개인정보보호 법규 위반행위에 대한 시정조치 등에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 시정조치를 명한다. 가. 피심인은 이용자의 타사 행태정보를 수집ㆍ이용하려면 이용자가 자유로운 결정권을 행사하고 쉽고 명확하게 인지할 수 있도록 이용자에게 알리고 동의를 받아야 한다. 나. 위 가의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 90일 이내에 이행결과를 개인정보보호위원회에 제출하여야 한다. 2. 피심인에 대하여 다음과 같이 과징금을 부과한다. 가. 과 징 금 : 69,241,000,000원 나. 납부기한 : 고지서에 명시된 납부기한 이내 다. 납부장소 : 한국은행 국고수납 대리점 3. 피심인의 법 위반행위 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.

이유

Ⅰ. 조사 개요 가. 조사 배경 언론보도, 국정감사 지적 등을 계기로 온라인 맞춤형 광고 플랫폼(각주:행태정보 수집 도구를 제작ㆍ배포하여 자사 또는 타사의 웹ㆍ앱을 사용한 행태정보를 수집하고 맞춤형 광고를 전송하는 자) 이 이용자(서비스 가입자)의 타사 웹사이트 및 앱을 사용한 행태정보(각주:웹ㆍ앱 방문ㆍ사용 이력, 구매ㆍ검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 활동정보) 를 수집하여 맞춤형 광고 등에 활용한 실태를 조사하였다. <img src="/LSW/flDownload.do?flSeq=124485893" alt="1번째 이미지"></img> 나. 피심인 현황 Google Limited Liability Company(이하 '피심인’)는 영리를 목적으로 정보통신망을 통해 구글 검색, 유튜브, 지도 등 서비스를 제공하고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 '정보통신망법’) 제2조 제1항 제3호에 따른 정보통신서비스 제공자이며, 「개인정보 보호법」(이하 '보호법’)에 따른 개인정보처리자로서 일반현황과 매출액은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=124485921" alt="2번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485945" alt="3번째 이미지"></img> 피심인은 구글 검색 등 서비스를 제공하고 있으며, 2021년 10월 31일 기준으로 피심인이 제공하는 서비스의 월간 활성 한국 이용자 계정 수는 개(각주:2021년 10월 4일부터 10월 31일까지 최소 1회 이상 활성화된 한국 계정의 수(2022.8.19. 답변)) 이다. 2019년 ~ 2021년까지 연도별 Google 서비스의 전체 월간 활성 이용자 중 한국 이용자 비율은 아래와 같다. <img src="/LSW/flDownload.do?flSeq=124485971" alt="4번째 이미지"></img> Ⅱ. 사실조사 결과 1. 서비스 제공 주체 및 행태정보 수집 도구(각주:이용자의 행태정보를 수집하기 위해 플랫폼이 제작ㆍ배포한 개발 도구로 픽셀(웹), SDK(앱), 애널리틱스 등이 있으며, 맞춤형 광고가 노출되는 배너 등도 행태정보 수집 도구에 해당할 수 있음) 현황 피심인은 한국에서 이용자에게 구글 검색, 유튜브, 지도 등 서비스를 제공하는 당사자이다.

피심인은 Adsense 및 AdMob, AdManager, 애널리틱스 등의 행태정보 수집 도구를 제작하여 사업자(각주:자사 웹사이트 및 앱 사용자의 행태정보가 플랫폼에 수집되도록, 플랫폼이 배포한 행태정보 수집 도구를 사용하는 사업자(온라인 쇼핑몰, 미디어 등)) 에게 제작ㆍ배포하고 있으며, 사용 목적에 따라 아래와 같이 구분된다. <img src="/LSW/flDownload.do?flSeq=124486007" alt="5번째 이미지"></img> 2. 타사 행태정보를 수집하기 위해 사용하는 식별자 웹브라우저에서 피심인은 이용자 식별 또는 기기 식별 목적에 따라 'DSID’, 'SID’ 및 'IDE’, 'ANID’, '_gads’, '_gac’ 등의 쿠키 식별자를 사용하고 있다. 피심인은, 'DSID’, 'SID’ 쿠키는 이용자 식별 쿠키(각주:플랫폼이 이용자를 식별하고 로그인 상태를 유지하기 위해 사용하는 식별자) 로, Google 계정에 로그인한 이용자들이 Google 이외의 사이트를 방문했을 때 이들을 식별하고, 광고 개인 최적화에 대한 동의 여부를 기억하는 목적으로 사용한다고 답변하였다. 'IDE’, 'ANID’는 기기 식별 쿠키(각주:플랫폼이 기기를 식별하기 위해 웹브라우저의 쿠키 내에 생성하는 식별자) 로, Google 이외의 사이트에서 동일 웹브라우저를 사용하는 이용자에게 Google 광고를 게시하기 위한 목적으로 사용하고 있으며, <img src="/LSW/flDownload.do?flSeq=124486043" alt="6번째 이미지"></img> '_gads’, '_gac’는 Google 이외의 사이트의 도메인에 해당 쿠키가 설정되고, 해당 웹사이트에서 개인 맞춤 광고를 게재('_gads’)하거나, Google 애널리틱스에서 생성되어 광고주가 사용자의 활동 및 광고 실적을 측정('_gac’)한다고 설명하고 있다. <img src="/LSW/flDownload.do?flSeq=124486073" alt="7번째 이미지"></img> 모바일에서는 이용자 식별 또는 기기 식별 목적에 따라 '이용자 식별 토큰’ 및 '모바일 광고 식별자’(각주:이용자의 모바일 기기(스마트폰OS)에 부여된 식별자(Android : ADID, iOS : IDFA)로 이용자가 변경할 수 있음) 를 사용하고 있다.

'이용자 식별 토큰’은 모바일(Android) 기기에서 Google 계정으로 로그인하는 경우 해당 기기에 자동으로 생성되며, 피심인이 기기에서 이용자의 활동을 관리하고, 로그아웃할 때까지 이용자를 식별하고 기억할 수 있도록 생성한 특정한 값이다. '모바일 광고 식별자’는 모바일 앱과 같이 쿠키 기술을 사용할 수 없는 서비스에 광고를 게재하기 위해 사용하는 광고 아이디로, 'IDE’ 또는 'ANID’와 유사한 기능(기기 식별 및 광고 등)을 수행한다. 3. 행태정보 수집 도구를 통해 식별자 및 이용자의 타사 행태정보를 수집하는 목적 피심인은 Google 서비스(검색, 유튜브, 지도 등), 피심인과 파트너(제3자 사업자) 관계를 맺은 웹사이트 및 앱에서의 맞춤형 광고 게재 등을 위해 이용자의 타사 행태정보를 수집하고 있다. 피심인은 답변하였다. <img src="/LSW/flDownload.do?flSeq=124486081" alt="8번째 이미지"></img> 피심인은 답변하였다. <img src="/LSW/flDownload.do?flSeq=124486083" alt="9번째 이미지"></img> 피심인은 이용자가 Google 계정에 로그인된 상태로 Google 서비스와 Google 이외의 웹사이트 및 앱에서 활동한 내역을 바탕으로 해당 이용자의 관심분야를 추정한다고 공개하고 있다. <img src="/LSW/flDownload.do?flSeq=124485895" alt="10번째 이미지"></img> 피심인은 이용자의 연령대, 성별 등 계정정보와 위치정보, 활동정보(현재 검색어, 이전 검색 활동, Google에 로그인한 상태에서 이루어진 활동, 광고와의 이전 상호작용, 방문하는 웹사이트의 유형, 기기에서의 모바일 앱 활동 유형, 다른 기기에서의 활동), 기타 정보(시간대, 이메일 주소로 뉴스레터에 가입했는지 여부 등 광고주에게 제공한 정보)를 사용하여 맞춤형 광고를 표시하고 있다. 4. 행태정보 수집 도구를 통해 이용자의 타사 행태정보를 수집한 기간 및 그 수 피심인은 부터 현재까지 AdSense 등 행태정보 수집 도구를 배포하고 있으며, 이를 사용하고 있는 사업자 현황은 아래와 같다. <img src="/LSW/flDownload.do?flSeq=124485897" alt="11번째 이미지"></img>

피심인은 제3자인 사업자에게 배포한 행태정보 수집 도구를 통해 수집된 타사 행태정보를 적어도 ’16. 6월부터 Google 서비스에 가입한 이용자 계정에 결합하여 맞춤형 광고 등에 이용하고 있다.(각주:피심인은 자료제출 요구에 대한 답변서 및 사전통지에 대한 의견서에서 타사 행태정보를 이용자 계정에 결합한 시점은 “웹 및 앱 활동” 설정을 도입한 시점인 ’16. 6월이라고 답변하였음) 피심인은 AdSense 등 행태정보 수집 도구를 통해 이용자의 타사 행태정보를 수집하고 있으며, 타사 행태정보가 결합 되도록 설정된 한국 이용자 계정의 수는 개라고 답변하였다.(각주:2021년 10월 4일부터 10월 31일까지 최소 1회 이상 활성화된 한국 계정의 수를 기준으로 확인하였다고 답변) <img src="/LSW/flDownload.do?flSeq=124485899" alt="12번째 이미지"></img> 5. Google 서비스에서 확인 가능한 이용자의 타사 행태정보 관련 내용 피심인은 ’15년경까지 이용자가 Google 계정을 생성하는 과정에서 “개인정보 수집항목ㆍ이용목적ㆍ보유기간에 동의합니다.”의 링크를 누르는 경우에는 “한국 거주자를 위한 개인정보 관련 추가 정보” 화면이 나타나도록 했으며, 해당 내용에는 이용자의 온라인 활동기록인 제3자 웹사이트 및 앱에서의 이용자 행태정보를 수집할 수 있다는 내용은 포함되어 있지 않고, 기타 Google이 수집ㆍ이용하는 개인정보 항목은 개인정보 처리방침을 참고하라고 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124485901" alt="13번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485903" alt="14번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485907" alt="15번째 이미지"></img> 피심인은 ’16년경부터 계정을 생성하는 과정에서 “개인정보 보호 및 약관” 화면이 나타나도록 하였으며, “사용자가 Google 서비스(예: 광고, 애널리틱스, YouTube 동영상 플레이어)를 사용하는 앱 또는 사이트를 사용하는 경우”에도 “사용자의 활동에 관한 정보(예: 시청한 동영상, 기기 ID, IP 주소, 쿠키 데이터, 위치)”를 처리한다고 표시하고 있다.

<img src="/LSW/flDownload.do?flSeq=124485871" alt="16번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485911" alt="17번째 이미지"></img> 피심인은 ’16. 6. “Chrome 브라우징 기록과 Google 서비스를 사용하는 웹사이트 및 앱의 활동 포함” 설정을 도입하였으며, 이용자는 Google 계정 화면의 “데이터 및 개인 정보 보호”에서 “웹 및 앱 활동”을 선택, “활동 제어” 화면에 접속하여 피심인이 이용자의 타사 행태정보를 저장하지 않도록 설정할 수 있었다. <img src="/LSW/flDownload.do?flSeq=124485915" alt="18번째 이미지"></img> 피심인은 ’18. 4.부터 계정을 생성하는 과정에서 나타나는 “개인정보 보호 및 약관” 화면의 “옵션 더보기∨”를 누르는 경우, “웹 및 앱 활동”(행태정보 수집 설정) 및 “광고 개인 최적화”(맞춤형 광고 수신 설정) 설정이 나타나도록 하였으며, 해당 설정에서 “Google 계정에 웹 및 앱 활동 저장”과 “개인 맞춤 광고 표시”를 기본 값으로 선택해 놓았고, 이 설정이 유지되는 경우 피심인은 이용자의 타사 행태정보를 수집ㆍ저장하여 맞춤형 광고 등에 활용하였다. <img src="/LSW/flDownload.do?flSeq=124485917" alt="19번째 이미지"></img> 또한, 피심인은 이용자가 로그인한 이후 “Google 계정 관리” → “데이터 및 개인 정보 보호” → “기록 설정”의 “웹 및 앱 활동”을 누르면 나타나는 “활동 제어” 화면에서 “웹 및 앱 활동”의 “하위 설정”의 “Chrome 방문 기록 및 Google 서비스를 사용하는 사이트, 앱, 기기에서 이루어진 활동 포함”(타사 행태정보 수집 설정)을 기본으로 선택해 놓고 있으며, 이를 해제하려고 하면, “사용 중인 앱과 사이트를 바탕으로 유용한 추천이 표시되지 않을 수 있습니다.”라는 내용이 포함된 화면이 나타나도록 하고 있다. <img src="/LSW/flDownload.do?flSeq=124485919" alt="20번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485923" alt="21번째 이미지"></img>

피심인은 Google 서비스를 이용하는 한국 이용자 계정 중 “웹 및 앱 활동”이 허용으로 설정된 계정은 개, “광고 개인 최적화”가 허용으로 설정된 계정은 개라고 답변하였다. <img src="/LSW/flDownload.do?flSeq=124485925" alt="22번째 이미지"></img> 6. 타사 행태정보 수집ㆍ이용 절차 <구글 서비스에 가입한 이용자의 타사 행태정보 수집ㆍ이용 흐름도> <img src="/LSW/flDownload.do?flSeq=124485927" alt="23번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485929" alt="24번째 이미지"></img> 7. 피심인이 수집하는 타사 행태정보 타사 행태정보는 Google 서비스 이용자가 피심인의 행태정보 수집 도구가 설치된 웹사이트 및 앱을 방문하여 서비스를 사용하는 과정에서 자동으로 수집되는 정보이며, 아래와 같은 형태로 수집된다. <img src="/LSW/flDownload.do?flSeq=124485875" alt="25번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485931" alt="26번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485877" alt="27번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485933" alt="28번째 이미지"></img> 이러한 이용자의 타사 행태정보를 전송하는 행태정보 수집 도구는 사업자의 웹사이트 및 앱의 소스코드에 포함되어 있다. <img src="/LSW/flDownload.do?flSeq=124485879" alt="29번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485935" alt="30번째 이미지"></img> 8. 타사 행태정보 수집ㆍ이용 동의와 관련한 피심인의 주장 피심인은 이용자의 타사 행태정보 수집과 관련하여, 사업자가 적법하게 동의를 얻었을 것을 전제하며, 사업자는 계약상 의무에 따라 이용자로부터 적법한 동의를 받은 후에만 피심인에게 개인정보를 이전할 수 있다고 설명하였다. 피심인은 Google 계정을 생성하는 단계에서 개인정보 수집 및 이용과 관련한 사항을 고지하고 동의를 얻고 있다고 주장하고 있다.

피심인은 가입 시 이용자에게 고지하고 동의를 얻는 사항에 Google 서비스나 애널리틱스 등을 사용하는 앱 또는 사이트에서 행태정보가 수집될 수 있다는 점이 포함되어 있으며, 세부적으로 “Google이 정보를 처리하는 이유” 항목을 통해 이용자의 계정 설정에 따라 개인 맞춤 광고가 게재될 수 있고, “정보의 결합” 항목을 통해 여러 Google 서비스에서 수집된 정보와 그 외에 Google 서비스를 사용하는 사이트와 앱에서 이용자가 활동한 정보가 서로 다른 기기 간에 결합 될 수 있다는 점을 설명하였다고 주장하였다. <img src="/LSW/flDownload.do?flSeq=124485937" alt="31번째 이미지"></img> 또한, 이용자에게 피심인에 의해 수집 및 이용될 개인정보의 범위를 통제 및 관리할 수 있는 기회를 제공한다고 주장하였다. 피심인은 “옵션 더 보기”를 통해 '웹 및 앱 활동’과 '광고 개인 최적화’ 옵션 설정을 바꾸어 피심인과 파트너 관계를 맺은 제3자 사이트 및 앱에서의 정보 수집을 통제할 수 있다고 설명하였다. <img src="/LSW/flDownload.do?flSeq=124485939" alt="32번째 이미지"></img> 9. 피심인의 주장 관련 사실관계 피심인은 ’21. 6. 4. 제출 자료를 통해 쿠키의 사용 목적, 수집하는 방법 등과 관련하여 아래와 같이 답변하였으며, Google 애널리틱스 서비스 약관에는 사업자에게 행태정보 수집 도구 사용에 대한 공개를 요구하는 내용과, 법률로 요구되는 경우 쿠키 등을 수집ㆍ이용하는 것에 대해 사용자의 동의를 받도록 노력해야 한다는 내용 등이 확인된다. <img src="/LSW/flDownload.do?flSeq=124485941" alt="33번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485947" alt="34번째 이미지"></img> 이용자가 Google 서비스 계정을 생성하는 과정에서 “개인정보 보호 및 약관” 화면이 아래와 같이 나타난다. <img src="/LSW/flDownload.do?flSeq=124485951" alt="35번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485955" alt="36번째 이미지"></img>

“옵션 더보기∨” 버튼을 누르는 경우, 화면에서 바로 보이지 않던 내용이 아래와 같이 나타난다. <img src="/LSW/flDownload.do?flSeq=124485957" alt="37번째 이미지"></img> “옵션 더보기∧” 화면의 “웹 및 앱 활동” 부분에는 “Google 사이트 및 앱에서 이루어진 활동(예: 검색)과 관련 정보(예: 위치)를 저장합니다. Chrome 방문 기록을 비롯한 Google 서비스를 사용하는 사이트, 앱, 기기에서 이루어진 활동도 저장합니다.”라고 기재되어 있으며, “광고 개인 최적화” 부분에는 “Google과 파트너 관계를 맺은 웹사이트 및 앱에서 이루어진 내 활동을 바탕으로 광고를 표시할 수 있습니다.”라고 되어 있다. 그러나 “Chrome 방문 기록을 비롯한 Google 서비스를 사용하는 앱 또는 사이트” 및 “Google과 파트너 관계를 맺은 웹사이트 및 앱“이 무엇을 의미하는지 이용자는 이 문구만으로는 수집 대상 정보를 알 수 없다. 이용자가 계정을 생성하여 로그인한 이후 “Google 계정 관리” → “데이터 및 개인 정보 보호” → “기록 설정”의 “웹 및 앱 활동”을 누르면 아래와 같이 “활동 제어” 화면이 나타나며, 해당 화면 내 “웹 및 앱 활동”에는 “Google 사이트와 앱에서 이루어진 활동을 저장”한다고 기재되어 있고, “하위 설정”에서 “Chrome 방문 기록 및 Google 서비스를 사용하는 사이트, 앱, 기기에서 이루어진 활동 포함”을 기본으로 선택해 놓고 있다. <img src="/LSW/flDownload.do?flSeq=124485959" alt="38번째 이미지"></img> “활동 제어” 화면에서 “Chrome 방문 기록 및 Google 서비스를 사용하는 사이트, 앱, 기기에서 이루어진 활동 포함”의 선택을 해제하려고 하면, “추가 웹 및 앱 활동 일시중지” 화면이 나타나며, 해당 화면에는 “사용 중인 앱과 사이트를 바탕으로 유용한 추천이 표시되지 않을 수 있습니다.”라는 내용과 “이 설정이 이 계정으로 로그인된 모든 사이트, 앱, 기기에서 일시중지됩니다.”라는 내용이 기재되어 있다. <img src="/LSW/flDownload.do?flSeq=124485961" alt="39번째 이미지"></img> 10. 피심인의 “개인정보 보호 및 약관”

피심인은 회원가입 시 나타나는 “개인정보 보호 및 약관” 내용 등을 통해 피심인이 “수집 및 저장”하는 개인정보의 항목에 이용자의 온라인 활동기록인 “타사 행태정보”가 포함된다는 사실을 이용자가 명확히 인지할 수 있도록 밝히고 있지 않다. 피심인은 “개인정보 보호 및 약관”에 불명확한 용어를 사용하여 '어떤 웹사이트 및 앱’에서 '어떤 항목의 행태정보’를 수집ㆍ이용하는지를 밝히고 있지 않다. 또한, 타사 행태정보를 바탕으로 이용자의 '관심분야’ 등을 분석ㆍ추론하는 행위와 관련한 내용은 전혀 찾아볼 수 없다. 세부적으로 살펴보면, Google 회원가입 시 나타나는 “개인정보 보호 및 약관”은 “사용자가 Google을 사용할 때 Google에서 처리하는 정보”(수집하는 개인정보의 항목)와 “Google이 정보를 처리하는 이유”(개인정보의 수집ㆍ이용 목적’), “정보의 보유기간”(개인정보의 보유ㆍ이용 기간), 기타 “정보의 결합”, “자신의 데이터를 직접 관리” 및 “옵션 더보기” 부분으로 나눌 수 있다. 피심인은 “개인정보 보호 및 약관”에서 '수집하는 개인정보의 항목’을 아래와 같이 기재하고 있는바, 타사 행태정보를 수집한다는 내용은 존재하지 않는다. <img src="/LSW/flDownload.do?flSeq=124485963" alt="40번째 이미지"></img> 위 '수집하는 개인정보의 항목 관련 안내사항’에서 피심인은 이용자로부터 수집하는 개인정보의 항목을 ②Google 계정을 설정할 때 이용자가 제공하는 정보와 ③이용자가 Google 서비스를 사용하는 과정에서 만든 정보로 나누어 기재하고 있다.

그리고 ④이용자의 활동에 관한 정보를 ③이용자가 Google 서비스를 사용하는 과정에서 만든 정보의 예시로서 기재하고 있는데, Google 지도에서 식당을 검색, Youtube에서 시청한 동영상, 기기 ID, IP 주소, 쿠키 데이터, 위치가 ③이용자가 Google 서비스를 사용하는 과정에서 만든 정보와 어떤 관련이 있는지 알 수 없다.(각주:④는 이용자의 Google 서비스 내 행태정보로서 ②Google 계정을 설정할 때 제공하는 정보ㆍ③이용자가 Google 서비스를 사용하면서 만든 정보와는 다른 성격의 정보이나, “예를 들어”라는 표현으로 인해 통상적인 이용자는 ④가 ②와 ③에 관한 예시인 것으로 이해할 수 있음) 한편 ⑤에서는 “Google에서는 사용자가 Google 서비스(예: 광고, 애널리틱스, YouTube 동영상 플레이어)를 사용하는 앱 또는 사이트를 사용하는 경우에도 위에 설명한 종류의 데이터를 처리합니다”라고 기재하고 있는바, 이용자가 “Google 서비스를 사용하는 앱 또는 사이트를 사용하는 경우에” “위에 설명한 종류의 데이터” 즉 '②Google 계정을 설정할 때 이용자가 제공하는 정보, ③이용자가 Google 서비스를 사용하는 과정에서 만든 정보’를 '처리’한다는 의미로 이해되고 '타사 행태정보’를 '수집ㆍ저장’한다는 의미로 이해되지 않는다. 따라서, 피심인이 기재하고 있는 위 '수집하는 개인정보의 항목’에는 타사 행태정보를 수집한다는 내용이 존재하지 않거나, 적어도 이용자의 입장에서 이를 명확하게 이해할 수 없다. 덧붙여, 위 “개인정보 보호 및 약관”의 '수집하는 개인정보의 항목’ 부분의 다수 문구가 중의적 또는 불명확하게 해석될 수 있는 모호한 문구로 구성되어 있다. 피심인은 ①에서 사용자가 “Google을 사용할 때” Google에서 처리하는 정보라고 표기하고 있는바, 따라서 이용자는 ⑤의 'Google 서비스를 사용하는 앱 또는 사이트’도 'Google을 사용하는 과정에서 제공받는 서비스’ 즉 'Google이 제공하는 서비스’인 것으로 이해할 가능성이 높고 이와 달리 피심인이 제공하는 것이 아닌 다른 사업자가 제공하는 앱 또는 사이트로 이해하기 어렵다.

만약 이용자가 어떻게든 ⑤의 'Google 서비스를 사용하는 앱 또는 사이트’를 다른 사업자가 제공하는 앱 또는 사이트로 이해한다고 하더라도, ⑤는 “위에 설명한 종류의 데이터”라는 포괄적 표현으로 인해 이용자는 '데이터’의 의미를 ②의 “이름, 이메일 주소, 전화번호” 혹은 ④의 “시청한 동영상, 기기ID, IP주소, 쿠키 데이터, 위치” 정보 등으로 추측할 뿐, '실제 수집되는 데이터’가 Google이 아닌 '다른’ 웹사이트 및 앱을 사용한 온라인 활동기록인 '로그인 기록’, '결제’, '구매’, '환불’ 내역 등과 같은 종류의 이벤트 정보(각주:구글 추천 이벤트 코드 : login(로그인), add_payment_info(결제 정보 제출), purchase(구매 완료), refund(환불)) 라는 것을 알 수 없다. 다음으로 피심인은 “개인정보 보호 및 약관”에서 '개인정보의 수집ㆍ이용 목적’을 아래와 같이 기재하고 있는바, 타사 행태정보의 수집ㆍ이용을 이용자가 인지할 수 없다. <img src="/LSW/flDownload.do?flSeq=124485965" alt="41번째 이미지"></img> “계정 설정에 따라 Google 서비스 및 Google과 파트너 관계를 맺은 사이트와 앱에서 개인 맞춤 광고를 게재합니다”라고 기재하고 있으나, 이용자는 “Google 서비스 및 Google과 파트너 관계를 맺은 사이트와 앱”이 무엇을 의미하는지, 또 누구를 의미하는지 알 수 없고, 이 문구만으로 이용자의 온라인 활동기록인 타사 행태정보를 수집 또는 이용한다는 것을 인지할 수 없다. 설령 이용자가 이 문구를 통해 타사 행태정보의 수집ㆍ이용을 인지하더라도 “계정 설정에 따라”라는 문구로 인해 이용자가 적극적으로 어떤 설정 행위를 해야만 타사 행태정보가 수집ㆍ이용되는 것으로 이해할 가능성이 높다. 또한 “Google 서비스가 사용되는 방식을 파악하기 위한 분석 및 측정을 실행합니다”라고 기재하고 있으나 이는 문언 그대로 이용자가 Google 서비스를 사용할 때의 그 사용 방식에 대한 분석 및 측정으로 이해되며, 이 문구로 타사 행태정보의 수집ㆍ이용을 인지하는 것은 불가능하다. 특히, 이용자의 타사 행태정보 등을 분석(프로파일링)하여 관심분야를 추론ㆍ생성하고 맞춤형 광고에 활용한다는 것은 예측 불가능하고, 이는 어디에도 기재되어 있지 않아 이용자는 해당 사실을 전혀 알 수 없다.

반면, 유럽 지역에서 구글 계정을 생성하는 경우에는 “계정에 저장된 데이터는 로그인된 모든 곳에서 내가 관심 있을 만한 주제를 추론하는 데 사용될 수 있습니다. 이러한 관심분야는 Google 서비스 전반에서 제품, Google과 파트너십을 맺은 사이트 및 앱에 표시되는 광고를 맞춤설정하는 데 사용됩니다.”라고 기재하고 있다. 따라서 위 '개인정보의 수집ㆍ이용 목적’에는 타사 행태정보의 수집ㆍ이용을 이용자가 인지할 수 있는 문구가 존재하지 않는다. 피심인은 “개인정보 보호 및 약관”에서 '개인정보의 보유ㆍ이용 기간’을 아래와 같이 기재하고 있는바, 타사 행태정보의 수집ㆍ이용ㆍ보유를 이용자가 인지할 수 없다. <img src="/LSW/flDownload.do?flSeq=124485967" alt="42번째 이미지"></img> 피심인은 타사 행태정보의 보유기간을 별도로 두고 있으나, '개인정보의 보유ㆍ이용 기간’에서 타사 행태정보와 관련한 내용은 찾아볼 수 없다. “개인정보 보호 및 약관” 중 “정보의 결합” 및 “자신의 데이터를 직접 관리”는 아래와 같이 기재되어 있어, 타사 행태정보의 수집ㆍ이용을 이용자가 인지할 수 없으며, 이용자가 여기서 타사 행태정보의 수집 여부에 대하여 동의를 한다는 것과 이미 동의가 기본 값으로 되어 있다는 것을 인식하는 것은 불가능하다. <img src="/LSW/flDownload.do?flSeq=124485969" alt="43번째 이미지"></img> 위 '기타 안내사항’은 ①에서 Google 서비스들과 결합되는 대상은 “사용자 기기들에서 수집되는 정보”라고만 명시되어 있고 타사 행태정보 관련 문구가 없어 “사용자 기기들에서 수집되는 정보”에 타사 행태정보가 포함된다는 사실을 이용자가 알 수 없다.

또한 ②에서 데이터의 일부가 구글 계정과 연결될 수 있고, “옵션 더보기”를 클릭하여 데이터를 수집하고 사용하는 방식을 관리”할 수 있다고 기재하여, “옵션 더보기”에서는 특정 데이터 수집과 사용에 대한 '방식’을 관리할 뿐, 수집 여부 자체를 결정하는 내용이 포함되어 있다거나 심지어 그 수집에 동의하는 것으로 기본 값이 설정되어 있으리라고는 예상할 수 없게 되어 있으며, “옵션 더보기”에서 관리 대상이 되는 데이터를 단순히 “데이터의 일부”라고만 기재하여, “옵션 더보기”에서 어떤 데이터에 대한 수집 여부 결정을 할 수 있는지도 명시해 놓지 않음으로써 이용자가 여기에서 타사 행태정보 수집 여부를 결정하는 내용을 포함하고 있으리라고는 예상할 수 없게 해 놓았다. 따라서 ②“자신의 데이터를 직접 관리”에는 타사 행태정보의 수집을 이용자가 인지할 수 있는 문구가 존재하지 아니하며, 나아가 이용자가 여기서 타사 행태정보의 수집 여부에 대하여 동의 한다는 것(그리고 이미 동의가 기본 값으로 되어 있다는 것)을 인식하기는 불가능하다. 나아가 ②“자신의 데이터를 직접 관리”에서 이용자가 “옵션 더보기∨”를 눌러도 타사 행태정보 수집ㆍ이용에 대해 인지할 수 없고, “Google 계정에 웹 및 앱 활동 저장”, “개인 맞춤 광고 표시”가 선택된 것이 이용자가 타사 행태정보 수집ㆍ이용에 동의한 것으로 볼 수 없다. <img src="/LSW/flDownload.do?flSeq=124485973" alt="44번째 이미지"></img> 위 '추가적인 안내사항 및 설명화면’은 ①에서 이용자가 우연히 '옵션 더보기’를 클릭하더라도, ②에서 타사 행태정보의 수집ㆍ이용을 이용자가 인지할 수 있는 문구가 존재하지 않고, ③에서 기재된 “Google 사이트 및 앱에서 이루어진 활동(예: 검색)과 관련 정보(예: 위치)를 저장합니다.”의 경우, 피심인의 웹사이트 및 앱으로 이해되고, “Chrome 방문 기록을 비롯한 Google 서비스를 사용하는 사이트, 앱, 기기에서 이루어진 활동도 저장합니다.”의 경우, “Chrome”이 예시로 기재되어 있기 때문에 “Google 서비스를 사용하는 사이트, 앱, 기기”는 피심인이 직접 서비스를 제공하는 사이트, 앱 예컨대 Chrome, YouTube 등 및 이러한 서비스를 사용한 기기로 이해될 가능성이 높다.

이로 인해, ④에서 이용자는 피심인이 제공하는 서비스 내에서 이루어진 활동이 저장되는 것으로 인지할 뿐, 타사 행태정보가 저장되는 것은 인지할 수 없다. 나아가 ⑤에서 이용자는 “Google과 파트너 관계를 맺은 웹사이트 및 앱”이 무엇인지, 또 누구를 의미하는지 알 수 없으며, 맞춤형 광고 허용 여부에 대한 내용이기 때문에 이를 통해 타사 행태정보 수집ㆍ이용에 대한 동의를 구하는 내용으로 인지되지 않는다. 이에 더하여 “Google 계정에 웹 및 앱 활동 저장”, “개인 맞춤 광고 표시”는 미리 선택되어 있어 이용자가 이를 스스로 선택하였다고 볼 수 없고, “옵션 더보기∨”를 누르지 않고도 회원가입이 완료되므로 상당수의 이용자는 그 내용을 확인할 수도 없다. 11. 해외(유럽)에서 Google 서비스 가입 시 동의 화면(각주:독일 및 프랑스 IP에서 Google 서비스에 가입하는 과정에서 나타나는 동의 화면을 확인) 피심인은 유럽에서 개인정보 약관이 아닌 “빠른 또는 수동 맞춤설정” 선택 과정을 통해 개인정보 보호 설정 및 맞춤형 광고 등을 인지시키고 있다. <img src="/LSW/flDownload.do?flSeq=124485975" alt="45번째 이미지"></img> '빠른 맞춤설정’에서는 “웹 및 앱 활동”, “YouTube 기록”, “광고 개인 최적화”를 기본 설정한 후 사용되는 데이터의 종류 및 사용 방식, 쿠키 등을 알리고 “개인정보 보호 알림”을 통해 2주 내 설정을 검토할 수 있도록 알리고 있다. < 빠른 맞춤설정 화면 > <img src="/LSW/flDownload.do?flSeq=124485881" alt="46번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485885" alt="47번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485977" alt="48번째 이미지"></img> 이용자가 “수동 맞춤설정”을 선택한 경우 총 5단계에 걸쳐 행태정보 수집 및 맞춤형 광고 등과 관련하여 수집 항목, 목적, 보유기간, 동의 철회 방법을 각각 알려주고 이용자가 직접 선택할 수 있도록 하고 있다.

'수동 맞춤설정 1단계’에서는 “웹 및 앱 활동”의 저장 여부 및 보유기간을 직접 '선택’하도록 하고, 사용되는 데이터의 종류 및 사용 방식을 구분하여 알리고 있으며, “동의”를 철회할 수 있다고 안내하고 있다.(각주:국내는 “웹 및 앱 활동”을 “옵션 더보기”에 가려놓고, 기본 값을 “저장”으로 함) <img src="/LSW/flDownload.do?flSeq=124485985" alt="49번째 이미지"></img> '수동 맞춤설정 2단계’에서는 “YouTube 기록”의 저장 여부 및 보유기간을 직접 '선택’하도록 하고, 사용되는 데이터의 종류 및 사용 방식을 구분하여 알리고 있으며, “동의”를 철회할 수 있다고 안내하고 있다.(각주:국내는 “YouTube 기록”을 “옵션 더보기”에 가려놓고, 기본 값을 “저장”으로 함) <img src="/LSW/flDownload.do?flSeq=124485991" alt="50번째 이미지"></img> '수동 맞춤설정 3단계’에서는 “광고 개인 최적화” 사용 여부를 직접 '선택’하도록 하고, 사용되는 데이터의 종류 및 사용 방식을 구분하여 알리고 있으며, 국내와 달리 계정 데이터를 관심 분야를 추론하는 데 사용한다고 안내하고 있다.(각주:국내는 “광고 개인 최적화”를 “옵션 더보기”에 가려놓고, 기본 값을 “표시”로 설정) <img src="/LSW/flDownload.do?flSeq=124485993" alt="51번째 이미지"></img> '수동 맞춤설정 4단계’에서는 “옵션 더보기”에 가려져 있던 '개인정보 보호 설정에 관한 알림’에 대해 더 구체적으로 설명하고 수신 여부를 선택하도록 하고 있다. <img src="/LSW/flDownload.do?flSeq=124485995" alt="52번째 이미지"></img> '수동 맞춤설정 5단계’에서는 이용자가 동의 및 설정한 사항이 무엇인지 한눈에 보여주고 쿠키 및 기기 ID에 대해 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124485999" alt="53번째 이미지"></img> Ⅲ. 피심인의 행위에 대한 위법성 판단 1. 기초 사실 및 판단 가. 조사 처분 범위

이번 조사 처분의 범위는 타사 행태정보 수집 유형 중 'Google 서비스에 가입하여 아이디, 이름, 생년월일, 성별 등 회원의 개인정보를 명확히 알아볼 수 있는 Google 서비스 이용자(회원)’의 온라인 활동기록인 타사 행태정보를 수집ㆍ이용하는 행위이다. 피심인은 ①이용자 식별자 또는 ②기기 식별자 기반으로 타사 행태정보를 수집ㆍ이용하고 있다. ①피심인은 검색, 지도, 맞춤형 광고, 서비스 개선 등을 위해 이용자 식별자 기반으로 피심인 회원의 타사 행태정보를 수집ㆍ이용하고 있으며, ②웹사이트 분석, 광고 효과 측정 등을 위해서는 기기 식별자를 기반으로 피심인 또는 사업자의 회원인지 여부와 무관하게 타사 행태정보를 수집ㆍ이용하고 있다. 이 중 처분 대상과 관련된 행위는 ①피심인 회원의 개인정보파일로 운용하고 있는 '이용자 식별자’ 기반으로 '피심인 회원의 온라인 활동기록인 타사 행태정보’를 수집ㆍ이용한 행위이다. 이용자(회원) 식별자 기반의 행태정보 수집ㆍ이용을 처분 범위로 삼은 것은 익명성을 상실시키고 이용자의 모든 기기를 추적, 온라인 활동을 모니터링(감시)하여 이용자의 사상ㆍ신념, 정치적 견해, 건강, 신체적ㆍ생리적ㆍ행동적 특징 및 민감정보를 생성하고 식별할 가능성이 높기 때문이다.(각주:European Data Protection Board(이하 'EDPB’) 가이드라인 역시 플랫폼 회원(이용자 식별자)의 타사 행태정보 수집ㆍ이용을 규율 범위로 삼고 있으며, 이용자의 행태정보 수집과 관련하여 관심사 및 기타 특성 추론, 인종ㆍ민족ㆍ건강ㆍ성적지향 등과 관련된 차별과 배제의 가능성, 개인의 사고 과정 및 감정ㆍ행동 등에 영향을 미쳐 이용자를 조작할 가능성, 온라인 활동 감시 등의 위험성을 언급(Guidelines 8/2020 on the targeting of social media users version 2.0, ’21.4.13)) 나. 타사 행태정보의 개인정보성 현행 보호법에서 개인정보란 살아 있는 개인에 관한 정보로서 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 말하고, 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다고 규정하고 있다.

피심인은 가입한 이용자를 식별하기 위한 정보로서 회원번호, 아이디, 휴대전화번호, 이메일 등의 개인정보를 사용하며, 회원 여부를 식별하기 위한 이용자 식별자와 결합하여 행태정보를 수집ㆍ이용하므로 이때의 행태정보는 '다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는’ 이용자의 개인정보에 해당한다. 다. 타사 행태정보 수집ㆍ이용의 주체 피심인은 영리를 목적으로 검색, 유튜브, 지도 등의 온라인 서비스를 운영하면서 이용자의 개인정보를 수집하고 있으며, 업무를 목적으로 개인정보파일을 운용하기 위해 이러한 개인정보를 처리하고 있다. 특히, 피심인은 맞춤형 광고, 서비스 유지ㆍ개선, 신규 서비스 개발 등을 위해 이용자 식별자를 기반으로 그 이용자의 타사 행태정보를 수집ㆍ이용하고 있다. 피심인의 수익을 위하여 피심인 서비스에 가입한 이용자에게 맞춤형 광고를 보여주는 것 등은 피심인의 업무 목적에 해당하고, 이를 위해 이용자의 다른 개인정보(회원정보)와 타사 행태정보를 결합하여 체계적으로 구성ㆍ운영하는 것은 개인정보파일을 운용하는 것에 해당한다. 피심인이 수집하는 타사 행태정보는 피심인 서비스에 가입한 이용자의 기기에서 피심인이 생성ㆍ저장한 이용자 식별자와 함께 피심인에게 직접 전송ㆍ수집되며 최종적으로 피심인 서비스에 가입한 이용자 계정과 결합하여 이용된다. 사업자는 이 과정에서 피심인에 수집되는 행태정보를 보거나 저장할 수 없고, 사업자 서비스에 가입한 회원의 계정과 결합할 수 없으며, 특정 개인을 식별할 수도 없다. 사업자는 피심인이 제작ㆍ배포한 행태정보 수집 도구를 설치하여 피심인의 행태정보 수집 과정에 보조적인 역할을 하나, 행태정보 수집 도구에 피심인이 필수로 수집하는 항목(접속한 웹ㆍ앱)은 정해져 있고, 이는 사업자가 임의로 변경할 수 없다. 따라서, 피심인 회원의 타사 행태정보 수집ㆍ이용의 목적과 수단, 전체 정보처리 과정의 흐름을 종합해보면 피심인이 그 처리 과정에서 주도적인 관리ㆍ통제권을 행사하는 주체이므로 피심인이 이용자(회원)의 동의를 받아야 함이 마땅하다.(각주:피심인은 ①행태정보 수집 도구 제작ㆍ배포, ②이용자 식별자 생성, ③회원 정보 연계, ④관심사 및 성향 추론, ⑤맞춤형 광고 표시 등 이용자(회원)의 행태정보 수집ㆍ이용 전 과정에 걸쳐 주도적이고 직접적인 역할 수행함,

참고로 EDPB 가이드라인의 경우 ①소프트웨어 코드(도구) 개발ㆍ제공, ②플랫폼 이용자 매칭, ③광고의 표시 등을 플랫폼이 수행하고 있음을 언급하면서 “쿠키 설치 및 개인정보의 처리는 계정 생성 시점에 발생하므로 소셜 미디어 제공 업체(플랫폼)는 광고 쿠키의 설치 전에 유효한 동의를 얻어야 한다”고 명시하고 있음) 피심인이 행태정보 수집 도구를 직접 제작하여 사업자에게 배포하고, 이를 통하여 피심인의 서비스를 이용하는 이용자가 제3자인 사업자의 웹사이트 또는 앱을 사용한 정보를 수집하여 이를 맞춤형 광고 등의 목적에 활용하는 한 피심인이 개인정보 수집ㆍ이용 주체라는 사실을 부인할 수 없다. 피심인은 제출한 답변(’21.6.4.) 및 제14차 위원회 회의(’21.8.31.) 출석ㆍ진술을 통해 스스로가 이용자의 타사 행태정보 수집ㆍ이용 주체인 점을 사실상 인정하고 있다. 위원회가 피심인에게 “사업자로부터 수집한 식별자와 행태정보를 구글 이용자의 개인정보와 결합하는 기술적인 방법”을 상세히 설명해 달라고 요구한 것에 대해, 피심인은 답변서에서 “... 쿠키는 Google이 이용자의 장치에 생성하는 것이며 Google만이 접근할 수 있기 때문에, 귀 위원회가 질의에서 언급한 '고객이(사업자) Google에게 제공한 식별자’에 해당하지 않는 것으로 이해하고 있습니다...”라고 설명하였으며, 의견진술 과정에서도 “이용자를 인식하기 위한 쿠키 자체는 구글에서 생성하는 것입니다.”라고 재확인하였다. 피심인은 유럽 서비스 가입화면에서도 피심인이 타사 행태정보를 수집ㆍ이용함에 있어 동의를 받는 수집 주체임을 명확히 밝히고 있다. 국내에서는 보이지 않는 “맞춤설정 선택” 화면에서 “Google에서 수집하는 데이터와 사용 방법을 관리할 수 있습니다.”는 문구를 보여주고, “데이터 관리 방법”에서 “데이터를 확인, 삭제하고 동의를 철회할 수 있습니다.”라고 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124486003" alt="54번째 이미지"></img> 라. 타사 행태정보의 특수성

타사 행태정보는 이용자가 피심인의 행태정보 수집 도구가 설치된 사업자의 웹ㆍ앱 서비스를 사용하는 과정에서 자동으로 피심인에게 수집되며, 행태정보 수집 도구는 사업자의 웹사이트 및 앱의 소스코드에 포함되어 있어, 통상의 이용자라면 수집 도구의 설치 여부를 확인하기 어렵고, 이용자는 이러한 행태정보가 피심인에게 자동 수집되는 것을 인지하기 어려울 뿐 아니라, 피심인으로부터 제공받고자 하는 서비스(검색, 유튜브, 지도 등)에 타사 행태정보가 꼭 필요한 요소라고 예측하기도 어렵다. 또한 타사 행태정보가 축적되는 경우, 이용자에 대한 빅데이터가 형성되어 사상ㆍ신념, 정치적 견해, 건강, 신체적ㆍ생리적ㆍ행동적 특징, 기타 이용자의 사생활을 현저히 침해할 우려가 있는 민감정보가 생성될 가능성도 높아지는바, 이는 개인정보를 보호하고자 하는 보호법 취지를 훼손하는 결과로 이어질 수 있다.(각주:타사 행태정보 수집 자체로 보호법 상 민감정보의 처리로 보기는 어려우나, 이를 수집ㆍ이용함으로써 실질적으로 민감정보를 수집하는 것이 될 수 있어 보호법이 규제하고자 하는 바를 교묘히 빠져나가는 결과가 발생할 수 있음) 마. 타사 행태정보 수집ㆍ이용의 적법한 동의 방법

타사 행태정보를 수집ㆍ이용하기 위해서는 수집하는 타사 행태정보의 ’항목(각주:타사 행태정보의 항목은 '타사’와 '행태정보’를 특정함으로써 명확한 기재가 가능할 것인바, 전자의 경우 타사의 범위가 고정되어 있지 않고 수시로 변동될 경우 그 타사를 특정하는 것이 현실적으로 어려울 수 있으므로, 이러한 경우에는 (개인정보를 제공받는 제3자의 특정이 어려운 경우와 유사하게) 타사의 유형을 구체적으로 최대한 누락 없이 알리거나 변동 가능한 목록을 공개하는 등의 방식으로 타사를 특정한 뒤 동의를 받는 방식을 고려할 수 있음. 또한 후자의 경우 행태정보 수집도구에 배포 당시부터 설정되어 있는 수집 대상 항목들을 기재하는 방식으로 특정할 수 있을 것임) ', '수집ㆍ이용 목적(각주:예컨대 그 수집ㆍ이용 목적인 이용자의 '관심 분야 분석ㆍ생성’, '맞춤형 광고 게재’ 등을 기재) ’, '보유ㆍ이용 기간’의 '구체적인 내용’을 통상의 이용자가 용이하게 알아볼 수 있도록 그 전부를 쉽고 명확하게 게재하여야 하며, 동의 여부를 표시할 수 있는 부분과 밀접하게 배치하여 이용자가 이를 인지하여 확인할 수 있는 상태에서 동의 여부를 판단, 명확한 인식하에 동의의 표시를 할 수 있도록 실행방법이 마련되어야 한다. 아울러, 피심인이 이용자의 타사 행태정보를 수집하기 위해서는 이용자가 ①피심인 서비스에 가입하고, ②피심인 서비스에 로그인한 후, 최종적으로 ③사업자의 웹ㆍ앱 이용 절차를 거치므로, 가입 및 로그인 시점에 동의를 받을 수 있다. 특히, 피심인은 서비스 가입과정과 서비스 이용과정에서 '수집’ 및 '거부’ 선택 기능을 제공하고 있으므로, 해당 정보 수집의 기본 설정을 '거부' 또는 '미선택'으로 하여 이용자가 명확히 인식하고 직접 선택하는 방법으로 '동의'를 받을 수도 있다. 바. 계약 이행을 위해 타사 행태정보를 동의 없이 사용할 수 있는지 여부 보호법은 계약 이행을 위해 개인정보가 필요한 경우라 하더라도 '경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우’가 아니면 동의를 받도록 하고 있으며, 앞서 「마. 적법한 동의 방법」에서 보듯이 피심인은 행태정보가 수집되기 이전인 회원가입 시, 동의를 받을 수 있으므로 동의를 받는 것이 뚜렷하게 곤란한 경우에 해당하지 않는다. <img src="/LSW/flDownload.do?flSeq=124486005" alt="55번째 이미지"></img>

사. 타사 행태정보 수집 관련 '정보통신서비스 제공자-이용자’ 관계 해당 여부 피심인은 영리를 목적으로 정보통신망을 통해 구글 서비스(검색, 유튜브, 지도 등)를 한국 이용자에게 제공하고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조 제1항 제3호에 따른 정보통신서비스 제공자이다. 피심인이 수집한 타사 행태정보는 피심인이 서비스를 제공하면서 정보통신서비스 이용관계(약관 동의 및 개인정보 수집ㆍ이용 동의)를 맺고 계정을 생성한 이용자의 '온라인 활동기록’으로, 피심인 서비스에 가입한 '특정 이용자가 여러 사업자의 웹사이트 및 앱을 방문ㆍ사용한 정보’이다.(각주:특정 사업자가 자신의 정보통신 서비스를 제공하는 과정에서 수집한 '여러 이용자의 개인정보(이름, 성별, 연락처, 서비스 이용기록 등)’와는 전혀 다른 형태의 정보임) 즉 피심인이 수집ㆍ이용한 이용자의 타사 행태정보는 사업자와 해당 이용자 사이에 이용관계를 맺었는지 여부를 불문하고 피심인과의 이용관계에 따라 수집ㆍ이용된다. 따라서, 피심인이 자신의 정보통신서비스에 계정을 생성한 가입자의 개인정보로서 타사 행태정보를 수집한 것이므로, 이는 정보통신서비스 제공자인 피심인이 이용자의 개인정보를 수집ㆍ이용한 것에 해당한다. 2. 관련 법령의 규정 및 법리 가. 보호법상 '이용자’의 동의 보호법 제39조의3 제1항은 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우 ①개인정보의 수집ㆍ이용 목적, ②수집하는 개인정보의 항목, ③개인정보의 보유ㆍ이용 기간(이하 '법정 고지사항’)의 모든 사항을 이용자에게 알리고 동의를 받도록 규정하고 있다. 보호법 제4조 제1호 및 제2호는 “개인정보의 처리에 관한 정보를 제공받을 권리”와 “개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리”를 정보주체가 가진다고 명시하고 있다. 또한, 제22조 제1항은 “개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.”라고 규정하고 있으며, 동법 시행령 제17조 제1항 제4호는 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법을 명시하고 있다.

나아가 제22조 제2항은 “개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.”고 규정하고 있으며, 개인정보 처리 방법에 관한 고시 제4조 제3호는 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시하도록 규정하고 있다. 즉, 보호법은 개인정보의 처리에 관한 내용을 정보주체가 쉽게 확인하고 알아볼 수 있도록 명확히 표시하여 이용자로 하여금 동의 범위 등에 대한 실질적인 선택 및 결정권을 행사할 수 있도록 하고 있는 것이다. 나. 관련 판례 대법원은 정보통신서비스 제공자가 이용자로부터 개인정보 수집ㆍ제공에 관하여 적법한 동의를 받기 위해서는 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 ① 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 하며, ② 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 수집ㆍ제공에 대한 동의 여부를 판단할 수 있어야 하고, ③ 그에 따른 동의의 표시는 이용자가 개인정보의 수집ㆍ제공에 동의를 한다는 명확한 인식 하에 행하여질 수 있도록 그 실행방법이 마련되어야 한다고 판시하였다. <img src="/LSW/flDownload.do?flSeq=124486009" alt="56번째 이미지"></img> 舊정보통신망법 제22조 제1항은 현행 보호법 제39조의3 제1항과 동일한 문언으로서 그 입법취지와 내용이 동일하며, 舊정보통신망법 제26조의2 및 동법 시행령 제12조 제1항이 동의받아야 할 사항을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하도록 한 것 역시 현행 보호법 제4조 제1호 및 제2호, 제22조 및 그 하위법령에서 동일한 취지로 반복하여 규정한바, 위 대법원 판례가 판시한 적법한 동의 여부의 판단기준은 보호법 제39조의3 제1항 위반 여부의 판단에도 동일하게 적용이 가능하다.

<img src="/LSW/flDownload.do?flSeq=124486011" alt="57번째 이미지"></img> 특히 위 대법원 판례의 하급심인 1심 및 2심 판결에서는 인식 가능성을 부여하는 것만으로는 명시적ㆍ실질적 동의에 해당하지 않는다고 밝힌 바 있다. <img src="/LSW/flDownload.do?flSeq=124486013" alt="58번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486015" alt="59번째 이미지"></img> 한편, 법정 고지사항을 제대로 알리지 않는 등 동의받는 방법을 위반한 경우, '동의를 받았으나 방법에 문제가 있었다’고 평가할 것인지, 아니면 '적법한 동의가 없었다’고 평가할 것인지에 대해 대법원 판례는 보호법 제39조의3 제1항과 동일한 舊정보통신망법 제22조 제1항 위반에 대한 판단의 근거로 동법 제26조의2(동의를 받는 방법) 및 시행령 제12조(동의 획득 방법) 제1항을 위반한 것을 제시하면서, 방송통신위원회의 “명시적인 동의를 받지 않았다”는 처분 사항에 대해 대법원 역시 “적법한 동의를 받지 않았다”고 판단한 바 있다. 다. 관련 가이드라인 “온라인 맞춤형 광고 개인정보보호 가이드라인”은 광고 사업자가 행태정보와 개인정보를 결합할 경우, 이용자에게 해당 사실과 사용목적, 결합되는 정보항목, 보유기간 등을 명확히 알리고 해당 이용자로부터 사전에 동의를 받아야 한다고 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124486019" alt="60번째 이미지"></img> 3. 위법성 판단 피심인은 영리를 목적으로 인터넷을 통해 정보를 제공하거나 정보의 제공을 매개하는 Google 서비스를 제공하고 있으므로 정보통신서비스 제공자이며, Google 서비스를 위해 Google 서비스에 가입한 이용자의 개인정보를 개인정보파일로 운용하고 있으므로 개인정보처리자에 해당한다. 따라서, 피심인이 Google 서비스에 가입한 이용자의 개인정보로서 타사 행태정보를 수집ㆍ이용하기 위해서는 그 수집ㆍ이용 주체(각주:Ⅲ. 피심인의 행위에 대한 위법성 판단, 1. 기초 사실 및 판단, 다. 타사 행태정보 수집ㆍ이용의 주체 참고) 인 피심인이 보호법 제39조의3 제1항에 따라 법정 고지사항을 이용자에게 명확히 알리고 동의를 받아야 한다.

즉, 피심인이 이용자의 타사 행태정보 수집ㆍ이용에 대한 적법한 동의를 받기 위해서는 이용자가 해당 정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 미리, 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 하나, 앞서 살펴본 사실관계와 같이 피심인이 Google 서비스 가입과정에서 “개인정보 보호 및 약관”을 통해 안내하고 있는 개인정보 수집 및 이용과 관련한 사항에는 타사 행태정보를 수집한다는 내용이 명확히 기재되어 있지 않고, 다수의 문구가 중의적으로 또는 불명확하게 해석될 수 있는 모호한 문구로 구성되어 있어 이용자는 피심인이 이를 수집ㆍ이용한다는 사실을 인지할 수 없다. 또한, 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 확인할 수 있는 상태에서 타사 행태정보 수집ㆍ이용에 대한 동의 여부를 판단할 수 있어야 하고, 그에 따른 동의의 표시는 타사 행태정보 수집ㆍ이용에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 실행 방법이 마련되어야 하나, 서비스 가입과정에서 타사 행태정보 수집ㆍ이용에 대한 선택을 할 수 있는 기능인 “옵션 더보기∨”는 타사 행태정보 수집ㆍ이용에 대한 동의 여부를 결정하는 화면이라는 것을 이용자가 명확히 인식하기 어려운 상태로 해당 화면이 가려져 있으며, “옵션 더보기∨”를 누르더라도 그 화면 내에서 타사 행태정보가 수집ㆍ이용된다는 사실을 인지하기 어렵도록 타사 행태정보 수집ㆍ이용에 대한 내용을 명확하게 기재하지 않고 있다. 이에 더하여 해당 내용은 이용자가 “옵션 더보기∨”를 누르기 전까지 나타나지 않고, “Google 계정에 웹 및 앱 활동 저장”, “개인 맞춤 광고 표시”은 미리 선택되어 있어 이용자가 이를 스스로 선택하였다고 볼 수도 없으며, 심지어 “옵션 더보기∨”를 누르지 않고도 Google 서비스 가입이 완료되므로 상당수의 이용자는 그 내용을 확인할 수도 없다. 피심인은 이용자가 타사 행태정보의 수집ㆍ이용을 이해하기 어렵다는 특수성과 명시적인 동의가 필요하다는 점을 알면서도, 한국 이용자를 기망하여 이를 수집ㆍ이용하였으므로 적법한 동의가 있다고 보기 어렵다. 타사 행태정보의 수집ㆍ이용은 이용자가 서비스를 이용하는 목적에 비추어 그 수집ㆍ이용을 예측하는 것은 거의 불가능에 가깝다.

피심인은 “개인정보 보호 및 약관”에 기재한 문구를 통해 동의받은 것이고, “옵션 더보기”는 추가 선택권을 부여한 것이라고 진술하였다. 그러나 Google 회원가입 시 나타나는 “개인정보 보호 및 약관” 중 “사용자가 Google을 사용할 때 Google에서 처리하는 정보”(수집하는 개인정보의 항목)와 “Google이 정보를 처리하는 이유”(개인정보의 수집ㆍ이용 목적’), “정보의 보유기간”(개인정보의 보유ㆍ이용 기간), 기타 “정보의 결합”, “자신의 데이터를 직접 관리” 및 “옵션 더보기” 부분 전체를 통틀어 보아도, “옵션 더보기∨” 외의 부분에 기재한 문구 중에 타사 행태정보를 수집ㆍ이용한다는 내용은 존재하지 않는다. 또한, 피심인은 유럽에서 “맞춤설정 선택” 화면(수동 맞춤설정)을 통해 이용자가 직접 선택할 수 있도록 절차(5단계)를 마련하고 있고, 의견진술과 달리 “웹 및 앱 활동”에 대한 “동의”를 철회할 수 있다고 기재한바, 이는 추가 선택권 부여가 아닌 동의를 받는 것으로 확인된다. <img src="/LSW/flDownload.do?flSeq=124486023" alt="61번째 이미지"></img> 피심인은 활동제어 화면을 통해 타사 행태정보 수집을 거부할 수 있는 기능을 제공하고 있고, 유럽에서는 회원가입 단계에서 '웹 및 앱 활동’의 수집을 선택할 수 있도록 하는 등 타사 행태정보의 특수성을 인지하고 있으며(각주:참고로, 구글은 Chrome 브라우저에서 타사(제3자) 쿠키 지원 중단을 밝히고 이를 대체할 수 있는 기술을 개발하고 있음

https://blog.google/products/chrome/get-know-new-topics-api-privacy-sandbox) , 맞춤형 광고 등에 사용되는 행태정보에 대해서는 이용자의 '적법한’, '명시적인’ 동의가 필요하다는 점과 그 방법을 알고 있음에도 불구하고, 한국에서 “웹 및 앱 활동” 및 “광고 개인 최적화”의 기본값을 '동의’로 설정한 후 “옵션 더보기”에 이를 가려놓았는바, 이는 한국 이용자의 '개인정보 자기결정권’보다 광고 수익 극대화를 우선순위로 두고, 한국 이용자를 철저히 기망하여 동의를 받지 않고 개인정보를 수집ㆍ이용한 행위에 해당한다.(각주:Regulation (EU) 2016/679(General Data Protection Regulation, 이하 'GDPR’)은 정보주체의 동의를 Freely Given(자유롭게 주어지고), Specific(구체적이며), Informed(정보가 충분히 제공된 상태에서), Unambiguous indication of wishes(정보주체의 모호하지 않은 의사표시)라고 정의하고 있음. 프랑스 CNIL은 동일한 사안에 대해 구글이 이용자의 유효한 동의 없이 맞춤형 광고를 제공하여 GDPR을 위반하였다고 판단하면서, 이용자의 유효한 동의를 얻기 위해서는 '충분한 정보’가 제공되어야 하나, 맞춤형 광고 관련 정보가 여러 문서로 작성되어 있고, 이용자가 개인정보의 처리 범위를 전체적으로 이해할 수 있도록 충분한 정보가 제공되지 않았다고 보았음. 또한, 유효한 동의는 '모호하지 않고’, '구체적’이어야 하고, 이용자의 '능동적’이고 '명확한’ 행위에 의해 이루어져야 하나, “옵션 더보기”를 클릭해야 맞춤형 광고를 설정할 수 있고 해당 옵션이 미리 선택되어 있어 이용자가 능동적인 동의를 한 것으로 볼 수 없고, 계정 생성을 위한 약관 동의는 구글의 모든 개인정보 처리에 대해 포괄적으로 동의하므로 각 목적에 대한 명확한 동의가 없었다고 보았다.) 동의 의무 위반은 이용자의 인지 여부를 고려해야 하는바, 이용자가 예측할 수 없는 타사 행태정보 수집ㆍ이용에 있어 이에 대한 구체적인 내용을 기재하지 않았고, 이용자에게 통제권을 부여하기 위한 것이라고 하면서도 그 “옵션 더보기”의 기본값을 '동의’로 설정해두고 이마저도 가려두어 이용자가 선택할 기회조차 박탈하였을 수 있으므로 이는 동의가 없었다고 판단된다.

피심인이 명확하지 않거나 혼란을 유발할 수 있는 표현을 사용함으로써 개인정보의 수집ㆍ이용에 관한 적법한 동의를 받지 않은 행위는 '개인정보의 처리에 관한 정보를 제공받을 권리’, '개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리’ 등 기본적인 보호법상 권리 즉 보호법 제4조에서 정한 권리를 부정하는 것이며, 정보주체와의 관계에서 필수요소인 '알고 하는 동의’를 요구하는 즉 보호법 제39조의3을 무력화하는 것이고, 이용자를 기만하는 은밀한 개인정보 수집ㆍ이용 행위라고 볼 수 있다. 결론적으로, 피심인은 이용자의 “타사 행태정보”를 해당 이용자의 명시적인 동의 없이 수집ㆍ이용하였으므로 보호법 제39조의3 제1항을 위반한 것에 해당한다. Ⅳ. 피심인(Google) 주장에 대한 검토 1. 행태정보를 수집하는 개인정보처리자는 “사업자”라는 주장에 대하여 피심인은 사업자가 웹ㆍ앱 서비스를 제공하는 정보통신서비스 제공자이므로 해당 웹ㆍ앱에 접속한 이용자의 행태정보는 사업자가 수집 주체라고 주장하나, 피심인이 수집한 타사 행태정보는 피심인이 서비스를 제공하면서 정보통신서비스 이용관계(약관 동의 및 개인정보 수집ㆍ이용 동의)를 맺고 계정을 생성한 이용자의 '온라인 활동기록’으로, 사업자와 해당 이용자 사이에 이용관계를 맺었는지 여부를 불문하고 피심인과의 이용관계에 따라 수집ㆍ이용된다. 또한, 피심인은 사업자가 행태정보 수집항목을 선택할 수 있고, 행태정보 수집 도구 사용 및 행태정보 공유 여부를 스스로 결정할 수 있으며, 해당 정보에 대한 통제권이 있다고 주장하나, 행태정보 수집 도구에는 피심인이 필수로 수집하는 항목(접속한 웹ㆍ앱)이 정해져 있고(각주:이벤트 코드를 변경하더라도 이용자 식별자 및 이용자가 접속한 웹사이트 및 앱의 정보는 필수로 수집됨) , 이를 사업자가 변경할 수 없으며, 행태정보 수집 도구를 통해 수집된 타사 행태정보를 이용자 계정과 결합할 것인지에 대한 통제권은 피심인에게 있다. <img src="/LSW/flDownload.do?flSeq=124485887" alt="62번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486025" alt="63번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485889" alt="64번째 이미지"></img>

<img src="/LSW/flDownload.do?flSeq=124486027" alt="65번째 이미지"></img> 피심인은 정보통신망법 해설서에서 맞춤형 온라인 광고를 위해 광고 아웃소싱 업체에 회원 정보를 제공하는 행위는 개인정보 처리위탁에 해당한다고 설명하고 있다고 주장하나, 피심인이 제시하는 舊정보통신망법 해설서의 내용은 사업자의 '회원 정보’를 제공하는 것으로 이 사건 처분 대상 행위와 무관하다.(각주:이 사건 처분 대상 행위에는 사업자가 회원 정보(이메일, 휴대전화번호 등)를 Google에 업로드하여 해당 정보 대상으로만 광고를 게재하는 행위는 포함되어 있지 않음) 피심인은, 사업자가 피심인에게 이전되는 타사 행태정보가 개인정보가 될 것을 알고 있고, 약관을 통해 사업자가 동의받도록 요구했다고 주장하나, 피심인이 수집ㆍ이용한 이용자의 온라인 활동기록인 타사 행태정보는 피심인과의 이용관계에 따라 이용자의 기기로부터 직접 수집ㆍ이용되는 것으로서, 사업자는 해당 정보에 대한 개인정보처리자로서의 역할 또한 한 바 없으므로 이용자로부터 동의를 받을 의무가 있다고 볼 수 없고, 따라서 피심인이 주장하는 동의 획득 의무는 법률상 의무가 아닌 피심인의 약관상 의무에 불과하므로 사업자가 약관상 의무를 이행하지 않았다면 양 당사자 간의 계약 불이행의 문제일 뿐, 보호법상 피심인의 동의 의무가 면제되는 것은 아니다. 또한, 업계 실무상 사업자들은 자신이 동의를 받아야 하는 것으로 이해하고 있다고 주장하면서 일부 사업자들의 처리방침을 예로 들고 있으나, 이는 사업자가 피심인이 제작ㆍ배포한 행태정보 수집 도구의 사용을 스스로 공개하고 있는 것으로 볼 수 있을 뿐이고, 피심인 주장과 같이 피심인의 업무 목적을 위해 사업자가 피심인에게 개인정보를 제공하는 것에 대한 동의를 받고 있는 것으로는 볼 수 없으며, 개인정보 제공 동의를 받고 있는 사례 또한 확인되지 않는다.

특히 피심인은 “사업자로부터 수집한 식별자와 행태정보를 구글 이용자의 개인정보와 결합하는 기술적인 방법”을 상세히 설명해 달라는 위원회의 요구에 대해 ’21. 6. 4. 제출한 답변서에서 “... 쿠키는 Google이 이용자의 장치에 생성하는 것이며 Google만이 접근할 수 있기 때문에, 귀 위원회가 질의에서 언급한 '고객(사업자)이 Google에게 제공한 식별자’에 해당하지 않는 것으로 이해하고 있습니다...”라고 설명하면서, 피심인이 수집ㆍ이용 주체인 점을 인정하고 있다. 따라서, 사업자에게 동의 의무가 있다고 주장하는 것은 보호법상 피심인의 의무를 제3자인 사업자에게 전가하는 것으로밖에 볼 수 없다. 한편, 피심인은 유럽사법재판소(Court of Justice of the European Union)의 Fashion ID 판결(각주:Case C-40/17(Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW eV)) 과 EU 쿠키 법(각주:Directive 2009/136/EC of the European Parliament and of the Council) 의 일부 문구만을 인용, 동의 획득 의무는 웹사이트 운영자인 사업자에게 있다고 주장하면서 피심인이 동의를 받을 의무가 있는지는 답변을 의도적으로 회피하고 있다. Fashion ID 판결은 회원 여부와 상관없이 사업자의 공동책임을 다룬 것이며, 플랫폼 회원의 타사 행태정보 수집ㆍ이용은 EDPB 가이드라인(각주:“소셜 미디어 제공 업체(플랫폼)는 광고 쿠키의 설치 전에 유효한 동의를 얻어야 한다”고 명시) 에서 구체화하고 있다. EU 쿠키 법은 쿠키를 설치하였다면 '누구든지’ 동의를 받아야 한다는 것이며, 플랫폼 회원의 타사 행태정보 수집ㆍ이용에 대한 동의 의무와는 무관하다. 실제 본건에서 피심인이 행태정보 수집 도구를 통해 수집한 쿠키는 이용자가 피심인 서비스에 접속 시 피심인이 이용자의 기기에 설치한 쿠키이며, 유럽에서는 쿠키 법에 따라 동의를 받고 있다. <img src="/LSW/flDownload.do?flSeq=124486029" alt="66번째 이미지"></img> 2. 피심인이 타사 행태정보 수집ㆍ이용에 대한 동의를 받았다는 주장에 대하여 보호법 제39조의3 제1항 및 관련 법령 규정의 문언ㆍ체계ㆍ취지는 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 하기 위함이다.

따라서 개인정보 처리에 대한 적법한 동의 여부를 판단하기 위해서는 충분한 정보를 적절한 방식으로 제공하였는지 뿐만 아니라, 포괄 동의 여부, 신중한 의사결정 사항에 대한 구분 동의 여부, 이용자에게 동의 여부에 대한 선택권 부여 등 검토를 통해, 실제 이용자가 개인정보 수집ㆍ제공에 대한 사실을 인지하고, 그 동의 여부를 표시하였는지 확인하여야 한다. 타사 행태정보는 이용자가 Google이 아닌 다른 웹ㆍ앱 사용과정에서 자동으로 수집되므로 이용자가 직접 입력하거나 Google 서비스 내에서 수집되는 행태정보와는 이용자의 인지ㆍ예측 가능성 측면에 있어 큰 차이가 있으나,(각주:가입과정에서 수집되는 이름, 생년월일, 성별, 연락처 등의 개인정보는 입력하는 과정에서 수집을 인지할 수 있고, Google 서비스 내에서의 활동기록은 서비스 내 해당 행위를 하는 과정에서 수집을 예측할 수 있음) 피심인은 타사 행태정보의 이러한 특수성을 고려하지 않고, 통상의 이용자가 피심인의 타사 행태정보 수집ㆍ이용을 명확하게 이해할 수 있는 문구 자체를 기재하지 않아 이용자는 해당 정보의 수집ㆍ이용을 인지하기 어렵다. 피심인은 이용자 동의화면의 일부 항목에 미리 체크가 되어 있다는 점은 동의의 적법성에 영향을 미치지 않는다고 주장하나, 피심인이 “옵션 더보기”에서 “웹 및 앱 활동”, “광고 개인 최적화”를 안내하고 선택권을 부여한 상황 등을 봤을 때, 피심인은 타사 행태정보의 특수성을 인지하였고 이용자의 명시적 동의가 필요하다는 점을 알고 있는 것으로 판단된다. 그럼에도 타사 행태정보 수집ㆍ이용에 대한 명시적인 동의를 받지 않고, 기본 값을 '동의’로 설정한 후 이를 가려놓은 행위는 이용자의 개인정보 자기결정권 보다 피심인의 광고 수익 극대화를 우선순위로 둔 행위로 평가된다. 특히, '옵션’의 의미는 추가로 선택한다는 의미이므로 이용자는 당연히 '옵션’이 선택되어 있을 것이라고 예상하기 어려운바, 이용자 기대에 반해 온라인상 활동을 추적하고 맞춤형 광고 등을 위해 이용자의 타사 행태정보를 수집ㆍ이용한 행위는 이용자를 기망한 행위로 판단된다.

피심인은 '행태정보 수집 도구를 사용하는 사업자’를 알릴 법적 의무가 없다고도 주장하나, 보호법은 이용자가 해당 정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 법정 고지사항의 '구체적인 내용’ 등을 알리도록 규정한바, 법정 고지사항인 행태정보의 구체적인 '항목’은 '어떤 웹 또는 앱’에서 한 '어떤 행위’에 대한 정보이므로, 이를 쉽고 명확하게 알릴 의무가 있다.(각주:타사 행태정보의 항목은 '타사’와 '행태정보’를 특정함으로써 명확한 기재가 가능할 것인바, 전자의 경우 타사의 범위가 고정되어 있지 않고 수시로 변동될 경우 그 타사를 특정하는 것이 현실적으로 어려울 수 있으므로, 이러한 경우에는 예컨대 (개인정보를 제공받는 제3자의 특정이 어려운 경우와 유사하게) 타사의 유형을 구체적으로 최대한 누락 없이 알리거나 변동 가능한 목록을 공개하는 등의 방식으로 타사를 특정한 뒤 동의를 받는 방식을 고려할 수 있음. 또한 후자의 경우 행태정보 수집도구에 배포 당시부터 설정되어 있는 수집 대상 항목들을 기재하는 방식으로 특정할 수 있을 것임) 타사 행태정보는 맞춤형 광고 등을 위하여 수집ㆍ이용되고 그 중요성에도 불구하고 정보주체가 그 수집 여부를 미리 예측하거나 인지할 수 없다는 특수성을 고려할 때, 더더욱 그 수집ㆍ이용에 대한 내용을 명확하고 쉽게 확인할 수 있도록 표시하여야 한다. 또한, 대법원 판례에 따르면, 보호법 상 동의는 법정 고지사항과 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 인지ㆍ확인할 수 있는 상태에서 동의 여부를 판단, 명확한 인식하에 동의의 표시를 할 수 있어야 한다. 그러나 앞서 살펴보았듯이 피심인은 타사 행태정보의 수집을 명확하게 인식하고 이해할 수 있는 문구를 기재하지 않았으며, “옵션 더보기”에서도 이와 관련한 설정의 기본 값을 '동의’로 두고 해당 부분을 가려놓아 이용자를 기망하는 동시에 다수의 문구를 중의적 또는 불명확하게 해석될 수 있는 모호한 문구로 구성하여 역시 타사 행태정보의 수집을 명확하게 인식하고 이해할 수 있는 문구를 기재하지 않았다. 피심인은 처분 선례 및 국내 사업자의 예시를 들면서 동의받았다고 주장하나, 타사 행태정보 수집ㆍ이용과는 무관한 사례들로 이 사건 처분에 참고할 수 없다.

피심인은 위원회가 피심인의 동의방식에 위법이 없음을 밝혔다고도 주장하나, 위원회는 ’21. 8월 법 위반이 명확히 밝혀진 일부 사업자는 시정조치하고, 동의방식 조사 관련, '사실확인 등이 더 필요한 사항은 추가조사 한다’는 내용을 안건에 담았으며, 보도자료를 통해서도 공개한바 위 주장 역시 사실과 다르다.(각주:“이번 동의방식 관련 조사는 최종 완결된 것이 아니며, 지금까지 확정된 사항에 대해 심의ㆍ의결하고, 사실관계 확인이나 법령 검토 등이 좀 더 필요한 사항은 추가조사 실시 예정”임을 안건ㆍ보도자료 등에 명시) 3. 사전통지서의 입장은 정책적 측면에서 심각한 문제가 있다는 의견에 대하여 피심인은 위원회가 동의 받을 주체에 대한 구체적 판단기준을 정립한 바 없고, 기준으로 삼을 수 있는 판례 또는 사례가 없다고 주장하나, 방통위에서 ’17년 발간한 「온라인 맞춤형 광고 개인정보 보호 가이드라인」은 광고 사업자가 행태정보와 개인 식별정보를 결합할 경우에는 해당 이용자로부터 사전에 동의를 받아야 한다고 안내하고 있으며, 위원회가 ’20년 발간한 「온라인 개인정보 처리 가이드라인」에서도 동의 받는 주체가 이용자와 서비스 제공 계약을 맺은 자로서 쿠키를 통해 해당 이용자의 행태정보를 수집하는 자임을 전제하는 동시에 위 온라인 맞춤형 광고 개인정보보호 가이드라인을 참고하도록 하고 있다. <img src="/LSW/flDownload.do?flSeq=124486035" alt="67번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486049" alt="68번째 이미지"></img> 따라서 피심인의 주장은 사실과 다르며, 이 사건 처분 대상행위에 대해서는 광고 사업자가 이용자의 동의를 받아야 한다는 명확한 판단기준이 있다. 즉, 특정 이용자를 식별하여 그 이용자의 온라인 활동을 추적하는 피심인이 이용자의 동의를 받음으로써 이용자는 처음부터 피심인이 자신의 타사 행태정보를 수집ㆍ이용한다는 사실을 미리 알고 '모든 타사’ 행태정보의 수집ㆍ이용에 대해 사전에 명확히 인지하고 선택하는 것이 가능하게 되어 정책적 관점에서도 훨씬 이용자에게 도움이 될 것으로 판단된다.

피심인은 사전통지서가 사업자가 운영하는 하나의 웹사이트 및 앱에서 광고 서비스를 제공하는 모든 플랫폼이 이용자에게 행태정보의 수집ㆍ이용에 대한 별도의 동의를 하도록 한다고 주장하나, 위원회는 타사 행태정보 수집ㆍ이용 동의를 받을 의무는 사업자가 아닌 피심인에게 있다는 것을 적시한 것이며, 피심인은 이용자가 ①Google 계정에 가입하고, ②Google 계정에 로그인한 후, ③사업자의 웹사이트 및 앱을 이용하여야 타사 행태정보를 수집하는바, 피심인은 이용자가 Google 계정에 가입하는 시점에 충분히 동의 받을 수 있고, 피심인도 Google 계정 생성 시 이용자로부터 이에 대한 동의를 받았다고 주장하고 있으므로 피심인의 주장은 서로 모순되고 있다. 피심인은 타사 행태정보와 Google 계정정보의 연결 여부는 중요하지 않고, 오히려 투명성을 제고하고 통제권을 보장하는 것이라고 주장하나, 계정정보와 연결된 행태정보 또는 처음부터 계정정보와 결합하여 수집된 행태정보는 해당 개인을 식별한 상태에서 축적되는 개인정보에 해당하여 이용자의 익명성을 상실시키고 이용자의 모든 온라인 활동을 감시(모니터링)ㆍ축적하는 도구가 되어 일명 빅브라더의 위험을 현실화시킬 수 있다. 이처럼 계정정보와 결합되어 이용자의 모든 온라인 행태정보가 감시(모니터링)ㆍ축적될 경우, 그 특정 이용자에 대한 일종의 빅데이터가 형성되어 그 이용자의 사상ㆍ신념, 정치적 견해, 건강, 신체적ㆍ생리적ㆍ행동적 특징, 기타 이용자의 사생활을 현저히 침해할 우려가 있는 정보 즉 민감정보화가 일어날 가능성도 높아지는바, 이는 민감정보 수집ㆍ이용을 엄격히 제한하여 이용자의 개인정보를 보호하고자 하는 보호법의 취지를 훼손하는 결과로도 이어질 수 있다. 실제로 피심인은 이용자의 타사 행태정보를 분석하여 이용자의 관심사에 대한 정보를 생성하고, 이용자의 계정정보, 생년월일, 성별, 위치정보 등에 결합하여 피심인의 맞춤형 광고 등에 사용하고 있는바, 위와 같은 위험이 이미 상당한 수준으로 내재되어 있다고 보인다.

나아가 이용자는 익명성이 보장된다고 믿고 있는 온라인 활동이 피심인에 의해 개인 식별(각주:피심인의 개인정보 처리방침에는 “사용자는 Google 계정을 만들 때 이름과 비밀번호를 포함한 개인정보를 Google에 제공합니다.”라고 기재되어 있으며 이때 “개인정보”는 “이름, 이메일 주소, 결제 정보 등 사용자가 Google에 제공하는 개인 식별 정보, 또는 이러한 개인 식별 정보와 연관이 있음을 합리적으로 파악할 수 있는 기타 데이터(예: 사용자의 Google 계정에 연결된 정보)를 의미합니다.”라고 설명하고 있음) 을 전제로 이루어지고 있고, 위와 같은 정보 축적에 대한 실질적인 선택권을 박탈당한 것인바, “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리”(각주:헌재 2014. 8. 28.자 2011헌마28 등 결정) 인 이용자의 개인정보자기결정권에 대한 심각한 침해가 발생하고 있다. 향후, 정책 마련을 통해 사업자가 사업자의 목적 범위(사이트 분석, 광고 의뢰 및 효과 측정) 내에서 특정 개인을 식별하지 않는 상태에서 행태정보 수집ㆍ이용에 대해 사용자의 동의를 받는다 하더라도, 사업자의 목적 범위를 벗어나 피심인 회원의 관심사 및 성향을 추론하고 맞춤형 광고를 표시하기 위한 등의 목적으로 행태정보를 수집ㆍ이용하는 것에 대한 동의 의무는 여전히 피심인에게 있다 할 것이다.(각주:EDPB 가이드라인에서는 '플랫폼이 처리하는 다양한 출처에서 생성된 데이터의 조합ㆍ분석은 개인의 기본권과 자유에 대해 위험을 초래한다’고 강조하면서, 플랫폼이 동의를 받아야 할 주체임을 명시함과 아울러, 회원가입 시 플랫폼이 배포한 행태정보 수집 도구를 설치한 모든 사업자를 공개하도록 하고 있다.) 4. 과징금 부과와 관련한 의견에 대하여 피심인은 행태정보가 개인정보에 해당하는지, 동의 받을 의무를 부담하는 주체가 누구인지 등에 관한 선결적인 쟁점에 대해 전혀 논의가 이루어지지 않은 상태에서 과징금을 부과하는 것은 부당하다고 주장하나, 앞서 살펴본 바와 같이 「온라인 맞춤형 광고 개인정보 보호 가이드라인」 및 「온라인 개인정보 처리 가이드라인」에서 이미 안내하고 있던 사항으로, 피심인이 두 가지 선결적인 쟁점에 대해 전혀 논의가 이루어지지 않은 상태라고 주장하는 것은 사실과 부합하지 않는다.

또한, 피심인은 위반행위 관련 매출액 산정이 곤란하다고 주장하나, 보호법 시행령 제48조의11 제1항에서 위반행위 관련 매출액은 위반행위와 관련된 서비스의 직전 3개 사업연도의 연평균 매출액으로 규정하고 있고, 피심인은 이 사건 타사 행태정보가 수집ㆍ이용된 이용자에게 Google 서비스를 제공하고 있는바, 해당 서비스의 매출액은 존재하므로 법에서 정한 정액 과징금 부과 사유(각주:보호법 시행령 제48조의11② (1) 영업을 개시하지 않았거나 영업을 중단하는 등의 사유로 영업실적이 없는 경우, (2) 재해 등으로 인하여 매출액 산정자료가 소멸되거나 훼손되는 등 객관적인 매출액의 산정이 곤란한 경우) 에 해당하지 않는다.

피심인은 매출액 기반으로 과징금이 부과되더라도 위반행위 관련 매출액은 광고 매출액 중 “구글 검색 및 기타”(각주:구글 검색 및 Gmail, 구글 지도, 구글 플레이 등 기타 구글이 소유 및 운영하는 서비스에서 발생한 광고 매출) 매출과 “유튜브 광고” 매출액을 제외한 “구글 네트워크”매출액으로 제한되어야 한다고 주장하나, '개인정보보호 법규 위반에 대한 과징금 부과기준’(고시) 제4조 제2항은 관련 매출액 산정 시 서비스의 범위는 (1)서비스 제공 방식, (2)서비스 가입 방법, (3)이용약관에서 규정한 서비스 범위, (4)개인정보 데이터베이스 관리 조직ㆍ인력 및 시스템 운영 방식을 고려하도록 하고 있으며, 피심인이 제공하는 구글 검색 및 기타, 유튜브 서비스는 동일 약관(각주:유튜브는 Google 계정으로 가입하는 약관 외에 추가로 적용되는 서비스 고유의 약관이 있으나, 맞춤형 광고는 Google 계정을 기반으로 수집된 타사 행태정보를 기반으로 게재하고 있음) 에 동의하고 생성하는 Google 계정으로 모두 이용이 가능하고, 그 개인정보 데이터베이스 관리 조직ㆍ인력 및 시스템 운영 방식도 “구글 검색 및 기타”, “유튜브 광고” 등 각 서비스를 별도로 분리해서 운영하는 것으로 보이지 않는다.(각주:각 서비스 별로 데이터베이스 관리 조직ㆍ인력 및 시스템을 추가로 운영할 수 있으나, 이용자가 최초 가입 시 생성하는 Google 계정에 대한 시스템은 각 서비스 별로 구분되어 있지 않음) 헌법재판소는 보호법 제39조의15 제1항의 “위반행위와 관련한 매출액”이란 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 매출액”을 의미하는 것이라고 명시적으로 판단하여 시행령과 고시(각주:'과징금 부과기준’에서 관련 매출액은 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 매출액으로 하고, 관련 매출액 산정시 서비스 범위는 ①서비스 제공 방식, ②가입 방법, ③이용약관에 정한 서비스 범위, ④개인정보 DB 관리 조직ㆍ인력 및 시스템 운영방식을 고려하도록 함) 의 합헌성을 인정하고 있다. <img src="/LSW/flDownload.do?flSeq=124486051" alt="69번째 이미지"></img> Google 서비스 약관 등에 명시된 바와 같이 타사 행태정보 수집ㆍ이용으로 직접 또는 간접적으로 영향을 받는 서비스는 Google 서비스이며, 이를 통해 피심인의 광고 매출액이 발생하고 있다.

<img src="/LSW/flDownload.do?flSeq=124486055" alt="70번째 이미지"></img> 피심인이 광고와 관련하여 공개하고 있는 내용을 살펴보더라도 “구글 검색 및 기타”, “유튜브 광고”에서도 이용자의 웹사이트 방문 내역, 관심분야, 로그인한 상태에서 이루어진 활동 등을 이용하여 광고를 선택ㆍ표시하는바, 이용자의 타사 행태정보와 직간접적으로 관련이 있는 것을 알 수 있다. <img src="/LSW/flDownload.do?flSeq=124485891" alt="71번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124485873" alt="72번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486059" alt="73번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486061" alt="74번째 이미지"></img> 따라서, 피심인의 서비스 전체가 피심인의 위반행위로 인하여 직간접적으로 영향을 받고 있는바, 위반행위 관련 매출액을 “구글 네트워크” 매출액으로 제한할 수 없다. 5. 법령에 맞게 옵트인 방식으로 동의를 받았다는 주장에 대하여 피심인은 제14차 위원회 회의(’22.8.31.) 시 '옵션 더보기는 사실상 옵트 아웃 방식의 동의가 아니냐’는 지적과 관련하여, 아래 화면과 같이 “개인정보 보호 및 약관” 하단의 체크박스에 체크를 표시한 후에 “계정 만들기” 버튼을 클릭하도록 요구한 것이 '옵트인’ 동의방식에 해당하고, “옵션 더보기”에 가려놓은 “웹 및 앱 활동”은 부차적인 기능에 불과할 뿐 동의의 유효성과는 무관하다고 답변하였다. <img src="/LSW/flDownload.do?flSeq=124486063" alt="75번째 이미지"></img>

그러나 앞서(해외 가입 절차) 살펴보았듯이, “개인정보 보호 및 약관” 중 “사용자가 Google을 사용할 때 Google에서 처리하는 정보”(수집하는 개인정보의 항목)와 “Google이 정보를 처리하는 이유”(개인정보의 수집ㆍ이용 목적’), “정보의 보유기간”(개인정보의 보유ㆍ이용 기간), 기타 “정보의 결합”, “자신의 데이터를 직접 관리” 및 “옵션 더보기” 부분 전체를 통틀어 보아도, “옵션 더보기∨” 외의 부분에 기재한 문구 중에 타사 행태정보를 수집ㆍ이용한다는 내용은 존재하지 않으며, 피심인은 유럽의 가입화면 중 “옵션 더보기∨” 부분에 상응하는 화면에서 “웹 및 앱 활동”에 대해 동의를 철회할 수 있다고 안내하고 있는 등 이에 대한 동의를 받는 것으로 명시하고 있는바, 한국 이용자에게는 동의를 받는 것이 아닌 부차적인 기능을 제공하는 것에 불과하다는 주장은 타당성이 떨어진다.(각주:심지어 구글은 CNIL 조사에서 “옵션 더보기”가 이용자가 데이터 사용에 대한 동의를 표명할 수 있도록 한 것이라고 주장(SAN-2019-001, 137)) <img src="/LSW/flDownload.do?flSeq=124486065" alt="76번째 이미지"></img>

6. 프랑스 CNIL의 처분(2019. 1. 21.자 CNIL 의결, 의결번호 SAN-2019-001)이 이번 위원회의 조사ㆍ처분과 관련이 있는지에 대하여(각주:구글은 CNIL의 ’20년 및 ’21년 처분사례도 언급하고 있으나, 이 부분은 이 사건 처분과 관련 없는 사항임) 피심인은 “옵션 더보기”의 맞춤형 광고 설정이 미리 체크되어 있었던 부분 때문에 CNIL로부터 처분을 받았다는 것을 인정하면서, 이는 맞춤형 광고라는 특정한 목적에 대해 별도의 옵트인 동의를 받지 않아, CNIL이 GDPR에서 요구하는 구체적인 형식적 요건을 충족하지 못한다고 본 것이라고 답변하면서, 보호법은 이와 다르다고 주장하였다.(각주:보호법은 개인정보의 수집 및 이용에 관하여 단일한 동의 절차를 예정하고 있으며, 법정 고지사항을 이용자에게 알리고 동의를 받는다면 해당 동의가 유효한 것으로 보고 있다고 주장) 그러나, CNIL은 단순 형식적 요건의 충족 여부를 본 것이 아니라, 여러 근거를 들어 구글의 주장(각주:구글은 계정 생성 시 “개인정보 보호 정책 및 이용약관”을 통해 관련 정보를 제공하고, 맞춤형 광고의 표시와 관련된 선택을 할 수 있으며, 민감정보가 아닌 경우 GDPR 제9조 2.(a)항에 따른 명시적 동의를 의무화 할 수 없다고 주장) 을 반박한 것으로, 사용자는 수집되는 데이터의 성격과 양을 적절히 인식할 수도 없고, 맞춤형 광고 처리에 대한 정보제공이 사전에 충분히 이루어지지 않았으며, GDPR 제4조(11)에 따른 동의(진술 또는 명백한 적극적 행위를 통해 자유롭고, 구체적으로, 결과에 대해 인지하여 분명하게 나타낸 의사표시)가 없었다고 판단하고 있다. 따라서 CNIL의 판단은 '적법한 동의’ 여부를 조사함에 있어 참고할 여지가 있다. <img src="/LSW/flDownload.do?flSeq=124486067" alt="77번째 이미지"></img> Ⅴ. 처분 및 결정 1. 시정조치 명령 피심인의 보호법 제39조의3제1항을 위반하여 이용자에게 명확하게 알리고 동의를 받지 않고 피심인 서비스에 가입한 이용자가 다른 웹사이트 및 앱을 사용한 행태정보를 수집ㆍ이용한 행위에 대하여 같은 법 제64조제1항에 따라 개인정보 보호 및 침해 방지를 위하여 아래와 같이 시정조치를 명한다.

가. 피심인은 이용자의 타사 행태정보를 수집ㆍ이용하려면 이용자가 자유로운 결정권을 행사하고 쉽고 명확하게 인지할 수 있도록 이용자에게 알리고 동의를 받아야 한다. 나. 위 가의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 90일 이내에 이행결과를 개인정보보호위원회에 제출하여야 한다. 2. 과징금 부과 피심인의 보호법 제39조의3제1항 위반에 대하여 같은 법 제39조의15제1항제6호 및 「개인정보보호 법규 위반에 대한 과징금 부과기준」(고시 제2020-6호) (이하 '과징금 부과기준’)에 따라 다음과 같이 과징금을 부과한다. 과징금은 ①위반행위와 관련한 매출액 산정, ②관련 매출액에 부과기준율을 곱하여 기준금액 산정, ③기준금액에 필수적 가중ㆍ감경, ④추가적 가중ㆍ감경을 거쳐 산정한다. 가. 과징금 상한액 피심인의 보호법 제39조의3제1항 위반에 대한 과징금 상한액은 같은 법 제39조의15제1항제6호에 따라 위반행위와 관련된 정보통신서비스의 직전 3개년도의 연평균 매출액의 100분의 3 이하에 해당하는 금액으로 한다. 나. 기준금액 1) 고의ㆍ중과실 여부 과징금 부과기준 제5조제1항은, 보호법 시행령 〔별표 1의5〕 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리 목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단하도록 규정하고 있다. 이에 따를 때, 피심인은 영리를 목적으로 정보통신망을 통해 정보통신서비스인 Google 서비스를 한국 이용자에게 제공하고 있는 개인정보처리자이자 정보통신서비스 제공자로서 ▲이용자의 타사 행태정보를 맞춤형 광고 등을 위해 사용하고 있는 점, ▲피심인의 서비스를 이용하는 한국 월간 활성 이용자 계정 수는 ’21년 10월 기준 로 방대하고, ▲위반행위로 인한 피해규모는 한국 월간 이용자 수의 에 이르고 있으며, ▲유럽 등에서는 다른 형식으로 동의를 받고 있는 점을 고려할 때, 피심인에게 고의ㆍ중과실이 있다고 판단한다. 2) 중대성의 판단

과징금 부과기준 제5조제3항은, 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 '매우 중대한 위반행위’로 판단하도록 규정하고 있으나, 단서조항에서, ① 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우(제1호), ②위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우(제2호), ③이용자의 개인정보가 공중에 노출되지 않은 경우(제3호) 중 모두에 해당할 때에는 '보통 위반행위’로, 1개 이상 2개 이하에 해당할 때에는 '중대한 위반행위’로 규정하고 있다. 위 기준을 적용하여 ① 피심인이 직접적으로 이득을 취한 점, ② 동의 없이 수집ㆍ이용한 한국 이용자의 개인정보는 피심인이 보유한 한국 이용자 개인정보의 5%를 초과한 점, ③ 이용자의 개인정보가 공중에 노출되지 않은 점 등을 종합적으로 고려할 때, 위반행위의 중대성을 '중대한 위반행위’로 판단하였다. 3) 관련 매출액 및 기준금액 산출 과징금 부과기준 제4조(관련 매출액 산정)제1항에 따라 “관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액으로 한다.”라고 규정되어 있으며, 또한 같은 조 제3항에는 “서비스에 대한 매출액은 회계자료를 참고하여 정하되, 이를 통해 위반행위와 관련한 서비스의 매출액을 산정하기 곤란한 경우에는 해당 정보통신서비스 제공자등의 과거 실적, 동종유사 역무제공사업자의 과거 실적, 사업계획, 그 밖에 시장상황 등을 종합적으로 고려하여 매출액을 산정할 수 있다.”라고 규정하고 있다. 피심인이 이용자의 동의 없이 타사 행태정보를 수집ㆍ이용한 위반행위는 위원회 심의종결일인 ’22년 9월 14일까지 지속되고 있으므로 관련 매출액은 직전 3개 사업연도인 2019년, 2020년, 2021년의 연평균 매출액으로 한다. 피심인의 관련 매출액은 피심인이 제출한 전 세계 매출액 중 기타 수입을 제외한 피심인의 광고 매출액으로 하고, 위반행위 종료 직전 3개년도(’19~’21년)의 연도별 광고 매출액에 전세계 Google 이용자 중 한국 이용자(월간 활성 이용자) 비율을 곱한 금액의 3개년 평균, 를 피심인의 관련 매출액으로 산정한다. <img src="/LSW/flDownload.do?flSeq=124486069" alt="78번째 이미지"></img>

<img src="/LSW/flDownload.do?flSeq=124486071" alt="79번째 이미지"></img> 피심인의 위반행위는 보호법 시행령 [별표 1의5] 2. 가. 1)에 따라 '중대한 위반행위’에 해당하므로 부과기준율 1천분의 21을 적용, 관련 매출액에 부과기준율을 곱한 를 기준금액으로 산정한다. <img src="/LSW/flDownload.do?flSeq=124486075" alt="80번째 이미지"></img> 다. 필수적 가중 및 감경 피심인의 위반행위 기간이 2년을 초과(’16.6.~’22.9.14.현재)하므로 기준금액의 100분의 50에 해당하는 를 가중하고, 최근 3년간 과징금 부과 처분을 받은 적이 없으므로 조정을 거친 금액에서 기준금액의 100분의 50에 해당하는 를 감경한다. 라. 추가적 가중 및 감경 과징금 부과기준 제8조는 사업자의 위반행위의 주도 여부, 조사의 협조 여부 등을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중ㆍ감경할 수 있다고 규정하고 있으나, 피심인에 대해 특별히 가중하거나 감경할 사유는 없다. 마. 과징금의 결정 피심인의 보호법 제39조의3제1항 위반행위에 대한 과징금은 같은 법 제39조의15조제1항제6호 및 같은 법 시행령 제48조의11제4항 [별표 1의5] 2. 가. 1)(과징금의 산정기준과 산정절차) 및 과징금 부과기준에 따라 상기와 같이 단계별로 산출한 금액인 를 최종 과징금으로 결정한다. <img src="/LSW/flDownload.do?flSeq=124486077" alt="81번째 이미지"></img>(각주:의결일('22.9.14.) 최초 고시 매매기준 환율(1,374.8원)을 적용하여 원화로 환산, 과징금 산출액이 1억원 미만은 십만원 미만 절사, 1억원 이상은 백만원 미만 절사함) 3. 처분 결과의 공표 피심인이 Google 서비스에 가입한 이용자의 동의 없이 '이용자의 타사 행태정보’를 ①6개월 이상 지속하여 ②10만 명 이상 수집ㆍ이용한 행위는 「개인정보 보호위원회 처분결과 공표기준」제2조 제5호 및 제7호에 해당하므로 보호법 제66조제1항에 따라 시정조치 명령을 받은 사실에 대해 개인정보보호위원회 홈페이지에 공표하기로 한다. <img src="/LSW/flDownload.do?flSeq=124486079" alt="82번째 이미지"></img> Ⅵ. 결론

피심인의 보호법 제39조의3제1항 위반행위에 대하여 같은 법 제39조의15(과징금의 부과 등에 대한 특례), 제64조(시정조치 등)제1항, 제66조(결과의 공표)제1항 각각에 의한 과징금 부과 및 시정조치 명령, 결과 공표를 주문과 같이 의결한다.

결정요지

안건번호 : 제2022-014-104호 (사건번호 : 2021조일0028) 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치 등에 관한 건 신청인 : Google Limited Liability Company1600 Amphitheatre Parkway Mountain View, California, USA대표이사 Sundar Pichai 의결연월일 : 2022. 9. 14.