1P by GN⁺ | ★ favorite | 댓글 1개
  • noyb는 Meta가 Facebook·Instagram에서 추적 동의를 철회하려는 사용자에게 유료 구독 전환을 요구해, GDPR의 “동의 철회는 동의만큼 쉬워야 한다”는 요건을 어긴다고 봄
  • 2023년 11월 초부터 추적을 원하지 않는 사용자는 연 최대 €251.88의 “privacy fee”를 내야 하며, 내지 않으면 맞춤형 광고 추적을 받아들여야 함
  • 동의는 “Okay” 버튼 한 번으로 가능하지만, 철회는 여러 창과 배너를 거쳐 유료 구독 페이지를 찾아야 하는 구조임
  • noyb는 2023년 11월 Meta의 “pay or okay” 동의 단계에 대해 이미 불만을 제기했고, 이번에는 동의 철회 절차를 별도로 문제 삼아 오스트리아 DSB에 제출함
  • noyb는 Meta가 무료·간편한 철회 수단을 제공해야 하며, 추가 GDPR 위반을 막기 위한 벌금도 검토돼야 한다고 요구함

Meta의 “pay or okay”와 유료 철회 구조

  • 2023년 11월 초부터 Facebook과 Instagram에서 추적을 원하지 않는 사용자는 연 최대 €251.88의 유료 구독을 선택해야 함
  • 비용을 내지 않으면 맞춤형 광고를 위한 추적을 받아들여야 하므로, noyb는 개인정보 친화적 선택지에 비용을 붙인 구조로 봄
  • noyb는 2023년 11월 Meta의 “pay or okay” 접근에 대해 동의 단계 관련 불만을 이미 제기함
  • 이번 불만은 사용자가 한 번 추적에 동의한 뒤, 나중에 이를 철회하려는 상황에 초점을 맞춤

GDPR Article 7과 오스트리아 DSB 절차

  • GDPR Article 7은 동의를 철회하는 절차가 동의를 주는 절차만큼 쉬워야 한다고 규정함
  • Meta의 현재 방식에서는 동의가 한 번 클릭으로 끝나지만, 철회는 유료 구독 구매와 복잡한 화면 이동을 거쳐야 함
    • 불만 제기자는 실제 철회 페이지를 찾기 위해 여러 창과 배너를 지나야 했음
    • noyb의 데이터 보호 변호사 Massimiliano Gelmi는 연 €251.88을 내야 하는 방식이 “Okay” 버튼 클릭만큼 쉽지 않다고 밝힘
  • European Data Protection Board(EDPB) 가이드라인은 금전적 비용을 GDPR Article 7 원칙에 맞지 않는 부담의 예로 듦
  • noyb는 한 명의 불만 제기자를 대리해 오스트리아 데이터 보호 당국 DSB에 불만을 제출함
    • DSB가 Meta의 처리 작업을 유럽 데이터 보호법에 맞추도록 명령해야 한다고 요구함
    • 사용자가 비용 없이 쉽게 동의를 철회할 방법을 제공해야 한다고 요구함
    • 추가 GDPR 위반을 막기 위한 벌금 부과도 제안함
  • 이 사건은 Meta의 EU 내 “lead authority”인 아일랜드 DPC로 전달될 가능성이 있음

댓글과 토론

Hacker News 의견들
  • 당연히 그렇지. 요즘 쿠키 배너에서 Save settings를 누르면 실제로 무슨 일이 일어나는지 전혀 모르겠음
    어딘가에 모든 걸 허용하는 숨은 체크박스가 있을 것 같고, 거대한 팝업 목록을 읽고 안심하게 만들 뿐 여전히 추적할 가능성이 큼
    이미 “마케팅 목적의 필수 쿠키” 같은 것도 만들어냈고, 그다음엔 “추적 광고를 받아들이거나 돈을 내라”는 팝업까지 나왔음

    • Reddit의 개인정보 설정도 마지막으로 봤을 때 비슷했음. 전부 체크 해제하고 다시 들어가 보면 어떤 건 유지되고 어떤 건 아니었음. 알 수가 없음
  • NOYB를 정말 좋아하고, 가능하면 정기 후원해줬으면 함. 개인정보 보호에 실제로 큰 영향을 내는 일을 하고 있음

    • 이렇게 중요한 문제가 3억 명이 넘는 사람들 중 사실상 한 개인에게 기대고 있다는 게 놀라움
    • TikTok에 대해서도 뭔가 말한 적이 있나? 검색해 보니 비어 있는 것 같음
  • Meta가 법망을 피해 수익을 내는 방법을 찾고, 때로는 은근히 법을 어기는 건 완전히 이해됨
    그런데 드러난 위반이 이렇게 크고 노골적이라는 점은 꽤 놀랍다
    사용자가 사이트를 쓸 때마다 “실수로” 쿠키 선호를 계속 묻다가 결국 수락을 누르면 다시는 묻지 않는 식의 더 교묘한 방식을 예상했음
    조사받으면 “사용자가 쿠키를 거부했다는 사실 자체가 쿠키에 저장돼서 생긴 버그였다”고 쉽게 말할 수 있었을 테니까

    • 법을 크게 어겨도 그게 더 이익인 한 Facebook은 계속 그렇게 할 것임. 다른 회사들도 마찬가지고, 벌금이나 손목 치기 수준의 제재가 의미 없으니 굳이 숨길 필요도 없음
      CEO나 주주를 감옥에 보내기 시작하면 얼마나 빨리 법을 지키는지 보게 될 것임
  • DPC가 법적으로 가능하다면 지금은 최대 벌금을 때려야 함. Meta는 반복적이고 고의적인 위반으로 이 법들을 우회하려고 무엇이든 할 거라는 걸 꽤 분명히 보여줬음
    오래된 사업자가 GDPR 의무를 제대로 관리하지 못하고 수상한 “준수 관리” 솔루션을 사서 위반하게 된 경우라면, 가벼운 손목 치기식 집행에도 어느 정도 공감할 수 있음
    하지만 Meta는 GDPR 시행 초기부터 계속 집행 대상이었고, 규정을 분명히 이해한 상태에서 처음부터 우회하려 했으며, 애초에 그런 규제가 생긴 이유라고도 볼 수 있음
    이제는 전 세계 매출의 4% 벌금이 계속 쌓이는 걸 보고 싶음

    • DPC는 부패했고 최대 벌금을 매기고 싶어 하지 않음. 더 강한 처벌을 할 수 있었는데도 Facebook에 극도로 관대했음
  • 이 최후통첩이 나온 뒤로 Instagram은 건드리지 않았음
    버텨낼 수 있으면 좋겠음. 꼭 써야 할 이유가 있다면 연락처가 거기에만 있는 사람들에게 연락하는 정도였을 것임

    • 나도 Facebook 때문에 오래된 친구들의 크리스마스 모임을 놓쳤음 :/
      그래도 실제로 모인 사람들이 행사 초대를 Facebook으로만 한 주최자를 “탓했다”는 건, 문화가 천천히 바뀌고 있다는 매우 긍정적인 신호로 봄
      부정적인 의미가 아니라 “Facebook으로만 초대하면 뭘 기대한 거냐”는 식이었음
  • 이런 움직임을 지지하고, 개인적으로는 내가 상품이 되는 대신 서비스에 돈을 내는 편을 선호함. 다만 이게 인기 있는 생각은 아닐까 봐 걱정됨
    사람들은 적어도 의식적으로는 돈을 내고 싶어 하지 않음. 앞으로 어떻게 전개될지 궁금함

    • “상품이 되는 대신 서비스에 돈을 낸다”는 상투구는 더 이상 맞지 않음. 애초에 맞았는지도 의문이고, 반복할수록 최악의 위반자들에게만 도움이 됨
      돈을 내도 여전히 상품이 될 수 있음. 돈을 받으면서도 광고를 보여주는 스트리밍 서비스나, 구매한 물리 기기가 사용 습관을 제조사에 보내는 TV 같은 사례를 보면 됨
      결제는 회사가 당신이나 당신의 개인정보를 존중한다는 보장이 아님
    • 돈을 내도 언제나 상품임. 합법이고 수익성이 있는 한, 어쩌면 불법이어도, 언제나 상품이 될 것임
    • 돈을 내는 사용자의 개인정보는 돈을 내지 않는 사용자의 것보다 더 가치 있음 ;)
    • 사람들이 돈을 내고 싶어 하지 않는다는 건 꽤 최근의 일임. 전화번호를 갖기 위해 돈을 내는 건 보통이었고, 전화를 걸 때 추가로 돈을 내는 것도 보통이었음
      현재 시간이나 날씨 예보를 알려주는 전화 서비스 같은 것에 돈을 내는 것도 일반적이었고, 이메일 주소에 돈을 내는 것도 보통이었음. 지금도 대부분의 사람은 인터넷 연결에 돈을 냄
      문제는 사람들이 “무료”에서 유료로 바뀌는 걸 싫어한다는 쪽에 가까움. 대부분이 어떤 서비스에 돈을 낸다면, 그걸 당연한 방식으로 받아들일 것임
      예를 들어 GPS가 처음부터 무료가 아니었다면, 사람들은 월 1달러 이상도 기꺼이 냈을 것 같음
    • 사람들은 커뮤니티 센터, 도서관, 헬스장, 클럽 같은 사교 공간에는 많이 돈을 냄. 다만 가격이 합리적일 때만 그럼
      보통 가격이 합리적인 이유는 그 클럽이 세계를 장악할 때까지 성장하려 하지 않기 때문임. 대략 고정된 규모의 공간이고, 구독료는 그 공간을 유지하는 데 쓰임
      대부분의 소셜 미디어 운영 비용은 연 1달러 정도밖에 안 됨. 월이 아니라 연임 [1]. 그런데 소셜 미디어 회사들은 연 50~100달러를 받으려 함
      사람들은 바보가 아님. 왜 연 2달러보다 더 내야 하겠음
      [1] https://news.ycombinator.com/item?id=38291427
  • 균형을 맞추려면 Facebook은 동의한 모든 사용자에게 매년 €251.88을 지급하도록 강제돼야 함. 기본적 개인정보를 침해하는 데이터가 Facebook에 그만큼 가치 있다면 그게 공정함

  • 흥미로운 논리임. Facebook이 대신 두 단계 요금제를 만들고 둘 다 유료로 했다면 어떻게 처리될지 궁금함
    즉 Facebook을 쓰려면 기본 요금을 내고 추적을 당해야 하며, 추적을 없애려면 프리미엄 요금제를 내야 하는 구조임
    이런 구조의 명백한 윤리적 문제는 일단 제쳐두면, “동의 철회가 동의만큼 쉬워야 한다”는 조건은 그런 상황에서도 유지될 것 같음
    윤리적으로는 GDPR 이후 세상에서 프라이버시에 돈을 내는 것은 설 자리가 없다고 봄. GDPR을 지지하고, 여러 개인정보 감독기관이 지역 신문사들에 대해 이를 묵인해온 건 부끄러운 일임
    Facebook이 이 방식을 쓰면 결국 CJEU까지 끌고 갈 가능성이 높고, 이 계획에는 최악의 결과일 수 있음. CJEU는 GAFAM의 “문구에는 어긋나지 않지만 정신에는 어긋나는” 식의 헛소리를 전혀 좋아하지 않는 편이기 때문임
    개인적으로는 CJEU가 결국 이 방식을 GDPR 위반으로 무너뜨려도 놀라지 않을 것 같음

    • “동의 철회가 동의만큼 쉬워야 한다”는 조건이 유지된다는 건 논쟁적임. 기본 요금이 1유로이고 프리미엄이 100만 유로라고 해보면, 후자를 감당할 수 있는 사람은 많지 않음
      25유로든, 10유로든, 더 낮든 간에 가격 차이가 조금이라도 있으면 하나가 다른 하나만큼 쉬운 건 아님
    • 그건 프라이버시에 돈을 내는 건가, 아니면 프라이버시로 지불하는 건가?
    • 그 약어들이 무슨 뜻인지 설명해줄 수 있나? GDPR은 알지만 나머지는 생소함
  • Meta는 자신들의 보상이 쉬운 해결책일 필요는 없다는 부분을 놓쳤음. 자기들이 스스로 구덩이를 판 셈임

    • 사용자의 삶을 아무에게나 팔아 벌어들이는 돈보다 벌금이 적을 텐데, 왜 신경 쓰겠음
  • https://web.archive.org/web/20240111074148if_/https://noyb.e...