2009년 2월 페이스북은 프라이버시 정책을 포함하는 약관(terms of service)을 이용자들에게 고지하거나 동의를 얻지 않고 임의로 변경했는데, 변경된 약관은 이용자의 프라이버시를 실종케 했다는 비판을 받았다.
페이스북의 변경된 약관에 의하면 비록 이용자가 계정을 해지했다고 하더라도 페이스북은 이용자의 개인정보를 영구히 소유할 수 있으며 광고, 홍보, 검색, 응용프로그램개발 등 어떠한 목적으로든지 이용자의 이름, 선호, 이미지 등을 공개할 수 있게 함으로써 사적정보의 범위를 줄이고 공개정보(publicly available information)의 범위를 과감히 확대했다. 하지만 변경된 약관에 대한 반대세력은 급격히 늘어나 결집했으며 급기야 2009년 12월에 EPIC(전자개인정보센터) 등은 FTC(연방거래위원회)에 조사요청을 하기에 이른다.
이러한 거센 반발에 결국 페이스북과 주커버그는 무릎을 꿇었고 2011년 11월에는 FTC와 화해약정을 체결했다. 화해약정에서 페이스북은 이용자의 프라이버시 설정을 변경할 경우 사전에 이용자의 허락을 받고 제3자에게 어느 정도 공개할지도 분명히 하기로 약속했다. 주커버그는 이 때 또다시 이용자들에게 사과를 하게 된다.
>> 개인정보취급방침이나 약관의 변경이 허용되지 않는 것은 아니다. 그러나 개인정보취급방침이나 약관의 변경이 법규정을 어기거나 개인정보보호의 원칙을 깨는 경우, 그러한 변경은 허용되지 않고 변경된 개인정보취급방침이나 약관은 무효가 된다.
트랙킹 쿠키 정보도 프라이버시 침해 가능
쿠키(Cookie)는 웹사이트와 이용자의 컴퓨터를 매개해주는 정보를 담고 있는 파일을 의미한다. 쿠키는 원래 이용자의 접속이나 정보소통을 원활하게 하기 위하여 사용되었으나 그 이용이 확대되어 이용자가 온라인으로 어떤 제품을 샀는지, 어떤 분야에 관심이 많은가를 파악할 수 있어 웹사이트 운영 자측에서는 쿠키를 이용하여 타깃 마케팅으로도 사용한다.
이러한 용도 때문에 이용자들의 행태정보가 이용자들의 동의 없이 웹사이트 운영자에게 넘어감으로써 이용자들의 사생활이 침해되고 있다.
페이스북의 경우, 트랙킹 쿠키(tracking cookie, 페이스북의 경우 datr cookie이라 부름)를 수집함으로써 무차별적으로 가입자들이나 비가입자들의 행태정보를 저장하고 있으며 특히 이용자들이 로그아웃하거나 다른 페이지로 이동하였을 때에도 행태정보를 수집하고 있다는 혐의를 받고 있다.
2011년 9월 이러한 혐의로 Nik Cubrilovic라는 해커는 페이스북을 고소했으며 독일의 함부르크 개인정보보호기구도 이에 대한 조사를 실시했고 2012년 5월 12일 소 제기된 집단소송에도 위 혐의에 대한 내용이 담겨 있다.
이에 대해 페이스북 측은 “계정이 없거나 계정에서 로그아웃한 경우에도 페이스북이 쿠키를 사용하는 것은 맞지만 쿠키는 스팸을 막고 이용자들의 계정복구나 보안, 미성년자의 파악, 이용자들의 악의적인 활동을 방지하기 위해 사용될 뿐이다. 광고와 관련하여 광고를 보여주기 위해 타사 사이트에서 이용자들의 인터넷 사용에 대한 프로필을 만드는 용도로 이러한 쿠키를 사용하지는 않는다. 다만 총체적으로 광고를 개선하고 신규 및 기존의 제품이나 서비스를 개발, 테스트하기 위해 익명 또는 누적 데이터를 사용할 수는 있다”고 답변했다.
하지만 미국에서 집단소송을 제기한 원고들은 트랙킹 쿠키를 이용하여 로그아웃한 이용자들의 행태정보를 수집한 페이스북은 연방도청금지법(Federal Wiretap Act), 저장정보통신법(Stored Electronic Communication Act), 연방컴퓨터사기및남용법(Federal Computer Fraud and Abuse Act)을 위반했다고 주장하고 있다.
>> 쿠키정보는 비식별정보로서 원칙적으로 개인정보보호법의 적용대상이 아니다. 그러나 쿠키정보가 쌓이면 그 개인에 대하여 모르는 것이 없다는 말이 있을 정도로 프라이버시에 대한 위협은 심각하다. 적어도 쿠키정보의 무단수집이 일어나지 않도록 사전고지나 동의를 거쳐야 할 것이며, 특히 쿠키정보의 수집 과정이 복잡하여 이용자들이 이해하기 곤란하므로 이에 대한 정확한 고지를 할 수 있도록 해야 할 것이다.
라이크(Like) 버튼이 가진 프라이버시 침해 문제
요즘 콘텐츠를 제공하는 대부분의 웹사이트는 콘텐츠 상단 또는 하단에 페이스북의 라이크 버튼을 제공함으로써 콘텐츠 전파에 페이스북을 활용하고 있다. 하지만 주의할 점은 어떤 이용자가 라이크 버튼이 포함되어 있는 웹사이트를 방문한 경우, 그 웹사이트가 라이크 버튼의 이미지를 제공하는 것이 아니라는 점이다.
그 사이트는 페이스북 사이트에서 라이크 버튼 이미지를 호출하게 하는 코드를 이용자에게 전송할 뿐이고, 그 코드의 작동에 따라 페이스북 사이트로부터 전송받은 라이크 버튼 이미지가 이용자들의 화면에 나오는 것이다.
이런 방식으로 운영되다 보니, 페이스북은 라이크 버튼을 전송하면서 이용자들의 방문 페이지(URL), IP 주소, 방문시간, 브라우저 정보, OS 정보 등을 저장할 수 있었고 또 저장해 왔다. 이용자들의 동의를 얻지 않고 이용자들의 행태정보를 수집하고 있는 것이다.
이에 대해 페이스북은 “페이스북의 라이크 버튼 기능은 데이터 보호 표준을 수용하고 있으며, 비회원이 이 버튼을 사용하면 단지 IP 주소만 수집하고 그나마 90일 이후에는 삭제된다”고 주장했다.
그럼에도 이러한 작동 방식에 대하여 독일의 슐레스비히-홀슈타인(Schleswig-Holstein) 주에서는 문제점을 지적하면서 라이크 버튼의 제거를 요청했고, 미국의 일부 시민단체나 소비자들은 위 라이크 버튼의 호출에 관하여 이용자의 동의를 얻지 않았다는 점에서 위법의 소지가 있다고 지적하고 있다(2012년 5월 12일 소제기된 집단소송에도 포함되어 있음).
>> 개인적으로는 라이크 버튼의 문제가 위 쿠키정보의 문제보다 프라이버시 침해의 면에서 더 심각하다고 생각한다. 라이크 버튼의 작동 과정에서 기업이 모으는 정보가 식별성을 가지지 않도록 할 의무를 부과할 필요성이 있으며, 정보의 보유기간을 줄이는 것도 식별성 상실에 기여할 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 로앤비(2012. 7. 4.), 보안뉴스(2012. 6. 26.) 기고.
