개인정보보호위원회는 ‘제18회 전체 회의’를 열고 개인정보 보호법을 위반한 메타에 216억 2320만원의 과징금·과태료와 시정명령을 부과하기로 의결했다고 5일 밝혔다.
개인정보위는 메타가 동의 없이 민감정보를 수집‧ 활용하는 행위를 인지하고, 관련 조사를 착수했다. 이 과정에서 메타가 정당한 사유 없이 개인정보 열람을 거절했다는 민원과 해킹으로 개인정보가 유출됐다는 신고도 접수돼 함께 조사를 진행했다.
개인정보위는 메타가 과거 페이스북 프로필을 통해 국내 이용자 약 98만 명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집했고, 이 정보들을 광고주에게 제공해 약 4000개 광고주가 이를 이용한 것으로 확인했다.
개인정보위의 보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정해 원칙적으로 처리를 제한하고 있다. 정보 주체에게 별도 동의를 받은 경우 등 적법 근거가 있는 경우에 한해서만 이를 처리할 수 있도록 규정하고 있다.
개인정보위는 메타가 이런 민감정보를 활용하면서도 ‘데이터 정책’에 불분명하게 기재만 하고, 별도 동의를 받지 않은 것으로 확인했다. 추가적인 보호조치를 취한 사실도 없었다.
개인정보위는 메타가 정당한 사유 없이 개인정보 열람 요구도 거절했다고 판단했다. 메타는 페이스북 이용자가 개인정보, 처리 기간 등에 대한 정보를 요청하면 보호법상 열람 요구 대상이 아니라는 이유로 거절했다. 그러나 보호법 시행령은 이러한 내용을 열람 대상으로 정하고 있다. 따라서 메타가 해당 열람 요구를 거절한 것은 정당한 사유가 아니라고 판단했다.
개인정보위는 메타가 서비스 중단 또는 관리되지 않는 홈페이지를 삭제‧차단 하는 등 안전조치도 실시하지 않았다고 지적했다. 이에 해커는 현재 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청했다. 메타는 위조 신분증에 대한 충분한 검증 절차 없이 이를 승인해 한국 이용자 10명의 개인정보가 유출되는 사고가 발생했다.
이은정 개인정보위 조사1과장은 “이번 조사‧처분은 글로벌 서비스를 운영하는 해외사업자도 우리 보호법을 준수해야 한다는 점을 각인했다는 데 의의가 있다”며 “앞으로도 글로벌 기업에 대한 차별 없는 보호법 적용을 통해 우리 국민의 개인정보보호에 최선을 다할 것”이라고 밝혔다.