구글은 개인정보 보호 소송을 해결하기 위해 기록적인 금액인 3억 9,200만 달러를 지불하기로 합의했습니다. 이 소송은 구글이 위치 추적에 대해 사람들을 오도하기 위해 우회적으로 사용했다고 비난했던 미국 40개 주의 법무장관이 제기했습니다. 소송은 구글이 적어도 2014년부터 2019년까지 위치 기록 설정과 웹 및 앱 활동에 관한 중요한 정보를 잘못 전달하고 생략했다고 주장했다. 정보 누락으로 인해 사용자는 위치 기록을 끄면 Google이 더 이상 위치를 추적하지 못하고 수집된 정보를 사용하여 광고를 맞춤화할 수 없을 것이라고 생각했지만, 실상은 그렇지 않았습니다.

통제의 환상

사용자가 위치 기록을 활성화했는지 여부에 관계없이 Google은 기본적으로 사용 설정되어 있는 웹 및 앱 활동 설정을 통해 사용자의 위치를 추적할 수 있습니다. Google은 적어도 2018년 중반까지 위치 데이터를 수집하기 위해 웹 및 앱 활동을 사용한다는 것을 공개하지 않았습니다.

그 거대 기술 회사는 빠져나갈 방법을 알고 있었습니다. 사용자들이 어떻게든 게임을 보고 두 설정을 모두 비활성화하더라도, 구글은 더 이상 할 수 없다는 인상을 받으면서도 여전히 추적할 수 있었습니다.

그러나 두 설정이 모두 꺼져 있어도 Google은 여전히 사용자를 추적할 수 있으므로 더 이상 할 수 없는 것처럼 보입니다. Google은 사용자가 Google Play 스토어, 음악, 검색, 지도와 같은 특정 Google 제품을 사용할 때 위치 데이터를 수집, 저장 및 사용합니다.

광고 개인화는 사용자를 의도적으로 기만하기 위한 또 다른 설정입니다. 이 설정은 사용자가 맞춤 광고를 선택 해제하고 Google의 위치 데이터 사용을 제어할 수 있음을 의미합니다. 실제로 조사에 따르면 개인 맞춤 광고를 비활성화해도 Google이 사용자의 위치 정보를 사용하여 광고를 맞춤화할 수 있습니다. 설정이 꺼져 있어도 Google은 Google 제품 내부와 외부 모두에서 사용자의 위치를 기반으로 광고를 타겟팅했습니다. 다만 사용자가 통제할 수 있다는 환상을 줄 뿐입니다.

Google 계정에서 로그아웃한 후에도 사용자는 Google의 감시를 계속 받았습니다. 변호사에 따르면 구글은 구글 제품을 사용하는 로그인 사용자와 로그아웃 사용자 모두에 대해 동일한 정보를 수집해 저장했습니다. 유일한 차이점은 Google에서 로그아웃한 사용자에게 고유한 ID를 할당했다는 것입니다. 구글은 2018년 5월에야 회사는 로그인하지 않은 사용자의 위치 정보를 저장할 수 있다고 발표했습니다.

사진: Henry Perks/Unsplash

그 이후로 Google이 개인정보 보호 정책을 변경했음에도 불구하고, 여전히 사용자가 지리적 추적 방법을 알지 못하게 할 만큼 복잡하다고 변호사들은 지적했습니다. 그들은 현재까지도 Google이 "Google 제품을 사용할 때 Google 계정에 로그인하지 않은 사용자의 위치 정보를 저장하고 배포합니다."라고 설명하지 않는다고 지적했습니다.

구글이 큰 금액을 배상하는 것은 역사적인 일이지만 그것이 죄를 인정하는 것은 아닙니다. 하지만 인정하는 것에 가깝습니다. 합의의 일환으로 Google은 위치 설정을 켜고 끌 때 사용자에게 더 많은 정보를 표시하고 사용자에 대해 수집하는 위치 데이터 유형에 대한 세부 정보를 제공하는 데 동의했습니다.

이번 벌금은 구글이 개인정보 보호 합의에서 지불한 최대 금액 기록을 경신했습니다. 이전 기록은 2019년에 Google이 YouTube에서 아동 시청자를 추적한 혐의로 미국 연방 위원회로부터 1억 7천만 달러의 벌금을 부과받았을 때 세워졌습니다.

구글의 대답

개인정보 보호법을 위반하다 적발되는 거대 기술 회사의 경우가 종종 그렇듯이 Google은 최근 및 현재 진행 중인 관행을 이미 지난 일로 치부했습니다. 그리고 더 나은 행보를 보일 것을 약속했습니다.

11월 14일, 구글은 블로그 게시물에서 이미 데이터 수집을 최소화하는 많은 도구를 구현했다고 밝혔습니다. 이러한 도구 중 일부는 사용자가 Google에 데이터를 저장하는 기간에 대한 시간 제한을 설정하고, Google 지도에서 시크릿 모드를 사용하고, 앱을 종료하지 않고 지도 및 검색에서 데이터를 삭제하는 것을 가능하게 합니다.

회사 측은 "이러한 개선 사항과 일관되게 수년 전에 변경한 구식 제품 정책을 바탕으로 40명의 미국 주 법무 장관과 조사를 마무리했다."고 밝혔습니다.

또한 구글은 사용자가 위치 데이터를 보다 쉽게 삭제할 수 있도록 할 것을 약속했으며, 구글 계정 설정에서의 위치 추적 방법을 명확히 하겠다고 밝혔습니다.

새로운 기능을 발표할 때 Google은 위치 추적을 긍정적인 방향으로 제시했습니다. 예를 들어 새 계정을 설정하는 사용자에게 웹 및 앱 활동이 무엇인지, 여기에 포함된 정보는 무엇인지, Google 경험에 어떻게 도움이 되는지에 대한 자세한 설명을 제공하겠다고 약속했습니다. 최고가 입찰자가 지불한 맞춤형 광고 떼가 사용자에게 주는 이점은 의심의 여지가 있지만 Google 자체는 위치 추적을 통해 큰 이익을 얻습니다. 회사 수익의 80% 이상을 디지털 광고에서 얻고 있습니다. 그리고 소송에서 말하는 것처럼 사용자가 디지털 광고를 클릭한 후 사용자의 물리적 위치를 추적하는 Google의 기능은 Google의 “독창적인 셀링 포인트”입니다.

표면적으로는 구글이 자발적으로 경쟁 우위를 포기하는 것, 즉 자체 위치 데이터 수집을 중지하거나 심각하게 제한하는 것은 이치에 맞지 않습니다. 사용자에게 이 프로세스에 대한 모든 권한을 부여하는 것 또한 사실상 무의미합니다. 사람들이 말하듯 대량 데이터 수집의 비결은 사람들을 무지하게 만드는 것입니다. 그럼에도 불구하고 Google은 프라이버시에 대한 존중을 지적하고 이와 관련하여 더 많은 조치를 취할 것을 약속합니다. 구글은 이번 합의가 "보다 유용한 서비스를 제공하면서 보다 의미 있는 선택을 제공하고 데이터 수집을 최소화하는 과정의 또 다른 단계"일 뿐이라고 주장했습니다. 사용하는 언어는 다소 단조롭고 Google에 많은 여지를 남겨 둡니다. 그러나 Google의 좋은 의도를 신뢰할 수 있나요? 거대 기술 기업들은 약속을 지키지 않는 것 같습니다…

약속하는 것과 약속을 지키는 것은 같은 것이 아님

Google, Meta 및 기타 거대 기술 기업들은 사용자의 데이터를 보호하겠다는 약속을 잘 지키지 못합니다. 대기업이 일부 개인정보 보호법을 위반한 혐의를 받고 다양한 정도의 설득력으로 그들의 행동을 정당화하려고 시도한 모든 사례를 추적하기는 어렵습니다. 때때로, 이런한 회사들은 무엇이 잘못되었는지를 말했고, 때때로 나중에 어길 약속을 했습니다. 이러한 회사의 사용자 개인정보 침해는 더 이상 놀라운 일이 아닙니다. 이제는 오히려 이러한 개인정보 침해가 중단되는 것이 더 놀라운 일일 것입니다.

구글

2016년 6월, Google은 Gmail 및 기타 서비스에서 수집한 개인 식별 정보(PII)를 광고 추적에 사용되는 웹 탐색 데이터와 별도로 보관하겠다는 약속을 어겼습니다. 회사는 말 그대로 개인정보 보호 정책에서 두 데이터 풀이 혼합되지 않을 것이라고 약속한 한 줄을 지웠습니다. 이전 사용자는 모호한 "Google 계정을 위한 몇 가지 새로운 기능" 요청으로 추적을 선택하라는 메시지를 받았고, 새 사용자의 경우 이러한 새 기능이 기본적으로 활성화되었습니다. 당시 Google은 개인정보 보호 문제를 일축했습니다. 회사 대변인은 구글이 스마트폰 혁명에 적응하는 것일 뿐이며 변화는 선택 사항이라고 말했습니다. 당시 구글은 "이해하기 쉬운 언어로 이 변경 사항에 대해 눈에 잘 띄는 사용자 알림과 사용자가 데이터를 제어하거나 삭제할 수 있는 간단한 도구를 제공했습니다."라고 주장했지만 2022년까지 이러한 “간단한 도구”는 아직 완전히 구체화되지 않았습니다.

데이터 삭제와 관련해, Google은 데이터 삭제 약속을 항상 지키지 않은 것으로 알려져 있습니다. 2012년, 영국 규제 당국에 보낸 서한에서 Google은 스트리트 뷰 프로그램을 통해 수집한 모든 개인 데이터를 삭제하겠다고 약속한 지 2년이 지난 후에도 삭제하지 않았음을 인정했습니다. 데이터에는 보안되지 않은 Wi-Fi 네트워크의 암호, 법률 및 의료 자료가 포함되어 있으며 수집되지 않았습니다. 당시 구글은 실수라며 사과했습니다. 그 당시, 구글은 실수였다며 사용자들에게 사과했습니다.

최근의 개인 정보 침해와 관련해, 2019년 1월 프랑스 규제 당국은 사용자가 광고를 개인화하는 데 사용된 데이터와 같은 개인 정보로 회사가 무엇을 하는지 인지하기 어렵게 만든 것을 이유로 Google에 5천만 유로의 벌금을 부과했습니다. 규제 당국은 또한 Google이 광고 타겟팅에 대한 사용자의 뚜렷한 동의를 얻지 못했다고 말했습니다.

구글은 “사람들은 우리에게 높은 수준의 투명성과 통제력을 기대합니다. 우리는 이러한 기대치와 GDPR의 동의 요구 사항을 충족하기 위해 최선을 다하고 있습니다.”라고 주장했습니다.

2022년 1월, Google(Facebook과 함께)은 프랑스 규제 당국으로부터 1억 5천만 유로의 벌금을 또 부과받았습니다. 이번에는 사용자가 쿠키(가장 일반적인 추적 방법)를 거부하는 것을 너무 어렵게 만들었기 때문입니다.

이전과 마찬가지로 Google의 별다른 반응을 하지 않았습니다. 구글은 “사람들은 우리가 프라이버시에 대한 권리를 존중하고 안전하게 지켜줄 것이라고 믿습니다. 우리는 그러한 신뢰를 보호해야 할 우리의 책임을 이해하고 있으며 이러한 부분을 반영하여 CNIL과의 추가적인 변화 및 적극적인 협력에 전념하고 있습니다.”고 했습니다.

프라이버시에 대한 표면상 존중하는 태도에도 불구하고 Google이 수익 모델을 변경하지 않는 한 사용자 데이터 처리를 재고할 가능성은 낮습니다. 더이상 Google에서 높은 수준의 투명성이나 개인정보 보호를 기대하는 사람은 없을 것으로 보이지만 우리는 틀렸더라도 그 사실을 기쁘게 받아들일 것입니다.

Google은 개인정보 보호 잘못에 대한 어설픈 변명과 지키지 않는 약속을 저지른 유일한 기술 거대 기업이 아닙니다.

페이스북 및 인스타그램

2018년, Facebook은 정치 컨설팅 회사인 케임브리지 애널리티카(Cambridge Analytica)가 타사 퀴즈 앱을 통해 최대 8,700만 명의 사용자 데이터를 수집했다고 인정했습니다. 이 스캔들은 페이스북의 평판에 큰 타격을 주었고 회사가 타사 앱과 공유하는 데이터의 양을 제한하도록 했습니다. 스캔들이 터진 며칠 후, 페이스북 CEO 마크 주커버그는 앞으로 사용자 데이터를 보호하겠다고 약속했습니다.

Facebook(현재 Meta)은 케임브리지 애널리티카 실패로 인해 50억 달러의 벌금을 지불한 후 수많은 개인정보 보호 관련 논란에 휩싸였습니다.

케임브리지 애널리티카 사태 이후 4억 1,900만 명의 페이스북 사용자 전화번호가 공개 온라인 데이터베이스에 노출됐습니다. 데이터베이스를 사용하면 누구나 전화번호를 고유한 Facebook 사용자 ID와 연결할 수 있습니다. 일부 항목에는 이름과 국가도 포함되어 있습니다. 페이스북은 데이터 세트가 오래되었고 회사가 전화번호로 페이스북에서 사람을 찾는 것을 불가능하게 만들기 전에 스크랩했다고 주장했습니다. 회사 대변인도 전화번호의 절반이 중복됐다고 말했습니다.

올해 초, Instagram은 사용자 동의 없이 특정 유형의 필터를 통해 수백만 개의 생체 인식 식별자를 불법적으로 저장한 혐의로 기소되었습니다. Meta는 주장에 동의하지 않았지만 소송이 제기된 텍사스에서 필터를 사용할 수 없도록 했습니다. 1년 전, 페이스북은 사생활 보호에 대한 우려가 커지면서 얼굴 인식 프로그램을 종료하고 10억 명 이상의 개인 얼굴 인식 템플릿을 삭제할 것이라고 발표했습니다.

지난 9월, 메타(구글과 함께)는 한국 규제 당국으로부터 2,200만 달러의 벌금을 부과받았다. 수집된 데이터는 타겟 광고에 사용되었습니다. Meta는 법적으로 준수하는 방식으로 작동한다고 확신하며 법원의 판결에 이의를 제기하겠다고 위협했습니다.

가장 최근에 Meta는 사용자가 iOS에서 타사 추적을 거부할 수 있도록 하는 Apple의 개인정보 보호 규칙을 우회한 혐의로 기소되었습니다. 메타는 이러한 주장에 대해 이러한 주장은 근거가 없으며 이에 대해 적극적으로 변호할 것이라고 답했습니다. ATT(App Tracking Transparency)로 알려진 Apple의 정책으로 인해 Meta는 100억 달러 미만의 비용이 소요될 것으로 예상됩니다. 이 기능은 Meta가 개인 데이터를 수집하고 이를 기반으로 개인화된 광고를 판매하는 것을 부분적으로 제한합니다. Google과 마찬가지로 Meta는 전적으로 광고 자금에 의존하므로 회사가 해결 방법을 찾는 것이 논리적입니다.

사진: Niv Singer/Unsplash

메타는 이익보다 사람을 우선시한다는 점을 주장하지만 정반대의 행보를 보이고 있습니다. 지난해, 페이스북은 광고주가 흡연, 도박 및 극단적인 체중 감량을 홍보하는 광고로 13세 미만의 어린이를 타겟팅할 수 있도록 허용한 것으로 밝혀졌습니다. 회사는 처음 보고된 후에도 몇 달이 지나도록 이를 중단하지 않았습니다.

이 목록은 완전하지는 않지만 Meta가 사람들의 데이터와 개인정보를 보호하는 데 실패하고 있음을 보여줍니다. 마크 저커버그는 Meta가 이를 이행할 수 없다면 Meta는 존재할 가치가 없다고 말합니다. 그러나 우리는 Meta의 CEO가 이 약속(또는 그 문제에 대한 어떤 약속)을 지킬 것을 기대하지 않습니다.

수익 vs 개인정보 보호

기술 거대 기업은 이제 사용자 데이터를 위반할 변명의 여지가 없는 것 같습니다. 그러나 이러한 회사는 주요 수입원이 사용자임에도 불구하고 개인정보 보호에 관심이 있는 척합니다. 오늘날의 사회는 개인정보 보호에 대해 점점 더 많은 관심을 기울이고 있으며 이러한 회사는 공개적으로 추세를 거스를 수 없기 때문입니다. 그러나 이러한 회사의 전체 수익 모델은 사용자 데이터에서 추출한 수익을 기반으로 하며 이것이 변경될 조짐은 없습니다. 또한, 규제 당국이 개인정보 보호 시행에 대해 진지하게 여겨지지 않는 한 거대 기술 기업은 무엇도 바꾸지 않을 것입니다.

보통의 평범한 사람에게는 디지털 광고를 기반으로 한 수익 모델에 대한 대안이 없고, 이익 얻기 위해 사용자 데이터를 착취하는 것 외에 다른 방법이 없는 것처럼 보일 수 있습니다. 2018년, 당시 페이스북 최고운영책임자(COO)인 Sheryl Sandberg는 사이트에 모든 것에 대해 하나의 선택 해제 버튼이 있다면 Facebook은 유료 제품이 될 것이라고 말했습니다. 그러나 일부 플랫폼은 작업 방식을 변경하기를 원하지 않는 반면 다른 플랫폼은 부분 유료화 모델로 이동하고 있습니다. 예를 들면, Twitter는 유료 Twitter Blue 구독을 확대하는 것을 목표로 삼았습니다.

사용자가 무보정 실제 사진을 게시하도록 유도하는 새로운 비리얼(BeReal)은 유료 기능 도입을 검토 중인 것으로 알려졌습니다. 가장 큰 문제는 사용자가 자신이 힘들게 번 돈으로 제품을 지원할 의향이 있는지 여부입니다. 그러나 이것이 진정한 경쟁, 혁신 및 부가가치 추구가 시작되는 방식입니다.