페이스북 이용자의 종교관·정치관 등 민감정보를 수집해 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 메타에 216억원의 과징금·과태료가 부과됐다. 메타는 과징금 300억여원을 부과받은 2022년에 이어 맞춤형 광고 이슈로 거액을 물게 됐다.

개인정보보호위원회는 지난 4일 전체회의를 열고 합법적인 처리 근거 없이 민감정보를 수집·활용한 메타에 대해 216억2320만원의 과징금·과태료와 시정명령을 부과하기로 의결했다고 5일 밝혔다.

개인정보위는 2020년 11월 위원회의 첫 제재였던 페이스북의 개인정보 무단 제공 관련 처분을 계기로 이번 조사에 착수했다. 메타가 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관·정치관, 동성결혼 여부 등 민감정보를 수집하고, 이러한 정보를 광고주에게 제공해 약 4000개 광고주가 이를 이용한 것을 확인했다. 메타는 이용자가 페이스북에서 ‘좋아요’를 누른 페이지, 클릭한 광고 등 행태정보를 분석해 이를 토대로 특정 종교, 동성애, 트랜스젠더, 북한이탈주민 등 각종 민감정보 관련 광고 주제를 만들어 운영했다.

개인정보보호법에선 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정해 처리를 제한하고 있으며, 동의를 받은 경우 등에만 처리할 수 있다. 하지만 메타는 이러한 정보를 수집해 맞춤 서비스에 활용하면서도 ‘데이터정책’에 불분명하게 기재하고 별도 동의를 받지 않았다. 추가적인 보호조치를 취한 사실도 없었다. 메타는 2021년 8월 프로필에서 민감정보 수집 행위를 중단하고, 2022년 3월에는 민감정보에 해당하는 광고 주제를 파기했다.

조사 과정에서 추가적인 위법 행위도 불거졌다. 메타는 이용자의 개인정보 열람 요구에 대해 개인정보보호법상 열람 요구 대상이 아니라는 이유로 거부했는데, 메타의 거절이 정당한 사유가 없다고 개인정보위는 판단됐다. 서비스가 중단되거나 관리되지 않는 홈페이지는 삭제·차단 조치를 해야 하는데, 관련 조치를 미흡하게 해 해커가 위조 신분증으로 한국 이용자 10명의 개인정보를 유출시킨 사실도 드러났다.

앞서 개인정보위는 2022년 9월 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 구글과 메타에 각각 692억원, 308억원의 역대 최대 과징금을 부과했다. 당시에는 이용자의 타사 행태정보를 수집·분석해 동의 없이 맞춤형 광고에 사용한 것이 문제가 됐다.

이 결정에 불복한 구글과 메타는 개인정보 수집 동의를 받아야 할 주체가 플랫폼 사업자인 자신들이 아니라, 웹사이트·앱 서비스 제공자라며 행정소송을 제기해 재판이 진행 중이다. 메타는 지난해 2월 개인정보 제공 강제 동의 관련 과태료 660만원, 같은 해 7월 추가로 이용자 정보 수집 관련으로 과징금 74억원을 부과받았는데 이들 사안도 법원 판단을 기다리고 있다.

개인정보위는 “이번 조사·처분은 글로벌 서비스를 운영하는 해외사업자도 한국 법에서 정하는 민감정보 처리 시 의무를 준수하고, 정보주체의 권리를 충분히 보장하도록 했다는 데 의의가 있다”며 “메타의 시정명령 이행 여부를 지속적으로 점검하고, 글로벌 기업에 대해서도 차별 없이 개인정보보호법을 적용해 나갈 것”이라고 밝혔다.

메타 측은 “의견서가 오면 면밀히 검토하겠다”는 입장을 전했다.