앞으로 맞춤형 광고를 목적으로 활용되는 온라인 행태정보 처리의 보호 수준이 강화되고, 광고사업자 등의 책임도 명확해진다.
개인정보보호위원회(개인정보위)는 이와 같은 내용을 담은 ‘맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안’을 31일 발표했다.
맞춤형 광고는 이용자의 온라인 행태정보를 바탕으로 개인의 관심·흥미·성향 등을 분석한 후 이를 웹이나 모바일 등에 노출하는 광고다.
맞춤형 광고는 자신의 관심사가 반영된 광고를 효과적으로 볼 수 있도록 한다는 장점이 있지만, 수집된 행태정보가 누적·축적되고 반복·연속적인 처리 과정을 거치게 돼 정보 주체 동의 없이 개인이 식별된 채로 처리되거나 사상·신념, 정치적 견해 등 민감정보까지 추론할 수 있게 된다는 위험성이 있다.
특히 이용자는 이러한 처리 과정에서 자신의 행태정보가 어떻게 수집·활용되는지 등에 대해 알기가 어렵고, 기업 입장에서도 모호한 행태정보 규율로 인한 법적 불확실성이 크다는 지적이 제기돼왔다.
이에 이번에 마련된 방안은 우선 맞춤형 광고 주요 이해관계자의 역할과 책임을 명확히 했다.
지금까지의 ‘온라인 맞춤형 광고 개인정보 보호가이드라인’에서는 개인 식별정보와 결합해 행태정보를 처리할 경우 이용자로부터 사전 동의를 받도록 규정하고 있으나, 개인식별정보와 결합하지 않은 행태정보 처리에 대한 별도의 규율 사항은 없었다.
이에 개인정보위는 주요 이해관계자인 광고 사업자에겐 특정 개인을 식별하지 않고 행태정보를 처리하려는 경우엔 이용자의 동의를 받지 않고 처리를 할 수 있도록 했다. 다만 반드시 처리 과정에서 누적·중첩·결합으로 특정 개인을 식별할 가능성이 발생하지 않도록 처리하도록 했고 투명성 확보·사후 통제권 제공, 안전조치 이행 등 권고 조치를 준수하도록 했다.
또한, 광고 매체 사업자의 경우 이용자가 행태정보 처리를 효과적으로 확인할 수 있도록 처리 과정을 투명하게 공개하게 할 방침이다. 우선 웹·애플리케이션 사업자가 자사의 맞춤형 광고를 목적으로 행태정보를 처리하는 경우에는 광고 사업자와 동일한 기준이 적용된다. 제3자가 수집 도구를 통해 행태정보를 수집하도록 광고 매체 사업자가 허용하는 경우에는 해당 웹·앱에서 제3자가 수집해가는 행태정보를 웹·앱별로 분리해 개인정보 처리 방침에 포함하도록 권고했다. 이와 함께 개인정보보호책임자(CPO)에게 주기적으로 행태정보 수집 도구 현황을 파악하고 점검하도록 권고했다.
아동 대상 맞춤형 광고와 관련해선 14세 미만 아동에게 행태정보와 개인 식별정보를 결합해 맞춤형 광고를 제공하고자 하는 사업자의 경우 사전에 법정대리인의 동의를 받도록 했다. 또 개인이 식별되지 않은 경우로서 14세 미만 아동임을 알고 있거나 아동을 주 이용자로 하는 서비스인 경우에는 맞춤형 광고 목적으로 행태정보를 수집·활용하지 않을 것을 권고했다.
광고 매체 사업자도 자신이 운영하는 웹·앱의 주된 이용 대상이 14세 미만 아동이면 맞춤형 광고 목적으로 아동의 행태정보 수집 도구를 설치하지 않도록 권고하고 인앱 브라우저를 운영하는 사업자는 이용자를 식별해 행태정보를 처리하는 경우엔 이용자의 동의를 받는 등 적법한 수집 요건을 갖추도록 했다.
정보 주체의 행태정보 이해 및 보호 역량 강화에도 나선다. 개인정보위는 상반기에 정확한 시장 상황과 구체적인 행태정보 처리 관련 현황을 파악하기 위해 ‘온라인 맞춤형 광고 현황조사’를 실시할 계획이다. 또 올해 3월부터는 광고 사업자와 광고 매체 사업자가 행태정보 수집·이용 사실을 개인정보 처리 방침에 제대로 공개하는지를 점검할 예정이다.
개인정보위는 ‘온라인 행태정보 보호 민·관 협의체’를 올해 1분기에 구성하고, 연말에는 개정된 맞춤형 광고 가이드라인을 발표할 예정이다.
양청삼 개인정보위 개인정보정책국장은 “정보 주체의 권리 보호 수준을 높이기 위한 방안이 담긴 이번 정책을 바탕으로 행태정보 처리 적법성과 투명성을 높여나가겠다”고 밝혔다.