개인정보보호위원회(이하 개인정보위)는 지난 26일 전체회의에서 적법한 동의 없이 이용자의 타사 행태정보를 수집해 맞춤형 광고 등에 이용한 메타 아일랜드와 인스타그램에 각각 65억1700만원과 8억8600만원의 과징금을 부과했다. 국내 이용자 600여명 개인정보를 다른 이용자에 노출한 챗GPT 운영사 오픈AI에는 신고 의무 위반으로 과태료 360만원이 부과됐다.
앞서 개인정보위는 지난해 9월 적법한 동의 없이 이용자의 타사 행태정보를 수집·이용한 메타에 과징금 및 시정명령을 부과하면서, 메타 아일랜드와 인스타그램에 대해서는 추가 조사를 진행하기로 했다.
개인정보위는 메타 아일랜드가 페이스북 계정 생성 시 작은 스크롤 화면을 통해 데이터 정책 전문을 보여주고 있어, 이용자가 타사 행태정보 수집 사실을 명확히 인지하고 동의했다고 보기 어렵다고 봤다. 인스타그램은 별도 동의 절차 없이 인스타그램 계정 생성 시 약관 및 개인정보 처리방침에 동의한 것으로 간주했고 그마저도 해당 개인정보 처리방침에는 타사 행태정보 관련 내용이 포함돼 있지 않았다는 설명이다.
더불어 이번 추가 조사에서 메타는 개발자(사업자)가 자신이 운영하는 웹사이트 및 애플리케이션(앱)에서 간편 로그인 기능을 제공하기 위해 페이스북 로그인을 설치하는 경우, 해당 기능과 관련 없는 타사 행태정보 수집 도구가 함께 설치되도록 한 것으로 나타났다. 이용자의 해당 웹사이트 또는 앱 내 행태정보는 메타로 전송‧수집됐다.
이와 관련 개인정보위는 메타가 페이스북 로그인을 통해 해당 정보가 전송·수집되는 사실을 사업자와 이용자 모두 알 수 없도록 하는 등 부정한 방법으로 개인정보를 취득한 것으로 보고 고발 여부를 검토했다. 이 과정에서 메타는 3개월 내에 해당 행위를 자진 시정하겠다고 공식 의견을 제출했다. 개인정보위는 법 위반 판단을 일시적으로 유보하고 자진 시정 기회를 부여하기로 했다.
이날 개인정보위로부터 과태료 부과 등 결정을 받은 미국 오픈AI는 올해 3월 20일 1~10시(현지시간) 챗GPT 유료 서비스에 접속한 전세계 이용자의 이름·이메일주소·결제지·신용카드 4자리와 만료일 등 개인정보를 다른 이용자에 노출시켰다. 여기에 한국인 687명(한국 IP 기준)이 포함됐다.
개인정보위는 오픈소스 기반 임시 저장소(캐시) 솔루션에서 미확인 오류가 발생한 것을 원인으로 판단, 오픈AI가 개인정보 보호 조치를 소홀히 했다고 보기 어려워 안전조치의무 위반으로는 처분하지 않았다. 다만 개인정보 노출을 인지한 후 24시간 내 신고하지 않은 신고 의무 위반에 대해 과태료 부과 처분을 내렸다.