개인정보보호 법규 위반행위에 대한 시정조치 등에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 시정조치를 명한다. 가. 피심인 Facebook Incorporation, Facebook Ireland Limited는 이용자의 동의를 받지 않고 수집된 '얼굴인식 템플릿’을 파기하거나 이용자에게 동의를 받아야 한다. 나. 피심인 Facebook Ireland Limited는 정보통신서비스제공자 변경에 따른 개인정보를 이전하려는 사실, 이전 받는 자의 성명(법인명)ㆍ주소ㆍ전화번호 및 그 밖의 연락처, 개인정보 이전을 원하지 않는 경우 동의를 철회할 수 있는 방법을 인터넷 홈페이지 게시, 전자우편 등의 방법으로 이용자에게 알려야 한다. 다. 피심인 Facebook Incorporation은 다음과 같은 사항을 이행하여야 한다. 1) 법적 근거 없이 주민등록번호가 처리되지 않도록 조치하고, 이미 수집된 주민등록번호는 파기하여야 한다. 2) 개인정보를 이전받은 사실 및 이전받는 자의 성명(법인명)ㆍ주소ㆍ전화번호 및 그 밖의 연락처를 인터넷 홈페이지 게시, 전자우편 등의 방법으로 이용자에게 알려야 한다. 3) 페이스북의 개인정보 처리업무를 위탁하는 경우 위탁하는 업무의 내용과 개인정보 처리업무를 위탁받아 처리하는 자(수탁자)를 인터넷 홈페이지에 게재하여야 한다. 4) 국외 이전하는 개인정보 항목, 이전되는 국가, 이전일시 및 이전방법, 이전받는 자의 성명(법인명), 이전받은 자의 개인정보 이용목적 및 보유ㆍ이용기간을 개인정보 처리방침에 공개하거나 전자우편 등의 방법으로 이용자에게 알려야 한다. 라. 위 가ㆍ나ㆍ다의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 90일 이내에 이행결과를 개인정보보호위원회에 제출하여야 한다. 2. 피심인에 대하여 다음과 같이 과징금과 과태료를 부과한다. 가. 과 징 금 ㅇ Facebook Incorporation : 4,483,000,000원 ㅇ Facebook Ireland Limited : 1,960,000,000원 나. 과 태 료 ㅇ Facebook Incorporation : 20,000,000원 ㅇ Facebook Ireland Limited : 6,000,000원 다. 납부기한 : 고지서에 명시된 납부기한 이내 라. 납부장소 : 한국은행 국고수납 대리점 3. 피심인의 법 위반행위 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다. 4. 피심인에 대하여 다음과 같이 개선하도록 권고한다.

가. “카드 추가” 화면에서 카드번호 수집과 관련한 법정 고지사항을 이용자가 쉽게 확인할 수 있도록 하여야 한다. 나. 위 가의 개선조치 결과는 개선권고를 받은 날로부터 90일 이내 개인정보보호위원회에 제출하여야 한다.

이유

Ⅰ. 조사 개요 1. 조사배경 개인정보보호위원회(이하 '위원회’라 한다)는 해외사업자의 개인정보수집 동의방식에 문제가 있다는 국회의 지적과, 이용자의 동의 없이 얼굴인식 정보를 수집한 데 대한 美 대법원 판결 언론보도, 개인정보 처리주체 변경과 관련한 민원 제기 등을 토대로 동의방식 전반을 포함한 개인정보보호 법규의 준수 여부에 대한 실태를 조사하였다. 위원회는 구체적인 사실관계를 파악하기 위해 피심인에 대해 보호법 제63조제1항에 따른 관계 물품ㆍ서류 등을 제출하도록 요구하였으며(2019.11.27., 2021.3.31., 2021.5.20., 2021.5.25., 2021.6.1.), Facebook으로부터 제출받은 자료(2019.12.13., 2021.4.26., 2021.5.2., 2021.6.3., 2021.6.9., 2021.7.7., 2021.7.11., 2021.7.19.)를 분석ㆍ조사하여 사실관계 및 개인정보보호 법규 위반사항을 확인하였다. 2. 피심인의 지위 및 현황 Facebook Incorporation(이하 'Facebook Inc.’)와 Facebook Ireland Limited(이하 'Facebook Ireland’)는 영리를 목적으로 정보통신망을 통해 대한민국 이용자에게 페이스북 서비스를 제공하는 정보통신서비스 제공자이며 개인정보처리자로서 일반현황과 매출액은 다음과 같다. <Facebook Inc.> <img src="/LSW/flDownload.do?flSeq=126223735" alt="1번째 이미지"></img> <Facebook Ireland> <img src="/LSW/flDownload.do?flSeq=126223757" alt="2번째 이미지"></img> <페이스북 매출액 현황> (단위 : 백만$) <img src="/LSW/flDownload.do?flSeq=126223779" alt="3번째 이미지"></img> 피심인은 2004년 2월 4일부터 페이스북 서비스를 제공하였고, 2008년 5월경부터 한국어 서비스 제공을 시작하였으며, 2021년 5월 30일 기준으로 페이스북 서비스의 한국 월간 활성 이용자 수는 명이다. 2015년부터 2020년까지 연도별 페이스북 서비스의 전체 월간 활성 이용자 중 한국 이용자 비율은 아래와 같다. <img src="/LSW/flDownload.do?flSeq=126223801" alt="4번째 이미지"></img>

Ⅱ. 사실조사 결과 1. 이용자의 동의 없이 「얼굴인식 템플릿」을 생성ㆍ수집 피심인은 2011년부터 이용자의 얼굴인식 기능의 설정이 “예”로 되어 있는 경우 사람이 태그된 사진 및 동영상과 그 사람의 프로필 사진을 머신러닝 알고리즘으로 분석하여 “얼굴인식 템플릿”을 생성ㆍ수집하고 있다. 가. 얼굴인식 동작 방식 피심인은 사진 또는 동영상이 업로드되면, 다음의 과정을 통해 해당 사진 또는 동영상에 나오는 사람의 식별을 시도한다고 답변하였다. ① 이용자가 게시한 콘텐츠에 얼굴 포함 여부를 확인하여 얼굴을 감지하는 경우 얼굴 크롭(face crop, 이미지 중 얼굴이 나타나는 부분을 분리하는 경계 상자)을 생성하고, ② 그 얼굴 크롭에 대하여 얼굴 이미지의 기준이 되는 “기준점”들의 위치를 설정하고, 크롭된 얼굴 이미지를 중앙에 오도록 조정하며 크기 변경, 회전 및 위치 변경을 수행하여 크기와 방향의 표준화를 시도하여 정면을 바라보고 표준화된 얼굴 이미지를 획득하고, ③ 정렬된 얼굴 크롭의 픽셀을 분석하여 해당 얼굴에 대한 임시 표현 수치(“임베딩”)를 산출하며, ④ 사진 또는 동영상에서 생성된 임베딩을 특정 페이스북 이용자의 얼굴 인식 템플릿과 비교하여 일치 여부를 확인하고, ⑤ 새로 업로드된 사진 또는 동영상에 포함된 임베딩이 해당 얼굴인식 템플릿과 동일인에게 속할 가능성을 반영하는 점수를 계산하여 특정 얼굴인식 템플릿에 해당하는 사람을 식별한 후 임베딩은 폐기한다. 나. 얼굴인식 기능의 목적 피심인은 태그추천, 자동 대체 텍스트(사진ㆍ음성 읽기 기능), 사진검토, 프로필 사진 검토 등 다음과 같이 얼굴인식 기능을 활용하고 있다고 답변하였다. 피심인은 페이스북의 “태그”는 사진을 특정 이용자 계정과 연결하는데 사용되는 특수한 링크로서 이용자는 페이스북에 업로드한 사진에 친구를 태그할 수 있다고 설명하였다. 어느 이용자가 태그되면 페이스북은 이 사실을 자동으로 해당 이용자에게 알리고 이용자는 콘텐츠가 마음에 들지 않는 경우 태그를 제거하거나 해당 콘텐츠 자체를 삭제하도록 요청할 수 있다. * 이용자가 사진 또는 동영상을 업로드하면, 얼굴 인식 과정을 통해 친구로 판단되는 경우 페이스북은 업로드한 이용자에게 해당 친구를 그 얼굴에 태그할 것을 추천할 뿐 자동으로 이용자를 태그하지는 않음

피심인은 2017년부터 스크린 리더를 사용하는 이용자에게 사진에 나오는 사람의 이름을 소리 내어 읽어주는 기능을 제공하였으며, 태그되지 않은 경우에도 얼굴인식을 사용하여 페이스북에 사진이나 동영상이 업로드되었음을 알려주는 기능을 제공하였다고 밝혔다. 피심인은 2018년부터 이용자의 얼굴 사칭 방지 기능을 출시하였으며, 이용자가 공개 프로필 사진을 업로드 또는 변경하는 경우, 새 프로필 사진을 얼굴인식 기능을 설정해 놓은 다른 이용자들의 얼굴인식 템플릿과 비교하여 새 프로필 사진이 다른 이용자의 사진임을 나타내는 경우 해당 이용자에게 알리고 검토할 수 있도록 표시할 수 있다고 설명하였다. * 얼굴인식 기능의 목적은 고객센터 메뉴의 얼굴인식 템플릿을 사용하는 방식에서 설명하고 있음 다. 얼굴인식 정보의 보유ㆍ이용기간 고객센터 메뉴에서 '내 Facebook 계정에서 얼굴인식 기능을 해제하는 경우 회원님의 얼굴을 인식하지 않고 얼굴인식 템플릿이 삭제된다’고 설명하고 있다. 라. 얼굴인식에 대해 이용자의 동의를 받았다는 피심인 주장 위원회는 페이스북이 얼굴인식 기능의 기본설정을 “예”에서 “아니오”로 변경하기 전 이용자에게 알리고 동의를 받은 자료를 제출토록 했으며, 피심인은 이용자에게 다음과 같이 충분한 고지하에 동의(informed consent)한 경우에만 얼굴 인식 기술을 적용해 왔다고 답변하였다. ① 얼굴 인식 기능이 최초 출시되기 이전인 ’10.12.15. 페이스북 서비스의 노트 페이지에 '얼굴 인식 기능에 대한 설명을 게시’했으며, ’12.12.22. 얼굴 태그 추천이 사용될 수 있다는 사실을 명확히 하기 위해 데이터 정책을 개정하고, 개인정보 설정에서 태그 추천 해제 기능을 제공하였다. 또한 고객센터 메뉴에서 태그 추천을 설명하는 다음과 같은 3가지* 얼굴 인식 게시글을 게재하였다고 밝혔다. * ⓐ내 친구들의 이름을 추천하는 방법, ⓑ친구들에게 '나를 추천하기 태그’하고 추천하기 위해 이용하는 정보, ⓒ태그 추천을 끄는 방법 ② 피심인은 이용자가 페이스북에 가입하는 경우 서비스 약관과 데이터 정책(보호법상 개인정보 처리방침에 해당, 이하 같음)에 동의하였다고 밝혔으며, ’10.12.22.부터 ’18.4.18.까지 페이스북의 데이터 정책에 “태그 추천 기능”에 대한 내용은 포함된 것으로 확인된다.

<img src="/LSW/flDownload.do?flSeq=126223809" alt="5번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=126223811" alt="6번째 이미지"></img> 피심인은 ’18.4.19. 데이터 정책에 “이 기능을 켜면 얼굴 인식 기술을 사용하여 사진, 동영상 및 카메라 환경에서 회원님을 인식합니다.”라고 업데이트하였으며, 이 데이터 정책에 얼굴인식 기술을 어떻게 사용하는지와 설정하는 방법의 링크*를 제공하고 있으나, 회원 로그인을 하지 않는 경우 설정화면에 접근할 수 없는 것으로 확인된다. * (확인 결과) 로그인하지 않은 기존 회원 또는 신규 가입자가 설정화면 링크(Facebook 설정)를 클릭하면 설정화면이 아닌 로그인 화면으로 이동함 <’18.4.19. 시행된 페이스북 데이터 정책 일부> <img src="/LSW/flDownload.do?flSeq=126223813" alt="7번째 이미지"></img> ③ 2017년 서비스 내 뉴스피드 공지를 통해 얼굴인식 설정의 활성화 여부에 따라 이용자에게는 기본설정 방법(활성화 또는 비활성화)을 알렸으며, 설정화면으로 안내하는 링크를 제공하였다. ④ ’12년 8월까지 설정 페이지에서 친구에게 태그 제안을 허용하거나 제안하지 않음으로 선택할 수 있었으며, - ’12년 12월 개인정보 설정페이지 내에 “태그 및 태그 추천관리” 섹션에서 이용자가 태그 추천을 설정할 수 있었고, - ’13년 1월 개인정보 설정페이지 내에 “더 알아보기” 링크를 추가하여 태그 추천에 관한 내용이 있는 고객센터 메뉴로 안내하였다. - ’17년 12월부터 태그 추천 설정을 “얼굴인식 설정”으로 대체하였으며, 기본 설정 페이지 내에 “얼굴 인식” 카테고리를 신설하여 이용자가 얼굴인식 기능이 활성화되어 있는지 확인할 수 있도록 안내하였다. 마. 얼굴인식 기능 설정 페이스북의 얼굴인식 설정 기본값은 ’11년부터 ’19.9.2.까지 “예”로 되어 있었으며, ’19.9.3.부터 “아니오”로 변경하였다. 위원회는 페이스북에 ’18.4.19.부터 ’19.9.2.까지 페이스북 서비스에 가입하여 얼굴인식 템플릿을 생성한 전세계 및 한국 이용자 수를 요구하였으며, 피심인은 ’18.4.19.부터 ’19.9.2.까지 얼굴인식 템플릿을 생성한 전세계 이용자 수는 약 명, 한국 이용자 수는 약 명이고,

각 기간별 Facebook Ireland(’18.4.19.~7.13.)와 Facebook Inc.(’18.7.14.~9.2.)의 템플릿을 생성한 한국 이용자 수는 각각 명과 명이라고 자료를 제출(’21.7.6.)하였다. <얼굴인식 탬플릿 생성 이용자 수(명)> <img src="/LSW/flDownload.do?flSeq=126223815" alt="8번째 이미지"></img> ※ 2011년 이후 2019년 3월 31일까지의 전체 기간 동안 얼굴 인식 템플릿을 생성한 이용자 전체 숫자에 관한 데이터는 보유하고 있지 않다고 답변 <img src="/LSW/flDownload.do?flSeq=126223817" alt="9번째 이미지"></img> 바. 동의 관련 사실관계 피심인이 ’18.4.19.부터 페이스북 서비스에 가입하는 이용자의 얼굴인식 정보를 생성ㆍ수집하면서 이용자에게 얼굴인식 기능에 대해 충분히 인지할 수 있도록 알리고 동의받은 내용은 확인되지 않았다. ① 서비스 가입 단계 이용자는 페이스북 회원가입 화면에서 데이터 정책 등 3개 항목의 동의 박스에 체크한 후 가입하기를 클릭하면 가입이 완료되며, * ①데이터 정책(? 동의), ②이용약관(? 동의), ③위치정보(? 동의) → 가입하기(클릭) 피심인은 데이터 정책의 얼굴인식 항목에서 “이 기능을 켜면 얼굴인식 기능을 사용한다”고 안내하고 있으나, 회원 가입 시 얼굴인식 수집 동의 여부를 체크할 수 있는 기능은 제공하지 않은 것으로 확인된다. 이용자가 가입화면 「데이터 정책」의 얼굴인식 항목 내용 중 「Facebook 설정」 문구를 클릭하면 설정 화면으로 가지 않고 로그인 화면으로 연결된다. <img src="/LSW/flDownload.do?flSeq=126223737" alt="10번째 이미지"></img> ② 서비스 가입 이후 얼굴인식 설정 페이스북의 얼굴인식 기능의 기본 설정 값은 “예”로 되어 있어, 서비스 가입과 동시에 해당 기능이 활성화되었다. 이용자는 회원으로 가입하기 전에는 기본설정 내용을 미리 알거나 설정을 변경할 수 없고, 회원가입 후에야 「얼굴인식 설정 화면」에서 기본설정 내용 확인 및 변경이 가능하였다. * 데이터 정책 → 얼굴인식 항목의 Facebook 설정(?) → 얼굴인식 설정 화면에서 얼굴인식 기능을 기본설정인 '예’로 두거나 '아니오’로 변경 2. 법적 근거 없이 주민등록번호를 처리

피심인 Facebook Inc.는 “신원 확인” 페이지를 통해 이용자의 신분증*을 수집하고 있으며, 그중에는 주민등록번호가 포함된 신분증도 있는 것으로 확인되었다. * (정부 발급) 여권, 운전면허, 주민등록증, 출생ㆍ혼인ㆍ가족관계 증명서 등 * (민간 발급) 건강보험증, 학생증, 재직증명서, 도서관 대출증 등 <img src="/LSW/flDownload.do?flSeq=126223739" alt="11번째 이미지"></img> 피심인 Facebook Inc.는 이렇게 수집한 이용자의 신분증은 가짜 신분증 및 이와 관련된 남용을 탐지하기 위한 자동화 시스템 개선 목적으로 최대 1년 동안 암호화하여 보유한다고 답변하였다. ※ 신분증을 제출하는 경우 이러한 목적으로 신분증이 사용되지 않도록 옵트 아웃을 선택할 수 있으며, 이 경우 30일 이내 혹은 계정을 삭제할 때 삭제함 <img src="/LSW/flDownload.do?flSeq=126223741" alt="12번째 이미지"></img> 피심인 Facebook Inc.는 신분증에 기재된 주민등록번호를 삭제하는 등의 조치를 하는지 여부에 대한 위원회의 질의에 대해 명확히 답변하지 않았으며, <img src="/LSW/flDownload.do?flSeq=126223743" alt="13번째 이미지"></img> 페이스북 이용자가 신분증을 요구받고 제출하는 과정에서 이용자 스스로 주민등록번호의 비식별화 조치를 해달라는 등의 안내만 있을 뿐, 페이스북이 주민등록번호 삭제 등의 조치를 하는 내용은 확인할 수 없었다. ※ 페이스북의 “고객 센터” / “로그인 및 비밀번호” / “신분증 업로드” / “Facebook에 보낸 신분증의 처리 절차는?” 페이지에 접속하는 경우 “대한민국의 개인정보보호법으로 인해 주민등록번호 전체가 표시되는 신분증은 Facebook에서 사용할 수 없습니다. 제출하는 신분증에 주민등록번호가 포함되어 있다면 마지막 7자리 숫자를 가려주세요.” 라는 내용이 안내되고 있음 피심인 Facebook Inc.가 ’21.5.20. 위원회에 제출한 이용자의 신분증 개* 중 주민등록번호가 확인되는 신분증은 총 건으로 확인되었다. * 페이스북은 ’21.4.29.～5.28.까지 처리된 신분증 중 개를 무작위 추출ㆍ제출했으나, 외국인 신분증 건을 포함하여 제출(한국 IP 기준으로 제출 추정) 3. 개인정보 처리 주체가 변경된 사실을 고지하지 않음

피심인은 ’18.7.14.부터 대한민국 이용자에 대한 서비스 제공 주체(법인)를 Facebook Ireland에서 Facebook Inc.로 변경하면서 이와 관련된 내용을 이용자에게 알리지 않고 법정 고지사항을 공개하지도 않았다. <서비스 제공주체 변경 내역> <img src="/LSW/flDownload.do?flSeq=126223745" alt="14번째 이미지"></img> 피심인은 정보통신 서비스 제공 및 정보처리 주체를 Facebook Ireland에서 Facebook Inc.로 변경하는 과정에서 페이스북 뉴스룸과 공지사항, 이용약관, 개인정보 처리방침에 고지했다고 주장하나, 뉴스룸과 이용약관, 개인정보 처리방침 어디에도 서비스 제공자 변경과 개인정보 이전에 대한 법정 고지사항은 게시되어 있지 않으며, 이메일 등으로 이용자에게 알린 증거자료를 제출하지 못하였다. 4. 개인정보의 처리 위탁 및 국외 이전 관련 사항을 공개하지 않음 피심인 Facebook Inc.는 미국, 아일랜드, 스웨덴, 덴마크에 보유한 데이터 센터에서 이용자의 데이터를 처리하면서, 국외 이전과 관련하여 아래와 같이 국외이전ㆍ처리할 수 있다는 사실을 공개하고 있다. <img src="/LSW/flDownload.do?flSeq=126223747" alt="15번째 이미지"></img> 피심인 Facebook Inc.는 다른 사업자에게 개인정보 처리를 위탁하면서 위탁업무의 내용과 수탁자를 홈페이지 등에 공개하고 있지 않은 것으로 확인되었다. <img src="/LSW/flDownload.do?flSeq=126223749" alt="16번째 이미지"></img> 또한, 개인정보 국외 이전과 관련하여 처리방침을 통해 국외 이전 사실만 공개하고, 계약 범위를 공개할 수 없다는 이유로 이용자에게 알리거나 법정고지 항목을 공개하지 않은 것으로 확인되었다. 이와 관련하여, 위원회가 ’21.3.31. 요구한 자료를 상당한 기간이 소요된다는 등의 이유로 5.10.까지 연장을 요청하여 4.30.까지 연장 협의하였으나, 5.2. 자료를 제출하면서 국외이전 관련 자료는 계약의 비밀을 이유로 제출하지 않다가 위원회로부터 「예정된 처분의 사전통지」를 받고 의견제출 기간(’21.7.12.까지)이 8일 경과한 ’21.7.20.에 제출하였다.

* (’21.7.20. 자료제출 시 답변 요지) 최초 답변을 보완하기 위해 한국 이용자와 관련된 서비스 제공업체 목록 취합 작업을 진행, 데이터 접근 권한이 있고 ’20.5.1.부터 페이스북에 의해 평가된 업체로서 지난 회계연도 지출 상위 업체 목록을 제출 <제출 자료, ’21.7.20.> <img src="/LSW/flDownload.do?flSeq=126223751" alt="17번째 이미지"></img> 5. 카드번호 수집 시 법정 고지사항을 확인하는 절차가 어려움 Facebook Payments International*은 페이스북 서비스 내 “Facebook Pay” 페이지를 통해 대한민국 이용자의 카드번호를 수집하고 있으나, * Facebook Payments International Limited는 Facebook Inc., Facebook Payments, Inc. 및 Facebook Ireland Limited와 구분되는 별도의 회사(법인)임 카드번호 입력 단계에서는 개인정보 수집 동의 및 개인정보 처리방침은 확인되지 않으며, 카드추가 화면에서 “결제약관이 적용됩니다.”를 클릭하면 “미국ㆍ캐나다 외부 사용자를 위한 Facebook 개인정보처리방침”을 안내하였다. <카드 추가 정보 입력 화면> <img src="/LSW/flDownload.do?flSeq=126223753" alt="18번째 이미지"></img> 이용자가 법정 고지사항을 확인하기 위해서는 여러 단계*를 거쳐야 하며, 최종적으로 「미국 및 캐나다 외부 사용자를 위한 Facebook 개인정보처리방침(Facebook Payments International Limited)」에서 확인할 수 있었다. * 카드번호 입력 → 결제약관 클릭 → Facebook Payments International Limited 개인정보처리방침에서 수집정보 항목, 수집 목적, 보유기간 등 법정 고지사항 확인 가능 <Facebook Payments International Limited 개인정보처리방침> <img src="/LSW/flDownload.do?flSeq=126223755" alt="19번째 이미지"></img> 피심인 Facebook Inc.는 Facebook Pay 서비스를 비활성화*하고, Facebook Pay에 업로드된 신용카드 정보를 삭제한다고 자료를 제출(’21.7.9.) 하였으나,

* 현재 페이스북 서비스에서 Facebook Pay 메뉴는 찾아볼 수 없음 피심인 Facebook Inc.는 여전히 “광고 비용 결제” 및 “결제” 페이지 등에서 카드번호 등 결제 수단을 수집하고 있는 것으로 확인되었다. Ⅲ. 위법성 판단 각각의 법 위반에 대하여 행위 종결 시점을 기준으로 현행 「개인정보 보호법」(법률 제16930호, 이하 '보호법’) 및 「(舊)정보통신망 이용촉진 및 정보보호 등에 관한 법률」(법률 제16021호, 이하 '정보통신망법’)을 적용한다. 1. 이용자 동의 없이 「얼굴 인식 템플릿」을 생성ㆍ수집한 행위 가. 관련 법령 및 법리 1) 개인정보의 수집ㆍ이용 동의 등 관련 법령 규정 정보통신 서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 정보통신망법 제22조제1항 각 호에 정한 3가지 법정고지사항, ①수집ㆍ이용 목적, ②수집 항목, ③보유ㆍ이용기간을 이용자에게 알리고 동의를 받아야 한다. 정보통신망법 제22조(개인정보의 수집ㆍ이용 동의 등) ① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다. 1. 개인정보의 수집ㆍ이용 목적 2. 수집하는 개인정보의 항목 3. 개인정보의 보유ㆍ이용 기간 정보통신서비스 제공자가 이용자의 동의를 받는 때에는 정보통신망법 시행령 제12조제1항 각 호에 정한 「인터넷 사이트에 동의 내용을 게재하고 이용자가 동의 여부를 표시하도록 하는 방법(제1호)」, 「동의 내용이 기재된 서면을 이용자에게 직접 발급하거나, 우편 또는 팩스를 통해 전달하고 이용자가 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법(제2호)」, 「동의 내용이 적힌 전자우편을 발송하여 이용자로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법(제3호)」, 「전화를 통하여 동의 내용을 이용자에게 알리고 동의를 얻거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 얻는 방법(제4호)」, 「그 밖에 제1호부터 제4호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법(제5호)」 등 5가지 방법 가운데 어느 하나에 해당하는 방법으로 하되, 동의 내용을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하여야 한다. 정보통신망법

제26조의2(동의를 받는 방법) 제22조제1항, 제23조제1항 단서, 제24조의2제1항ㆍ제2항, 제25조제1항, 제26조제3항 단서 또는 제63조제2항에 따른 동의(이하 "개인정보 수집ㆍ이용ㆍ제공 등의 동의"라 한다)를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정한다. 정보통신망법 시행령 제12조(동의획득방법) ① 정보통신서비스 제공자 등이 법 제26조의2에 따라 동의를 얻는 방법은 다음 각 호의 어느 하나와 같다. 이 경우 정보통신서비스 제공자 등은 동의를 얻어야 할 사항(이하 "동의 내용"이라 한다)을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하여야 한다. 1. 인터넷 사이트에 동의 내용을 게재하고 이용자가 동의 여부를 표시하도록 하는 방법 2. 동의 내용이 기재된 서면을 이용자에게 직접 발급하거나, 우편 또는 팩스를 통해 전달하고 이용자가 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법 3. 동의 내용이 적힌 전자우편을 발송하여 이용자로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법 4. 전화를 통하여 동의 내용을 이용자에게 알리고 동의를 얻거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 얻는 방법 5. 그 밖에 제1호부터 제4호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법 2) 관련 법리 정보통신 사업자가 이용자의 개인정보를 수집하려는 경우에는 정보통신망법 제22조제1항에 따른 법정 고지사항을 알리고 동의를 받아야 한다. 가) 「개인정보보호법령 및 지침ㆍ고시 해설」(이하 '해설서’) 해설서에서는 개인정보의 수집 및 동의에 대해 다음과 같이 해석의 기준을 제시하고 있다. 개인정보의 수집이란 정보주체에 관한 모든 형태의 개인정보를 취득하는 것(표준지침 제6조)으로서 업무처리 과정에서 개인정보가 생산되거나 생성된 경우 등까지 포괄함을 의미한다. * 표준 개인정보 보호지침 제6조(개인정보의 수집ㆍ이용) ① 개인정보의 수집이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.

정보주체의 동의는 정보주체가 자유 의지로 동의 여부를 판단ㆍ결정할 수 있도록 보장하기 위해, 동의 내용과 의미를 쉽고 명확히 인지할 수 있게 미리 알리고 동의받도록 하는 명시적 동의를 의미한다. 나) 대법원 판례 대법원은 인터넷 사이트에서 개인정보를 수집하면서 적법한 동의를 받았는지 문제가 된 사건에서, 적법한 동의를 받기 위한 요건으로 「①통상의 이용자라면 구체적 내용을 쉽게 알아볼 수 있을 정도로 미리 인터넷 사이트에 법정 고지사항 전부를 명확하게 게재하며, ②법정 고지사항 게재 부분과 이용자의 동의 여부 표시 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 동의 여부를 판단할 수 있어야 하고, ③그에 따른 동의 표시는 이용자가 개인정보의 수집ㆍ제공에 동의한다는 명확한 인식하에 행해질 수 있도록 실행 방법이 마련되어야 한다」고 판시하면서 [고지 및 동의 획득 방식에 관한 판례] -서울고등법원 2014.1.9. 선고 2013누14476 판결, 대법원 2016.6.28. 선고 2014두2638 판결- <img src="/LSW/flDownload.do?flSeq=126223759" alt="20번째 이미지"></img> ①확인 선택을 동의로 간주하는 것은 명시적 동의가 아니라는 점과 ②법정 고지사항을 하단에 배치하여 명확히 알 수 없도록 한 점, ③스크롤바를 설치한 것만으로는 하단의 고지사항 존재 여부를 쉽게 인지할 수 없는 형태라는 점 등을 종합하여, (결론)법정 고지사항을 명확히 인지ㆍ확인할 수 없는 방법으로 동의받은 사실에 대해 적법한 동의를 받지 않은 것으로 판단하였다. <img src="/LSW/flDownload.do?flSeq=126223761" alt="21번째 이미지"></img> 나. 인정되는 사실 피심인은 ’18.4.19.부터 ’19.9.2.까지 얼굴인식 설정 기능을 미리 켜둔 상태에서 법정 고지사항을 명확히 알리지 않고 이용자의 동의도 받지 않은 상태로 대한민국 이용자 약 명의 얼굴인식 템플릿을 생성ㆍ수집하였다. 피심인의 데이터 정책에는 “이 기능을 켜면 얼굴인식 기능을 사용한다”고 안내하고 있어 이용자는 “본인이 해당 기능을 켜지 않으면 “템플릿”이 생성되지 않는다”고 인지했을 수밖에 없으나, 실제로는 설정화면의 템플릿 생성 기능이 기본으로(default) 켜져 있어서 회원가입과 동시에 템플릿 생성ㆍ수집이 이루어질 수 있는 상태였다.

또한, 회원가입 시 데이터 정책 등 어디에도 이용자가 동의 여부를 선택하거나 기본설정을 변경할 수 있는 기능을 제공하지 않았으며, 데이터 정책에 링크된 얼굴인식 설정 화면의 기본 설정 값을 “예”로 설정해 놓고도 회원가입 전에는 설정화면에 접근을 허용하지 않았다. 한편, 대한민국 이용자를 대상으로 한 페이스북 서비스 제공 주체는 ’18.7.14.부터 Facebook Ireland에서 Facebook Inc.로 변경되었고, 피심인은 ’21.7.6. 제출된 자료를 통해 ’18.4.19.부터 ’19.9.2.까지 기간 중 페이스북 2개 법인이 얼굴인식 템플릿을 생성한 대한민국 이용자의 수는 ’18.7.14. 전후로 각각 Facebook Ireland 명, Facebook Inc. 명이라고 답변하였다. 1) 얼굴인식 정보 수집에 대해 이용자의 동의를 받았다는 주장에 대해 피심인은 개인정보의 수집ㆍ이용에 대해 이용자에게 고지하고 그에 대한 동의를 받았으므로 정보통신망법 제22조제1항을 위반하지 않았다고 주장하고 있다. Facebook Ireland는 2011년 얼굴인식이 출시되기 전부터 2018.7.14.까지 이용자에게 데이터 정책의 각 버전을 통해 이용자에게 통지하고 동의를 받았으며, 데이터 정책 각 버전은 얼굴인식 템플릿 항목의 수집 및 이용목적, 개인정보의 이용 및 보유기간에 관한 내용을 안내하였다고 밝히고 있다. Facebook, Inc.는 ’18.7.14.부터 데이터 정책에 따른 개인정보의 수집 및 이용에 대해 고지하고 그에 대한 동의를 받았으며, ’17.12.부터 ’18년 데이터 정책 시행 전까지 얼굴인식 설정을 “예” 또는 “아니오”로 제어할 수 있는 점을 추가 고지를 통해 이용자에게 알렸다고 밝히고 있다. * ’17.12. 뉴스피드 공지를 통해 이용자들이 얼굴인식 설정이 “On” 또는 “Off” 여부에 따라 설정 변경할 수 있음을 알려주고, 설정화면 링크를 제공하였음 * ’18.5.부터 ’18.7.까지 공지를 통해 얼굴인식 설정한 모든 이용자들에게 얼굴인식 기능을 어떻게 사용하는지 자세하게 설명하고 검토 기회를 제공함 그러나, 피심인이 ’18.4.19. 개정된 데이터 정책에 따라 수집한 개인정보는 정보통신망법 제22조제1항에 따라 이용자에게 알리고 동의받은 사실이 없다.

피심인은 데이터 정책에서 “이 기능을 켜면 얼굴인식 기능을 사용한다.”고 안내하면서도 실제로는 데이터 정책에 링크된 설정 화면에 기본 값을 '예’로 설정(default)해 놓고 이용자가 회원으로 가입하기 전에는 얼굴인식 설정화면에 접근이 불가능하게 구성하여 이용자가 동의 여부를 선택하거나 설정을 변경할 수 있는 기능을 제공하지 않았다. 참고로, 이와 관련하여 美 FTC는 「페이스북의 ’18년 4월 “데이터 정책”이 이용자를 기만했다」고 판단하였고, 이와는 별개로 페이스북은 美 일리노이주 주민집단소송 과정에서 '19.9.3.부터 얼굴인식 기본 설정을 꺼짐으로 변경하였다. 법원에 제출된 FTC 소장에는 Facebook의 '18.4월 데이터 정책이 새로운 '얼굴인식 설정’을 할 수 없던 서비스 신규 가입 이용자 명에게 기만적이라는 내용을 포함하고 있다. <img src="/LSW/flDownload.do?flSeq=126223763" alt="22번째 이미지"></img> 미 연방법원은 일리노이주 주민 집단소송('15년) 허가 요청을 승인(’18.4.)하였고, 페이스북은 항소가 기각('19.8.)되자 참여주민 만 명과 배상에 합의하고, 소송 과정에서 '19.9월 기본 설정을 꺼짐으로 변경하였다. <img src="/LSW/flDownload.do?flSeq=126223765" alt="23번째 이미지"></img> 2) Facebook Ireland는 행위 당사자가 아니라는 주장에 대하여 피심인은 ’18.4.19. 개정된 데이터 정책은 Facebook Inc.가 한국 이용자 대상 개인정보 처리 주체가 된 ’18.7.14.에 효력이 발생하여 Facebook Ireland는 행위 목적상 관련 법인이 아니므로 과징금 처분 대상이 아니라고 주장한다. 다만, 데이터 정책이 발표된 때(’18.4.19.)로부터 몇 주 동안 Facebook에 새로 가입하는 이용자들에게 해당 버전이 제시된 점은 인정하였다. 피심인이 ’21.8.18. 제출한 보충의견에서 ’18.4.19. 개정된 데이터 정책에는 연락처가 Facebook Inc.로 표기되어 있고, 약관에도 계약 주체가 Facebook Inc.로 되어 있어 해당 약관과 데이터 정책에 대한 개인정보처리주체는 Facebook Inc.라고 주장했다. <2018년 서비스 약관>

<img src="/LSW/flDownload.do?flSeq=126223767" alt="24번째 이미지"></img> * ’18.4.19. 약관 : 본 약관은 ㆍㆍㆍ귀하와 Facebook Inc.간 완전한 합의를 구성합니다. <2018.4.19. 데이터 정책 끝에 표시된 Facebook Inc. 주소> <img src="/LSW/flDownload.do?flSeq=126223769" alt="25번째 이미지"></img> 그러나, 피심인의 ’18.4.19. 개정된 데이터 정책이 ’18.7.14.부터 효력 발생했다는 피심인 주장과 달리 동 데이터 정책에서는 시행일을 달리 정하고 있지 않으며, 피심인은 이에 대한 주장을 뒷받침할 만한 증빙자료를 제시하지 못하고 있고, 그간에 피심인이 제출한 이와 관련된 여러 의견이 서로 상충ㆍ모순된다. 피심인은 ’21.7.19. 제출한 「사전통지에 대한 의견서」에서 얼굴인식 정보 수집에 대해 이용자의 동의를 받았다고 주장하면서, 그 논거로서 Facebook Ireland가 ’18.7.14.까지 이용자에게 데이터 정책의 각 버전을 통해 이용자에게 통지하고 동의를 받았다고 주장함으로써 Facebook Ireland가 ’18.7.14..까지 개인정보 수집 주체였음을 인정하고 있다. 또한 피심인은 ’21.7.19. 제출한 답변서에서 Facebook Inc.가 한국 이용자를 위한 개인정보 처리주체가 된 날짜는 ’18.7.14.이고, ’18년 Facebook Inc.의 데이터 정책은 ’18.7.14.까지 효력이 발생하지 않았다고 주장하였다. <피심인 사전통지에 대한 의견서 답변서 내용> <img src="/LSW/flDownload.do?flSeq=126223771" alt="26번째 이미지"></img> 피심인 Facebook Ireland는 ’21.3.2. 서울행정법원에 제출한 집행정지 신청서 및 소장에서도 대한민국 이용자 대상 서비스 제공 주체는 '18.7.14. Facebook Ireland에서 Facebook Inc.로 변경되었다고 밝혔다. * 개인정보의 제3자 제공 위반에 따른 시정명령 집행정지 신청 및 과징금 부과 처분 (’20.11.25.) 취소 소송 <’21.3.2. 소장 및 집행정지 신청서 일부> <img src="/LSW/flDownload.do?flSeq=126223773" alt="27번째 이미지"></img>

또한, 인터넷 아카이브에서 페이스북 서비스의 한국 이용자 대상 약관이 게시된 URL*을 확인하였을 때, 피심인의 주장과 달리 「계약주체가 Facebook Inc.로 표기된 약관」은 최소한 ’18.7.10. 이후 게시된 약관이고, ’18.6.26.과 ’18.7.9. 게시된 최종 수정일이 ’18.4.19.인 약관에는 Facebook Ireland Limited가 계약 주체로 명기되어 있음을 확인하였다. * 페이스북 서비스의 한국 이용자 대상 약관 URL은 “ko-kr.facebook.com/legal/terms”와 “ko-kr.facebook.com/legal/terms/update”로 확인됨 < “ko-kr.facebook.com/legal/terms/update” URL의 ’18.6.26. 및 ’18.10.1. 화면 > <img src="/LSW/flDownload.do?flSeq=126223775" alt="28번째 이미지"></img> * “ko-kr.facebook.com/legal/terms/update”에서 확인되는 ’18.6.26. 약관과 ’18.10.1. 약관은 최종 수정일이 동일하게 ’18.4.19.이나, 계약 주체는 Facebook Ireland Limited에서 Facebook Inc.로 변경된 것이 확인됨 <“ko-kr.facebook.com/legal/terms” URL의 ’18.7.9. 및 ’18.7.10. 화면> <img src="/LSW/flDownload.do?flSeq=126223777" alt="29번째 이미지"></img> * “ko-kr.facebook.com/legal/terms”에서 확인되는 ’18.7.9. 약관과 ’18.7.10. 약관은 최종 수정일이 동일하게 ’18.4.19.이나, 계약주체는 Facebook Ireland Limited에서 Facebook Inc.로 변경된 것이 확인됨 따라서 Facebook Ireland와 Facebook Inc.는 대한민국 이용자를 대상으로 한 개인정보 처리주체였던 각각의 기간 동안 이용자의 얼굴인식 탬플릿을 생성ㆍ수집한 당사자에 해당한다. < ’18.4월 데이터 정책 확인 사례 > <img src="/LSW/flDownload.do?flSeq=126223781" alt="30번째 이미지"></img> 3) 신규 가입자에게 얼굴인식 정보 수집 동의를 받았다는 주장에 대해

피심인은 ’18.4.19. 데이터 정책에 따라 새로 가입하는 이용자의 얼굴인식 정보는 회원 가입 1주일 후부터 수집되고, 이용자는 가입 후 설정을 변경 할 수 있으므로 이용자에 대한 선택권이 부여되었다고 주장한다. 그러나, 이용자가 회원가입 이후에 설정 변경할 수 있도록 하는 것은 개인정보 수집 시 이용자에게 법정 항목을 미리 알리고 동의받도록 한 법 취지에 어긋날 뿐 아니라, 그 수에 상관없이 가입 후 설정변경을 하지 않는 사용자도 있을 수 있어 법령에서 정한 동의를 받은 사실은 없다. 다. 판단 얼굴인식 템플릿은 이용자가 올린 사진ㆍ동영상으로부터 추출한 정보를 수치화하여 이용자를 식별할 수 있도록, 원천정보를 가공한 새로운 개인정보로서 정보통신망법 제2조제1항제6호에 따른 개인정보이다. 얼굴인식 템플릿은 이용자가 직접 입력하는 프로필 정보 등과 달리 피심인이 업무처리 과정에서 이용자의 정보를 토대로 가공ㆍ생성하여 수집하는 새로운 개인정보로서, 「개인정보 처리자인 피심인이 이용자 본인의 개인정보를 새롭게 가공ㆍ생성ㆍ수집한다」는 사실을 이용자가 인지하기 어려우므로 해당 사실을 명확히 알고 동의할 수 있는 수단이 별도로 제공되어야 한다. 정보통신서비스 제공자 등은 이용자의 개인정보를 수집ㆍ이용하는 경우 정보통신망법 제22조제1항에 따라 ①개인정보의 수집ㆍ이용 목적과 ②개인정보 수집 항목, ③보유ㆍ이용 기간을 이용자에게 알리고 동의받아야 하나, 얼굴인식 설정 기능을 미리 켜둔 상태(default)에서 법정 고지사항을 명확히 알리지 않고 이용자의 동의도 받지 않은 채로 이용자의 개인정보(얼굴인식 템플릿)를 생성ㆍ수집한 피심인의 행위는 정보통신망법 제22조제1항 위반에 해당한다. 피심인은 이용자 본인의 결정으로 얼굴인식 정보 수집 여부를 결정할 수 있는 것처럼 이용자를 기만하는 방법으로 이용자에게 개인정보 수집 사실을 미리 알리지 않고 얼굴인식 템플릿을 생성ㆍ수집하였다. 피심인의 데이터 정책에 “이 기능을 켜면 얼굴인식 기능을 사용한다”고 안내하여 이용자에게 본인 스스로 기능을 켜야 해당 기능이 활성화되는 것처럼 인식시키고도, 실제로는 이용자의 의지와 상관없이 회원가입 후 사진 등 이미지를 업로드하면 얼굴인식 템플릿 생성ㆍ수집이 이루어질 수 있도록 하였다. 또한, 피심인은 서비스 가입 단계에서 얼굴인식 정보 수집에 대해 이용자의 동의를 받은 사실도 없는 것으로 확인되었다.

회원가입 시 데이터 정책 등 어디에도 이용자가 동의 여부를 선택하거나 얼굴인식 기본설정을 변경할 수 있는 기능을 제공하지 않았으며, 데이터 정책에 링크된 얼굴인식 설정 화면의 기본 값을 '예’로 설정해 놓고 회원 가입 전에는 설정화면에 접근을 허용하지 않은 것으로 확인되었다. * 로그인하지 않은 기존 회원이나 신규 가입자가 설정화면 링크(Facebook 설정)를 클릭하면 설정화면이 아닌 로그인 화면으로 연결됨 한편, 이용자의 동의 없이 얼굴인식 정보를 수집한 행위와 관련하여, ’18.4.19.부터 ’19.9.2.까지 약 1년 5개월간 위반행위가 발생하였고, '18.7.14. 기준으로 대한민국 이용자를 대상으로 한 페이스북 서비스 제공 주체(개인정보 처리 주체)는 피심인 Facebook Ireland에서 피심인 Facebook Inc.로 변경되어 위반행위 기간 중 피심인 두 개 법인 Facebook Ireland와 Facebook Inc.는 각각 위반행위가 행해진 기간의 위반행위 당사자이다. ※ 법인별 위반기간 및 템플릿 생성 한국 이용자 수[피심인 제출(’21.7.6.)자료 기준] ㆍ Facebook Ireland : ’18.4.19. ∼ ’18.7.13. (약 3개월간), 명 ㆍ Facebook Inc. : ’18.7.14. ∼ ’19.9.2. (약 14개월간), 명 <img src="/LSW/flDownload.do?flSeq=126223783" alt="31번째 이미지"></img> 이와 관련하여, 대한민국 이용자의 개인정보 처리업무를 Facebook Inc.로 이전한 Facebook Ireland의 위반행위는 서비스 제공 주체가 변경되기 전날 종료된 것이며, Facebook Ireland로부터 대한민국 이용자의 개인정보 처리업무를 이전받은 Facebook Inc.는 서비스 제공 주체가 변경된 날부터 위반행위가 시작된 것이다. 2. 법적 근거 없이 주민등록번호를 처리한 행위 가. 관계 법령 및 법리 1) 개인정보의 보호조치 관련 법령 규정 개인정보처리자는 법령에서 허용하거나(1호), 정보주체 또는 제3자의 급박한 생명, 신체, 재산상 이익을 위해 명백히 필요하다고 인정하는 경우(2호) 외에는 주민등록번호를 처리할 수 없다 개인정보보호법 제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.

1. 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우 3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우 2) 관련 법리 가) 보호법 해설서 보호법 해설서는「급박한 생명, 신체, 재산상 이익을 위해 명백히 필요하다고 인정하는 경우」에 대해 '정보 주체 등이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우 등으로서, 동의를 받을 수 있는 충분한 시간적 여유 또는 다른 수단에 의해서도 보호할 수 없는 상태’로 기술하며, 다음과 같이 구체적인 해석의 기준을 제시하고 있다. 의사표시를 할 수 없는 상태는 정신미약, 교통사고, 수술 등으로 의사표시를 할 수 없거나, 태풍ㆍ홍수ㆍ화재 등 재난 상태에 고립되어 있거나 납치ㆍ감금 등으로 의사를 물어볼 수 없는 경우이다. 사전동의를 받을 수 없는 경우는 주소불명, 전화불통, 이메일 차단 등 불가피한 사유로 한정하고, 이 경우에도 해당 사유가 해소된 때에는 개인정보 처리를 즉시 중단해야 하며 동의 없이 수집ㆍ이용한 사실 등을 알려야 한다. * 표준 개인정보 보호지침 제14조(정보주체의 사전동의를 받을 수 없는 경우) ① ㆍㆍㆍ 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전동의 없이 개인정보를 수집ㆍ이용한 또는 제공한 사실과 그 사유 및 이용내역을 알려야 한다. 명백히 정보주체 등의 이익을 위한 경우를 살펴보면, 이익과 동시에 손해가 될 수도 있는 경우에는 동의 없이 수집할 수 없으며, 제3자의 재산상 이익이 정보주체의 이익보다 월등한 경우여야 하고, 재산상 이익은 생명ㆍ신체상의 이익을 앞설 수 없다. 급박한 이익이란 충분한 시간적 여유가 있거나 다른 수단에 의해 보호할 수 있다면 급박한 상태에 있다고 볼 수 없다. 나. 인정되는 사실 피심인 Facebook Inc.는 “신원 확인” 페이지를 통해 이용자의 신분증*을 처리하고 있으며, 그중에는 주민등록번호가 기재된 신분증도 포함되었다. * (정부 발급) 여권, 운전면허, 주민등록증, 출생ㆍ혼인ㆍ가족관계 증명서 등 * (민간 발급) 건강보험증, 학생증, 재직증명서, 도서관 대출증 등

피심인 Facebook Inc.가 위원회에 제출한 이용자의 신분증 개* 중 주민등록번호가 확인되는 신분증은 총 건으로 확인되었다. * 페이스북은 ’21.4.29.부터 5.28.까지 처리된 신분증 중 개를 무작위 추출ㆍ제출했으나, 외국인 신분증 건을 포함하여 제출(한국 IP 기준으로 제출 추정) 피심인 Facebook Inc.는 제출자료를 통해, 특정 상황*에서 정보주체 등의 급박한 생명, 신체, 재산상의 이익을 위해 신분증 정보가 필요하다는 입장을 밝히고, 수집한 신분증은 최대 1년간 보관된다고 답변하였다. * 잠긴 계정에 대한 접근을 되찾는 경우, 광고, 연령, 사칭, 특정 게시물의 배포에 관한 진위 확인, 성착취, 아동과의 부적절한 상호작용 등 피심인 Facebook Inc.는 위원회에 제출한 자료를 분석한 결과, 피심인이 주민등록번호를 처리할 수 있는 법적 근거는 없는 것으로 확인되며, 페이스북 서비스를 안내하는 고객센터 메뉴에는 주민등록번호가 표시된 신분증은 사용할 수 없다는 사실과 사용하는 경우에도 주민등록번호의 마지막 7자리 숫자를 가리도록 안내문*이 게시되어 있는 것으로 확인되었다. * “대한민국의 개인정보보호법으로 인해 주민등록번호 전체가 표시되는 신분증은 Facebook에서 사용할 수 없습니다. 제출하는 신분증에 주민등록번호가 포함되어 있다면 마지막 7자리 숫자를 가려주세요.” 1) 주민등록번호를 수집하지 않았다는 주장에 대하여 피심인 Facebook Inc.는 이용자에게 주민등록번호 제출을 요구하지 않았고, 마지막 7자리 숫자를 가리도록 명시적으로 안내하였으며, 또한 계정 접근권한 복구, 테러리즘 등에 대한 안전, 보안 인증 등을 위해 신원을 확인할 목적으로 신분증 수집 과정에서 부수적으로 주민등록번호의 처리가 이루어진 것이라고 주장한다. 신원 확인을 위해 다양한 옵션 중 이름ㆍ생년월일 또는 사진 중 하나를 포함하도록 요구할 뿐이며, 신원확인 페이지에서 링크되는 고객센터 메뉴 게시글을 통해 한국 이용자에게 주민등록번호 마지막 7자리 숫자를 가릴 것을 안내하고 있다고 밝히고 있다. 또한 피심인 Facebook Inc.는 우려 사항 해소를 위해 다음 3가지의 적극적인 조치 시행을 결정하였다고 설명하였다.

그러나, 피심인 Facebook Inc.가 이용자에게 제출하도록 제시ㆍ요구하는 신분증 유형 중에는 여권과 운전면허, 가족관계증명서 등 주민등록번호가 포함된 정부 발급 신분증을 포함하고 있으며, 비식별 조치는 별도의 페이지에서 안내(고객센터 메뉴 게시글)하고 있어 이용자가 이를 알기 어려우므로 피심인이 적극적으로 삭제 등 조치를 하였어야 했다. 따라서, 제출되는 신분증 유형에 주민등록번호가 기재된 정부 발급 신분증을 포함하고 있고, 비식별 조치 안내 또한 미흡하므로 피심인이 그 의무를 다했다고 볼 수 없다. 피심인은 주민등록번호 삭제 솔루션 개발ㆍ적용 등 적극적인 후속조치 추진을 계획하고 있다고 밝히고 있고, 이는 바람직한 방향이긴 하나 법위반 행위에 대한 면책사유에는 해당되지 않는다. 다. 판단 보호법 제24조의2제1항은 다른 법령에서 허용하는 경우 또는 정보주체 등의 급박한 생명, 신체, 재산상 이익을 위해 명백히 필요하다고 인정하는 경우 외에는 주민등록번호를 처리할 수 없도록 제한하고 있으나, 피심인 Facebook Inc.는 보호법에 정한 경우에 해당되지 않음에도 법적 근거 없이 주민등록번호를 수집ㆍ이용하여 보호법 제24조의2제1항을 위반하였다. 피심인 Facebook Inc.는 '정보주체 등의 급박한 생명, 신체, 재산상의 이익을 위해 이용자의 신분증 정보가 필요하고, 고객센터 메뉴를 통해 주민등록번호 비식별 처리 등에 대해 안내했다,’는 입장을 밝히고 있으나, 이는 정보주체 등의 급박한 재산상의 이익 등 법령에 정한 예외 사유에 해당하지 않을 뿐 아니라, 개인정보보호에 대한 책임을 이용자에게 전가하는 것이다. 주민등록번호가 기재된 신분증 외에 민간이 발행한 신분증 등 신원을 확인할 수 있는 다른 대체 수단이 있어 정보주체 등의 급박한 재산상의 이익 등을 위해 주민등록번호가 필요하다고 인정하기 어렵고, * 피심인 Facebook Inc.가 무작위로 추출하여 제출한 대한민국 이용자의 신분증 380개 가운데 주민등록번호가 확인되는 경우는 215건(56%) 이용자들에게 주민등록번호 비식별처리 등을 안내한 '고객센터 메뉴’는 이용자가 여러 단계를 거쳐 찾아 들어가야 하는 별도의 화면으로서 이용자가 적극적으로 찾기 전에는 해당 내용을 확인할 수 없으며, 주민등록번호를 비식별처리 하도록 안내하는 것만으로 의무를 다했다고 볼 수 없고, 피심인이 적극적으로 삭제 등의 조치를 해야 한다.

3. 개인정보 처리 주체의 변경 사실을 고지하지 않은 행위 가. 관련 법령 및 법리 1) 관련 법령 규정 정보통신서비스 제공자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 이전하려는 경우 이용자에게 ①이전하려는 사실, ②이전받는 자, ③이전을 원하지 않는 경우 동의 철회 방법을 알려야 한다. 영업양수자 등은 개인정보를 이전받으면 지체없이 그 사실 및 영업양수자의 성명ㆍ주소ㆍ전화번호 및 그 밖의 연락처를 이용자에게 알려야 한다. 정보통신망법 제26조(영업의 양수 등에 따른 개인정보의 이전) ① 정보통신서비스 제공자등이 영업의 전부 또는 일부의 양도ㆍ합병 등으로 그 이용자의 개인정보를 타인에게 이전하는 경우에는 미리 다음 각 호의 사항 모두를 인터넷 홈페이지 게시, 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알려야 한다. 1. 개인정보를 이전하려는 사실 2. 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다. 이하 이 조에서 같다)ㆍ주소ㆍ전화번호 및 그 밖의 연락처 3. 이용자가 개인정보의 이전을 원하지 아니하는 경우 그 동의를 철회할 수 있는 방법과 절차 ② 영업양수자등은 개인정보를 이전받으면 지체 없이 그 사실 및 영업양수자등의 성명ㆍ주소ㆍ전화번호 및 그 밖의 연락처를 인터넷 홈페이지 게시, 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알려야 한다. 2) 관련 법리 보호법 해설서는 이 조항의 취지에 대해 '기존 사업자의 개인정보 DB 등에 관한 권리ㆍ의무가 다른 사업자에게 승계되어 정보주체에게 원치 않는 결과가 초래될 수 있으므로 회원 탈퇴, 동의 철회 등의 권리를 행사할 수 있는 기회를 미리 부여토록 하는 것’으로 설명하고 있다. 개인정보처리 주체의 변경 고지와 관련하여, 현행 보호법은 단서조항으로 양도자가 고지한 경우 양수자가 면책되도록 규정하고 있으나, 정보통신망법은 보호법과 같은 단서 조항은 없다. ※ 개인정보보호법 제27조 ① ㆍㆍㆍ 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 ㆍㆍㆍ 해당 개인정보 주체에게 알려야 한다. ② 영업 양수자 등은 개인정보를 이전 받았을 때에는 ㆍㆍㆍㆍ 정보주체에게 알려야 한다. 다만, 개인정보 처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.

※ 정보통신망법 제26조 ① ㆍㆍㆍ 양도ㆍ합병 등으로 그 이용자의 개인정보를 타인에게 이전하는 경우에는 미리 ㆍㆍㆍ 이용자에게 알려야 한다. ② 영업 양수자 등은 개인정보를 이전받으면 ㆍㆍㆍ 이용자에게 알려야 한다. 다수의 법률 전문가들은 '이 규정이 양 당사자에게 동등한 의무를 지우고 있으며, 보호법 제27조제2항 단서는 양도자가 그 의무를 다한 경우 이용자가 그 내용을 이미 알 수 있는 상태에 있으므로 양수자에게는 예외적으로 의무를 면하도록 할 뿐’이라는 의견을 제시하고 있다. 나. 인정되는 사실 피심인은 ’18.7.14.부터 대한민국 이용자에 대한 서비스 제공 주체(법인)를 Facebook Ireland에서 Facebook Inc.로 변경하면서 법정 고지사항을 알리지 않았다. <서비스 제공주체 변경 내역> <img src="/LSW/flDownload.do?flSeq=126223785" alt="32번째 이미지"></img> 1) 서비스 제공 주체 변경 사실을 고지했다는 주장에 대하여 피심인은 뉴스룸 등을 통해 이용자들에게 아래와 같이 변경 사실을 알렸다고 주장한다. 개인정보 처리주체 변경(’18.7.14.) 이전인 ’18.4.4. 뉴스룸 게시물*을 통해 약관 및 데이터 정책이 변경될 것임을 알렸고, 변경 전에 처리주체의 변경에 관한 다수의 언론 기사가 보도되었다고 밝혔다. 한국 이용자에게 적용된 약관* 및 ’18년 Facebook Inc. 데이터 정책**은 Facebook Inc.를 개인정보 처리주체로 명시하고 연락처를 기재하였다고 설명하였다. 또한, 처리주체 변경(’18.7.14.) 이전인 ’16.7.1. 개정 약관* 및 ’16.9.29. 개정 데이터 정책**을 통해 개인정보 처리주체의 변경이 포함된 약관 및 정책 변경을 거부하고자 하는 경우 동의 철회 방법을 고지하였다고 밝혔다. 보호법 상 「개인정보 처리 주체의 변경 고지」의 취지는 이용자들이 회원 탈퇴, 동의 철회 등의 권리를 행사할 수 있도록 기회를 부여하는 것으로 기존 이용자에게 '이전하려는 사실과, 이전받는 자, 이전을 원치 않는 경우 동의 철회 방법’을 알리는 내용이 포함되어야 한다. 그러나, 피심인의 주장과 달리 ’16년 약관 및 처리방침에는 처리주체 변경에 대한 언급이 없고, 피심인은 기존 이용자에게 알린 구체적인 증거를 제시하지 못하고 있으며, 언론보도로 이용자가 알 수 있을 것이라는 기대는 피심인의 의무이행과는 관련 없는 사항이다.

동의 철회 방법에 대해서도 처리주체는 ’18.7.14. 변경됐으나, 피심인이 제시한 자료에서는 ’16년 개정된 약관 및 데이터 정책을 거론하고 있고, 피심인은 ’18.7.14. 개인정보처리주체 변경 고지와 관련된 증빙은 제시하지 못하였다. 다. 판단 ’18.7.14. 대한민국 이용자를 대상으로 한 페이스북 서비스 제공자(개인정보 처리주체)가 피심인 Facebook Ireland에서 피심인 Facebook Inc.로 변경되었음에도 이용자에게 법정 고지사항을 알리지 않은 피심인의 행위는 정보통신망법 제26조제1항 및 제2항을 위반한 것이다. 이와 관련하여, 정보통신망법 제26조제1항 및 제2항의 규정은 개인정보 처리 주체로서의 의무를 주고받은 양 당사자 모두에게 동등한 의무를 지우고 있으므로 페이스북 2개 법인 모두 이 건 위반행위 당사자이다. 개인정보를 이전한 피심인 Facebook Ireland는 피심인 Facebook Inc.에게 개인정보를 이전하려는 사실, 이전받는 자, 이전을 원하지 않을 경우 동의 철회 방법을 이용자에게 알리지 않아 정보통신망법 제26조제1항을 위반하였고, 개인정보를 이전받은 피심인 Facebook Inc.는 피심인 Facebook Ireland로부터 개인정보를 이전받은 받은 사실, 이전받는 자의 성명ㆍ주소ㆍ전화번호 및 그 밖의 연락처를 이용자에게 인터넷 홈페이지 게시, 전자우편 등으로 알리지 않아 같은 정보통신망법 제26조제2항을 위반하였다. 4. 개인정보의 ①처리 위탁과 관련된 법정 사항을 공개하지 않은 행위와 ②국외 이전 관련 사항을 이용자에게 알리지 않고 공개하지도 않은 행위, 및 ③위원회가 요구한 조사 관련 자료를 제출하지 않은 행위 가. 관련 법령 및 법리 개인정보 처리 업무를 위탁하는 개인정보처리자는 ①위탁업무의 내용과 ②수탁자를 대통령령이 정하는 방법, 즉 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법으로 정보주체에게 알려야 한다. 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 개인정보보호법시행령

제28조(개인정보의 처리 업무 위탁 시 조치) ② 법 제26조제2항에서 "대통령령으로 정하는 방법"이란 개인정보 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)가 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법을 말한다. 또한, 정보통신서비스 제공자는 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 아니 되며, 개인정보를 국외에 제공ㆍ처리위탁ㆍ보관하려면 이용자의 동의를 받아야 한다. 다만, 개인정보 처리방침에 공개하거나 전자우편 등으로 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 않을 수 있다. 개인정보보호법 제39조의12(국외 이전 개인정보의 보호) ① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 아니 된다. ② 제17조제3항에도 불구하고 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 제3항 각 호의 사항 모두를 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다. 아울러, 위원회는 개인정보처리자에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있으며, 관계 물품ㆍ서류 등 자료를 제출하지 아니한 자에게는 1천만원 이하의 과태료를 부과할 수 있다. 개인정보보호법 제63조(자료제출 요구 및 검사) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있다. 1. 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우 2. 이 법 위반에 대한 신고를 받거나 민원이 접수된 경우 3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 경우로서 대통령령으로 정하는 경우 제75조(과태료) ④ 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. 10. 제63조제1항에 따른 관계 물품ㆍ서류 등 자료를 제출하지 아니하거나 거짓으로 제출한 자 나. 인정되는 사실 피심인 Facebook Inc.는 개인정보의 처리를 제3자에게 위탁하면서 위탁업무의 내용과 수탁자를 홈페이지 등에 공개하지 않은 사실이 있다.

위 피심인은 개인정보 처리방침에서 페이스북 내ㆍ외부에 정보를 공유한다는 사실 자체만 공개하고 그에 대한 구체적인 내용은 공개하지 않고 있으며, 수탁사 등은 계약에 따른 기밀사항으로 공개 대상이 아니라고 ’2021.5.2. 답변하였다. <피심인 ’21.5.2. 답변 내용(53페이지)> <img src="/LSW/flDownload.do?flSeq=126223787" alt="33번째 이미지"></img> * 데이터 정책 중 글로벌 서비스의 일환으로 테이터를 운영하고 이전하는 방법 : 페이스북 및 계열사 내부적으로 정보를 공유하고, 외부적으로 페이스북 파트너, 그리고 회원님이 연결하고 공유하는 대상과도 정보를 공유합니다. 또한, 피심인 Facebook Inc.는 개인정보를 국외로 이전하면서 구체적인 사항을 이용자에게 알리지 않고, 법정 항목을 공개하지도 않았다. 위 피심인은 미국, 아일랜드, 스웨덴, 덴마크에 보유한 데이터 센터에서 이용자의 데이터를 처리하면서 처리방침을 통해 개인정보를 국외로 이전할 수 있다는 사실 자체만 공개하였으며, * 데이터 정책 중 글로벌 서비스의 일환으로 테이터를 운영하고 이전하는 방법 : 회원님의 정보는 본 정책에 설명된 목적을 위해 미국 또는 회원님이 거주하는 지역 이외의 기타 국가로 이전 또는 전송되거나 이들 국가에서 저장 및 처리될 수 있습니다 개인정보의 국외이전과 관련하여서도 개인정보 처리위탁의 경우와 마찬가지 이유로 '계약 범위를 공개할 수 없다고 답변하였다. 이와 함께, 피심인 Facebook Inc.는 위원회가 요구한 국외 이전 관련 자료도 계약의 비밀을 이유로 조사가 끝날 때까지 제출하지 않다가, 「예정된 처분에 대한 사전통지 및 의견조회」 기한('21.7.12.까지)이 지난 7.20.에야 제출하였다. 1) 개인정보 처리 위탁 및 국외 이전 사실을 고지했다는 주장에 대하여 피심인 Facebook Inc.는 개인정보 처리방침에 처리위탁 및 국외 이전 사실을 공개하고 있다고 주장한다. 위 피심인은 처리위탁과 관련하여 처리방침에 정보가 의미 있는 방식으로 위탁되는 방법을 이용자에게 알릴 수 있도록 벤더 및 주요 유형을 명시했다고 밝혔다. 이와 관련하여, 피심인은 국외 이전과 관련하여 전세계에 위치한 데이터 센터 위치를 이용자에게 공개하고, 서비스 약관과 데이터 정책에서 이용자의 데이터가 국외로 이전될 수 있음을 명시하고 있다고 설명하였다.

그러나, 조사결과 피심인 Facebook Inc.가 개인정보 처리 위탁 및 국외이전과 관련한 법정 고지사항을 알린 사실은 없는 것으로 확인된다. 위 피심인은 개인정보 처리 위탁 시 공개해야 하는 ①위탁업무 내용과 ②수탁자를 공개하고 있다는 구체적인 자료를 제시하지 않고 있으며, 조사과정에서 제출된 자료에서는 '계약상 기밀사항으로 공개하지 않는다’고 답변하고 있으나, 보호법상 공개는 강행규정으로 계약에 우선한다. * 보호법 제39조의12 ① 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 아니 된다. 국외 이전과 관련하여 피심인이 제시한 데이터 센터 위치는 페이스북 서비스의 별도 홈페이지에서 안내하고 있으나, 처리방침에 국외로 이전될 수 있다는 내용 이외에 보호법에 따라 이용자에게 공개하거나 알려야 하는 구체적인 법정 고지사항을 공개하고 있다는 자료를 제시하지 못하고 있다. 다. 판단 개인정보 처리를 위탁하면서 위탁 내용과 수탁자를 공개하지 않은 피심인의 행위는 보호법 제26조제2항 위반에 해당하고, 개인정보의 국외이전 관련 사항을 이용자에게 알리지 않고, 법정 항목을 공개하지도 않은 행위는 보호법 제39조의12제2항 위반에 해당한다. 또한, 피심인 Facebook Inc.는 위원회가 보호법 제63조제1항에 따라 요구한 국외 이전 관련 조사자료를 자료요구 시 정한 기한 내에 제출하지 않아 조사에 지장을 초래하였으며, 대외적으로 피심인이 조사가 완료된 사실을 알 수 있는 「사전통지에 대한 의견제출 기간」까지도 제출하지 않아 자료의 지연제출에도 해당하지 않아 같은 법 제75조(과태료) 제4항제10호에 정한 자료를 제출하지 않은 자에 해당한다. 4. 카드번호 수집 시 법정 고지사항을 확인하는 절차가 어려움 1) 인정되는 사실 Facebook은 회원 가입시 기본적인 사항에 대해 데이터 정책 등을 통해 법정 고지사항에 대해 알리고 동의를 받고 있으며, 이와는 별개로 Facebook Payments International은 페이스북 서비스 내 “Facebook Pay” 페이지를 통해 대한민국 이용자의 카드번호를 추가로 수집하고 있다. 이와 관련하여, 카드번호 입력 단계에서는 개인정보 추가 수집ㆍ이용 동의 및 개인정보 처리방침이 바로 확인되도록 배치하고 있지 않으며,

법정 고지사항은 카드 추가 화면에서 시작하여 여러 단계*를 거쳐 연결되는 「미국 및 캐나다 외부 사용자를 위한 Facebook 개인정보처리방침」에서 최종적으로 확인할 수 있다. * 카드번호 입력 화면 → 결제약관 클릭 → Facebook Payments International Limited 개인정보처리방침 최종 단계에 링크된 처리방침에는 개인정보 수집항목, 목적, 보유기간 등 법정 고지항목에 대해 기술하고 있다. * (항목) 카드번호ㆍ결제수단, 거래내역ㆍ신분증 사본 등 자금세탁 방지에 반드시 필요한 제한적 정보 * (목적) 자금세탁 방지와 다른 법규 준수, 사기ㆍ범죄 예방, 지불 서비스 안전 유지 * (기간) 결제 서비스 제공 또는 법률ㆍ규제 관련 의무 준수를 위해 필요한 기간 2) 관련 법령의 규정 및 법리 정보통신 서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우 ①수집ㆍ이용 목적과 ②수집 항목, ③보유ㆍ이용기간을 이용자에게 알리고 동의를 받아야 한다. 개인정보보호법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) ① 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다. 1. 개인정보의 수집ㆍ이용 목적 2. 수집하는 개인정보의 항목 3. 개인정보의 보유ㆍ이용 기간 3) 위법성 판단 피심인 Facebook Inc.는 회원 가입시 기본적인 사항에 대해서는 법정 고지사항을 알리고 동의를 받고 있으며, “카드 추가” 화면에서 법정 고지사항이 바로 확인되지는 않지만, 여러 단계를 거치면 확인 가능하여 '단순히 법정 고지사항을 찾기 어렵다’는 이유만으로 보호법을 위반한 것으로 보기는 어렵다. 다만, 개인정보 보호 강화를 위해 해당 화면(카드 추가)에서 카드번호 수집과 관련한 법정 고지사항을 이용자가 쉽고 명확하게 확인할 수 있도록 처리실태를 개선할 필요가 있다고 판단하였다. Ⅳ. 처분 및 결정 1. 시정조치 명령

피심인 Facebook Inc.와 Facebook Ireland의 정보통신망법 제22조제1항을 위반하여 이용자의 동의 없이 얼굴인식 템플릿을 생성ㆍ수집한 행위, 정보통신망법 제26조제1항ㆍ제2항, 보호법 제24조의2제1항, 제26조제2항, 제39조의12제2항을 위반하여 정보주체 변경 미고지, 법적 근거 없는 주민등록번호 처리, 개인정보 처리위탁 및 국외이전 미공개에 대하여 개인정보보호법 제64조제1항에 따라 개인정보 보호 및 침해 방지를 위하여 아래와 같이 시정조치를 명한다. 가. Facebook Inc.와 Facebook Ireland에 대해 이용자의 동의를 받지 않고 수집한 '얼굴인식 템플릿’을 파기하거나 이용자에게 동의를 받아야 한다. 나. Facebook Ireland에 대해 정보통신서비스 제공자 변경과 관련하여 개인정보를 이전하려는 사실, 이전 받는 자의 성명(법인명)ㆍ주소ㆍ전화번호 및 그 밖의 연락처, 개인정보 이전을 원하지 않는 경우 동의를 철회할 수 있는 방법을 인터넷 홈페이지 게시, 전자우편 등으로 이용자에게 알려야 한다. 다. Facebook Inc.에 대해 ① 법적 근거 없이 주민등록번호가 처리되지 않도록 조치하고, 이미 수집된 주민등록번호는 파기하거나 비식별화 조치를 하여야 한다. ② 정보통신서비스 제공자 변경과 관련하여 개인정보를 이전받은 사실 및 이전받는 자의 성명(법인명)ㆍ주소ㆍ전화번호 및 그 밖의 연락처를 인터넷 홈페이지 게시, 전자우편 등으로 이용자에게 알려야 한다. ③ 페이스북의 개인정보 처리업무를 위탁하는 경우 위탁하는 업무의 내용과 개인정보 처리업무를 위탁받아 처리하는 자(수탁자)를 인터넷 홈페이지에 게재하여야 한다. ④ 국외 이전하는 개인정보 항목, 이전되는 국가, 이전일시 및 이전방법, 이전받는 자의 성명(법인명), 이전받은 자의 개인정보 이용목적 및 보유ㆍ이용 기간을 개인정보 처리방침에 공개하거나 전자우편 등으로 이용자에게 알려야 한다. 라. 위 가ㆍ나ㆍ다의 시정조치를 이행하고, 시정조치 명령 처분통지를 받은 날로부터 90일 이내에 이행 결과를 개인정보보호위원회에 제출하여야 한다. 2. 과징금 부과

피심인 Facebook Ireland와 Facebook Inc.의 정보통신망법 제22조제1항 위반에 대하여 같은 법 제64조의3제1항제1호, 같은 법 시행령 제69조의2제1항과 제4항 〔별표 8〕(과징금의 산정 기준과 산정절차) 및 '개인정보보호 법규 위반에 대한 과징금 부과기준(방송통신위원회 고시 제2019-12, 이하 '과징금 부과기준’)’에 따라 다음과 같이 과징금을 부과한다. 과징금은 ①위반행위와 관련한 매출액 산정, ②관련 매출액에 부과기준율을 곱하여 기준금액 산정, ③기준금액에 필수적 가중ㆍ감경, ④추가적 가중ㆍ감경을 거쳐 산정한다. 가. 과징금 상한액 피심인 Facebook Ireland, Facebook Inc.의 정보통신망법 제22조제1항 위반에 대한 과징금 상한액은 같은 법 제64조의3제1항, 같은 법 시행령 제69조의2에 따라 위반행위와 관련된 정보통신서비스의 직전 3개년도의 연평균 매출액의 100분의 3 이하에 해당하는 금액으로 한다. 나. 기준금액 1) 고의ㆍ중과실 여부 과징금 부과기준 제5조제1항은, 정보통신망법 시행령 〔별표 8〕 2. 가. 1)에 따른 위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리목적의 유무, 정보통신망법 제28조제1항에 따른 기술적ㆍ관리적 보호조치 이행 여부 등을 고려하여 판단하도록 규정하고 있다. 이에 따를 때, 피심인은 영리를 목적으로 정보통신망을 통해 정보통신서비스인 페이스북 서비스를 대한민국 이용자에게 제공하고 있는 정보통신망법 제2조제1항제3호에 따른 정보통신서비스 제공자로서 ▲피심인의 서비스를 이용하는 대한민국 이용자의 월간 이용자 수는 ’21년 5월 기준 만명으로 방대하고, ▲피심인이 동의없이 한국인 이용자 약 명의 얼굴인식 템플릿을 수집ㆍ이용하였으므로, 피심인에게 중과실이 있다고 판단한다. 2) 중대성의 판단 과징금 부과기준 제5조제3항은, 위반 정보통신서비스 제공자등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 '매우 중대한 위반행위’로 판단하도록 규정하고 있으나,

단서조항에서, ①위반행위로 인해 직접적으로 이득을 취득하지 않은 경우(제1호), ②위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자등이 보유하고 있는 개인정보의 100분의 5 이내인 경우(제2호), ③이용자의 개인정보가 공중에 노출되지 않은 경우(제3호) 중 모두에 해당할 때에는 '보통 위반행위’로, 1개 이상 2개 이하에 해당할 때에는 '중대한 위반행위’로 규정하고 있다. 위 기준을 적용하여 ①피심인이 직접적으로 이득을 취하지 않은 점, ②동의없이 수집한 대한민국 이용자의 개인정보( 명)는 피심인이 보유한 대한민국 이용자 전체의 개인정보( 만명)의 5% 이내인 점, ③이용자의 개인정보가 공중에 노출되지 않은 점 등을 종합적으로 고려할 때, 위반행위의 중대성을 '보통 위반행위’로 판단하였다. 3) 관련 매출액 및 기준금액 산출 과징금 부과기준 제4조(관련 매출액 산정)제1항에 따라 “관련 매출액은 위반 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액으로 한다.”라고 규정되어 있으며, 또한 같은 조 제3항에는 “서비스에 대한 매출액은 회계자료를 참고하여 정하되, 이를 통해 위반행위와 관련한 서비스의 매출액을 산정하기 곤란한 경우에는 해당 정보통신서비스 제공자등의 과거 실적, 동종유사 역무제공사업자의 과거 실적, 사업계획, 그 밖에 시장상황 등을 종합적으로 고려하여 매출액을 산정할 수 있다.”로 규정하고 있다. 피심인 Facebook Ireland가 이용자의 동의 없이 얼굴인식 정보를 생성ㆍ수집한 위반행위의 종료 시점은 2018년 7월이므로 관련 매출액은 직전 3개 사업연도인 2015년, 2016년, 2017년의 연평균 매출액으로 한다. 피심인 Facebook Inc.의 위와 같은 위반행위 종료 시점은 2019년 9월이므로 직전 3개 사업연도로 산정하여야 하나, Facebook Inc.가 대한민국 이용자를 대상으로 서비스를 시작한 때는 2018년 7월 14일이므로 사업을 개시한 후 3년이 되지 않은 경우에 해당하여, 정보통신망법 시행령 제64조의2제1항 단서에 따라 서비스 시작일(’18.7.14.)부터 위반행위 종료(’19.9.2.) 직전년도 말까지(’18.12.)의 매출액을 연간 매출액으로 환산ㆍ적용한다.

피심인 Facebook Ireland 관련 매출액은 피심인이 제출한 전 세계의 광고매출액 중 페이스북 서비스와 관련 없는 Instagram 등의 매출액을 제외한 금액을 페이스북 광고매출액으로 하고, 위반행위 종료 직전 3개년도('15~17년)의 년도별 광고 매출액에 전 세계 페이스북 이용자 중 대한민국 이용자(월별 활성 이용자) 비율을 곱한 금액의 3개년 평균, $로 산정한다. 피심인 Facebook Inc.의 관련 매출액은 정보통신망법 시행령 제64조의2 제1항 단서에 따라 서비스 시작일('18.7.14)부터 위반행위 종료('19.9.2.) 직전년도 말까지('18.12)의 매출액을 연간 매출액으로 환산ㆍ적용하게 되므로 2018년 하반기 매출액에 2를 곱한 금액에서 Instagram 매출액을 제외하고, 대한민국 이용자 비율을 곱한 $로 산정한다. 피심인의 위반행위는 ’보통 위반행위'에 해당하여 부과기준율은 정보통신망법 시행령 [별표 8] 2. 가. 1)에 따라 1천분의 15를 적용한다. 〈 정보통신망법 시행령 [별표 8] 2. 가. 1)에 따른 부과기준율 〉 <img src="/LSW/flDownload.do?flSeq=126223789" alt="34번째 이미지"></img> 피심인 Facebook Ireland의 기준금액은 직전 3개 사업년도의 연평균 매출액 $에 '보통 위반행위’의 부과기준율 1천분의 15를 적용하여 $이다. 〈 페이스북 서비스 3년간 매출액 현황 〉 (단위 : 백만$) <img src="/LSW/flDownload.do?flSeq=126223791" alt="35번째 이미지"></img> 피심인 Facebook Inc.의 기준금액은 환산ㆍ산정한 관련 매출액 $에 '보통 위반행위’의 부과기준율 1천분의 15를 적용하여 $이다. <페이스북 서비스의 환산 매출액(’18년 하반기 기준), (단위 : 백만$)> <img src="/LSW/flDownload.do?flSeq=126223793" alt="36번째 이미지"></img> 다. 필수적 가중 및 감경 과징금 부과기준 제6조와 제7조에 따라 Facebook Ireland의 위반행위의 기간이 1년 이내('18.4.19.∼7.13.)이므로 가중 없이 기준금액을 유지하고, 최근 3년간 정보통신망법 제64조의3제1항 각호의 행위로 과징금 부과 처분을 받은 적이 없어 기준금액의 100분의 50에 해당하는 $를 감경한다.

Facebook Inc.는 위반행위 기간이 1년 초과 2년 이내('18.7.14.∼’19.9.2.)이므로 기준금액의 100분의 25에 해당하는 $를 가중하고, 최근 3년간 정보통신망법 제64조의3제1항 각호의 행위로 과징금 부과 처분을 받은 적이 없어 기준금액의 100분의 50에 해당하는 $를 감경한다. 라. 추가적 가중 및 감경 과징금 부과기준 제8조는 사업자의 위반행위의 주도 여부, 위반행위에 대한 조사의 협조 여부 등을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중ㆍ감경할 수 있다고 규정하고 있다. 그러나, 피심인에 대해 특별히 가중ㆍ감경할 사유는 없다. 마. 과징금의 결정 Facebook Ireland와 Facebook Inc.의 정보통신망법 제22조제1항 위반 행위에 대한 과징금은 같은 법 제64조의3제1항제1호, 같은 법 시행령 제69조의2 [별표 8] 2. 가. 1)(과징금의 산정기준과 산정절차) 및 과징금 부과기준에 따라 위와 같이 단계별로 산출한 각각의 금액은 원, 원 이나(각주:’21.8.24. 환율 최초 고시 1,174원 적용) , 최종 과징금 산출액이 1억원 이상에 해당하여 백만원 미만을 절사한 원, 원을 각각의 최종 과징금으로 결정한다. 〈과징금 산출내역(안)〉 <img src="/LSW/flDownload.do?flSeq=126223795" alt="37번째 이미지"></img> * 과징금 산출액이 1억원 미만은 십만원 미만 절사, 1억원 이상은 백만원 미만 절사함 3. 과태료 부과 정보통신망법 제26조(영업의 양수 등에 따른 개인정보의 이전)제1항ㆍ제2항, 보호법 제24조의2(주민등록번호 처리의 제한)제1항, 제26조(업무위탁에 따른 개인정보의 처리 제한)제2항, 제39조의12(국외 이전 개인정보의 보호)제2항 위반 및 제63조(자료제출 요구 및 검사)제1항 및 제75조(과태료)제4항에 해당하는 피심인 Facebook Inc., Facebook Ireland에게 정보통신망법 제76조(과태료)제2항, 같은 법 시행령 제74조의〔별표9〕및「개인정보 및 위치정보의 보호 위반행위에 대한 과태료 부과지침」(이하 '과태료 부과지침’)과 보호법 제75조(과태료)제3항ㆍ제4항, 같은 법 시행령 제63조의〔별표2〕및「개인정보 보호법 위반에 대한 과태료 부과기준」(이하 '과태료 부과지침’)에 따라 다음과 같이 과태료를 부과한다. 가. 기준금액

정보통신망법 시행령 [별표 9]와 보호법 시행령 [별표 2]와 과태료 부과지침 제6조는 최근 3년간 같은 위반행위를 한 경우 위반 횟수에 따라 기준금액을 규정하고 있으므로 피심인 Facebook Inc.의 자료 미제출을 제외한 각 위반행위는 첫 번째 위반에 해당하여 1회 위반에 해당하는 금액을 적용하고, 피심인 Facebook Inc.의 자료 미체출에 대해서는 최근 3년간 같은 위반행위로 과태료 부과(’20.11.25. 의결, '21.1.15,. 처분 통지) 처분을 받은 사실이 있어 2회 위반에 해당하는 기준금액을 적용한다. 〈 정보통신망법 위반 횟수별 과태료 금액 〉 <img src="/LSW/flDownload.do?flSeq=126223797" alt="38번째 이미지"></img> 〈 보호법 위반 횟수별 과태료 금액 〉 <img src="/LSW/flDownload.do?flSeq=126223799" alt="39번째 이미지"></img> 나. 과태료의 가중 및 감경 과태료 부과지침 제7조 및 제8조는 ▲위반의 정도, ▲위반행위의 동기와 그 결과 등을 고려하여 과태료를 가중 부과할 필요가 있다고 인정되는 경우에는, 기준금액의 100분의 50의 범위 이내에서 가중ㆍ감경할 수 있다고 규정하고 있다. 그러나 피심인은 특별히 해당사항이 없으므로 과태료를 가중ㆍ감경하지 않는다. ① 보호법 제24조의2제1항에 법적 근거 없이 주민등록번호를 처리한 위반행위에 대해 Facebook Inc.에게 600만원의 과태료를 부과한다. ② 정보통신망법 제26조제1항 및 제2항에 따른 개인정보 처리주체 변경 사실과 법정 고지사항을 알리지 않은 위반행위에 대해 개인정보처리 업무를 이전한 Facebook Ireland와 이전받은 Facebook Inc.에게 각 600만원의 과태료를 부과한다. ③ 보호법 제26조제2항에 따른 개인정보 처리위탁 관련 위탁업무의 내용과 수탁자를 공개하지 않은 위반행위에 대해 Facebook Inc.에게 200만원의 과태료를 부과한다. ④ 보호법 제39의12제2항에 따른 개인정보의 국외 이전과 관련하여 법정 고지사항을 개인정보 처리방침에 공개하지 않거나 전자우편 등으로 알리지 않은 위반행위에 대해 Facebook Inc.에게 400만원의 과태료를 부과한다.

⑤ 보호법 제63조제1항 및 제75조제4항제10호에 따른 관계 자료를 제출하지 않은 Facebook Inc.는 2회 위반에 해당하여 200만원의 과태료를 부과한다. 다. 최종 과태료 이에 따라 정보통신망법 제26조제1항ㆍ제2항, 보호법 제24조의2제1항, 제26조제2항, 제39조의12제2항 위반 및 제63조제1항 행위에 대해 다음과 같이 Facebook Inc.에 2,000만원, Facebook Ireland에 600만원의 과태료를 부과한다. < 최종 과태료 산출내역〉 <img src="/LSW/flDownload.do?flSeq=126223803" alt="40번째 이미지"></img> 4. 결과 공표 Facebook Inc.가 이용자의 동의 없이 '얼굴인식 정보’를 10만 명 이상 수집한 행위는 개인정보보호위원회 처분 결과 공표기준 제2조제7호에 해당하여 보호법 제66조제1항에 따라 시정조치 명령을 받은 사실에 대해 개인정보보호위원회 홈페이지에 공표하기로 한다. <img src="/LSW/flDownload.do?flSeq=126223805" alt="41번째 이미지"></img> 5. 개선권고 카드번호 수집시 법정 고지사항을 확인하기 어려운 사항과 관련하여, 개인정보 보호 강화를 위해 보호법 제61조제2항에 따라 아래와 같이 개선하도록 권고한다. <img src="/LSW/flDownload.do?flSeq=126223807" alt="42번째 이미지"></img> Ⅴ. 결론 피심인의 정보통신망법 제22조(개인정보의 수집ㆍ이용 동의 등)제1항, 제26조(영업의 양수 등에 따른 개인정보의 이전)제1항ㆍ제2항, 보호법 제24조의2(주민등록번호 처리의 제한)제1항, 제26조(업무위탁에 따른 개인정보의 처리 제한)제2항, 제39조의12(국외 이전 개인정보의 보호)제2항 위반행위와 제63조(자료제출 요구 및 검사)제1항에 따른 관계 물품ㆍ서류 등을 거짓으로 제출하거나 제출하지 않은 행위에 대하여 정보통신망법 제64조의3(과징금 부과 등)제1항, 같은 법 제76조(과태료)제2항, 보호법 제75조(과태료)제3항ㆍ제4항, 제64조(시정조치 등)제1항, 제66조(결과의 공표)제1항 각각에 의한 과징금ㆍ과태료 부과 및 시정조치 명령, 결과 공표, 개선권고를 주문과 같이 의결한다.

결정요지

안건번호 : 제2021-013-101호 (사건번호 : 2021조일033) 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치 등에 관한 건 신청인 : 1. Facebook Incorporation1601 Willow Road, Menlo Park, California 94025대표이사 Mark Zuckerberg2. Facebook Ireland Limited4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland대표이사 Gareth Lambe, Yvonne Cunnane 등 의결연월일 : 2021. 8. 25.