1P by GN⁺ | ★ favorite | 댓글 1개
  • 베를린 지방법원은 독일 소비자단체연합 vzbv 소송에서 LinkedIn의 일부 데이터 처리 관행이 사용자 통제권을 침해한다고 판단함
  • 브라우저의 Do Not Track 신호를 무시한 채 분석·마케팅 추적을 계속한다는 LinkedIn 안내는 사용자에게 오해를 줄 수 있음
  • 신규 계정의 Profile Visibility 기본값으로 프로필을 자동 공개하는 방식도 금지됐고, 비회원에게 보이려면 명시적 동의가 필요함
  • 앞선 일부 판결에서는 비회원 대상 원치 않는 이메일 발송과 특정 법적 권리 포기를 강제하는 약관도 문제로 다뤄짐
  • 이번 판결은 선례가 될 수 있지만, Do Not Track이 실제 보호 장치가 되려면 EU 전역의 지속적 집행이 뒤따라야 함

LinkedIn 데이터 관행에 대한 독일 법원 판단

  • 베를린 지방법원은 전문 네트워킹 플랫폼 LinkedIn의 일부 데이터 처리 관행을 금지함
  • 소송은 독일 소비자단체연합 vzbv가 제기함
  • 법원은 LinkedIn이 사용자의 브라우저에서 전송되는 Do Not Track 신호를 무시할 수 없다고 판단함
    • Do Not Track 신호는 인터넷 사용자가 온라인 활동 추적을 거부한다는 뜻을 전달함
    • LinkedIn은 이런 신호를 받으면서도 웹사이트에서 분석·마케팅 목적의 추적을 한다고 안내함
    • 법원은 LinkedIn이 Do Not Track 요청을 존중해야 하므로 해당 안내가 오해를 부르는 커뮤니케이션이라고 봄
  • 신규 사용자의 프로필을 자동 공개하는 기본 설정도 금지됨
    • LinkedIn의 Profile Visibility 기본값은 계정 생성 직후 사용자 정보를 공개 상태로 만듦
    • 법원은 동의 없이 사용자 정보를 공개하는 방식이 데이터 보호 규정을 위반한다고 봄
    • 사용자의 프로필이 비회원에게 보이려면 사용자가 명시적으로 동의해야 함
  • 이전 일부 판결에서도 LinkedIn의 다른 관행이 금지됨
    • 비회원에게 원치 않는 이메일을 보내는 행위
    • 사용자가 특정 법적 권리를 포기하도록 강제하는 약관 사용

Do Not Track 집행의 남은 과제

  • vzbv는 이번 결정을 소비자가 개인 데이터 통제권을 행사할 수 있음을 확인한 사례로 봄
    • 사용자가 Do Not Track을 활성화하면 온라인 활동을 감시당하고 싶지 않다는 명확한 메시지를 보내는 것임
    • 웹사이트 운영자는 이런 신호를 존중해야 한다는 입장임
  • 판결 자체는 진전이지만, 하나의 독일 판결만으로 사용자 프라이버시 관행이 크게 바뀌기는 어려움
    • Do Not Track은 수년 전부터 존재했지만, 많은 사이트가 별다른 결과 없이 이를 무시해 왔음
    • 이번 사건은 선례가 될 수 있지만 독일의 고립된 판결로 남을 가능성도 있음
  • 실질적 변화에는 EU 전역의 지속적 집행이 필요함
    • 규제기관은 지금까지 충분히 빠르게 움직이지 않았다는 비판을 받음
    • 유럽의 모든 사이트가 준수하더라도 기술 기업이 침해적 추적을 유럽 밖으로 옮길 가능성이 남아 있음
    • 쿠키 동의 배너는 형식적 절차에 가까워졌다는 평가가 있음
  • Do Not Track 같은 프라이버시·동의 보호는 기업의 자발적 준수에 크게 의존함
    • 자기 이익을 추구하는 기업은 사용자 권한을 강화하는 규칙을 우회할 방법을 찾음
    • 일부 사이트는 DNT 같은 신호를 존중하는 모습을 보일 수 있지만, 피상적인 동의 프롬프트로 우회하기 쉬움
  • 의미 있는 프라이버시 보호에는 사이트 구축 방식과 수익화 방식의 재검토가 필요함
    • Silicon Valley는 감시 자본주의를 포기할 유인이 작음
    • Big Tech는 프라이버시를 말하면서도 가능한 한 많은 데이터를 수집함
    • 비즈니스 모델이 바뀌지 않으면 Do Not Track 같은 자발적 조치는 빈 제스처에 그칠 수 있음

댓글과 토론

Hacker News 의견들
  • 이 판결은 훌륭하고, 아마 피할 수 없을 항소에서도 유지되길 바람. 사이트별 쿠키 알림을 없애는 가장 명백한 방법은 DNT를 법적으로 강제 가능하게 만드는 것임
    비영리 단체 웹사이트를 만드는 에이전시를 운영하는데, DNT가 켜져 있으면 추적하지 않고 쿠키 알림도 표시하지 않음. 다만 사용자가 쿠키 알림이 없으면 “기본적으로 추적하는 것 아닌가” 의심할까 봐, “DNT 설정을 확인했고 추적을 껐다”는 1회성 안내를 보여줘야 하나 고민됨

    • 애초에 쿠키 알림이 필요한 일을 하지 않는 편이 더 나음. 항상 직접 결정할 수 있는 건 아니겠지만, 이런 추적이 필요하다는 전제에는 최대한 반박해야 함
    • 쿠키 법은 원래 이렇게 구현됐어야 했고, 그렇게 하지 않은 건 전적으로 입법자들의 책임임. 사람들이 배너 팝업을 클릭하느라 낭비한 수백만 시간의 관료주의 비용은 법을 만든 쪽 탓이지 위반자 탓이 아님
    • 대부분의 웹사이트는 실제로 사용자를 추적하고 싶어 하므로 그렇게 될 가능성은 낮아 보임. 결국 배너를 계속 띄우거나, “DNT가 켜져 있는 건 알지만 우리 사이트만 예외로 허용하겠느냐” 같은 변형을 보여줄 것임
      그렇게 하면 사용자가 쿠키 배너를 없애려고 동의할 가능성이 생기고, 웹사이트에서 준 구체적 동의가 DNT의 일반적 비동의를 우선한다고 주장할 수 있음
    • 어머니가 한 번은 내가 공유한 사이트가 쿠키를 끌 수 없어서 싫다고 문자하신 적이 있음. 잠깐 확인해 보니 그 사이트는 아무것도 수집하지 않아서 그런 것이었음
    • 기술적 쿠키에는 원래 쿠키 배너가 필요 없음. 안타깝게도 모든 웹사이트 운영자가 이걸 아는 건 아님
  • 웹사이트들이 왜 제3자가 아닌 자체 광고 솔루션을 못 찾는지 아직도 이해가 안 됨. 주요 사이트들은 생각 없이 배치된 광고 때문에 엉망처럼 보임
    잡지나 신문 광고처럼 사람이 신중하게 골라 페이지에 배치해야 하고, 그러면 경험도 나아지고 추적도 필요 없을 것임. “좋은 광고”를 위해 추적이 필요하다는 기대는 실현되지 않았고, 사람들이 사고 싶어 할 제품을 고르는 건 결국 취향 있는 사람이 해야 함

    • 광고 시장이 사일로화됐기 때문임. 대행사는 큰 예산을 쉽게 집행하고 싶어 하지, 수천 개 매체와 개별 협상하고 싶어 하지 않음
      그래서 큰 공급자에게 묶음 구매를 하고, 그 공급자는 통계를 중앙에서 제공함. 이는 클릭 사기와 게재 사기가 만연할 수 있으니 매체 소유자를 어느 정도 정직하게 유지하기 위한 장치이기도 함. 광고주가 원하는 것을 제공하지 않고 예산을 빼내는 방법은 항상 있고, 사기꾼과 마케터, 마케터와 사용자 사이의 군비 경쟁 속에 최종 사용자가 끼어 있음. 이 판결은 스스로 비전투원임을 선언한 사람들에게 약간의 상식을 돌려줌
    • 광고 업계나 광고주와 직접 상대하는 일은 페이지나 앱에 배너 자리 하나 붙이는 것보다 훨씬 복잡함. 사이트들은 새 사업을 배우기보다 본업에 집중하고 싶어 함
      광고주 찾기, 단가 협상, 광고 위치와 반응 보고서 준비, 클릭 사기 탐지, 사기 대응을 광고 파트너에게 납득시키기, 계약상 돈을 언젠가 받는다는 사실을 설득하기 같은 일이 따라옴. 광고주는 그 보고서를 자기 시스템으로 유입된 관심 로그와 맞춰 보려 함
    • 시장에는 사기가 가득하고, 감시는 그 사기에 대응하기 위해 존재함. 사용자가 노출이나 클릭을 가짜로 만드는 봇이 아니라 실제 사용자라는 걸 증명하려고 감시하는 것임
      광고 구매자 입장에서 생각해 보면, 어떤 임의의 웹사이트가 내 광고를 보여주겠다고 할 때 내가 무엇을 얻게 되는지 어떻게 알 수 있겠음
    • 마케팅 부서 사람들은 오가고, 자체 도구를 배울 시간이나 동기가 없음. 그들은 gtag를 알고 있고 그걸로 만족함
    • 결국 왜 하도급이 존재하느냐고 묻는 셈임
  • 드디어 됐음. Do Not Track 헤더는 궁극적인 동의 거부임. 명시적인 “아니오”이고, 서버가 몰랐다고 주장할 수 없는 요청 헤더의 일부임
    Do Not Track이 있었는데도 웹이 동의 팝업 난장판이 된 건 이 기업들의 악의를 보여줌. 사용자 의사를 우회하려 한 것이 분명하고, 더 나쁘게는 이걸 추적용 추가 비트로 바꿔 버렸음. 법적 선례가 생겨서 좋음

    • 궁극적인 거부라고 보기는 어려움. 특정 사이트를 허용하는 방법이 없고, 무엇을 추적하지 말라는 의미인지도 정의돼 있지 않음. 참고: https://www.eff.org/deeplinks/2011/02/what-does-track-do-not...
      브라우저에서 이를 명문화해 지정하는 방식은 있으면 좋겠지만, 필연적으로 예외 목록의 길도 열림. 극단적으로 해석하면 DNT 준수는 로그인 자체가 필요한 사이트를 사용할 수 없다는 뜻이 될 수도 있음
  • 소비자와 기업 관계를 정의하는 대부분의 의사 계약 헛소리는 쓰레기 같은 법 이론임. 애초에 인정돼서는 안 됐음
    법 체계가 이를 허용하고 지지해 온 사실은 법조계 철학과 윤리가 얼마나 지적으로 취약한지 보여줌. 기업들은 특히 디지털 상호작용에서 이용약관, 최종 사용자 라이선스 계약 같은 것을 주문처럼 사용하지만, 그건 합의가 아니라 사용자와 소비자의 권리를 빼앗는 우스운 의식일 뿐임. 약관으로 박탈될 수 있는 권리라면 애초에 존재하지 않는 것임. “합의에 의해”라는 개념 자체가 이런 상황에서는 가짜지만, 꼭 그렇게 해야 한다면 판을 반대로도 기울일 수 있음. “이 브라우저에 웹페이지를 제공함으로써 귀하는 다음에 동의합니다…”처럼 말임. 쿠키를 떨어뜨리거나 데이터를 기록하는 순간 사용자에게 유리한 의사 법적 기본값을 만들 수 있음. 산 제품을 쓰기 전에 X에 동의해야 한다는 조건은 무효로 만들고, 데이터 공개나 약관 동의가 제품 사용 조건이라면 소비자에게 무기한 전액 환불권을 줘야 함. 읽히지 않도록 설계된 강압적 계약에 동의해야 기기를 쓸 수 있다면, 거절하고 언제든 전액 환불받을 권리라도 주거나 최소한 그 합의는 무효화해야 함

    • 내가 이해하기로는 많은 나라에서 “산 제품을 쓰기 전에 X에 동의해야 한다”는 건 실질적으로 이미 불법임. 그런 나라의 사용자는 보통 그런 동의 화면을 그냥 클릭해 넘겨도 법적 효력이 없음
      최종 사용자 라이선스 계약은 사용자가 앱이나 기기를 얻기 전에 제시돼야 함. 그래서 Steam은 게임을 다운로드하기 전에 제3자 EULA 수락을 먼저 요구하고, 스토어 페이지의 눈에 띄는 노란 막대에 제3자 EULA를 읽을 수 있게 표시함. “상자 뒷면의 EULA 링크” 같은 건 허용되지 않음. 그리고 그 경우에도 책임 관련 내용을 넘어서는 EULA의 상당 부분은 원래 가진 권리를 금지하려 하므로 대체로 불법임. 내가 알기로 미국은 이런 포장 개봉형 EULA가 고급 화장지보다 더 쓸모를 갖는 거의 유일한 나라임. 다만 나는 변호사가 아님
    • 라이선스 변경이 마음에 들지 않는다는 이유로 환불 소송을 낸 사례가 있었나?
    • 판사, 사법 철학자, 법학 교수들은 MS Word로 법을 쓰고, 법 개정 협상은 문단을 이메일로 보내서 하며, 그 이메일도 많아야 하루 한 번 확인하고 있을 것임
  • 좋은 소식임. 이제 이 사안이 도전받을 경우 EU 법원에서도 다뤄지는지 보고 싶음. 다만 광고 업계는 EU 전체에서 한 번에 지는 위험을 감수하기보다 나라별로 싸우려 할 것 같음

    • 이게 EU 전역 법이 되면 좋겠음. DNT 헤더를 보내면 이미 추적에 동의하지 않은 것이므로 쿠키 동의 알림을 띄울 수 없어야 함
    • 왜 항상 “EU 법원에 기대”가 되는 걸까? 미국 법 체계가 그렇게 무력하거나 부패해서 모두가 완전히 포기한 건가?
    • 국가 법원 체계에서는 어느 정도까지만 올라갈 수 있고, 그 뒤에는 패소하거나 EU 법원이 관여하게 됨
      독일에서 이 사안이 연방대법원(BGH)까지 가면, 적용되는 EU 법, 이 경우 GDPR에 대한 해석을 유럽사법재판소에 “질의”할 것이고 다른 국가 법원도 그 선례를 고려하게 됨. LinkedIn이 항소하지 않으면 이 판결을 따라야 하며, 그 경우에도 국가 법원이 국경 너머 판례를 참고하는 일은 드물지 않음
    • 이는 이미 “기술적 수단”으로 추적을 거부할 수 있게 하는 GDPR 해석
      각국이 이 해석을 쓰게 하려면 나라별로 다투어야 할 것 같지만, 다른 EU 국가들에도 100% 선례가 됨
  • 내가 이해한 바로는 LinkedIn이 실제 처리 과정에서 DNT 헤더를 존중하도록 강제된 것은 아님. DNT 헤더가 법적 구속력이 없어서 존중하지 않는다고 주장하는 것만 금지된 것임
    법원은 LinkedIn에게 DNT 헤더를 실제로 존중하거나 최소한 고려하라고 강제하지 않았음. 독일어 원어민으로서, 보통 신뢰할 만한 heise online의 이 기사도 그렇게 이해했음: https://www.heise.de/news/Do-Not-Track-LinkedIn-darf-nicht-m...

    • 전체 판결문은 여기서 볼 수 있음 [1]. 소비자 보호 단체도 LinkedIn이 DNT를 존중하도록 강제해 달라고 청구했지만, 법원은 두 가지 이유로 너무 광범위하다고 보고 받아들이지 않았음
      첫째, DNT가 정확히 무엇을 의미하는지 충분히 특정하지 않았음. 특히 소송은 DNT 헤더로 한정하지 않고 브라우저가 보내는 모든 종류의 설정된 신호를 언급했음. 둘째, 그런 신호를 만났을 때 LinkedIn이 중단해야 할 행위를 너무 넓게 설명했음. 판결이 유지되면 향후 소송의 문은 분명 열어 주는 것으로 보이고, 대상 기업들이 이를 예상해 행동을 조정하길 기대할 수도 있지만 큰 기대는 하지 않음
      [1] https://www.vzbv.de/sites/default/files/2023-10/23-10-10_Stn...
    • 그 기사를 읽으려면 돈을 내거나 개인화 추적에 “자유롭게 동의”해야 함. 그 사이트에서 글 쓰는 사람들은 아마 IP 허용 목록에 있거나 항상 로그인돼 있을 텐데, 이제 그 아이러니를 깨닫기는 하는지 가끔 궁금함
    • 맞지만, 법원은 DNT가 법적 구속력이 있다고도 말했음. 링크한 heise 기사 끝에서 두 번째 문단에도 나옴
      다만 판결 자체는 DNT를 존중하는지 여부가 아니라 그 주장에 관한 것이니, 그 점은 맞음
  • 추적을 논할 때 항상 보이는 문제는 단어의 범위가 너무 넓다는 것임. 예를 들어 세 가지가 있음: 가게 주인이 절도를 막으려고 손님을 보고 상품 배치를 위해 동선을 관찰하는 것, 온라인 상점이 사람들이 어떤 상품을 보고 어떤 장바구니를 가장 많이 버리는지 추적하는 것, 전 세계 광고망이 인터넷 전반의 브라우징 활동 대부분을 받아 광고 프로필을 만드는 것
    이 축 어딘가에서는 규모의 차이가 종류의 차이를 만든다고 보지 않나? 개인적으로는 사용자가 내 웹사이트에서 하는 일을 관찰하는 건 괜찮지만, 데이터가 제3자에게 공유될 때는 명시적 동의가 필요하다고 봄

    • 광고 프로필이라는 말 자체도 상상에 맡기는 부분이 많은 아주 넓은 표현임. 모두 같은 것도 아님
      Google이 보유한 광고 프로필은 직접 보고 수정할 수 있음 [1] [2]. 무엇을 찾아낼지 대충 궁금해서 켜 두고 있는데, 지금까지 광고 주제는 매우 일반적이고 걱정할 만한 건 아니었음
      [1] https://myadcenter.google.com/
      [2] chrome://settings/adPrivacy/interests (데스크톱 Chrome 사용 시)
    • 1번과 2번은 동의 없이도 구현 가능할 가능성이 큼
    • 핵심은 대상의 차이임
      추적 대상이 사람이라면 그 사람의 동의가 필요함. 추적 대상이 무생물이라면 대체로 괜찮을 가능성이 큼. 단, 무생물 추적을 통해 사람을 추적하게 된다면 그 사람의 동의를 받아야 함
    • GDPR은 필요한 용어들을 명시적으로 정의하고 있음
  • “브라우저에 Do Not Track이 켜져 있으므로 이 콘텐츠를 제공할 수 없습니다”

    • 괜찮음. 사람들이 유럽적 가치와 기술 노예화 사이에서 선택해야 한다는 걸 이해하게 해 줌
    • EU에 사는 입장에서, 미국 기반 웹사이트에서 이런 걸 매우 자주 봄. 추적 쿠키와 데이터 빨아들이기가 꼭 필요한 사이트들임
    • 다행히 그건 동의 없는 추적, 또는 이 경우 명시적 거부를 무시한 추적만큼이나 불법임
    • 괜찮음. 미국 웹사이트가 내 EU IP 주소 때문에 콘텐츠를 못 보게 막으면 오히려 기쁨
    • 내가 EU에 있으니 미국 사이트를 방문할 수 없다는 비슷한 메시지는 이미 존재함
  • 기본으로 DNT 헤더가 켜져 있는 브라우저도 포함될까? 초기 Edge나 후기 Internet Explorer가 기본으로 이 헤더를 보냈고, 광고에서도 그렇게 주장했던 것으로 기억함
    당시 명세는 헤더가 항상 전송되거나 사용자가 켠 것이 아니라면 무시할 수 있다고 했던 것 같음

    • 변호사는 아니지만, 웹사이트는 DNT 설정이 기본으로 켜진 것인지 사용자가 의도적으로 켠 것인지 구분할 수 없으므로 실제로는 중요하지 않음. 사용자가 DNT 설정을 켰다고 가정해야 함
      Agatha 이모가 잡지에서 DNT 설정을 읽고 브라우저 설정에 들어가 보니 이미 켜져 있어서 아무것도 하지 않았다고 해 보자. 기본값이 꺼진 다른 브라우저를 쓰는 Ulysses 삼촌이 설정에 들어가 켠 것과 다르지 않음. 내 우편함에 원치 않는 광고를 받지 않겠다는 스티커가 붙어 있다면, 누가 그 스티커를 붙였는지 추정하려 들 필요가 없음
    • 법원이 어떻게 판단하는지에서 명세는 대체로 중요하지 않음. 판결에 따르면 DNT는 법원 관점에서 추적을 원하지 않는 유효한 신호로 간주됨. 변호사는 아님
      DNT 헤더가 기본 설정된 브라우저를 쓰는 것 자체가 그런 브라우저를 선택함으로써 개인정보에 관한 결정을 한 것이라고 주장할 수도 있음. 광고 회사들은 그런 주장을 원하지 않고, 모든 브라우저에서 사용자가 옵트아웃하길 원함. 이상적으로는 Microsoft가 Explorer에서 기본으로 켠 뒤 실제로 그랬듯이 헤더 자체를 그냥 무시하고 싶어 함
    • EU에서는 기본값이 개인정보 사용에 동의가 필요하다는 쪽임. 몇몇 관할권에서는 IP도 개인정보에 포함되므로 기본값은 빠지는 쪽이어야 함
    • 사용자가 개인정보 보호 중심 브라우저를 설치했다면, 브라우저가 DNT를 기본으로 켜더라도 여전히 사용자 선택이 있었다고 볼 수 있음
      원래 Internet Explorer 상황은 운영체제에 미리 설치돼 있었기 때문에 다름. 특정 소비자 하드웨어에서 운영체제 선택권이 있는지는 오늘날에도 의심스러운 경우가 많고, 당시에는 “없다”에 가까운 경우가 더 많았을 것임
    • 명세에서 헤더가 항상 전송되거나 사용자가 켠 것이 아니면 무시할 수 있다고 한 이유가 뭘까?
  • 아무도 Global Privacy Control을 언급하지 않은 것 같음. 본질적으로 CCPA에 따라 법적 구속력을 갖도록 의도된 HTTP 헤더이고, DNT와는 다름
    Firefox에는 적어도 Beta 기준으로 이를 켜는 설정이 있음. 참고:
    https://globalprivacycontrol.org/
    https://global-privacy-control.glitch.me/
    https://privacycg.github.io/gpc-spec/

    • GPC는 이미 캘리포니아에서 법임. EU는 아직 따라잡지 못한 것처럼 보이는데, 집행을 각국 개인정보 보호 감독기관에 위임했다가 실패했기 때문일 수 있음. 아일랜드 기관처럼 감시 산업 복합체에 포획된 곳도 분명 있음
      https://www.huntonprivacyblog.com/2021/07/15/california-atto...