구글 개인정보 통합 정책

구글이 새로운 개인정보통합 정책으로 말이 많습니다. 구글의 60개 서비스를 통합하여 운영한다고 합니다.
이럴게 되면 그동안 개별 서비스별로 흩어져 있던 이용자의 개인정보가 결합 통합되어 보다 면밀한 개인정보 관리가 가능해 집니다.

즉, 구글은 새로 추가적으로 수집되는 개인정보는 없다고 하지만, 이전보다는 보다 정확한 구글 이용행태가 파악되어 보다 효과적인 광고에 활용될 수 있습니다. 물론 반대급부적으로 수많은 서비스 이용이 편리해 지는 면도 있을 수 있습니다.

구글의 새로운 개인정보취급방침을 한번 살펴보고 그동안 언론에서 제기된 문제점을 살펴보도록 하겠습니다.

구글 개인정보취급방침 메인화면으로 들어가면 새롭게 적용되는 개인정보 정책에 대한 소개 페이지가 나옵니다.

모든 제품을 손쉽게 작업하고 사용자를 위한 맞춤 서비스 등 보다 효과적인 이용이 가능하다고 합니다.

개인정보 통합에 대한 우려를 불식하기 위하여 '구글 대시보드' 및 '광고 관심설정' 같은 도구를 통해 투명성을 확보하고 다양한 선택안을 제시한다고 하고 있습니다.


그럼 구글 개인정보취급방침을 한번 볼까요?

1. 구글 개인정보 이용 목적

사용자는 정보를 검색 및 공유하고, 다른 사람들과 소통하고, 새로운 콘텐츠를 만드는 등 다양한 방법으로 Google 서비스를 사용할 수 있습니다. 사용자가 Google과 정보를 공유하는 경우(예를 들어 Google 계정을 만드는 경우) Google은 해당 서비스를 더욱 개선하여 좀 더 관련성 높은 검색결과를 표시하고, 사람들과 간편하게 연결하고, 다른 사용자와 더 빠르고 쉽게 공유할 수 있도록 도와드립니다.

개인정보 활용 목적이 '서비스 개선과 좀 더 관련성 높은 검색결과를 표시하며, 타인과 간편하게 연결하기 위하여, 그리고 더 빠르고 쉽게 공유하기 위하여' 라고 하고 있군요.

우리나라의 개인정보보호법과는 그 목적을 밝히는 방식이 많이 차이가 있습니다. 구글이 좀 더 포괄적이고 두리뭉실하다고 할까요?...


2. 수집하는 개인정보

Google에서 수집하는 정보

Google은 모든 사용자에게 더 나은 서비스를 제공하기 위해 사용자의 언어 같은 기본적인 정보부터 사용자가 가장 유용하다고 생각할 광고 또는 사용자가 온라인에서 가장 중요하게 여기는 사람과 같은 좀 더 복잡한 정보에 이르기까지 다양한 정보를 수집합니다.

Google에서는 두 가지 방법으로 정보를 수집합니다.

• 사용자가 제공하는 정보. 예를 들어, Google 서비스 중에는 Google 계정에 가입해야 사용할 수 있는 서비스가 많습니다. Google 계정에 가입할 때 Google은 사용자에게 이름, 이메일 주소, 전화번호 또는 신용카드와 같은 개인정보를 요청합니다. 또한 Google에서 제공하는 공유 기능을 최대한 활용하고자 하는 사용자에게 Google 프로필을 만들도록 요청할 수 있으며, 이 프로필은 모든 이에게 공개되고 이름과 사진이 포함될 수 있습니다.

• 사용자가 서비스를 사용할 때 수집하는 정보. Google은 Google 광고 서비스를 사용하는 웹사이트 방문 일시 또는 Google 광고 및 콘텐츠를 보고 사용한 일시 등 사용자가 사용하는 서비스 및 사용 방식에 대한 정보를 수집할 수 있습니다. 이러한 정보에는 다음이 포함됩니다.

  • 기기 정보

    Google은 하드웨어 모델, 운영체제 버전, 고유 기기 식별자 및 모바일 네트워크 정보(전화번호 포함)와 같은 기기별 정보를 수집할 수 있습니다. Google은 기기 식별자 또는 전화번호를 Google 계정과 연결할 수 있습니다.

  • 로그 정보

    Google 서비스를 사용하거나 Google에서 제공하는 콘텐츠를 볼 때 Google은 서버 로그에 있는 특정 정보를 자동으로 수집하고 저장할 수 있습니다. 여기에는 다음이 포함될 수 있습니다.

    • 사용자가 Google 서비스를 사용한 방법에 대한 세부정보(예: 검색어)
    • 전화 로그 정보(전화번호, 발신자 번호, 착신전환 번호, 통화 일시, 통화 시간, SMS 라우팅 정보 및 통화 유형)
    • 인터넷 프로토콜 주소
    • 기기 이벤트 정보(다운, 시스템 활동, 하드웨어 설정, 브라우저 유형, 브라우저 언어, 요청 날짜 및 시간, 참조 URL)
    • 사용자의 브라우저 또는 Google 계정을 고유하게 식별할 수 있는 쿠키

  • 위치 정보

    사용자가 위치 기반 Google 서비스를 사용할 때 Google은 사용자의 실제 위치에 대한 정보(예: 휴대기기에서 보낸 GPS 신호)를 수집하고 처리할 수 있습니다. 또한 근처 Wi-Fi 액세스 포인트 및 기지국 정보를 제공할 수 있는 기기의 센서 데이터 등 다양한 기술을 사용하여 위치를 파악할 수 있습니다.

  • 고유한 애플리케이션 번호

    일부 서비스에는 고유한 애플리케이션 번호가 포함됩니다. 서비스를 설치하거나 제거할 때 또는 자동 업데이트 요청 등을 위해 서비스가 주기적으로 Google 서버에 연결할 때 이 번호 및 운영체제 종류, 애플리케이션 버전 번호 등 설치 관련 정보가 Google로 전송될 수 있습니다.

  • 로컬 저장소

    Google은 브라우저 웹 저장소(HTML 5 포함) 및 애플리케이션 데이터 캐시 등의 메커니즘을 사용하여 정보(개인정보 포함)를 수집하고 이를 사용자의 기기에 로컬로 저장할 수 있습니다.

  • 쿠키 및 익명 식별자

    사용자가 Google 서비스를 방문하는 경우 Google은 사용자의 기기로 하나 이상의 쿠키 또는 익명 식별자를 보내는 등 다양한 기술을 사용하여 정보를 수집하고 저장할 수 있습니다. 또한 Google 파트너에게 제공하는 서비스(예: 다른 사이트에 나타날 수 있는 Google 기능이나 광고 서비스)와 사용자가 상호 작용할 때 쿠키와 익명 식별자를 사용합니다.

구글이 수집하는 개인정보는 무척 다양하다고 볼 수 있는데요. 구글 계정 시 입력하는 개인정보 부터 PC, 모바일 등 기기 사용에 따른 정보도 수집하고, 구글의 모든 서비스 이용 시 다양한 정보를 수집하고 있습니다.

프로필의 경우는 이름과 사진 등 사진이 공개로 설정한 개인정보는 모두 외부에 공개되므로 프로필 작성에 유의하여야 될 것으로 보입니다.

구글이 수집하느 기기정보, 로그정보, 위치정보, 쿠키 및 익명 식별자는 이용자가 그 수집 여부를 거의 인식하기 어렵습니다.


3. 개인정보 활용 범위

Google에서 수집한 정보를 이용하는 방법

Google은 모든 Google 서비스로부터 수집한 정보를 서비스를 제공, 유지, 보호 및 개선하고 새로운 서비스를 개발하며 Google 및 Google 사용자를 보호하는 데 사용합니다. 또한 사용자에게 좀 더 관련성 높은 검색결과 및 광고를 표시하는 등 맞춤형 콘텐츠를 제공하기 위해 이러한 정보를 사용합니다.

Google은 사용자가 Google 프로필로 제공하는 이름을 Google 계정이 필요한 모든 Google 서비스에서 사용할 수 있습니다. 또한 사용자의 이름이 모든 Google 서비스에 일관되게 표시되도록 Google 계정과 연결된 과거 이름을 교체할 수 있습니다. 내 이메일 주소나 나를 식별하는 정보를 다른 사용자가 가지고 있는 경우 Google은 그 사용자에게 내 공개 Google 프로필 정보(예: 이름 및 사진)를 표시할 수 있습니다.

사용자가 Google에 문의하는 경우 Google은 사용자가 겪고 있는 문제 해결에 도움이 되도록 사용자와의 커뮤니케이션 기록을 보관할 수 있습니다. Google은 변경 예정 사항 또는 개선사항 등 Google 서비스 관련 정보를 제공하기 위해 사용자의 이메일 주소를 사용할 수 있습니다.

Google은 쿠키 및 기타 기술(예: 픽셀 태그)을 통해 수집한 정보를 사용자 환경 및 전반적인 Google 서비스 품질을 개선하는 데 사용합니다. 예를 들어 사용자의 언어 환경설정을 저장함으로써 Google은 사용자가 원하는 언어로 서비스를 표시할 수 있게 됩니다. 사용자에게 맞춤 광고를 표시할 때 Google은 쿠키 또는 익명 식별자를 민감한 카테고리(인종, 종교, 성적 취향 또는 건강을 기반으로 하는 카테고리)와 연결하지 않습니다.

Google은 예를 들어 사용자가 아는 사람들과 쉽게 공유하도록 돕기 위한 목적 등으로, 하나의 서비스에 제공한 개인정보를 다른 Google 서비스의 정보(개인정보 포함)와 조합할 수 있습니다. Google은 사용자가 사전 동의하지 않는 한 DoubleClick 쿠키 정보를 개인 식별이 가능한 정보와 조합하지 않습니다.

본 개인정보취급방침에 명시된 목적과 다른 용도로 정보를 이용할 경우 Google은 먼저 사용자의 동의를 요청합니다.

Google은 개인정보를 전 세계의 여러 국가에 있는 Google 서버에서 처리합니다. Google은 사용자가 거주하는 국가 이외의 지역에 있는 서버에서 사용자의 개인정보를 처리할 수 있습니다.

구글이 수집한 개인정보를 이용하는 방법에 대해 기술하고 있으나, 사실 어떻게 이용되는지 쉽게 이해하기 힘듭니다. 여기서 설명한 이용방법이 실제 내가 구글을 이용하면서 어떻게 반영이 되고 개인정보가 결합되어 사용되는지 가늠하기 어렵습니다.

그리고, 이러한 이용방법에서 이용자가 어떠한 선택권을 행사할 수 있는지도 명확하지 않습니다. 예을 들면 위에서 '하나의 서비스에 제공한 개인정보를 다른 구글 서비스의 정보와 조합할 수 있다'고 하는데, 이러한 조합을 거부할 수 있는지 여부와 거부시 발생되는 서비스 불이익은 무엇인지에 대해서는 기술하고 있지 않습니다.

또한, 다른 서비스에 조합 시 과연 어느정도의 개인정보가 이용되는지도 궁금하구요. 서비스에 이용시 원하는 정보가 조합되도록 선택이 가능한지도 궁금합니다. 이런건 구글이 서비스에에 따라 다양한 방식으로 조합이 되기 때문에 구글도 구체적으로 기술할 수 없어서 그런건갈까요?


4. 투명성 및 선택권 행사

투명성 및 사용자의 선택

사람마다 개인정보 보호와 관련된 관심사가 다릅니다. Google의 목표는 어떤 정보를 수집하는지 명백히 밝힘으로써 사용자가 정보 사용 방식에 대해 의미 있는 선택을 할 수 있도록 하는 것입니다. 예를 들어 사용자는

• Google 대시보드를 사용하여 Google 계정과 연결된 특정 유형의 정보를 검토하고 관리할 수 있습니다.
• 광고 관심설정 관리자를 사용하여 관심이 있는 카테고리 등 광고 관심설정을 보고 수정할 수 있습니다. 또한 여기에서 특정 Google 광고 서비스를 사용하지 않도록 선택할 수 있습니다.
• Google 편집기를 사용하여 Google 프로필이 특정 개인에게 표시되는 방식을 보고 조정할 수 있습니다.
• 정보를 공유할 사용자를 제어할 수 있습니다.
• 여러 Google 서비스에서 정보를 가져올 수 있습니다.

Google 서비스와 관련된 쿠키를 포함하여 모든 쿠키를 차단하거나 Google에서 쿠키를 설정할 때 이를 알리도록 브라우저를 설정할 수도 있습니다. 하지만 쿠키를 차단하면 Google 서비스 다수가 제대로 작동하지 않을 수 있습니다. 예를 들어 사용자의 언어 환경설정을 기억하지 못할 수 있습니다.

구글 대시보드 및 광고 관실설정 도구를 통해 나의 정보를 관리할 수 있다고 합니다. 프로필은 공개범위를 설정할 수 있구요. 정보를 공유할 대상자도 제어가 가능하답니다.

구글 대시보드를 보니 다양하게 정보를 관리할 수 있도록 하고 있습니다. 물론 각 개별 관리설정이 의미하는 바가 무엇인지 살펴보는 것도 시간도 많이 걸리고 어렵다는 느낌이 있고, 일반 이용자들이 과연 대시보드를 잘 활용할 수 있을까하는 의심도 듭니다.

하여간 우리나라도 이러한 대시보드를 통해 개인정보를 관리할 수 있는 서비스가 많이 도입되었으면 하는 바램도 있습니다.

그러나, 문제는 대시보드가 구글의 개인정보 통합 정책을 모두 거부할 수 있을 만큼은 능가할 수 없다는 것이죠.
즉, 개인정보 통합을 원치 않는 경우의 최후의 수단은 바로 계정 삭제 입니다. 즉, 구글의 어떤 서비스도 사용하지 않은 방법밖에 없습니다.

5. 이용자가 공개한 정보

사용자가 공유하는 정보

사용자는 여러 Google 서비스에서 다른 사용자와 정보를 공유할 수 있습니다. 정보를 공개적으로 공유하는 경우 검색 엔진(Google 포함)에서 해당 정보의 색인을 생성할 수 있습니다. Google 서비스는 콘텐츠를 공유 및 삭제할 수 있는 다양한 옵션을 제공합니다.

서비스 이용자가 공개한 정보에 대해 구글 검색엔진이 색인을 생성한다고 합니다. 색인(목록)을 생성하는 이유는 무엇일까요?

6. 개인정보 열람, 정정, 삭제(파기)

개인정보 액세스 및 업데이트

Google은 사용자가 Google 서비스를 사용하는 동안 언제든지 자신의 개인정보에 액세스할 수 있도록 하고자 합니다. 해당 정보가 잘못된 경우, Google은 합법적인 사업 목적 또는 법률적 목적을 위해 유지해야 하는 경우가 아니라면 이러한 정보를 신속하게 업데이트하거나 삭제할 수 있는 방법을 제공하기 위해 노력합니다. 개인정보를 업데이트하는 경우 Google은 요청을 처리하기 전에 사용자 신원 확인을 요청할 수 있습니다.

Google은 비합리적으로 반복적인 요청, 과도한 기술적 노력이 필요한 요청(예: 새로운 시스템을 개발하거나 기존 관행을 근본적으로 바꾸어야 하는 경우), 타인의 개인정보를 침해하는 요청 또는 매우 비현실적인 요청(예: 백업 테이프에 있는 정보 관련 요청)을 거부할 수 있습니다.

Google은 과도한 노력이 요구되지 않는 한 정보 액세스 및 수정 서비스를 무료로 제공합니다. Google은 우발적이거나 악의적인 삭제 행위로부터 정보를 보호하는 방식으로 서비스를 유지 관리하고자 합니다. 이에 따라 Google은 사용자가 Google 서비스에서 정보를 삭제한 후에도 사본을 Google 활성 서버에서 즉시 삭제하지 않을 수 있으며 백업 시스템에서 정보를 삭제하지 않을 수 있습니다.

자신의 개인정보에 대해 언제든지 열람하고 정정하며, 삭제할 수 있다고 합니다. 이는 우리 법률과 다르지 않습니다. 다만, 구글이 수집한 다양한 정보에 대해 대시보드를 통해 언제든지 삭제할 수 있나요? 눈에 보이는 정보뿐만 아니라, 기기정보, 로그정보 등 인식하지 못한 정보까지 개별적으로 관리가능한 걸까요?

개인정보 파기와 관련하여 '우발적이거나 악의적인 삭제 행위로부터 정보를 보호하기 위하여' 이용자가 이미 삭제한 정보에 대해서 사본을 즉시 삭제하지 않고 백업 시스템에서도 삭제하지 않는다고 합니다.

우리나라 주민번호가 구글에 떠돌아 문제가 많이 되는데요. 원치않은 정보를 삭제한 경우에도 계속 검색되는 것은 문제 입니다. 구글은 이용자가 실수 또는 해킹 등의 이유로 삭제된 정보를 보호하기 위하여라고 하지만 한번 삭제된 정보를 백업 등에 보관하도록 하고 우선은 일차적으로 검색되지 않도록 해야 되는 것 아닐까요?

7. 개인정보 제공(공유)

Google에서 공유하는 정보

Google은 다음 경우를 제외하고는 Google 이외의 회사, 조직 및 개인과 개인정보를 공유하지 않습니다.

• 사용자가 동의하는 경우

  Google은 사용자가 동의한 경우 Google 이외의 회사, 조직 및 개인과 개인정보를 공유합니다. 민감한 개인정보를 공유해야 하는 경우 Google은 사용자의 사전 동의를 요청합니다.

• 도메인 관리자와 공유하는 경우

  도메인 관리자가 Google 계정을 대신 관리하는 경우(예: Google Apps 사용자) 조직에 사용자 지원을 제공하는 도메인 관리자 및 리셀러는 사용자의 Google 계정 정보(이메일 및 기타 데이터 포함)에 액세스할 수 있습니다. 도메인 관리자는 다음 작업을 수행할 수 있습니다.

  • 계정 관련 통계 조회(예: 사용자가 설치한 애플리케이션 관련 통계)
  • 계정 비밀번호 변경
  • 계정 액세스 일시 중지 또는 해지
  • 계정에 저장된 정보에 대한 액세스 또는 보관
  • 관련법, 규정, 법적 절차 또는 강제력이 있는 정부 요청을 준수하기 위해 계정 정보 수집
  • 정보 또는 개인정보 보호 설정을 삭제하거나 수정할 수 있는 사용자 기능 제한

  자세한 내용은 도메인 관리자의 개인정보취급방침을 참조하시기 바랍니다.

• 외부 처리가 필요한 경우

  Google은 Google 제휴사 또는 기타 신뢰할 수 있는 업체 및 개인에게 Google 지침을 기반으로 개인정보취급방침, 기타 기밀 및 보안 관련 조치를 준수하면서 Google의 개인정보 처리 업무를 대행하도록 개인정보를 제공할 수 있습니다.

• 법률상 필요한 경우

  Google은 다음 목적을 위해 개인정보에 대한 액세스, 이용, 보존 또는 공개가 필요하다고 믿는 경우 Google 이외의 회사, 조직 또는 개인과 개인정보를 공유합니다.

  • 관련법, 규제, 법적 절차 및 강제력이 있는 정부 요청의 준수
  • 서비스 약관 위반 조사를 포함한 관련 서비스 약관 집행
  • 사기, 보안 또는 기술적 문제를 감지, 예방 또는 해결
  • Google, Google 사용자, 일반 대중의 권리, 재산, 안전을 위험 요소로부터 보호

Google은 개인 식별이 불가능한 집계 정보를 대중 및 Google 파트너(예: 게시자, 광고주 또는 연결된 사이트)와 공유할 수 있습니다. 예를 들어 Google은 Google 서비스의 일반적인 사용 경향을 보여주는 정보를 대중에 공개할 수 있습니다.

Google은 인수, 합병, 또는 자산의 매각이 있을 경우 관련 개인정보의 기밀을 계속 유지하며, 개인정보가 타사에 전달되어 해당 업체의 개인정보취급방침의 적용을 받기 전에 해당 사용자에게 미리 공지합니다.

개인정보 공유와 관련해서 아마 문제제기를 많이 하는 것 같습니다. 광고주에게 정보를 제공하는 것과 구글의 파트너 등 외부에 개인정보를 제공하거나 위탁하는 경우 고지 및 동의의 적절성에 관한 것일 것 같습니다.

도메인관리자와 공유하는 경우는 계정에 대한 엑세스 권한이 있는데, 이게 무엇을 의미하는지 도메인 관리자의 의미, 도메인 관리자가 왜 그러한 관리권한을 가져야 하는지 잘 기술되어 있지 않아 궁금합니다. 제가 무지해서 일지도 모르죠.

외부업체에게 구글 개인정보 처리 업무를 위탁할 수 있다고 되어 있는데, 정확한 위탁업체명과 위탁업무 내용이 기술되어 있지 않습니다. 이는 방통위에서도 구체적으로 적시할 것을 요구한 사항입니다. 너무 많아서 그리고 자주 변경되어서 고지하지 못하나요?

구글은 광고를 위해 식별이 불가능한 정보를 광고주에게 제공한다고 합니다. 이번 개인정보 통합 정책도 보다 효과적인 광고 정보를 제공하기 위한 목적이 크지 않을까 합니다. 구글의 가장 큰 수입은 광고에서 발생하니깐 말이죠.

8. 기술적/관리적 보안조치

정보 보안

Google은 보유하는 정보에 대한 무단 액세스, 변경, 공개 또는 삭제로부터 Google 및 Google 사용자를 보호하기 위해 노력합니다. 특히 Google은

• SSL을 사용하여 여러 Google 서비스를 암호화합니다.
• 사용자가 Google 계정에 액세스할 때 2단계 인증을 제공하며 Chrome에서는 세이프 브라우징 기능을 제공합니다.
• 시스템에 대한 무단 액세스를 감시하기 위해 물리적 보안 조치를 포함하여 Google의 정보 수집, 저장 및 처리 관행을 검토합니다.
• Google은 개인정보 접근 권한을 Google 대신 개인정보를 처리하기 위해 정보를 알아야 하는 Google 직원, 계약업자(위탁업자) 및 대리인으로 제한합니다. 이들은 계약을 통해 엄격한 기밀유지의 의무를 갖게 되며 이러한 의무를 어길 경우 제재를 받거나 계약이 해지될 수 있습니다.

개인정보를 보호하기 위한 보안조치는 무척 다양합니다. 보안 조치가 이것 밖에 없는건 아니겠죠? 접근통제, 비밀번호 규칙, 망분리, 방화벽, 접근기록 유지, 암호화(다양한 접점에서), 보안서약계약, 망분리, DB, 네트워크, 서버 보안 등등...


9. 집행

집행

Google은 개인정보취급방침의 자체적인 준수를 정기적으로 검토합니다. 또한 여러 자체 규제 프레임워크를 준수합니다. 불만사항에 대한 공식 서면 신고서가 접수되면 Google은 신고서 발송자에게 연락하여 후속조치를 취합니다. Google은 개인정보 전송과 관련하여 사용자와 직접 해결할 수 없는 불만사항이 있는 경우 문제 해결을 위해 현지 데이터 보호 당국을 비롯한 해당 규제 당국과 협력합니다.

개인정보취급방침에 대해 정기적으로 준수 여부를 검토하는 것은 당연하구요. 문제는 개별 국가의 개인정보 규제를 얼마나 준수하려고 노력하느냐 입니다. 방침상으로는 문제 해결을 위해 규제 당국과 협력한다고 하고 있습니다만, 이번 개인정보 통합 정책도 전세계적으로 공통적인 정책이 우선인 것 같고, 자신들의 정책이 다른 국가의 규제를 준수하는 것으로 믿고 있다고 밝히고 있습니다. 즉, 다른 나라의 법률도 자신들의 입장에서 해석하겠다는 것인지 아닌지 모르겠습니다.




개인정보 안심 서비스 - 개인정보보호 컨설팅 케이핌(www.kpim.co.kr)