본문바로가기

개인정보 역대 최대 유출사건인 케임브리지 애널리티카(CA) 스캔들은 메타(구 페이스북)가 처리하던 사용자 개인정보 8700만개가 제3자 앱에 제공·판매되어 사용자 정치성향 분석 등에 사용된 사건으로, 최근까지 충격적인 사건으로 기억되고 있습니다.

 

CA스캔들이 알려지자 각국의 개인정보 감독기구는 메타에 강력한 처분을 내렸습니다. 그 내용을 살펴보면 미국 FTC는 역대 최고액인 50억 달러(한화 약 6조 원)의 벌금을, 영국 ICO는 법정 최고한도인 50만 파운드(한화 약 7억 원)의 벌금을 부과했습니다.

 

우리나라의 개인정보보호위원회 역시 메타를 상대로 CA스캔들과 관련한 시정명령 및 과징금 부과 처분을 내렸습니다. 해당 처분은 방송통신위원회 업무가 개인정보보호위원회로 통합된 이후 제1호 처분으로, 메타는 해당 시정명령 및 과징금 부과 처분이 부당하다며 반발하였고, 20231026일 서울 행정법원은 개인정보보호위원회의 처분이 정당하다는 판결을 내렸습니다.

 

서울행정법원 판결은 개인정보 감독 기구와 메타간 합의 등으로 종결된 사건을 제외하고 세계적으로 최초로 법원이 메타의 개인정보 제공 행위가 위법하다는 점을 확인해준 판결이라는 의미가 있습니다. 특히 해당 판결은 이미 공개된 개인정보의 활용에 대한 구체적 기준을 제시하였다는 법적 의미를 가진다 평가되고 있습니다.

 

메타는 제3자 앱이 페이스북 사용자 개인정보를 받을 수 있도록 Graph API를 개발·도입하였고, 3자 앱은 Graph API를 활용해 메타로부터 받을 개인정보 항목을 선택, 메타로부터 페이스북 사용자의 개인정보를 제공받았습니다.

 

이 과정에서 메타는 사용자에게 개인정보를 제공받는 자, 제공받는 자의 개인정보 이용 목적, 제공되는 항목, 제공받는 자의 개인정보 보유 및 이용기간의 법정 고지사항을 표시해 안내하거나 동의를 요청한 사실이 없습니다.

 

메타는 위와 같은 개인정보 제공 절차가 정보통신망법 제24조의2 1항이 적용되지 않는 이전이라고 주장하였으며, 이에 더해 제3자 앱에 제공된 사용자 개인정보가 이미 공개된 개인정보이므로 과거 로앤비 판결(대법원 2016. 8. 17. 선고 2014235080 판결)에 따라 사용자의 별도 동의없이 제3자 앱에 제공 가능하다고 주장했으나 우리 법원은 메타의 개인정보 제공을 위법한 제공으로 판단하였습니다.

 

서울 행정법원은 메타의 주장을 배척하며 개인정보보호법 취지에 따른 판단기준과 이익형량에 의한 판단기준을 모두 적용해 처리의 적법성을 따져야 하고, 정보주체의 동의가 있었다고 객관적으로 인정되는 범위를 판단함에 있어서 본래 동의를 구할 때 고지되는 4가지 법정 고지사항을 적극적으로 고려해서 판단해야 한다고 판단했고, 해당 정보주체의 공개 목적과 처리자의 처리 목적 사이의 동일성이 유지돼야 한다는 점을 명확히 했습니다.

 

법무법인 민후 김경환 변호사는 기고를 통해 메타 CA스캔들의 주요 내용과 이와 관련한 서울행정법원 판결의 기준 및 법적 의미 등을 상세히 설명했습니다.

 

기고 전문은 우측 상단의 [기사바로보기]를 통해 확인 가능합니다.

목록