블록체인 기반 인터넷 브라우저 브레이브가 개인정보보호규정(GDPR)을 위반을 이유로 아일랜드 소재 데이터보호위원회(DPC)에 구글을 신고했다. DPC는 아일랜드 내 GDPR 규정을 총괄하는 기관으로 구글, 페이스북, 트위터 등 아일랜드에 유럽 본사를 둔 다국적 IT 기업을 관리·조사한다.
16일(현지시간) 브레이브는 공식 홈페이지를 통해 “이날 아침 DPC에 구글을 신고했다”며 “구글은 GDPR 5조(1)b에 명시된 ‘목적 제한’을 위반했다”고 밝혔다. GDPR은 유럽연합(EU)이 유럽 시민들의 개인정보 보호를 강화하기 위해 만든 규정이다. 지난 2018년 5월부터 각 EU 회원국에서 시행됐으며, 각 기업이 EU 시민의 개인정보를 활용하기 위해서는 이 규정을 준수해야 한다.
GDPR에 따르면 기업은 고객의 개인 정보를 내부적으로만 보관하고, 아주 좁은 범위에서만 활용해야 한다. 이에 구글이 모든 사람에게서 무료로 개인 정보를 수집하고 이를 활용하는 것은 GDPR 위반이라는 게 브레이브의 주장이다.
조니 라이언(Johnny Ryan) 브레이브 최고 정책 책임자는 지난 6개월간 구글의 자신의 개인정보를 어떻게 활용하는지 추적했다. 그는 구글에 “내 정보를 어떻게 활용하고 있느냐”는 질문을 수차례 남겼지만, 답변을 받지 못했다고 주장했다.
라이언은 “구글은 모든 사람에 대한 개인 정보를 가지고 있고, 유튜브와 지메일 그리고 다른 방식으로 개인 정보를 수집하고 있다”며 “그러나 구글이 원한다면 언제나 이 정보를 사용할 수 있는 건 아니”라고 강조했다. 그는 “고객의 개인정보를 활용할 때마다 사용 목적에 대한 구체적인 법적 근거를 검토하고, 이 목적을 투명하게 공개해야 한다”며 “그러나 구글은 이를 위반하고 있다”고 말했다.
브레이브는 구글을 ‘블랙박스’라고 표현했다. 고객의 모든 행동을 기록하고 있기 때문이다. 브레이브는 “구글이 비즈니스 고객에게 제공하고 있는 문서를 조사한 결과, 구글은 모든 고객의 정보를 수집하고 있다”며 “수집 목적은 매우 모호하게 정의돼 있어 GDPR을 위반하는 것”이라고 설명했다. 라비 나익(Ravi Naik) AWO 파트너는 “구글 조직은 그 자체가 데이터를 공유하고 소비하는 하나의 허브”라며 “이 구조를 바꾸기 전까지 데이터는 보호되지 않을 것”이라고 말했다.
브레이브는 DPC가 구글을 조사하고, 명령을 내린다면 △구글은 자동으로 데이터를 수집할 수 없고 △한 가지 데이터를 서로 다른 목적으로 사용할 수 없고 △개인정보를 조합한 불법 데이터를 수집할 수 없고 △사용자는 개인정보 활용 동의를 철회할 수 있을 것이라고 주장했다.
브레이브는 개인정보 보호에 특화된 웹 브라우저다. 광고와 추적시스템의 접속을 차단하고 사용자의 정보를 모을 수 없도록 한다. 사생활 보호 모드에서는 다른 브라우저보다 강화된 익명성을 보장한다. 사용자가 광고를 보도록 설정할 경우에는 광고 시청에 대한 대가로 암호화폐 베이직어텐션토큰(BAT)을 지급한다.
/노윤주기자 daisyroh@decenter.kr
- 노윤주 기자
- yjr0906@decenter.kr