미국 FTC(Federal Trade Commission, 연방거래위원회)가 기술기업 대상 사상 최대인 50억불의 벌금에 Facebook과 합의했다고 공식 발표했습니다. Cambridge Analytica에 Facebook의 8천7백만 이용자 정보가 유출된 사건으로 2018년 3월 조사를 시작해서, 최근 FTC 표결에서 3:2로 승인을 받고 법무부 승인까지 받음으로써 확정된 이번 합의안에 대해, FTC(위원의 다수, 공화당 측)는 ‘완벽한 승리’라고 자찬하는 반면, 민주당 측 위원들은 Facebook의 매출이나 수익에 비해 벌금이 아주 가벼울 뿐만 아니라, CEO Mark Zuckerberg의 개인 책임을 면해준 데 대해 반발하며 합의안에 반대표를 던졌습니다.
FTC는 합의안에 벌금 외에도 Facebook에 강력한 개인정보 보호 의무와 감시 절차 의무를 부과했고, 이런 벌금과 의무, 장치는 (합의하지 않고) 소송을 진행했을 경우 결코 얻어내지 못했을 거라고 하면서 이번 합의가 소비자 개인정보 보호에 있어 전무후무한 승리라고 결론지었습니다. 그래서 Facebook이 벌금 이외에 어떤 내용을 합의했는지 알아봤습니다.
1. 개인정보 보호 의무 강화
외부 개발자들이 Facebook의 플랫폼 정책을 위반할 경우, Facebook 사용자 정보에 대한 접근 차단할 의무
앱 개발자들에 대해 위반의 정도에 따라 (Facebook의 경제적 이해관계와 관계없이) 플랫폼 정책을 적용할 의무
WhatsApp 등 Facebook의 다른 모든 제품, 서비스에 동일한 개인정보 보호 정책을 적용할 의무
생체정보 사용 및 공유에 대한 소비자 동의 확보 의무
2. 데이터 보안 의무 강화
인증, 접근 통제, 암호화 등과 관련된 데이터 보안 의무 명시
3. 법규 준수를 위한 5가지 채널
첫째, 개인정보 보호 관련 리스크와 합의안 준수만을 목적으로 한, 사외이사로만 구성된 이사회 위원회 설치,
둘째, 합의안이 요구하는 개인정보 보호 프로그램 준수에 관한 CEO 인증
셋째, 동일한 내용에 대한 준법감시인(Designated Compliance Officer, DCO) 인증
넷째, 독립적인 제3의 평가자에게 Facebook을 감독할 수 있는 새로운 도구 제공
다섯째, FTC에 Facebook을 상시 감사할 수 있는 새로운 도구 제공
4. 투명성 확보
첫째, 새로운 또는 수정된 제품, 서비스, 업무방식 등은 실행하기 전에 개인정보 리스크를 평가하고 대비책을 준비하고, 이 모두를 문서로 남겨야,
둘째, 500명 이상의 사용자 정보가 피해를 입은 경우 사고 보고서를 작성해야,
셋째, 독립적인 제3의 평가자는 반기마다 Facebook의 개인정보 보호 프로그램을 평가해야,
넷째, Facebook 경영진과 평가자들은 이사회의 개인정보 위원회에 정기적으로 회의를 열어 보고를 해야
이로써 Facebook이 진정으로 바뀔지, 위의 의무와 절차가 개인정보 보호의 모범 사례가 될 수 있을지, 지켜봅시다.