개인정보보호 법규 위반행위에 대한 시정조치 등에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 시정조치를 명한다. 가. 피심인은 이용자의 타사 행태정보를 수집ㆍ이용하려면 이용자가 자유로운 결정권을 행사하고 쉽고 명확하게 인지할 수 있도록 이용자에게 알리고 동의를 받아야 한다. 나. 위 가의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 90일 이내에 이행결과를 개인정보보호위원회에 제출하여야 한다. 2. 피심인에 대하여 다음과 같이 과징금을 부과한다. 가. 과 징 금 : 30,806,000,000원 나. 납부기한 : 고지서에 명시된 납부기한 이내 다. 납부장소 : 한국은행 국고수납 대리점 3. 피심인의 법 위반행위 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.

이유

Ⅰ. 조사 개요 1. 조사 배경 언론보도, 국정감사 지적 등을 계기로 온라인 맞춤형 광고 플랫폼(각주:행태정보 수집 도구를 제작ㆍ배포하여 자사 또는 타사의 웹ㆍ앱을 사용한 행태정보를 수집하고 맞춤형 광고를 전송하는 자) 이 이용자(서비스 가입자)의 타사 웹사이트 및 앱을 사용한 행태정보(각주:웹ㆍ앱 방문ㆍ사용 이력, 구매ㆍ검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 활동정보) 를 수집하여 맞춤형 광고 등에 활용한 실태를 조사하였다. <img src="/LSW/flDownload.do?flSeq=124486113" alt="1번째 이미지"></img> 2. 피심인 현황 Meta Platforms, Inc.(이하 '피심인’)은 영리를 목적으로 정보통신망을 통해 페이스북 및 인스타그램 등 서비스를 제공하고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 '정보통신망법’) 제2조 제1항 제3호에 따른 정보통신서비스 제공자이며, 「개인정보 보호법」(이하 '보호법’)에 따른 개인정보처리자로서 일반현황과 매출액은 다음과 같다. <피심인 일반현황> <img src="/LSW/flDownload.do?flSeq=124486139" alt="2번째 이미지"></img> <피심인 매출액 현황> (단위 : 백만$) <img src="/LSW/flDownload.do?flSeq=124486161" alt="3번째 이미지"></img> 피심인은 2018년 7월 14일부터 페이스북 및 인스타그램 서비스를 대한민국에서 제공하였고, 2021년 9월 기준으로 페이스북 및 인스타그램 서비스의 월간 활성 한국 이용자 계정 수는 각각 개와 개(각주:2021년 9월 30일 기준 관련 제품의 월간 활성 한국 이용자 수를 제출) 이다. 2019년 ~ 2021년까지 연도별 페이스북 및 인스타그램 서비스의 전체 월간 활성 이용자 중 한국 이용자 비율은 아래와 같다. <피심인 서비스 한국 이용자 비율> <img src="/LSW/flDownload.do?flSeq=124486187" alt="4번째 이미지"></img> Ⅱ. 사실조사 결과 1. 서비스 제공 주체 및 행태정보 수집 도구(각주:이용자의 행태정보를 수집하기 위해 플랫폼이 제작ㆍ배포한 개발 도구로 픽셀(웹), SDK(앱), 애널리틱스 등이 있으며, 맞춤형 광고가 노출되는 배너 등도 행태정보 수집 도구에 해당할 수 있음) 현황

피심인은 한국에서 페이스북 및 인스타그램 등 이용자에게 서비스를 제공하는 당사자이다. 피심인은 Facebook 로그인, 픽셀, SDK 및 소셜 플러그인 등의 행태정보 수집 도구를 사업자(각주:자사 웹사이트 및 앱 사용자의 행태정보가 플랫폼에 수집되도록, 플랫폼이 배포한 행태정보 수집 도구를 사용하는 사업자(온라인 쇼핑몰, 미디어 등)) 에게 제작ㆍ배포하고 있으며, 사용 목적에 따라 아래와 같이 구분된다. <img src="/LSW/flDownload.do?flSeq=124486211" alt="5번째 이미지"></img> 2. 행태정보를 수집하기 위해 사용하는 식별자 웹브라우저에서 피심인은 'Facebook 픽셀’을 통해 수집하는 행태정보를 페이스북 및 인스타그램 등을 이용하는 이용자 계정과 결합하기 위해 'fr’ 쿠키 등을 사용하고 있다. 모바일에서는 'Facebook SDK’를 통해 수집하는 행태정보를 페이스북 및 인스타그램 이용자 계정과 결합하기 위해 ADID, IDFA 등의 '모바일 광고식별자’(각주:이용자의 모바일 기기(스마트폰OS)에 부여된 식별자(Android : ADID, iOS : IDFA)로 이용자가 변경할 수 있음) 를 사용하고 있다. 피심인은 또한 이용자 계정과 행태정보의 결합을 지원하기 위해 식별자 정보 외에 추가로 '메타데이터’(IP주소, 사용자의 웹브라우저 및 기기 정보)를 사용하고 있다. 3. 행태정보 수집 도구를 통해 식별자 및 이용자의 타사 행태정보를 수집하는 목적 피심인은 ①측정 및 분석 서비스, ②광고 타게팅, ③광고 게재 개선, ④기능 및 콘텐츠 맞춤화, ⑤Facebook 제품 개선 및 보호 등의 목적으로 행태정보를 사용한다고 답변하였다. <img src="/LSW/flDownload.do?flSeq=124486235" alt="6번째 이미지"></img> 피심인은 이용자의 타사 행태정보를 수집ㆍ분석하여 이용자가 관심을 가질 만하다고 판단하는 광고를 추정 및 표시한다고 설명하였다. <img src="/LSW/flDownload.do?flSeq=124486263" alt="7번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486277" alt="8번째 이미지"></img> 피심인은 이용자(소스 타겟)의 타사 행태정보를 바탕으로 광고주가 해당 이용자와 유사한 이용자(유사 타겟)를 추정하여 타게팅할 수 있는 기능을 제공하고 있다.

<img src="/LSW/flDownload.do?flSeq=124486279" alt="9번째 이미지"></img> 4. 행태정보 수집 도구를 통해 이용자의 타사 행태정보를 수집한 기간 및 수 피심인은 ’10. 4.부터 ’21. 5.까지 'Facebook 픽셀’을 사용하는 개 사업자 및 'Facebook SDK’를 사용하는 개의 사업자가 운영하는 웹사이트 및 앱 등에서 이용자의 행태정보를 수집하고 있으며, 행태정보를 수집한 이용자 수(각주:피심인은 2021년 9월 30일 기준(Meta의 거주지 예측 방법에 기반한) 관련 제품의 월간 활성 한국 이용자 수를 제출함) 는 아래와 같다. <img src="/LSW/flDownload.do?flSeq=124486115" alt="10번째 이미지"></img> 5. 피심인 서비스에서 확인 가능한 이용자의 타사 행태정보 관련 내용 피심인은 페이스북 계정을 생성하는 과정에서 필수적으로 선택을 해야 되는 “Facebook 데이터 정책에 동의합니다.” 체크박스 위의 스크롤 화면을 통해 “데이터 정책” 전문을 보여주고 있다. <img src="/LSW/flDownload.do?flSeq=124486117" alt="11번째 이미지"></img> 인스타그램 계정을 생성하는 과정에서는 “이용 약관에 동의” 화면에서 “데이터 정책(필수)”을 선택하도록 하면서 “더 알아보기”를 누르는 경우 “Instagram 데이터 정책” 전문을 보여주고 있다. <img src="/LSW/flDownload.do?flSeq=124486119" alt="12번째 이미지"></img> 피심인은 데이터 정책 내 “파트너가 제공하는 정보”에서 광고주(사업자) 등은 Meta의 비즈니스 도구(Facebook 로그인, 픽셀, SDK)를 통해 Meta로 정보를 제공할 수 있다고 표기하고 있다. <img src="/LSW/flDownload.do?flSeq=124486121" alt="13번째 이미지"></img> 피심인은 ’19. 8. 이용자의 페이스북 및 인스타그램 계정정보와 타사 행태정보의 결합을 해제하고 향후에도 결합되지 않도록 설정할 수 있는 “Facebook 외부 활동(타사 행태정보 수집 설정)” 도구를 출시하였다.

“Facebook 외부 활동” 기능은 이용자가 페이스북 계정을 생성한 후 로그인하여 “계정”→“설정 및 개인정보”→“설정”→“내 Facebook 정보”→“Facebook 외부 활동” 경로에서 확인 가능하다. <img src="/LSW/flDownload.do?flSeq=124486105" alt="14번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486123" alt="15번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486127" alt="16번째 이미지"></img> 또한, 피심인은 이용자가 타사 행태정보를 사용한 맞춤형 광고를 게재할지 여부를 선택할 수 있도록 “파트너가 제공한 회원님의 활동 데이터(맞춤형 광고 수신 설정)” 도구를 제공하고 있다. <img src="/LSW/flDownload.do?flSeq=124486131" alt="17번째 이미지"></img> 이용자가 페이스북 및 인스타그램에 가입하는 경우 “Facebook 외부 활동(행태정보 수집 여부 선택)” 및 “파트너가 제공하는 회원님의 활동 데이터(맞춤형 광고 수신 여부 선택)” 도구의 기본 설정값은 “허용됨”이었으며, ’21. 9. 30. 기준 해당 도구의 설정값 현황은 아래와 같다. <img src="/LSW/flDownload.do?flSeq=124486133" alt="18번째 이미지"></img> 인스타그램 이용자는 피심인이 사업자로부터 이용자의 타사 행태정보를 수집하는 것을 거부하기 위해서는 인스타그램 계정을 페이스북에 연동하여야 한다. <img src="/LSW/flDownload.do?flSeq=124486135" alt="19번째 이미지"></img> 6. 타사 행태정보 수집ㆍ이용 절차 <Meta 서비스에 가입한 이용자의 타사 행태정보 수집ㆍ이용 흐름도> <img src="/LSW/flDownload.do?flSeq=124486137" alt="20번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486141" alt="21번째 이미지"></img> 7. 'Facebook 로그인’ 기능을 통한 타사 행태정보 수집

피심인은 'Facebook 로그인’은 행태정보 수집 도구인 비즈니스 도구와 본질적으로 다르며, 이러한 정보 이전은 비즈니스 도구 약관이 아닌 플랫폼 정책에 의해 규율된다고 답변하였다. <img src="/LSW/flDownload.do?flSeq=124486143" alt="22번째 이미지"></img> 또한, 사업자가 Facebook 로그인 기능만을 설치한 경우, 이용자가 해당 사업자의 웹사이트 및 앱에 Facebook 로그인으로 가입하거나 로그인하지 않는 이상, 광고 식별자 및 타사 행태정보는 Meta에 전송되지 않는다고 답변(각주:피심인은 사업자가 비즈니스 도구 없이 Facebook 로그인을 설치할 수 있다고 하면서 관련한 개발자 페이지(“로그인 플로 직접 빌드”)의 접속 링크(https://developers.facebook.com/docs/facebook-login/guides/advanced/manual-flow)를 제출함) 하였다. <img src="/LSW/flDownload.do?flSeq=124486145" alt="23번째 이미지"></img> Facebook 로그인 SDK는 Facebook SDK의 구성요소(각주:(필수) Facebook ①Core SDK / (선택) Facebook ②로그인 SDK, ③공유 SDK, ④메신저 SDK, ⑤앱링크 SDK) 중 하나이며, Facebook 로그인 SDK를 설치할 목적으로 Facebook SDK를 설치하는 경우 행태정보 수집 기능을 가진 Facebook Core SDK가 함께 설치되는 것으로 확인된다. <img src="/LSW/flDownload.do?flSeq=124486147" alt="24번째 이미지"></img> 또한, 피심인은 개발자 페이지와 데이터 정책에서 Facebook 로그인을 비즈니스 도구의 하나로 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124486149" alt="25번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486151" alt="26번째 이미지"></img>

피심인이 비즈니스 도구 없이 Facebook 로그인을 설치할 수 있다면서 제출한 “로그인 플로 직접 빌드”는 개발자 문서의 “Facebook Login → Guides → 고급” 경로에서 확인 가능하다.(각주:“Facebook Login” 화면에 접속하면 “고급” 및 “로그인 플로 직접 빌드” 화면은 “Guides”를 누르는 경우 나타나며, 로그인을 설치하는 방법은 각 기기별(iOS, Android, 웹, 기기용)로 안내하고 있음) <img src="/LSW/flDownload.do?flSeq=124486153" alt="27번째 이미지"></img> 또한, 피심인은 개발자 문서의 “로그인 플로 직접 빌드” 관련 안내사항에서 “SDK를 사용하지 않는 앱이 있는 경우”에 사용하는 것으로 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124486155" alt="28번째 이미지"></img> “로그인 플로 직접 빌드” 페이지에서는 모바일 앱은 iOS 및 Android용 Facebook SDK를 사용하고 해당 플랫폼에 대한 별도의 가이드를 따르라고 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124486157" alt="29번째 이미지"></img> 피심인은 ’21. 9월부터 개발자가 앱에서도 “로그인 플로를 직접 빌드” 할 수 있으며, 개발자 문서에 모바일 앱 적용 내용을 반영하기 위해 개발자 문서를 업데이트하고 있다고 답변하였다. <img src="/LSW/flDownload.do?flSeq=124486159" alt="30번째 이미지"></img> 피심인이 제출한 개발자 블로그에는 위 “로그인 플로 직접 빌드”의 안내사항과 마찬가지로 ’21. 9. 17. 이전에는 Facebook 로그인을 구현하는 iOS 및 Android 앱을 사용하는 개발자에게 공식 SDK를 사용하도록 요구했다는 내용이 확인된다.(각주:개발자 블로그 : https://developers.facebook.com/blog/post/2021/09/16/enhancing-our-developer-policies-strengthen-platform-integrity) <img src="/LSW/flDownload.do?flSeq=124486163" alt="31번째 이미지"></img>

사업자의 웹사이트 및 앱에 설치된 Facebook 로그인은 사용자의 Facebook 계정 보유 여부 또는 로그인 여부와 관계없이 광고 식별자 및 타사 행태정보를 피심인에게 전송한다. <img src="/LSW/flDownload.do?flSeq=124486165" alt="32번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486167" alt="33번째 이미지"></img> 다만, 피심인은 사업자가 Facebook 로그인 기능을 설치하는 과정에서 자동 이벤트 로깅을 비활성화 하면 해당 웹사이트 및 앱에서는 이용자의 타사 행태정보를 수집하지 않는다고 답변하였다. 자동 이벤트 로깅에 대한 내용은 피심인 개발자 페이지(“Android용 Facebook 로그인 → 빠른 시작”) 메뉴에서 “Facebook SDK를 사용할 때 자동 이벤트 로깅을 비활성화하지 않으면 앱의 이벤트가 Facebook 분석을 위해 자동으로 로깅 되고 수집됩니다.”라고 안내하고 있다.(각주:해당 사항은 iOS, 웹 및 기기용에 대한 개발자 페이지에서는 확인되지 않음) <img src="/LSW/flDownload.do?flSeq=124486169" alt="34번째 이미지"></img> 피심인이 Facebook 로그인 기능을 통해 이용자의 타사 행태정보를 수집하여 광고에 활용한다는 내용은 개발자 문서에서 안내하지 않고 있다. 8. 피심인이 수집하는 타사 행태정보 타사 행태정보는 페이스북 및 인스타그램 이용자가 피심인의 행태정보 수집 도구가 설치된 웹사이트 및 앱을 방문하여 서비스를 사용하는 과정에서 자동으로 수집되는 정보이며, 아래와 같은 형태 등으로 수집된다. <img src="/LSW/flDownload.do?flSeq=124486175" alt="35번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486107" alt="36번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486109" alt="37번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486177" alt="38번째 이미지"></img> 이러한 이용자의 타사 행태정보를 전송하는 행태정보 수집 도구는 사업자의 웹사이트 및 앱의 소스코드에 포함되어 있다.

<img src="/LSW/flDownload.do?flSeq=124486179" alt="39번째 이미지"></img> 9. 타사 행태정보 수집ㆍ이용 동의와 관련한 피심인의 주장 피심인은 페이스북 서비스에 가입하는 과정에서 “파트너가 제공하는 정보” 항목이 포함된 데이터 정책의 체크박스에 표시하도록 하는 방법으로 이용자의 동의를 받았고, 맞춤형 광고에 활용되는 데이터를 제어할 수 있는 다양한 도구를 이용자에게 제공하고 있다고 설명하였다. <img src="/LSW/flDownload.do?flSeq=124486181" alt="40번째 이미지"></img> 피심인은 “Facebook 외부 활동” 도구의 기본 설정 값은 존재하지 않으며, 이용자는 행태정보가 Meta에 제공되는 것에 대해 파트너(사업자)에게 동의한 이후, 수집되었거나 수집될 행태정보에 대한 연결을 해제하는 것이라고 주장하였다. <img src="/LSW/flDownload.do?flSeq=124486183" alt="41번째 이미지"></img> 피심인은 ①제3자인 사업자가 자신들의 광고 목적을 위한 경우에는 행태정보를 피심인에게 위탁한 것에 해당할 수 있고, ②피심인을 위한 목적으로 제공한 경우에는 보호법 제17조에 따른 제공에 해당하므로 사업자가 이용자의 동의를 받을 의무가 있다고 주장하였다. <img src="/LSW/flDownload.do?flSeq=124486185" alt="42번째 이미지"></img> 피심인은 사업자가 개발 도구를 이용하여 자신의 고객 정보를 페이스북에 제공하려면 사전에 필요한 동의를 받아야 하며, 모든 사업자로 하여금 행태정보 수집 도구를 통해 수집한 데이터를 공개 및 활용함에 있어 법적 근거를 갖추도록 요구하고, 특별히 한국 사업자들에게 피심인의 이익을 위하여 행태정보 수집 도구를 통해 수집되는 정보를 이용하는 것에 관하여 이용자로부터 필요한 동의를 얻어야 함을 알리고 있다고 주장하였다. <img src="/LSW/flDownload.do?flSeq=124486189" alt="43번째 이미지"></img> 또한, 피심인은 사업자로 하여금 비즈니스 도구 데이터 수집, 공유 및 활용에 관하여 그들의 이용자에게 고지할 것을 요구하였다고 주장하고 있다. <img src="/LSW/flDownload.do?flSeq=124486191" alt="44번째 이미지"></img> 10. 피심인의 주장 관련 사실관계

이용자가 페이스북 및 인스타그램 계정을 생성하는 과정에서 나타나는 화면의 “데이터 정책”은 해당 서비스의 개인정보 처리방침 전문에 해당하며, 이용자에게 별도로 법정 고지사항을 제시하거나, 이용자의 타사 행태정보 수집과 관련한 사항을 안내하고 있는 화면은 확인되지 않는다. <img src="/LSW/flDownload.do?flSeq=124486193" alt="45번째 이미지"></img> 해당 데이터 정책에는 행태정보 수집 도구와 관련하여 아래와 같은 내용이 포함되어 있다. <img src="/LSW/flDownload.do?flSeq=124486195" alt="46번째 이미지"></img> “Facebook 외부 활동” 기능은 이용자가 페이스북 계정을 생성한 후 로그인하여 “계정” → “설정 및 개인정보” → “설정” → “내 Facebook 정보” → “Facebook 외부 활동” 경로에서 확인 가능하다.(각주:해당 화면에서 “∨ 옵션 더 보기”를 눌러 “향후 활동 관리”에 접속하면 사업자의 서비스를 이용한 행태정보가 계정에 연결되지 않도록 설정 가능함) <img src="/LSW/flDownload.do?flSeq=124486111" alt="47번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486197" alt="48번째 이미지"></img> 유럽의 경우, 피심인의 “Facebook 비즈니스 도구 약관”에는 사업자와 Meta Platforms Ireland Limited(이하 'Meta Platforms, Ireland’)는 행태정보 수집 도구를 통한 개인정보의 수집과 이를 Meta Platforms, Ireland에 전송하는 데까지 공동 데이터 관리자의 역할을 하고, Meta Platforms, Ireland는 Regulation (EU) 2016/679(General Data Protection Regulation, 이하 'GDPR’) 4(7)조에 따라 전송된 이후 발생되는 데이터 처리에 있어 독립적인 데이터 관리자라고 명시하고 있다. <img src="/LSW/flDownload.do?flSeq=124486201" alt="49번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486203" alt="50번째 이미지"></img>

피심인이 이용자의 행태정보를 수집하는 방법과 자료제출 요구에 대한 피심인의 답변서를 살펴보았을 때, 피심인은 피심인의 서비스를 이용자에게 제공할 목적으로 이용자의 행태정보를 직접 수집하는 것으로 확인된다. <img src="/LSW/flDownload.do?flSeq=124486205" alt="51번째 이미지"></img> 피심인은 이용자가 페이스북 및 인스타그램 서비스에 가입하는 과정에서 이용자의 타사 행태정보를 피심인이 수집하는 것을 거부하고 서비스에 가입 및 이용할 수 있는 방법을 제공하고 있지 않다. 피심인은 유럽 이용자가 페이스북, 메신저 또는 인스타그램에 접속하는 경우, 타사 행태정보를 결합하기 위한 쿠키 등이 허용되지 않도록 설정할 수 있는 쿠키 동의 화면을 제공하나 국내에서는 제공하지 않고 있다. <img src="/LSW/flDownload.do?flSeq=124486207" alt="52번째 이미지"></img> 피심인은 유럽 이용자가 쿠키 동의를 하지 않은 경우 'Facebook 픽셀’ 등을 통해 수집되거나, 쿠키 식별자를 통해 수집된 타사 행태정보는 이용자의 계정정보와 결합하지 않고 삭제된다고 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124486209" alt="53번째 이미지"></img> 피심인은 이용자가 기기에서 모바일 광고 식별자가 전송되지 않도록 설정한 경우(각주:iOS 14.5 전 버전에서 이용자가 “설정 → 개인 정보 보호 → 광고 → 광고 추적 제한” 기능을 켜는 경우 모바일 광고 식별자인 IDFA 값이 기기에 부여되지 않음) 에도 메타데이터(IP주소, 기기정보 등)를 통해 타사 행태정보를 이용자의 계정정보에 결합하여 맞춤형 광고에 활용하였다. <img src="/LSW/flDownload.do?flSeq=124486213" alt="54번째 이미지"></img> 피심인은 'iOS 14.5’ 및 'Facebook SDK 8’ 후 버전에서는 이용자가 광고 추적에 동의하지 않으면 타사 행태정보를 이용자의 계정정보와 결합하지 않도록 수정하였다. <img src="/LSW/flDownload.do?flSeq=124486215" alt="55번째 이미지"></img> 11. 피심인의 “데이터 정책”

또한, 피심인의 데이터 정책 내용을 이용자가 살펴본다고 하더라도 이용자의 온라인 활동기록인 타사 행태정보 수집ㆍ이용에 대한 내용을 쉽고 명확하게 알기 어렵다. <img src="/LSW/flDownload.do?flSeq=124486219" alt="56번째 이미지"></img> 위 '피심인의 데이터 정책(1)’은 ①에서 파트너가 “제공하는 정보”라고 표기하고 있는바, 파트너(사업자)가 피심인에게 제공하는 파트너 서비스 이용자의 정보로 이해할 수 있으며, 피심인이 개인정보처리자로서 페이스북 또는 인스타그램 이용자의 타사 행태정보를 수집하는 내용으로 이해되지 않는다. ②에서 퍼블리셔, 비즈니스 도구, 소셜플러그인, API, SDK, 픽셀 등의 용어는 피심인이 자체적으로 만들거나, 온라인 광고 전문가 등이 아니면 이해할 수 없는 전문적인 용어로서 통상의 이용자는 해당 용어가 각각 누구를 지칭하는지, 또 무엇을 의미하는지 이해할 수 없으며, 이 문구만으로 이용자의 온라인 활동기록인 타사 행태정보를 수집ㆍ이용한다는 것을 인지할 수 없다. ③에서 계정 보유 여부에 따라 이용자 식별ㆍ추적 등 정보를 처리하는 형태가 달라짐에도 그에 대한 내용은 없으며, 이용자는 파트너가 파트너의 서비스에 가입한 이용자의 개인정보를 피심인에게 제공하는 것인지, 파트너 서비스의 가입 여부와 무관하게 행태정보 수집 도구를 통해 피심인이 행태정보를 수집하는 것인지 알 수 없다. ④에서 정보를 피심인에게 제공할 권리가 있는 경우가 어떤 경우인지, 또 그러한 제3자 데이터 제공 업체가 누구를 지칭하는지 알 수 없다. ⑤ 또한 ①ㆍ③과 마찬가지로 파트너가 피심인에게 제공하는 파트너 서비스 이용자의 정보로 이해되고, 피심인이 개인정보처리자로서 페이스북 또는 인스타그램 이용자의 타사 행태정보를 수집하는 내용으로 이해되지 않는다. ⑥ 또한 ②와 마찬가지로 피심인이 자체적으로 만들거나 온라인 광고 전문가 등이 아니면 이해할 수 없는 전문적인 용어로서, 통상의 이용자는 이 용어가 무엇을 의미하는지 이해할 수 없다. <img src="/LSW/flDownload.do?flSeq=124486221" alt="57번째 이미지"></img>

위 '피심인의 데이터 정책(2)’는 기기 정보를 맞춤형 광고의 핵심 필요 정보로 사용하고 있음에도 ⑦에서 'Meta 제품 및 기기의 정보’의 이용 목적을 '광고 및 기타 홍보 콘텐츠’의 맞춤화와 분리하여 기재하고 있으며, 이용자 입장에서 기기 정보는 'Meta 제품 및 기기의 정보’ 부분에서 설명한 목적으로만 사용되는 것처럼 인식될 수 있다. 또한, ⑦에서 '광고 및 기타 홍보 콘텐츠’의 맞춤화 목적으로는 '회원님의 관심사, 행동 및 관계에 관한 정보’를 이용하는 것으로 표기하고 있어 맞춤형 광고에는 이용자의 타사 행태정보를 이용하는 것으로 이해되지 않는다. 특히, ⑧의 '측정, 분석 및 기타 비즈니스 서비스 제공’ 부분에서 '보유한 정보’의 구체적인 예시로 '방문한 웹사이트 및 광고 등 Meta 제품 밖에서의 활동 정보’를 별도로 기재하고 있는바, 이용자는 타사 행태정보인 'Meta 제품 밖에서의 활동 정보’가 ⑦의 '광고 및 기타 홍보 콘텐츠’의 목적으로는 이용되지 않는다고 인식할 수 있다. Ⅲ. 피심인의 행위에 대한 위법성 판단 1. 기초 사실 및 판단 가. 조사 처분 범위 이번 조사 처분의 범위는 타사 행태정보 수집 유형 중 페이스북 및 인스타그램 서비스에 가입하여 아이디, 이름, 생년월일, 성별 등 회원의 개인정보를 명확히 알아볼 수 있는 피심인 서비스 이용자(회원)의 온라인 활동기록인 타사 행태정보를 수집ㆍ이용하는 행위이다. 피심인은 SNS, 맞춤형 광고, 서비스 개선 등을 위해 피심인 회원의 타사 행태정보를 수집ㆍ이용하고 있으며, 웹사이트 분석, 광고 효과 측정 등을 위해서는 피심인 또는 사업자의 회원인지 여부와 무관하게 타사 행태정보를 수집ㆍ이용하고 있다.

이용자(회원) 식별자 기반의 행태정보 수집ㆍ이용을 처분 범위로 삼은 것은 익명성을 상실시키고 이용자의 모든 기기를 추적, 온라인 활동을 모니터링(감시)하여 이용자의 사상ㆍ신념, 정치적 견해, 건강, 신체적ㆍ생리적ㆍ행동적 특징 및 민감정보를 생성하고 식별할 가능성이 높기 때문이다.(각주:European Data Protection Board(이하 'EDPB’) 가이드라인 역시 플랫폼 회원(이용자 식별자)의 타사 행태정보 수집ㆍ이용을 규율 범위로 삼고 있으며, 이용자의 행태정보 수집과 관련하여 관심사 및 기타 특성 추론, 인종ㆍ민족ㆍ건강ㆍ성적지향 등과 관련된 차별과 배제의 가능성, 개인의 사고 과정 및 감정ㆍ행동 등에 영향을 미쳐 이용자를 조작할 가능성, 온라인 활동 감시 등의 위험성을 언급(Guidelines 8/2020 on the targeting of social media users version 2.0, ’21.4.13)) 나. 타사 행태정보의 개인정보성 현행 보호법에서 개인정보란 살아 있는 개인에 관한 정보로서 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 말하고, 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다고 규정하고 있다. 피심인은 가입한 이용자를 식별하기 위한 정보로서 회원번호, 아이디, 휴대전화번호, 이메일 등의 개인정보를 사용하며, 회원 여부를 식별하기 위한 이용자 식별자와 결합하여 행태정보를 수집ㆍ이용하므로 이때의 행태정보는 '다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는’ 이용자의 개인정보에 해당한다. 다. 타사 행태정보 수집ㆍ이용의 주체 피심인은 영리를 목적으로 SNS 등의 온라인 서비스를 운영하면서 이용자의 개인정보를 수집하고 있으며, 업무를 목적으로 개인정보파일을 운용하기 위해 이러한 개인정보를 처리하고 있다. 특히, 피심인은 맞춤형 광고, 서비스 유지ㆍ개선, 신규 서비스 개발 등을 위해 이용자 식별자를 기반으로 그 이용자의 타사 행태정보를 수집ㆍ이용하고 있다. 피심인의 수익을 위하여 피심인 서비스에 가입한 이용자에게 맞춤형 광고를 보여주는 것 등은 피심인의 업무 목적에 해당하고, 이를 위해 이용자의 다른 개인정보(회원정보)와 타사 행태정보를 결합하여 체계적으로 구성ㆍ운영하는 것은 개인정보파일을 운용하는 것에 해당한다.

피심인이 수집하는 타사 행태정보는, 피심인 서비스에 가입한 이용자의 기기에서 피심인이 생성ㆍ저장한 이용자 식별자와 함께 피심인에게 직접 전송ㆍ수집되며 최종적으로 피심인 서비스에 가입한 이용자 계정과 결합하여 이용된다. 사업자는 이 과정에서 ①피심인에 수집되는 행태정보를 보거나 저장할 수 없고, ②사업자 서비스에 가입한 회원의 계정과 결합할 수 없으며, ③특정 개인을 식별할 수도 없다. 사업자는 피심인이 제작ㆍ배포한 행태정보 수집 도구를 설치하여 피심인의 행태정보 수집 과정에 보조적인 역할을 하나, 행태정보 수집 도구에 피심인이 필수로 수집하는 항목(접속한 웹ㆍ앱)은 정해져 있고, 이는 사업자가 임의로 변경할 수 없다. 따라서, 피심인 회원의 타사 행태정보 수집ㆍ이용의 목적과 수단, 전체 정보처리 과정의 흐름을 종합해보면 피심인이 그 처리 과정에서 주도적인 관리ㆍ통제권을 행사하는 주체이므로 피심인이 이용자(회원)의 동의를 받아야 함이 마땅하다.(각주:피심인은 ①행태정보 수집 도구 제작ㆍ배포, ②이용자 식별자 생성, ③회원 정보 연계, ④맞춤형 광고 표시 등 이용자(회원)의 행태정보 수집ㆍ이용 전 과정에 걸쳐 주도적이고 직접적인 역할 수행함, 참고로 EDPB 가이드라인의 경우 ①소프트웨어 코드(도구) 개발ㆍ제공, ②플랫폼 이용자 매칭, ③광고의 표시 등을 플랫폼이 수행하고 있음을 언급하면서 “쿠키 설치 및 개인정보의 처리는 계정 생성 시점에 발생하므로 소셜 미디어 제공 업체(플랫폼)는 광고 쿠키의 설치 전에 유효한 동의를 얻어야 한다”고 명시하고 있음) 피심인이 행태정보 수집 도구를 직접 제작하여 사업자에게 배포하고, 이를 통하여 피심인의 서비스를 이용하는 이용자가 제3자인 사업자의 웹사이트 또는 앱을 사용한 정보를 수집하여 이를 맞춤형 광고 등의 목적에 활용하는 한 피심인이 개인정보 수집ㆍ이용 주체라는 사실을 부인할 수 없다. 라. 타사 행태정보의 특수성 타사 행태정보는 이용자가 피심인의 행태정보 수집 도구가 설치된 사업자의 웹ㆍ앱 서비스를 사용하는 과정에서 자동으로 피심인에게 수집되며, 행태정보 수집 도구는 사업자의 웹사이트 및 앱의 소스코드에 포함되어 있어, 통상의 이용자라면 수집 도구의 설치 여부를 확인하기 어렵고, 이용자는 이러한 행태정보가 피심인에게 자동 수집되는 것을 인지하기 어려울 뿐 아니라, 피심인으로부터 제공받고자 하는 서비스(SNS 등)에 타사 행태정보가 꼭 필요한 요소라고 예측하기도 어렵다.

또한 타사 행태정보가 축적되는 경우, 이용자에 대한 빅데이터가 형성되어 사상ㆍ신념, 정치적 견해, 건강, 신체적ㆍ생리적ㆍ행동적 특징, 기타 이용자의 사생활을 현저히 침해할 우려가 있는 민감정보가 생성될 가능성도 높아지는바, 이는 개인정보를 보호하고자 하는 보호법 취지를 훼손하는 결과로 이어질 수 있다.(각주:타사 행태정보 수집 자체로 보호법 상 민감정보의 처리로 보기는 어려우나, 이를 수집ㆍ이용함으로써 실질적으로 민감정보를 수집하는 것이 될 수 있어 보호법이 규제하고자 하는 바를 교묘히 빠져나가는 결과가 발생할 수 있음) 마. 타사 행태정보 수집ㆍ이용의 적법한 동의 방법 타사 행태정보를 수집ㆍ이용하기 위해서는 수집하는 타사 행태정보의 ’항목(각주:타사 행태정보의 항목은 '타사’와 '행태정보’를 특정함으로써 명확한 기재가 가능할 것인바, 전자의 경우 타사의 범위가 고정되어 있지 않고 수시로 변동될 경우 그 타사를 특정하는 것이 현실적으로 어려울 수 있으므로, 이러한 경우에는 (개인정보를 제공받는 제3자의 특정이 어려운 경우와 유사하게) 타사의 유형을 구체적으로 최대한 누락 없이 알리거나 변동 가능한 목록을 공개하는 등의 방식으로 타사를 특정한 뒤 동의를 받는 방식을 고려할 수 있음 또한 후자의 경우 행태정보 수집도구에 배포 당시부터 설정되어 있는 수집 대상 항목들을 기재하는 방식으로 특정할 수 있을 것임) ', '수집ㆍ이용 목적(각주:예컨대 그 수집ㆍ이용 목적인 이용자의 '관심 분야 분석ㆍ생성’, '맞춤형 광고 게재’ 등을 기재) ’, '보유ㆍ이용 기간’의 '구체적인 내용’을 통상의 이용자가 용이하게 알아볼 수 있도록 그 전부를 쉽고 명확하게 게재하여야 하며, 동의 여부를 표시할 수 있는 부분과 밀접하게 배치하여 이용자가 이를 인지하여 확인할 수 있는 상태에서 동의 여부를 판단, 명확한 인식하에 동의의 표시를 할 수 있도록 실행방법이 마련되어야 한다. 아울러, 피심인이 이용자의 타사 행태정보를 수집하기 위해서는 이용자가 ①피심인 서비스에 가입하고, ②피심인 서비스에 로그인한 후, 최종적으로 ③사업자의 웹ㆍ앱 이용 절차를 거치므로, 가입 및 로그인 시점에 동의를 받을 수 있다. 또한, 피심인은 서비스 내에서 '수집’ 및 '거부’ 선택 기능을 제공하고 있으므로, 해당 정보 수집의 기본 설정을 '거부' 또는 '미선택'으로 하여 이용자가 명확히 인식하고 직접 선택을 하는 방법으로 '동의'를 받을 수도 있다.

바. 계약 이행을 위해 타사 행태정보를 동의 없이 사용할 수 있는지 여부 보호법은 계약 이행을 위해 개인정보가 필요한 경우라 하더라도 '경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우’가 아니면 동의를 받도록 하고 있으며, 앞서 「마. 적법한 동의 방법」에서 보듯이 피심인은 행태정보가 수집되기 이전인 회원가입 시, 동의를 받을 수 있으므로 동의를 받는 것이 뚜렷하게 곤란한 경우에 해당하지 않는다. <img src="/LSW/flDownload.do?flSeq=124486223" alt="58번째 이미지"></img> 사. 타사 행태정보 수집 관련 '정보통신서비스 제공자-이용자’ 관계 해당 여부 피심인은 영리를 목적으로 정보통신망을 통해 페이스북 및 인스타그램 서비스를 한국 이용자에게 제공하고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조 제1항 제3호에 따른 정보통신서비스 제공자이다. 피심인이 수집한 타사 행태정보는 피심인이 서비스를 제공하면서 정보통신서비스 이용관계(약관 동의 및 개인정보 수집ㆍ이용 동의)를 맺고 계정을 생성한 이용자의 '온라인 활동기록’으로, 피심인 서비스에 가입한 '특정 이용자가 여러 사업자의 웹사이트 및 앱을 방문ㆍ사용한 정보’이다.(각주:특정 사업자가 자신의 정보통신 서비스를 제공하는 과정에서 수집한 '여러 이용자의 개인정보(이름, 성별, 연락처, 서비스 이용기록 등)’와는 전혀 다른 형태의 정보임) 즉 피심인이 수집ㆍ이용한 이용자의 타사 행태정보는 사업자와 해당 이용자 사이에 이용관계를 맺었는지 여부를 불문하고 피심인과의 이용관계에 따라 수집ㆍ이용된다. 따라서, 피심인이 자신의 정보통신서비스에 계정을 생성한 가입자의 개인정보로서 타사 행태정보를 수집한 것이므로, 이는 정보통신서비스 제공자인 피심인이 이용자의 개인정보를 수집ㆍ이용한 것에 해당한다. 자. 피심인의 타사 행태정보 이용 범위 피심인이 제14차 위원회 회의(’22.8.31.)에 출석하여 “특정 사이트에서 이용자의 행태정보가 수집되었을 때 그것을 당해 사업자가 아닌 다른 사업자를 위해서는 사용하지 않느냐”는 질문에 대해 “전반적으로 저희 알고리즘을 향상시키는데 사용되는 부분이 있고... 직접적으로 개인정보가 이용되는 것은 보내온 광고주에 한해서만 이용할 수 있도록 하고 있습니다.”라고 의견을 진술하였다.

그러나, 이는 특정 사업자(광고주)가 설치한 행태정보 수집 도구로부터 수집한 이용자 식별정보 및 이벤트 정보(타겟)를 다른 광고주가 이용할 수 없다는 내용으로, 피심인이 수집한 타사 행태정보(이벤트 데이터)를 분석하여 다른 사업자의 맞춤형 광고 등을 위해 사용하는 사실은 변함이 없다. <img src="/LSW/flDownload.do?flSeq=124486225" alt="59번째 이미지"></img> 이와 관련, 메타는 비즈니스 도구 약관에 ①다른 사업자(광고주) 또는 Facebook 제품에서 수집된 이벤트 데이터와 취합하여 광고 게재 최적화 목적으로 사용하고, ②다른 사업자(광고주)에게 해당 이벤트 데이터만을 기반으로 하는 광고 타게팅을 허용하지 않는다고 명시하고 있다. <img src="/LSW/flDownload.do?flSeq=124486227" alt="60번째 이미지"></img> 2. 관련 법령의 규정 및 법리 가. 보호법상 '이용자’의 동의 보호법 제39조의3 제1항은 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우 ①개인정보의 수집ㆍ이용 목적, ②수집하는 개인정보의 항목, ③개인정보의 보유ㆍ이용 기간(이하 '법정 고지사항’)의 모든 사항을 이용자에게 알리고 동의를 받도록 규정하고 있다. 이에 대한 연혁을 살펴보면, 개인정보 수집 및 이용 등에 관한 동의는 이용약관, 개인정보 처리방침과 별개의 것으로 규율하고 있는 것으로 확인된다. < 개인정보 수집ㆍ이용 동의 조항의 연혁(각주:정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안 검토보고서(국회 과학기술정보통신위원회, 2006. 11.)) > <img src="/LSW/flDownload.do?flSeq=124486229" alt="61번째 이미지"></img> 보호법 제4조 제1호 및 제2호는 “개인정보의 처리에 관한 정보를 제공받을 권리”와 “개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리”를 정보주체가 가진다고 명시하고 있다.

또한, 제22조 제1항은 “개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.”라고 규정하고 있으며, 동법 시행령 제17조 제1항 제4호에서 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법을 명시하고 있다. 나아가 제22조 제2항은 “개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.”고 규정하고 있으며, 개인정보 처리 방법에 관한 고시 제4조 제3호는 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시하도록 규정하고 있다. 즉, 보호법은 개인정보의 처리에 관한 내용을 정보주체가 쉽게 확인하고 알아볼 수 있도록 명확히 표시하여 이용자로 하여금 동의 범위 등에 대한 실질적인 선택 및 결정권을 행사할 수 있도록 하고 있는 것이다. 나. 관련 판례 대법원은 정보통신서비스 제공자가 이용자로부터 개인정보 수집ㆍ제공에 관하여 적법한 동의를 받기 위해서는 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 ① 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 하며, ② 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 수집ㆍ제공에 대한 동의 여부를 판단할 수 있어야 하고, ③ 그에 따른 동의의 표시는 이용자가 개인정보의 수집ㆍ제공에 동의를 한다는 명확한 인식 하에 행하여질 수 있도록 그 실행방법이 마련되어야 한다고 판시하였다. <img src="/LSW/flDownload.do?flSeq=124486231" alt="62번째 이미지"></img>

舊정보통신망법 제22조 제1항은 현행 보호법 제39조의3 제1항과 동일한 문언으로서 그 입법취지와 내용이 동일하며, 舊정보통신망법 제26조의2 및 동법 시행령 제12조 제1항이 동의받아야 할 사항을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하도록 한 것 역시 현행 보호법 제4조 제1호 및 제2호, 제22조 및 그 하위법령에서 동일한 취지로 반복하여 규정한바, 위 대법원 판례가 판시한 적법한 동의 여부의 판단기준은 보호법 제39조의3 제1항 위반 여부의 판단에도 동일하게 적용이 가능하다. <img src="/LSW/flDownload.do?flSeq=124486233" alt="63번째 이미지"></img> 특히 위 대법원 판례의 하급심인 1심 및 2심 판결에서는 인식 가능성을 부여하는 것만으로는 명시적ㆍ실질적 동의에 해당하지 않는다고 밝힌 바 있다. <img src="/LSW/flDownload.do?flSeq=124486237" alt="64번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486239" alt="65번째 이미지"></img> 한편, 법정 고지사항을 제대로 알리지 않는 등 동의받는 방법을 위반한 경우, '동의를 받았으나 방법에 문제가 있었다’고 평가할 것인지, 아니면 '적법한 동의가 없었다’고 평가할 것인지에 대해 대법원 판례는 보호법 제39조의3 제1항과 동일한 舊정보통신망법 제22조 제1항 위반에 대한 판단의 근거로 동법 제26조의2(동의를 받는 방법) 및 시행령 제12조(동의 획득 방법) 제1항을 위반한 것을 제시하면서, 방송통신위원회의 “명시적인 동의를 받지 않았다”는 처분 사항에 대해 대법원 역시 “적법한 동의를 받지 않았다”고 판단한 바 있다. 다. 관련 가이드라인 “온라인 맞춤형 광고 개인정보보호 가이드라인”은 광고 사업자가 행태정보와 개인정보를 결합할 경우, 이용자에게 해당 사실과 사용목적, 결합되는 정보항목, 보유기간 등을 명확히 알리고 해당 이용자로부터 사전에 동의를 받아야 한다고 안내하고 있다. <img src="/LSW/flDownload.do?flSeq=124486241" alt="66번째 이미지"></img> 3. 위법성 판단

피심인은 영리를 목적으로 인터넷을 통해 정보를 제공하거나 정보의 제공을 매개하는 페이스북 및 인스타그램 서비스를 제공하고 있으므로, 정보통신서비스 제공자이며, 피심인의 서비스를 위해 피심인 서비스에 가입한 이용자의 개인정보를 개인정보파일로 운용하고 있으므로 개인정보처리자에 해당한다. 따라서, 피심인이 피심인 서비스에 가입한 이용자의 개인정보로서 타사 행태정보를 수집ㆍ이용하기 위해서는 그 수집ㆍ이용 주체(각주:Ⅲ. 피심인의 행위에 대한 위법성 판단, 1. 기초 사실 및 판단, 다. 타사 행태정보 수집ㆍ이용의 주체 참고) 인 피심인이 보호법 제39조의3 제1항에 따라 법정 고지사항을 이용자에게 명확히 알리고 동의를 받아야 한다. 아울러, 개인정보 수집ㆍ이용 동의 조항 연혁에서 살펴본 바와 같이 개인정보 수집ㆍ이용에 관한 동의와 개인정보 처리방침은 별개의 것으로 규율하고 있고, 개인정보 처리방침 전문이 아닌 별도의 개인정보 수집ㆍ이용 동의를 통해 타사 행태정보 수집ㆍ이용에 관한 사항을 이용자에게 명확히 인지시키고 동의를 받아야 하나, 피심인은 이용자가 페이스북 및 인스타그램 계정을 생성하는 과정에서 “개인정보 처리방침” 전문을 확인하도록 한 것 외에 별도로 법정 고지사항을 제시하고 동의를 받고 있지 않다. 페이스북의 경우 개인정보 처리방침 전문(공백 포함 14,600여개 글자, 694줄)을 게시한 화면은 한 화면에 다섯 줄 밖에 보이지 않는 네모박스(폰트크기 16인 한글 기준 120글자)에 불과하므로 스크롤을 아래로 내려 사업자의 웹사이트 및 앱을 이용한 행태정보와 관련한 사항(“파트너가 제공하는 정보”)을 확인하기 쉽지 않고, 인스타그램의 경우 “이용 약관에 동의” 화면에서 “데이터 정책(필수)” 아래의 “더 알아보기” 링크를 누르지 않으면 개인정보 처리방침 전문조차 확인이 불가능하고, 이를 확인하지 않고도 가입절차 진행이 가능한바, 이를 통해 피심인이 이용자의 타사 행태정보를 수집ㆍ이용하는 것과 관련하여 이용자에게 명확히 인지시키고 동의를 받고 있다고 보기 어렵다. <img src="/LSW/flDownload.do?flSeq=124486243" alt="67번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486245" alt="68번째 이미지"></img>

또한, 대법원 판례에 따르면 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 미리, 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 하나, 피심인의 데이터 정책은 앞서 검토하였듯이 그 내용을 이용자가 살펴본다고 하더라도, 이해하기 어려운 독자적ㆍ전문적 용어를 사용하는 등 타사 행태정보 수집ㆍ이용에 대한 내용을 통상의 이용자가 쉽고 명확하게 알기 어렵게 한다.(각주:피심인 역시 의견 진술 과정에서 '데이터가 수집되고 이용되는 것들이 워낙 복잡해서’, '이용자가 한눈에 쉽게 볼 수 있도록 제공 하는데 중점을 맞추고’있다고 발언하여 피심인의 개인정보 수집ㆍ이용의 복잡성과 통상의 이용자가 법정 고지사항의 구체적인 내용을 용이하게 알아볼 수 있도록 명확하게 기재하는 것의 필요성을 피심인도 인지하고 있다.) 동의의 표시는 이용자가 개인정보의 수집ㆍ제공에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 그 실행방법이 마련되어야 한다고 판시하였으나, 데이터 정책 전문에 동의하는 체크박스를 둔 행위만으로는 이용자가 타사 행태정보 수집을 명확하게 인식하고 동의하도록 실행방법을 마련한 것으로 볼 수 없다. 피심인이 명확하지 않거나 혼란을 유발할 수 있는 표현을 사용함으로써 개인정보의 수집ㆍ이용에 관한 적법한 동의를 받지 않은 행위는 '개인정보의 처리에 관한 정보를 제공받을 권리’, '개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리’ 등 기본적인 보호법상 권리 즉 보호법 제4조에서 정한 권리를 부정하는 것이며, 정보주체와의 관계에서 필수요소인 '알고 하는 동의’를 요구하는 즉 보호법 제39조의3을 무력화하는 것이고, 이용자를 기만하는 은밀한 개인정보 수집ㆍ이용 행위라고 볼 수 있다. 피심인은 이용자의 해당 행태정보 수집과 관련하여 이를 제어할 수 있는 “Facebook 외부 활동” 기능(“Opt-out”)을 제공하나, 해당 기능을 이용자가 사용하기 위해서는 페이스북 계정을 생성한 후에야 이를 사용할 수 있는바, 개인정보 수집ㆍ이용 동의와 관련하여 '사전 동의’를 원칙으로 하고 있는 현행 보호법 규정상 “Opt-out” 기능을 제공하는 것은 적법한 동의가 존재하는 것인지 여부를 판단함에 있어서 고려 요소가 될 수 없다.

즉, 계정 생성과정에서 나타나는 “데이터 정책” 관련 화면만으로는 행태정보 수집과 관련한 법정 고지사항의 구체적 내용 등을 이용자들에게 명확하게 알리고 사전에 명시적인 동의를 받았다고 보기 어렵고, 계정 생성 후 “Opt-out” 기능을 제공하고 있다고 하나, 이는 적법한 동의의 고려사항이 될 수 없다. 결론적으로, 피심인은 이용자의 “타사 행태정보”를 해당 이용자의 명시적인 동의 없이 수집ㆍ이용하였으므로 보호법 제39조의3 제1항을 위반한 것에 해당한다. Ⅳ. 피심인(Meta) 주장에 대한 검토 1. 행태정보를 수집하는 개인정보처리자는 “사업자”라는 주장에 대하여 피심인은 사업자가 자신의 이익과 업무를 목적으로 자신의 앱과 웹사이트에 스스로 행태정보 수집 도구를 설치하기로 선택하였으며, 도구를 통해 수집되는 정보와 관련된 주요 사항들을 지배ㆍ관리하고 있으므로 동의를 받을 법적 의무는 도구를 사용하는 사업자에게 있다고 주장하나, 피심인이 수집한 '회원’의 타사 행태정보는 피심인이 서비스를 제공하면서 정보통신서비스 이용관계(약관 동의 및 개인정보 수집ㆍ이용 동의)를 맺고 계정을 생성한 이용자의 '온라인 활동기록’으로, 사업자와 해당 이용자 사이에 이용관계를 맺었는지 여부를 불문하고 피심인과의 이용관계에 따라 수집ㆍ이용된다. 또한, 행태정보 수집 도구에는 피심인이 필수로 수집하는 항목(접속한 웹ㆍ앱)이 정해져 있고, 추가 수집 항목 또한 표준 이벤트(항목)가 이미 지정되어 사업자가 그 형태를 벗어나 사용하기 어려우며, 사업자는 특정 개인을 식별하거나 사업자 회원의 계정과 결합할 수도 없다. 따라서 사업자는 피심인 서비스 이용자의 타사 행태정보에 대한 수집ㆍ이용 또는 제공의 주체로 볼 수 없다. 피심인은 수집 도구 약관에 정한 사항을 근거로 타사 행태정보 수집에 대해 사업자가 동의받도록 했다고도 주장하나, 피심인이 수집ㆍ이용한 이용자의 온라인 활동기록(타사 행태정보)은 피심인과의 이용관계에 따라 이용자의 기기로부터 직접 수집ㆍ이용되는 것으로서, 사업자는 해당 정보에 대한 개인정보처리자로서의 역할 또한 한 바 없으므로 이용자로부터 동의를 받을 의무가 있다고 볼 수 없고, 따라서 피심인이 주장하는 동의 획득 의무는 법률상 의무가 아닌 피심인의 약관상 의무에 불과하므로 사업자가 약관상 의무를 이행하지 않았다면 양 당사자 간의 계약 불이행의 문제일 뿐, 보호법상 피심인의 동의 의무가 면제되는 것은 아니다.

한편, 피심인은 유럽사법재판소(Court of Justice of the European Union)의 Fashion ID 판결(각주:Case C-40/17(Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW eV)) 과 EU 쿠키 법(각주:Directive 2009/136/EC of the European Parliament and of the Council) 의 일부 문구만을 인용, 동의 획득 의무는 웹사이트 운영자인 사업자에게 있다고 주장하면서 피심인이 동의를 받을 의무가 있는지는 답변을 의도적으로 회피하고 있다. Fashion ID 판결은 회원 여부와 상관없이 사업자의 공동책임을 다룬 것이며, 플랫폼 회원의 타사 행태정보 수집ㆍ이용은 EDPB 가이드라인(각주:“소셜 미디어 제공 업체(플랫폼)는 광고 쿠키의 설치 전에 유효한 동의를 얻어야 한다”고 명시) 에서 구체화하고 있다. <img src="/LSW/flDownload.do?flSeq=124486253" alt="69번째 이미지"></img> ※ ①웹사이트의 원본 코드, ② Facebook 픽셀 기본 코드, ③ 표준 이벤트 코드 <img src="/LSW/flDownload.do?flSeq=124486255" alt="70번째 이미지"></img> ※ 페이지 조회 이벤트는 ②픽셀 기본 코드의 일부로 포함됨(페이지 조회는 누군가 픽셀 기본 코드가 설치된 웹페이지를 방문한 이벤트) 2. 피심인이 타사 행태정보 수집ㆍ이용에 대한 동의를 받았다는 주장에 대하여 보호법 제39조의3 제1항 및 관련 법령 규정의 문언ㆍ체계ㆍ취지는 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 하기 위함이다. 따라서 개인정보 처리에 대한 적법한 동의 여부를 판단하기 위해서는 충분한 정보를 적절한 방식으로 제공하였는지 뿐만 아니라, 포괄 동의 여부, 신중한 의사결정 사항에 대한 구분 동의 여부, 이용자에게 동의 여부에 대한 선택권 부여 등 검토를 통해, 실제 이용자가 개인정보 수집ㆍ제공에 대한 사실을 인지하고, 그 동의 여부를 표시하였는지 확인하여야 한다.

타사 행태정보는 이용자가 페이스북이나 인스타그램이 아닌 다른 웹ㆍ앱 사용과정에서 자동으로 수집되므로 이용자가 직접 입력하거나 피심인의 서비스 내에서 수집되는 행태정보와는 이용자의 인지ㆍ예측 가능성 측면에 있어 큰 차이가 있으나(각주:가입과정에서 수집되는 이름, 생년월일, 성별, 연락처 등의 개인정보는 입력하는 과정에서 수집을 인지할 수 있고, 서비스 내에서 수집되는 검색, 클릭, 구매 등의 행태정보는 서비스 내 해당 행위를 하는 과정에서 수집을 인지 가능) , 피심인은 타사 행태정보의 이러한 특수성을 고려하지 않고, 통상의 이용자가 피심인의 타사 행태정보 수집ㆍ이용을 명확하게 이해할 수 있도록 고지하지 않아 이용자는 해당 정보의 수집ㆍ이용을 인지하기 어렵다. 피심인은 동의를 받을 의무가 없음에도 데이터 정책 내 개인정보 수집ㆍ이용 목적, 항목, 보유ㆍ이용 기간을 모두 포함하여 동의를 받았다고 주장하나, 동의 받을 의무가 없음에도 동의를 받았다는 주장은 모순되며, 법정 고지사항을 이용자가 인지할 수 있게 고지하지 아니하였으므로 적법한 동의를 받지 아니한 것이다. 피심인은 개인정보 처리방침 전문(공백 포함 14,600여개 글자, 694줄)을 한번에 다섯 줄 밖에 보이지 않는 작은 네모박스에 게시하였을 뿐, 그 외에 별도로 법정 고지사항을 게시한 후 동의를 받지 않고 있어 이용자는 이를 통해 수집 항목(이용자 식별자 기반의 타사 행태정보)을 포함한 법정 고지사항을 쉽게 확인하기 어려우므로, 이용자에게 인지시키고 동의를 받고 있다고 보기 어렵다.

피심인은 '수집하는 개인정보의 항목’인 타사 행태정보의 항목에 대한 고지와 관련하여 ’어떤 웹ㆍ앱', ’어떤 행위', ’어떤 정보', ’어떻게 이용'에 대한 사항은 공개하여야 하는 정보가 아니라고 주장하나, 보호법 제39조의3 제1항 및 관련 법령 규정의 문언ㆍ체계ㆍ취지는 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 하기 위함이며 이를 위해 법정 고지사항의 ’구체적인 내용' 등을 알리도록 규정한바, 법정 고지사항인 행태정보의 구체적인 '항목’은 '어떤 웹 또는 앱’에서 한 '어떤 행위’에 대한 정보이므로, 이를 쉽고 명확하게 알릴 의무가 있다.(각주:타사 행태정보의 항목은 '타사’와 '행태정보’를 특정함으로써 명확한 기재가 가능할 것인바, 전자의 경우 타사의 범위가 고정되어 있지 않고 수시로 변동될 경우 그 타사를 특정하는 것이 현실적으로 어려울 수 있으므로, 이러한 경우에는 예컨대 (개인정보를 제공받는 제3자의 특정이 어려운 경우와 유사하게) 타사의 유형을 구체적으로 최대한 누락 없이 알리거나 변동 가능한 목록을 공개하는 등의 방식으로 타사를 특정한 뒤 동의를 받는 방식을 고려할 수 있음. 또한 후자의 경우 행태정보 수집도구에 배포 당시부터 설정되어 있는 수집 대상 항목들을 기재하는 방식으로 특정할 수 있을 것임) 또한, “쉽게 이해”는 동의에 대한 적법한 평가 기준이 아니라고 하나, 대법원은 “통상의 이용자”라면 “용이하게” 법정 고지사항 내용을 알아볼 수 있어야 한다고 판시한바, “쉽게 이해”는 통상의 이용자가 인지 가능한지에 대한 법적인 판단 기준에 해당하며, 사용하는 용어는 특정 업계인이 아닌 통상의 이용자가 이해할 수 있는 수준이어야 한다. 3. 정책적 관점에서도 개인정보위의 방향은 바람직하지 않다는 주장에 대하여 피심인은 사업자가 개인정보처리자가 아니라고 판단한다면, 이용자가 행태정보를 제공받는 자를 추적하여야 하고, 사업자는 동의 의무를 부담하지 않게 되며, 이용자는 해당 정보가 전송되기 전에 동의 여부를 선택할 기회를 상실하게 된다고 주장하고 있다.

방통위에서 ’17년 발간한 「온라인 맞춤형 광고 개인정보 보호 가이드라인」은 광고 사업자가 행태정보와 개인 식별정보를 결합할 경우에는 해당 이용자로부터 사전에 동의를 받아야 한다고 안내하고 있으며, 위원회가 ’20년 발간한 「온라인 개인정보 처리 가이드라인」에서도 동의 받는 주체가 이용자와 서비스 제공 계약을 맺은 사업자로서 쿠키를 통해 해당 이용자의 행태정보를 수집하는 자임을 전제하는 동시에 위 온라인 맞춤형 광고 개인정보보호 가이드라인을 참고하도록 하고 있다. <img src="/LSW/flDownload.do?flSeq=124486257" alt="71번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=124486259" alt="72번째 이미지"></img> 이처럼, 특정 이용자를 식별하여 그 이용자의 온라인 활동을 추적하는 피심인이 이용자의 동의를 받음으로써 이용자는 처음부터 피심인이 자신의 타사 행태정보를 수집한다는 사실을 미리 알고 '모든 타사’ 행태정보에 대해 사전에 일괄적으로 거부하는 것이 가능하게 되어 정책적 관점에서도 훨씬 이용자에게 도움이 될 것으로 판단된다. 또한, 피심인이 이용자의 타사 행태정보를 수집하기 위해서는 이용자가 ①피심인 서비스에 가입하고, ②피심인 서비스에 로그인한 후, 최종적으로 ③사업자의 웹ㆍ앱 이용 절차를 거치므로, 피심인이 이용자 가입 시점에 동의를 받을 경우 이용자는 타사 행태정보 수집 전에 동의 여부를 선택할 수 있다. 4. 독일 연방카르텔청(FCO)의 처분과 위원회의 조사ㆍ처분의 관련성에 대해 피심인은 Federal Cartel Office(이하 'FCO’)의 결정이 시장에서 지배력 혐의에 대한 평가를 고려한 것으로 GDPR 준수 여부의 평가는 FCO의 적절한 규제 소관이 아니며(각주:FCO가 GDPR 준수 여부를 평가할 권한이 있는지는 보호법 적용에 있어 중요 판단 요소가 아님. 한편, 함부르크 데이터보호책임자는 FCO의 심의를 적극 지지하였으며, FCO는 심의에 관한 세부사항을 아일랜드 DPC에 브리핑한 것으로 확인됨) , FCO는 동의 주체에 관한 쟁점 검토를 하지 않았다고 주장(각주:아일랜드 DPC에서 메타는 계약 이행을 위해 동의 없이 데이터를 처리할 수 있다고 주장함) 하였다.

그러나, FCO는 피심인의 타사 행태정보 수집ㆍ이용에 대한 동의 필요 여부 등 '처리의 적법성’(GDPR 제6조 1.(a)∼(f))을 상세히 살펴본 결과, GDPR 제6조 1.(a)에 따른 이용자의 동의가 필요하나, 피심인은 이용자의 유효한 동의를 받지 않았고, GDPR을 위반했다고 판단하였다(각주:'(b)계약, (c)법적 의무, (d)중대한 이익, (e)공적 업무 수행, (f)적법한 이익’에 해당 안됨) . 따라서 FCO의 판단은 '적법한 동의’ 여부를 조사함에 있어 참고할 여지가 있다. <img src="/LSW/flDownload.do?flSeq=124486261" alt="73번째 이미지"></img> 5. 대법원 판결(2016.6.28. 선고 2014두2638)은 메타의 보호법 위반 근거가 될 수 없다는 의견에 대하여 피심인은 '본건은 대법원 판례와 사실관계가 다르며, 메타의 경우 오히려 원심에서 언급한 “항목별 배치간격도 매우 밀접하고 이용자가 그 내용을 명확하게 인식할 수 있도록” 하였다고 본 사례와 유사하며, 판결의 근거인 舊정보통신망법 시행령 제12조 제1항(“동의 내용을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하여야 한다.”라는 부분)은 삭제되었고 현행 보호법 시행령 제17조 제1항에서는 관련 문언을 두고 있지 않다고 주장하였다. 그러나, 해당 판결은 '인터넷 사이트에서 개인정보를 수집하면서 적법한 동의를 받았는지가 문제된 사건’으로, 사실관계를 비교할 것이 아니라 개인정보의 수집ㆍ이용 동의와 관련된 판결의 취지(각주:적법한 동의를 받기 위해서는 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 용이하고 명확하게 법정 고지사항의 구체적 내용을 게재하여야 하며, 명확한 인식하에 행해질 수 있도록 실행방법이 마련되어야 한다고 판시) 를 보아야 하며, 피심인이 '삭제되어 관련 문언이 없다’고 주장하는 舊정보통신망법 시행령 제12조 제1항은 현행 보호법 제22조 제1항에 구체적이고 명확하게 규정하고 있고 나아가 같은 조 제2항, 개인정보 처리 방법에 관한 고시 제4조에서도 '명확히 표시’하여 '알아보기 쉽게’ 할 의무가 반복하여 규정되어 있으므로 피심인은 해당 판결과 관련 법령에 대한 이해가 부족한 것으로 보인다. <img src="/LSW/flDownload.do?flSeq=124486265" alt="74번째 이미지"></img>

<img src="/LSW/flDownload.do?flSeq=124486267" alt="75번째 이미지"></img> Ⅴ. 처분 및 결정 1. 시정조치 명령 피심인의 보호법 제39조의3제1항을 위반하여 이용자에게 명확하게 알리고 동의를 받지 않고 페이스북 및 인스타그램 서비스에 가입한 이용자가 다른 웹사이트 및 앱을 사용한 행태정보를 수집ㆍ이용한 행위에 대하여 같은 법 제64조제1항에 따라 개인정보 보호 및 침해 방지를 위하여 아래와 같이 시정조치를 명한다. 가. 피심인은 이용자의 타사 행태정보를 수집ㆍ이용하려면 이용자가 자유로운 결정권을 행사하고 쉽고 명확하게 인지할 수 있도록 이용자에게 알리고 동의를 받아야 한다. 나. 위 가의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 90일 이내에 이행결과를 개인정보보호위원회에 제출하여야 한다. 2. 과징금 부과 피심인의 보호법 제39조의3제1항 위반에 대하여 같은 법 제39조의15제1항 제6호 및 「개인정보보호 법규 위반에 대한 과징금 부과기준」(고시 제2020-6호) (이하 '과징금 부과기준’)에 따라 다음과 같이 과징금을 부과한다. 과징금은 ①위반행위와 관련한 매출액 산정, ②관련 매출액에 부과기준율을 곱하여 기준금액 산정, ③기준금액에 필수적 가중ㆍ감경, ④추가적 가중ㆍ감경을 거쳐 산정한다. 가. 과징금 상한액 피심인의 보호법 제39조의3제1항 위반에 대한 과징금 상한액은 같은 법 제39조의15제1항제6호에 따라 위반행위와 관련된 정보통신서비스의 직전 3개년도의 연평균 매출액의 100분의 3 이하에 해당하는 금액으로 한다. 나. 기준금액 1) 고의ㆍ중과실 여부 과징금 부과기준 제5조제1항은, 보호법 시행령 〔별표 1의5〕 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리 목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단하도록 규정하고 있다.

이에 따를 때, 피심인은 영리를 목적으로 정보통신망을 통해 정보통신서비스인 페이스북 및 인스타그램 서비스를 대한민국 이용자에게 제공하고 있는 개인정보처리자이자 정보통신서비스 제공자로서 ▲이용자의 타사 행태정보를 맞춤형 광고 등을 위해 사용하고 있는 점, ▲피심인의 서비스를 이용하는 대한민국 월간 활성 이용자 계정 수는 ’21년 9월 기준 페이스북 개, 인스타그램 개로 방대하고, ▲위반행위로 인한 피해규모는 대한민국 월간 이용자 수 전체에 이르고 있는 점을 고려할 때, 피심인에게 고의ㆍ중과실이 있다고 판단한다. 2) 중대성의 판단 과징금 부과기준 제5조제3항은, 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 '매우 중대한 위반행위’로 판단하도록 규정하고 있으나, 단서조항에서, ① 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우(제1호), ②위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우(제2호), ③이용자의 개인정보가 공중에 노출되지 않은 경우(제3호) 중 모두에 해당할 때에는 '보통 위반행위’로, 1개 이상 2개 이하에 해당할 때에는 '중대한 위반행위’로 규정하고 있다. 위 기준을 적용하여 ① 피심인이 직접적으로 이득을 취한 점, ② 동의 없이 수집ㆍ이용한 한국 이용자의 개인정보는 피심인이 보유한 한국 이용자 개인정보의 5%를 초과한 점, ③ 이용자의 개인정보가 공중에 노출되지 않은 점 등을 종합적으로 고려할 때, 위반행위의 중대성을 '중대한 위반행위’로 판단하였다. 3) 관련 매출액 및 기준금액 산출 과징금 부과기준 제4조(관련 매출액 산정)제1항에 따라 “관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액으로 한다.”라고 규정되어 있으며, 또한 같은 조 제3항에는 “서비스에 대한 매출액은 회계자료를 참고하여 정하되, 이를 통해 위반행위와 관련한 서비스의 매출액을 산정하기 곤란한 경우에는 해당 정보통신서비스 제공자등의 과거 실적, 동종유사 역무제공사업자의 과거 실적, 사업계획, 그 밖에 시장상황 등을 종합적으로 고려하여 매출액을 산정할 수 있다.”로 규정하고 있다.

피심인이 이용자의 동의 없이 타사 행태정보를 수집ㆍ이용한 위반행위는 위원회 심의종결일인 ’22년 9월 14일까지 지속되고 있으므로 관련 매출액은 직전 3개 사업연도인 2019년, 2020년, 2021년의 연평균 매출액으로 한다. 피심인의 관련 매출액은 피심인이 제출한 전 세계 매출액 중 기타 수입을 제외한 페이스북 및 인스타그램 서비스의 광고 매출액(각주:페이스북, 인스타그램 각각의 관련 매출액은 피심인이 '22.4.29. 답변한 매출액 자료에서 비율(%)을 구하여 산정) 으로 하고, 위반행위 종료 직전 3개년도(’19~’21년)의 연도별 광고 매출액에 전 세계 페이스북 및 인스타그램 이용자 중 대한민국 이용자(월별 활성 이용자) 비율을 곱한 금액의 3개년 평균 금액을 더한 를 피심인의 관련 매출액으로 산정한다. < 페이스북 및 인스타그램 서비스 3년간(’19～’21년) 매출액 현황(단위 : 백만$) > <img src="/LSW/flDownload.do?flSeq=124486269" alt="76번째 이미지"></img> 피심인의 위반행위는 보호법 시행령 [별표 1의5] 2. 가. 1)에 따라 '중대한 위반행위’에 해당하므로 부과기준율 1천분의 21을 적용, 관련 매출액에 부과기준율을 곱한 를 기준금액으로 산정한다. <img src="/LSW/flDownload.do?flSeq=124486271" alt="77번째 이미지"></img> 다. 필수적 가중 및 감경 피심인의 위반행위 기간이 2년을 초과(’18.7.14.~’22.9.14.현재)하므로 기준금액의 100분의 50에 해당하는 를 가중하고, 최근 3년간 과징금 부과 처분을 1회(’21.8.25.)(각주:舊정보통신망법 제22조제1항(개인정보의 수집ㆍ이용 동의 등) 위반으로 과징금 부과, 보호법 시행령 부칙 제4조(과징금의 산정기준에 관한 경과조치)에서는 이 영 시행 전의 위반행위로 정보통신망법에 따라 받은 행정처분은 위반행위 횟수 산정에 포함한다고 명시) 받은 적이 있어 조정을 거친 금액인 를 유지한다. 다만, 조정을 거친 금액이 보호법 제39조의15 제1항에서 규정한 위반행위와 관련한 매출액의 100분의 3을 초과하므로 보호법 시행령 별표1의5 '과징금의 산정기준과 산정절차’(각주:가중하는 경우에도 법 39조의15제1항 및 제2항에 따른 과징금 금액의 상한을 넘을 수 없음) 에 따라 과징금 상한인 100분의 3에 해당하는 금액인 를 적용한다.

라. 추가적 가중 및 감경 과징금 부과기준 제8조는 사업자의 위반행위의 주도 여부, 조사의 협조 여부 등을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중ㆍ감경할 수 있다고 규정하고 있으나, 피심인에 대해 특별히 가중하거나 감경할 사유는 없다. 마. 과징금의 결정 피심인의 보호법 제39조의3제1항 위반행위에 대한 과징금은 같은 법 제39조의15조제1항제6호 및 같은 법 시행령 제48조의11제4항 [별표 1의5] 2. 가. 1)(과징금의 산정기준과 산정절차) 및 과징금 부과기준에 따라 상기와 같이 단계별로 산출한 금액인 를 최종 과징금으로 결정한다. 〈 과징금 산출내역 〉 <img src="/LSW/flDownload.do?flSeq=124486273" alt="78번째 이미지"></img>(각주:의결일('22.9.14.) 최초 고시 매매기준 환율(1,374.8원)을 적용하여 원화로 환산, 과징금 산출액이 1억원 미만은 십만원 미만 절사, 1억원 이상은 백만원 미만 절사함) 3. 처분 결과의 공표 피심인이 페이스북 및 인스타그램 서비스에 가입한 이용자의 동의 없이 '이용자의 타사 행태정보’를 ①6개월 이상 지속하여 ②10만 명 이상 수집ㆍ이용하였으며, 최근 3년 내 시정조치 명령 등을 ③2회 이상 받은 행위는 「개인정보 보호위원회 처분결과 공표기준」제2조 제5호 내지 제7호에 해당하므로 보호법 제66조제1항에 따라 시정조치 명령을 받은 사실에 대해 개인정보보호위원회 홈페이지에 공표하기로 한다. <img src="/LSW/flDownload.do?flSeq=124486275" alt="79번째 이미지"></img> Ⅵ. 결론 피심인의 보호법 제39조의3제1항 위반행위에 대하여 같은 법 제39조의15(과징금의 부과 등에 대한 특례), 제64조(시정조치 등)제1항, 제66조(결과의 공표)제1항 각각에 의한 과징금 부과 및 시정조치 명령, 결과 공표를 주문과 같이 의결한다.

결정요지

안건번호 : 제2022-014-105호 (사건번호 : 2021조일0028) 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치 등에 관한 건 신청인 : Meta Platforms, Inc.1601 Willow Road, Menlo Park, California 94025대표이사 Mark Zuckerberg 의결연월일 : 2022. 9. 14.