국가정보_프랑스

  •  유럽
  •  미국
  •  일본
  •  중국
  •  영국
  •  독일
  •  호주
  •  캐나다
  •  싱가포르
  •  베트남
  •  러시아

Cases

1Google Inc.

가. 개요

비영리 오스트리아 개인정보보호 단체 None Of Your Business(이하 NOYB)와 프랑스 온라인 권리 단체 La Quadrature du Net(이하 LQDN)는 각각 2018년 5월 25일과 28일 GDPR 제80조에 따라 국가정보자유위원회(이하 CNIL)에 Google을 공동 제소하였다. 관할을 고려하여 소송은 Google LLC.와 Google France SARL를 대상으로 진행되었고 공동소송인은 두 건의 제소를 모두 합하여 총 9,974명이었다. 소송의 주요 내용은 다음과 같다.

개인정보 처리에 대한 투명성 및 정보통지 의무 위반

맞춤형 광고를 위한 개인정보 처리 요건 충족 의무 위반

2018년 5월 NOYB와 LQDN의 제소 이후, 9월 Google LLC. 와 Google France SARL에 대한 CNIL의 온라인 감독이 시행되었다. 보고책임자는 조사를 통해 10월 22일 두 기업의 위반 사항을 기술한 보고서를 발송하였고, 보고서에서 CNIL 소송위원회가 구글 LLC.에 5천 만 유로를 부과하며 Google이 위반사항에 대한 내용을 공표할 것을 제안하였다. Google은 2019년 1월 24일 대변인을 통해 항소의사를 밝히고 이후 항소하였으나 2020년 6월 항소심에서도 패소하였다.

나. CNIL의 주장

CNIL 소송위원회는 보고책임자의 보고서를 통해 Google이 다음의 사항을 위반했다고 밝혔다.

개인정보 수집 및 처리 절차에 대한 안내가 지나치게 복잡하고 관련 정보가 분산되어 있어 ‘투명성(GDPR 제12조)’ 및 ‘개인정보 수집 시 제공되는 정보(제13조)’ 관련 의무를 위반

맞춤형 광고 제공을 위한 개인정보 수집 및 처리의 적법한 근거 부족과 정보주체 명시적 동의 부재로 인한 유효 동의 요건 달성 실패로 ‘처리의 적법성 준수 의무(GDPR 제6조)’ 위반

다. Google의 주장

이에 Google은 보고서에서 언급한 위반사항에 대해 GDPR 제6조, 제12조 및 제13조를 준수하여 개인정보를 처리했다고 주장했다.

Google은 개인정보보호 정책 및 약관을 통해 개인정보 처리 일체에 대하여 설명한바, 이 과정에서 처리의 적법성을 추가 안내할 필요가 없다고 주장

Google은 개인정보 처리방침의 ‘정보 내보내기 및 삭제’를 통해 개인정보 보유기간 등의 내용을 명시했다고 주장

‘개인정보보호 정책 및 약관,’ ‘개인정보 처리방침,’ ‘서비스 약관’을 보완하기 위해 Google 계정 생성 시 각각의 ‘개인정보보호 설정’ 하단에 추가 정보 메시지를 제공하고 가입 시 발송되는 안내 이메일을 통해 개인정보보호 및 보안 설정 도구로 이동하는 링크를 제공했다고 주장

맞춤형 광고 노출 설정과 관련하여 Google은 동의 요구가 구체적이고 명확하게 표현되어있다고 주장하면서 계정 설정을 통해 맞춤형 광고에 대한 정보를 제공했으며 정보주체는 ‘옵션 더보기’를 통해 맞춤형 광고 관련 작업을 비활성화 할 수 있었다고 주장

라. 시사점

투명성과 관련하여 CNIL 소송위원회는 투명성 관련 EDPB 가이드라인에 명시된 바를 들어 Google의 주장을 기각했다. CNIL은 GDPR 제12조 ‘투명성 원리’의 핵심은 정보주체가 본인의 개인정보가 사용된 방식에 대해 차후에 알게 되어 피해를 입는 것을 방지하기 위해 개인정보 처리 관련 정보를 미리 알고 선택할 권리를 보장하는 것이라고 설명하였다. 이를 위해 컨트롤러는 약관 및 처리방침에 명시된 개인정보 처리가 야기할 영향에 대해 설명해야 한다고 명시하였다.
CNIL은 개인정보 처리 관련 정보를 제공하는 방식이 컨트롤러의 판단에 의해 설계되어 있으며 이러한 방식은 정보주체가 원하는 정보를 확인하기 위해서는 다섯 번 이상의 클릭을 요구하는 등 정보의 ‘손쉬운 접근’에 대한 요건이 결여되어 있다고 판단했다. 또한, 개인정보 처리방침 및 약관 등에서 설명하는 개인정보 처리 목적이나 방식이 ‘콘텐츠와 광고를 포함한 맞춤 서비스 제공,’ ‘제품 및 서비스 보안,’ 및 ‘서비스 제공 개발’ 등으로 정보 처리 결과와 영향력에 비해 모호하게 표현되어 있다고 판단했다.
처리의 적법성과 관련하여 CNIL은 Google이 맞춤형 광고를 위한 개인정보 처리방침에서 동의를 처리의 근거로 삼고 있으나 정보주체는 이에 대한 사항을 고지 받지 않은 것으로 나타났다. 또한, ‘명시적 동의’와 관련하여 Google이 맞춤형 광고 제공을 위한 동의를 사전에 체크하여 ‘옵션 더보기’를 통해 관련 사항의 체크를 해지하여야만 동의를 철회할 수 있다는 점에서 ‘정보주체의 명확한 행동’이 없었기에 수집한 동의의 효력이 없다고 판단했다.
따라서, 이러한 CNIL의 판결은 정보주체가 자신의 개인정보 처리와 관련한 정보를 명확히 알고 이를 바탕으로 결정할 수 있는 권리를 보장할 수 있도록 해야 함을 나타낸다. 이를 위해, 컨트롤러는 개인정보 처리방침 및 약관 등에 법적 근거를 명확히 하고 관련 처리가 가져올 영향력을 정보주체에게 고지해야 하며, 직관적인 개인정보 공개 관련 설정의 설계를 해야 함을 알 수 있다.

2Futura Internatinal

가. 개요

CNIL은 2018년 2월 6일 Futura International의 마케팅 대행업체로부터 지속적인 텔레마케팅 전화를 받은 소비자로부터 불만을 접수하고, 정보주체의 거부 의사에도 불구하고 전화가 반복되었다는 사실을 확인하였다. CNIL의 조사에 따르면 회사는 적절한 보호조치나 데이터 전송을 위한 계약 없이 EU 권역 밖에 위치한 콜센터 공급자를 통해 텔레마케팅을 실시한 것으로 밝혀졌다.
2018년 10월 CNIL은 Futura에 공식 통지를 보내어 규정된 기한 내 GDPR을 준수하고 이를 입증하도록 명령했다. 그러나 Futura가 기한 내 준수 및 입증에 실패하여 CNIL은 Futura에 대한 제재 절차를 시작하였고 2019년 11월 50만 유로의 과징금을 부과했다.

나. CNIL의 주장

CNIL은 보고책임자의 보고를 통해 다섯 가지 GDPR 위반 사항을 발견하였고, 이는 다음과 같다.

고객 관리 프로그램을 통해 처리 목적과는 관련 없는 개인 건강정보 수집 및 그와 관련한 모욕적 부가설명 등을 기록·수집하여 ‘최소 수집 원칙(GDPR 제5조제1항(c))’ 위반

텔레마케팅 업체를 통한 제품 홍보 시 마케팅 당사자에게 통화가 녹음된다는 사실의 고지가 없거나 고지한 경우에도 정보처리 관련 사항 안내를 하지 않아 ‘정보주체 고지 준수 의무(GDPR 제12조 ~ 제14조)’ 위반

정보주체 거절 의사에도 불구하고 텔레마케팅 용역 업체의 계속된 전화와 이를 제재하기 위한 Futura의 시도나 적절한 체계가 마련되어 있지 않아 ‘정보주체 반대권 준수 의무(GDPR 제21조제2항)’ 위반

CNIL 권고 사항 및 의견 요구 대응 미진 혹은 미준수로 ‘감독기구 명령 이행 의무(GDPR 제31조)’ 위반

개인정보보호 수준이 보장되지 않은 EU 역외의 Futura의 마케팅 대행업체로 개인정보를 이전하여 ‘국외이전 제한 의무(GDPR 제45조)’ 위반

다. Futura의 주장

최소 수집 원칙(GDPR 제5조) 위반에 대하여 필요한 정보만을 수집했다고 주장

정보주체 고지 준수 의무(GDPR 제12조 ~ 제14조) 위반에 대하여 우편으로 정보주체에게 관련 사실을 고지했다고 주장

국외이전 제한 의무(GDPR 제45조) 위반에 대하여 표준계약조항을 보고책임자에게 제출했다고 주장

라. 시사점

Futura는 CNIL의 제재에 대하여 GDPR 위반 의도는 없었으나 제도에 익숙하지 않아서 문제가 발생하였다고 주장하였다. 그러나 독촉 통지 이후 8개월이 지나서야 시정 조치를 취했음이 확인되었고, 제재 절차가 개시될 때까지 기한에 맞춰 CNIL에 협력하지 않았음이 드러났다. 또한, 위반 사항 대부분이 GDPR이 아닌 프랑스 개인정보 보호법‘1978년 1월 6일 법률 제78-17호’와 관련되어 있어 Futura의 주장을 기각했다.
최소 수집 원칙(GDPR 제5조) 위반에 대하여 필요한 정보만을 수집했다고 주장했으나 제재 과정 도중에 회사에 불리하게 작용할 수 있는 자료를 폐기한 것으로 드러났다. 정보주체 고지 준수 의무(GDPR 제12조 ~ 제14조) 위반에 대하여 Futura는 우편으로 정보주체에게 관련 사실을 고지했으나 정보의 수집 당시에는 고지하지 않은 것으로 드러났다. 국외이전 제한 의무(GDPR 제45조) 위반에 대하여 표준계약조항을 보고책임자에게 제출했다고 주장했으나 용역업체의 개인정보 처리에 관한 조항이 누락되어 있었던 것으로 드러났다.과징금에 대하여 Futura는 GDPR에 익숙하지 않았다는 주장과 더불어 2018년 매출액이 전년도에 비해 감소했으므로 과징금의 경감을 요청했으나, 위에서 서술한 내용과 더불어 2017년의 매출액 2천 7백만 유로와 2018년 2천만 유로의 차이가 미미하고 GDPR 제83조제2항(b))에 명시된 대로 감독기구에 협력하지 않았음을 들어 요청을 기각했다.
Futura는 CNIL의 시정 명령에 대하여 회사는 GDPR을 준수하여 시정했음을 주장했으나 조사를 통해 사실이 아님이 밝혀졌고, CNIL이 침해에 대해 공표할 것을 명령한 것에 대하여 Futura가 사이버공격 대상이 될 것을 우려하여 공표하지 않았다고 주장했으나, 정보주체의 정당한 요구와 사안의 중대성 및 공표가 보안 취약성을 드러내는 것이 아니므로 회사의 주장을 기각했다.
우리는 조직의 개인정보 처리와 더불어 업무를 수탁한 수탁자의 개인정보 침해 문제도 제재 대상이 될 수 있으며 GDPR에 명시된 대로 정보 수집과 취득 후 고지 의무 준수가 중요하다는 것을 알 수 있다. 또한 개인정보 처리 업무 수탁 시에 위탁사는 수탁사의 개인정보 침해 사고 예방을 위한 절차나 체계가 필요하다는 것을 알 수 있다. 무엇보다도 감독기구의 시정 명령이나 정보 요구에 신속하고 적극적 대응 의지를 보이는 것이 처벌 수준을 경감하는 데 중요하다는 것을 시사한다.

top