21일(현지시간) 영국 파이낸셜타임스(FT)에 따르면 프랑스 데이터 보호 주관기관인 정보자유국가위원회(CNIL)는 구글에 5000만 유로(약 640억 원) 과징금을 부과했다.
CNIL은 “구글이 개인정보 이용 계약 설명을 지나치게 포괄적이고 모호하게 해 사용자들이 완전히 이해할 수 없게 했다”며 “이는 개인정보 제공동의 절차를 투명하고 용이하게 해야 한다는 EU 규정을 준수하지 않은 것”이라고 이유를 설명했다.
이는 EU가 지난해 5월 일반데이터보호규칙(GDPR)을 시행하고 나서 미국 기업이 제재를 받은 첫 사례다. 아울러 CNIL이 부과한 벌금으로는 사상 최대 규모다.
CNIL은 특히 구글 모바일 운영체제(OS) 안드로이드가 탑재된 스마트폰을 초기화하는 절차 등을 문제 삼았다. 다섯 번이나 클릭해야 개인정보 이용 설명을 볼 수 있어서 GDPR에서 규정한 ‘평이하고 명료한 설명’과 거리가 멀다는 것이다.
이번 결정으로 인해 구글은 유럽에서 수십억 달러 규모의 광고사업 데이터를 수집하는 데 동의를 구하는 방법을 전면 재검토해야 한다고 FT는 전했다.
구글은 개인으로부터 수집한 정보를 타깃광고 등에 사용하고 있다. 구글은 성명에서 “다음 단계를 결정하기 위해 숙고 중”이라며 “우리는 GDPR에 명시된 기대와 동의조건을 충족하려 노력하고 있다”고 밝혔다.
프랑스 비영리기구 ‘논오브유어비즈니스(None of Your Business)’의 제소에 따라 CNIL이 조사에 착수했다고 FT는 전했다. 이 단체는 지난해 GDPR가 도입되자마자 구글 안드로이드 OS와 페이스북, 페이스북 산하 왓츠앱과 인스타그램 등을 제소했으며 넷플릭스와 구글 자회사 유튜브, 아마존과 애플, 스포티파이 등에 대해서도 당국에 조사를 촉구했다.
GDPR를 위반하는 기업은 과징금으로 최대 글로벌 연간 매출의 4%나 2000만 유로 중 높은 쪽이 부과된다.
사이버 보안 전문 독립 애널리스트인 루카스 올레이닉은 “GDPR 시대에 더 많은 벌금이 부과될 수 있음은 의문의 여지가 없다”며 “첫 번째 추징인 이번 프랑스의 결정은 GDPR가 실제로 어떻게 이해되고 시행되는지를 정의할 것이어서 매우 중요하다. IT 기업들이 시스템과 소프트웨어 설계를 변경하게 될 것”이라고 설명했다.