구글, GDPR 위반으로 프랑스서 5천만유로 벌금

한화 약 642억원...GDPR 시행 이후 최대 규모 벌금

가 +
가 -

구글이 프랑스에서 ‘일반 개인정보보호법(GDPR)’ 위반으로 5천만유로(약 642억원)의 벌금을 물게됐다. 사용자 데이터 활용에 대한 정보를 충분히 제공하지 않았다는 이유에서다. 이번 구글의 벌금 규모는 GDPR 시행 이후 최대치다.

프랑스 개인정보보호위원회(CNIL)는 1월21일(현지시간) 구글이 유럽연합(EU)의 GDPR을 위반했다며 5천만유로의 벌금을 부과했다고 밝혔다. 개인정보 동의 정책과 데이터 활용 등에 있어서 사용자에게 충분한 데이터 통제 권한을 제공하지 않았다는 지적이다. GDPR은 기업에 사용자 정보를 수집하기 전 사용자가 쉽게 철회할 수 있는 제대로 된 동의 방식을 요구한다.

지난해 5월 시행된 GDPR은 정보 주체로서 개인의 정보 보호 권리 강화를 골자로 한다. 데이터의 주인인 개인의 ‘알 권리’는 물론 ‘잊힐 권리’와 같은 정보 처리 권한도 법적으로 보장해준다. 법안은 사업장이 EU 내에 있거나, EU에 있지 않더라도 EU 국민에게 상품과 서비스를 제공하거나 EU 국민과 관련된 데이터를 수집·분석하는 기업이라면 국가를 불문하고 법률 적용 대상이 된다.

프랑스 CNIL은 구글이 두 가지 유형의 GDPR 의무를 위반했다고 지적했다. 먼저, 투명성과 정보에 대한 의무를 위반했다고 판단했다. 사용자가 구글이 제공하는 정보에 쉽게 접근할 수 없다는 점을 문제 삼았다. 데이터 처리 목적, 데이터 저장 기간, 개인화 광고에 사용되는 개인 정보 범위 등을 지나치게 여러 문서에 분산시켜 제공하기 때문에 쉽게 알아보기 힘들다는 점이다. 수차례 버튼과 링크를 클릭해야 해당 정보를 취합할 수 있다는 지적이다. 일부 설명이 모호하다는 점, 일부 데이터에 대한 보관 기간 정보가 제공되지 않았다는 점도 문제로 지적됐다.

CNIL은 구글이 개인화 광고 절차에 대한 법적 근거 마련 의무도 위반했다고 밝혔다. 구글이 개인화 광고 목적으로 데이터 수집에 대한 동의 절차를 구하지만, 이 과정에서 불충분한 정보를 제공한다고 지적했다. CNIL은 구글 검색, 유튜브, 구글 홈, 구글 지도, 플레이스토어, 구글 사진 등 수많은 서비스에서 사용자들이 자신의 데이터가 개인화 광고에 어떻게 활용되는지 알기 어렵다고 설명했다. 동의 과정의 모호성도 지적됐다.

이번 벌금 규모는 GDPR 시행 이후 최대 규모다. 하지만 <더버지>는 “GDPR의 최대 벌금과 비교하면 작은 수치”라고 지적했다. GDPR은 규정을 심각하게 위반하면 기업 계열사 전체 연 매출의 4%를 물 수 있도록 한다. 구글은 지난 분기에만 337억4천만달러(약 38조1600억원)를 벌어들였다.

구글은 사람들이 기대하는 높은 투명성과 통제 기준을 충족시키기 위해 큰 노력을 기울이고 있으며 이번 CNIL의 결정을 검토 중이라고 밝혔다.

네티즌의견(총 0개)