제공 목적 데이터 수집과 관련하여 노르웨이가 가한 위협은 과감했다. 주딘 대변인은 "노르웨이는 일반적으로 사용자 데이터 수집과 같은 활동 처리 과정을 금지하지 않는다"라고 전했다. 그러나 노르웨이 감시 기구는 메타를 계속 성가시게 하는 새로운 규제 당국이 되었다. 2022년, 노르웨이 감시 기구는 프라이버시 전문 변호사 라인 콜(Line Coll)이 국장으로 취임하면서 신임 지도자를 맞이하게 되었다. 2023년 5월, 노르웨이 비즈니스 잡지 카피탈(Kapital)은 콜 국장이 프라이버시 보호 수준을 강화하고자 제재를 새로이 활용할 방안을 고려 중이라는 기사를 보도했다. 지금까지 콜 국장은 프라이버시 보호를 위한 제재 방안을 공개했다.
그러나 노르웨이 데이터 감시 당국의 명령은 메타가 유럽 전역의 개인 맞춤 광고 제공 방식을 변경할 각종 법적 문제에서 가장 큰 문제가 되었다.
노르웨이 당국의 명령에 따라 메타는 행동 광고 제공 시 사용자 동의가 필요하지 않다는 다른 법적 합리화 주장을 펼치려 했다. 사용자 동의 없는 데이터 수집 이후 행동 광고를 제공하는 관행이 법원 심문 쟁점이 되자 메타는 사용자 개인 정보 사용과 관련하여 '합당한 이익'을 주장했다. 이후 2023년 7월, 유럽연합 사법재판소는 사용자의 합의를 구하지 않는다면, 합당한 이익이 성립하지 않는다고 판결했다. 그리고 노르웨이의 항소는 단순히 메타의 불리한 상황이었다.
오스트리아 빈 소재 영향력이 큰 프라이버시 보호 운동 단체 NOYB 운영자인 막스 쉬렘스(Max Schrems)는 메타의 데이터 수집 전 사용자 합의 요청을 결정하게 된 실제 근본적인 원인이 2023년 1월 자로 선고된 유럽 데이터 보호 위원회(European Data Protection Board)의 판결과 6개월 뒤의 유럽연합 사법재판소 판결이라고 주장한다. 다만, 쉬렘스는 유럽연합이 아닌 EEA 회원국 노르웨이의 데이터 감시 기구가 메타의 유럽 내 테크 규정 준수를 위한 법률 강제 집행 목소리를 낸 사실에 주목했다. 이에, 쉬렘스는 "노르웨이는 행동 광고 제공 목적 데이터 수집 시 사용자에게 동의를 구해야 한다는 점을 법률로 강행하고자 한다. 다른 데이터 보호 규제 당국과는 큰 차이점이다"라고 분석했다.
쉬렘스는 메타가 유럽 사용자에게 데이터 수집 전 동의를 구할 것이라고 밝힌 사실 자체는 중요한 부분이 아니라고 본다. 그는 "유럽연합의 개인정보보호 규정(GDPR) 도입 후 사용자에게 데이터 수집 동의를 구하는 것이 법률이라는 사실을 이미 알고 있었다. 메타가 GDPR 도입 후 법률을 무시한 것이 더 놀랍다"라고 주장했다.
노르웨이의 상황을 다시 살펴보면, 주딘 대변인은 감시 기구가 메타의 사용자 대상 제공 광고에 개인 정보가 이용되는 방식을 더 자세히 선택하도록 한다는 점을 긍정적으로 본다고 전했다. 단, 메타가 사용자에게 데이터 수집을 합의하도록 서서히 유도하는 방식을 이용하지 않기를 바란다. 주딘 대변인은 "메타가 데이터 수집 시 사용자의 합의를 구한다는 변경 사항을 적용하는 방식을 더 면밀히 추적할 계획이다"라고 전했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202308/4932_6439_4736.jpg)
뉴스레터 신청