전문가칼럼

[스타트업 법률상식 46] 맞춤형 광고를 위한 정보 수집시 주의사항

현수진

[법무법인 민후 현수진 변호사] 인터넷을 이용하는 사람이라면 누구나 한 번쯤 맞춤형 광고를 경험해 보았을 것이다. 어제 인터넷 서핑 중 쇼핑몰에서 구경한 제품이 오늘 방문하는 포털 사이트 광고란에 노출되는 경우가 대표적인 맞춤형 광고다.

최근 대부분의 회사들은 모바일 기반의 맞춤형 광고를 주된 마케팅 채널로 활용하고 있다. 사용자의 과거 검색 이력을 통해 선호도가 높을 만한 상품 광고를 노출하는 방식에서부터, 인공지능을 기반으로 사용자의 연령, 관심사 등을 추정해 최적의 상품을 보여주는 방식까지, 맞춤형 광고 기술은 빠른 속도로 발전하고 있다.

이때 맞춤형 광고 송출의 기반이 되는 것은 인터넷 사용 기록인 쿠키의 수집이다. 쿠키란 사용자가 특정 웹사이트에 접속하는 시점에 서버가 사용자의 기기에 보내 저장되는 텍스트 파일을 의미하는데, 쿠키를 통하여 웹사이트 방문 내역, 검색 이력, 로그인 정보, 구매 내역 등 다양한 행태 정보를 수집할 수 있다.

IT 및 데이터 기술의 발달로 인해 스타트업이 가장 활발하게 진출하는 사업 분야 중 하나인 플랫폼 비즈니스의 경우 맞춤형 광고를 적절하게 활용하여 수익을 얻는 것이 유리하다. 다만 맞춤형 광고를 위한 정보 수집 시에는 개인 정보 침해 문제가 발생하지 않도록 주의해야 한다. 이에 이하에서는 행태정보 수집에 대한 규제 및 쿠키 수집 시 유의하여야 할 사항을 소개하겠다.

우선 개인정보 보호법 제30조는 “인터넷 접속 정보 파일 등 개인 정보를 자동으로 수집하는 장치의 설치, 운영 및 그 거부에 관한 사항”은 개인 정보 처리 방침을 통하여 공개해야 하는 점이라고 명시하고 있으나, 명백하게 쿠키 수집 자체에 대한 동의를 받을 것을 요구하고 있지는 않다.

다만 2017년 방송통신위원회가 발표한 온라인 맞춤형 광고 개인 정보보호 가이드라인」(이하 ‘가이드라인’)에 따르면, 광고사업자가 쿠키를 통하여 수집하는 행태정보를 개인 정보와 결합 및 분석하여 개인별 맞춤형 광고에 활용하고자 할 때 등 해당 서비스 제공 계약의 이행과는 무관한 목적으로 이용하기 위해 수집하는 경우에는 선택 동의 항목으로 분류하여 별도의 동의를 받아야 하며, 다만 서비스 제공 과정에서 지속적으로 수집되는 특성으로 인하여 매 시점마다 동의를 받는 것이 곤란한 경우에는 동의 없이 수집이 가능하다.

또한 가이드라인에 의하면 광고 사업자는 쿠키 등의 행태정보 제공 여부 및 맞춤형 광고 수신 여부에 대한 이용자의 통제권을 보장하여야 하며, 특히 행태정보의 수집을 거부할 수 있다는 선택지를 제공하여 통제권 보장이 실질적으로 이루어질 수 있도록 유의해야 한다.

정리하자면, 맞춤형 광고의 제공을 위하여 행태정보와 개인 식별정보를 결합하여 활용할 경우에는 반드시 이용자에게 해당 사실과 사용목적, 결합되는 구체적인 정보 항목, 보유기간 등을 명확히 알리고, 해당 이용자로부터 사전에 동의를 받아야 하며, 동의를 구할 때 이용자의 실질적인 통제권이 보장될 수 있도록 주의하여야 한다.

웹사이트 사용에 따른 개인 정보 수집에 관하여는 웹사이트 서비스 이용을 통한 약관 동의에 의하여 묵시적으로 개인 정보 수집에 대한 동의를 구하는 경우가 많은데, 결국 이러한 경우 웹사이트를 이용하는 것만으로 쿠키를 통한 행태 정보를 수집하는데 동의한 것으로 간주된다.

앞서 살펴본 바와 같이, 묵시적으로 구한 개인 정보 수집에 대한 동의는 쿠키 수집을 거절할 수 있는 이용자의 권리를 실질적으로 보호해 주지 못한다는 점에서 개인 정보 침해 문제가 발생할 소지가 높다.

따라서 웹사이트 개인정보처리방침에 인터넷 서비스 이용과정에서 아래 IP주소, 쿠키, MAC주소, 서비스 이용기록, 방문기록, 불량 이용기록 등 개인 정보 항목이 자동으로 생성되어 수집될 수 있다는 점을 기재하고, 쿠키 수집 동의 인터페이스를 구상할 때 “모든 쿠키 수집에 동의”하는 버튼뿐만 아니라, “쿠키 수집을 거부”한다는 선택지를 제공함으로써 이용자의 개인 정보에 대한 권리가 침해되지 않도록 주의해야 한다.

나아가 행태 정보 수집에 대한 명시적 규정을 두고 있지 않은 국내 개인 정보보호법과 달리 EU의 경우 “Directive 2009/136/EC of the European Parliament and of the Council”을 통해 쿠키만 다루는 법률을 따로 만들어 쿠키 사용을 규제하고 있다. 맞춤형 광고 등 IT 기반 마케팅 기술이 발전함에 따라 우리나라에서도 행태 정보 수집에 관해 특별 조항을 법제화하는 논의가 활발하게 이루어지고 있는바, 향후 귀추를 주목할 만하다.

<현수진 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다>
디지털데일리가 직접 편집한 뉴스 채널