구글의 개인정보통합정책에 대한 해외 소송사례에서 원고들은 구글의 개인정보통합 행위에 대해 다음과 같은 위법성이 있다고 평가했다.
첫째, 구글은 이용자가 계정에서 로그아웃해도 여전히 쿠키 등을 통하여 개인 인터넷 사용내역 등을 추적한 다음 이러한 정보를 수집하여 저장해 두고 있다는 것. 그리고 다시 이용자가 로그인하면 위와 같이 로그아웃 상태에서 수집한 개인정보를 기존의 축적된 개인정보파일에 자동으로 부가시키는 방식으로 관리하고 있기 때문에 이러한 행위는 연방도청방지법(Federal Wiretap Act, 18 U.S.C. §2511) 위반이라는 것이다. 우리 법으로 보면, 통신비밀보호법 제3조(통신비밀보호) 위반 또는 정보통신망법 제22조(개인정보의 수집 동의)·개인정보보호법 제15조(개인정보의 수집 동의) 위반이 될 수 있다.
원고들의 두 번째 주장은 구글이 구글 서버에 수집·저장되어 있는 이용자들의 개인정보에 권한 없이 접근하고 있으며, 쿠키를 통하여 이용자들의 컴퓨터에 저장되어 있는 개인정보에 권한 없이 접근하고 있다는 것. 이러한 행위가 전자통신정보법(Stored Electronic Communications Act, 18 U.S.C. §2701) 위반이라는 것이다. 우리 법으로 보면, 정보통신망법 제22조(개인정보의 수집 동의)·제24조(개인정보의 이용 제한) 위반 또는 개인정보보호법 제15조(개인정보의 수집 동의)·제18조(개인정보의 이용 제한) 위반이 될 수 있다.
세 번째 주장은 구글이 권한 없이 컴퓨터에 접근하여 프로그램, 정보, 코드, 명령어 등을 전송시킴으로써 이용자들에게 손실을 입히는 것으로, 이러한 행위가 컴퓨터사기남용금지법(Computer Fraud Abuse Act, 18 U.S.C. §1030) 위반이라는 것이다. 우리 법으로 보면, 정보통신망법 제49조의2(속이는 행위에 의한 개인정보의 수집금지)·형법 제347조의2(컴퓨터등사용사기) 위반에 해당할 수 있다.
네 번째 주장은 구글이 그들이 수집한 개인정보를 이용자들의 동의 없이 광고·판매 등의 상업적 목적에 사용하여 수익을 올리고 있는 것으로, 이러한 행위가 퍼블리시티권에 관한 캘리포니아주법(California's Right of Publicity Statute Civil Code §3344) 위반 또는 코먼로(Common Law) 상의 개인정보의 부정 유용에 해당한다는 것이다. 우리 법으로 보면, 아직 명문의 규정이 없는 퍼블리시티권 침해가 될 수 있다.
다섯 번째 주장은 구글은 이용자들의 사적 영역에 접근하여 프라이버시권을 침해한 것으로 이러한 행위가 코먼로 상의 프라이버시권 침해가 될 수 있다는 것이다. 우리 법으로 보면, 헌법 제17조(사생활의 비밀과 자유) 위반이 된다.
원고들의 여섯 번째 주장은 구글의 새로운 개인정보통합지침은 부실표시된 이전 지침이나 연방거래위원회와의 이행합의를 신뢰한 이용자에 대한 기망에 해당하고, 구글은 이러한 부실표시·기망 등의 방법에 의하여 이용자들의 물건(chattel, 여기서는 개인정보)에 대한 불법침해를 했다는 것이고, 이러한 행위가 코먼로 상의 불법행위가 될 수 있다는 것이다. 우리 법으로 보면, 민법 제750조(일반불법행위)가 적용될 수 있다.
일곱 번째 주장은 구글은 수집한 개인정보를 이용하여 광고수익을 올리거나 제3자에게 제공함으로써 이득을 실현시키고 있지만 그 대가를 이용자에게 제공하지 않는것으로 이러한 행위가 부당이득에 해당한다는 것이다. 우리 법으로 보면, 민법 제741조(부당이득)가 적용될 수 있다.
여덟 번째 주장은 구글의 법령위반, 기망행위, 부실표시 등의 행위가 불공정경쟁방지법 위반에 해당할 수 있다는 것이다. 우리 법으로 보면, 공정거래법 위반이 될 수 있다.
한편, 우리나라의 방송통신위원회는 구글의 새로운 이용약관에 대하여 개인정보 이용목적의 포괄적 기재, 명시적 동의에 관한 절차 미비, 정보통신망법상 필수 명시사항인 개인정보 보유 및 이용기간·파기절차·파기방법의 흠결, 개인정보 취급 위탁자 업무내용·위탁자에 대한 정보 등의 흠결이 있다는 이유로 시정 명령 등 필요한 조치를 취할 것이라고 밝힌 바 있다. 하지만 이러한 지적은 타당하나 이 사건의 본질은 아니다.
현행 개인정보보호법의 해석만으로 개인정보 이용의 남용에 해당
구글의 개인정보통합정책 사건의 본질은 원고들의 주장에 잘 나타나 있듯이, 형식적으로는 이러한 개인정보통합에 대하여 구글이 이용자들의 별도 동의를 얻은 이상 이를 위법이라고 평가하기 어렵다(별도의 동의조차도 필요 없다는 견해도 있음).
그러나 원고들은 당사자가 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 제도인 옵트아웃(opt-out) 실행이 극히 어려운 구글 서비스의 이용자라는 점, 그리고 최초의 개인정보 수집 당시와 개인정보 통합 당시의 2번의 동의 과정에서 본 구글의 행위를 전체적으로 고찰할 때, 만일 최초 동의시 구글이 제대로 고지했더라면 원고들은 구글 서비스를 이용하지 않았을 수 있다는 것으로, 이러한 원고들의 주장은 일견 타당성이 인정된다.
수집된 개인정보의 무분별한 통합을 긍정하게 되면, 서비스의 특성에 맞추어 필요한 정보만 수집해야 한다는 개인정보 최소수집의 원칙 규정(개인정보보호법 제16조)이 형해화 될 수 있고, 수집·이용 과정에서 엄격한 동의 절차를 요하는 규정(개인정보보호법 제15조, 제22조)이 사실상 사문화될 수 있다.
궁극적으로는 개인정보의 ‘통합’에 대한 규제 조문을 신설하는 것이 가장 바람직할 수 있다. 그러나 현행 개인정보보호법의 해석상으로도 기업의 수익을 극대화하기 위한 목적으로, 서비스 제공에 필요한 개인정보의 보유정도에 있어 차이가 크거나 서비스 목적·특성이 상이하고 서비스 체계상 관련성이 약한 서비스끼리 개인정보를 통합하는 것은 개인정보 이용의 남용(濫用)으로서 허용되지 않는다고 보아야 한다.
* 법무법인 민후 김경환 변호사 작성, 보안뉴스(2012. 4. 4.) 기고.
