LinkedIn 프로필 방문자 목록은 사람들의 소유다, Noyb가 말한다
Source: Hacker News
Viva la revolución: Linked LinkedIn 프로필 방문자 목록은 사람들의 것이라고 Noyb가 말한다
GDPR 제 15조는 사용자의 데이터를 다시 판매해 수익을 올리려는 당신의 의도와는 무관합니다
평균적인 비유료 사용자는 거의 눈여겨보지 않을 LinkedIn 기능이 기업이 처리한 고객 데이터를 어떻게 다루는지에 대한 EU 법적 선례를 만들 수도 있습니다.
LinkedIn 프로필(보유하고 있다면)을 살펴보면 프로필 방문자를 확인할 수 있는 공간이 있습니다. 프리미엄 LinkedIn 사용자의 경우, 프로필을 방문한 사람들의 목록이 365 일 동안 보이며 이름, 직함, 소속 회사와 해당 인물의 프로필로 바로 연결되는 링크가 포함됩니다—단, 개인 정보 보호를 위해 가시성을 끈 경우 제외됩니다.
프리미엄 LinkedIn 사용자가 보는 내용
그림 1 – 프리미엄 사용자를 위한 프로필 방문자 목록
반면 비프리미엄 LinkedIn 사용자는 거의 같은 수준의 가시성을 얻지 못합니다. 매달 Microsoft(LinkedIn 소유주)에게 비용을 지불하지 않으면 “홈페이지를 통해 12명이 당신을 찾았습니다”와 같은 일반적인 통계나 “특정 직함을 가진 특정 회사의 누군가가 당신의 LinkedIn 페이지를 살펴보고 있었습니다”라는 모호한 메모만 표시됩니다.
REG AD – 광고 자리표시자
무료 사용자 목록의 항목을 클릭하면 LinkedIn 프리미엄 가입 페이지나 앞서 언급한 회사 직원들의 검색 결과 페이지로 리디렉션됩니다.
REG AD – 광고 자리표시자
무료 사용자가 보는 내용
그림 2 – 비유료 사용자를 위한 프로필 방문자 화면
이름을 밝히지 않은 한 LinkedIn 사용자는 이 열등한 대우를 받아들이지 않고 GDPR 제 15조에 따라 LinkedIn이 처리한 자신의 개인 데이터 사본을 요구했습니다. “처리(processed)”란 단순히 특정 유형의 정보를 호스팅하는 것과 같이 광범위한 의미를 포함할 수 있습니다.
LinkedIn은 해당 데이터를 보호하는 것이 우선이라고 판단해 요청을 거부했습니다. 이제 EU 프라이버시 단체 Noyb(“none of your business”)의 데이터 보호 전사들이 개입하고 있습니다.
“데이터를 자체 사용자에게 판매하는 것은 기업들 사이에서 흔한 관행입니다,” 라고 Noyb 데이터 보호 변호사 Martin Baumann은 사건에 대해 말했습니다. “하지만 실제로는 사람들은 자신의 데이터를 무료로 받을 권리가 있습니다.”
제 15조의 문구를 살펴보면 명확합니다: 데이터 주체(즉, 사용자)는 제공자가 처리한 자신과 관련된 모든 데이터 사본을 받을 권리가 있습니다. 프로필 방문자 전체 목록도 제 15조 데이터에 해당합니다—비록 일반적으로는 유료 사용자에게만 제공되고 더 보기 좋게 표시되더라도, 실제로 요청하는 무료 사용자에게도 접근 가능해야 합니다.
LinkedIn은 자신이 잘못하고 있다고 생각하지 않은 듯 보였습니다. 비유료 LinkedIn 사용자(본 기사 작성자와 두 편집자를 포함)라면 명백히 알 수 있는 사실을 부인하는 명확한 거부 발언에서, LinkedIn 대변인은 다음과 같이 말했습니다:
“프리미엄 회원만이 누가 자신의 프로필을 보았는지 확인할 수 있다는 것이 잘못된 주장일 뿐만 아니라, 우리는 개인정보 보호정책을 통해 해당 정보를 공개함으로써 GDPR 제 15조를 충족하고 있습니다.”
위 진술의 첫 번째 부분은 위 스크린샷에서 알 수 있듯이 사실이 아닙니다. 그 진술의 절반이 명백히 신뢰할 수 없으므로, 우리는 두 번째 부분을 평가하는 데 시간을 낭비하지 않았습니다.
Noyb는 프리미엄 서비스 제공과 관련해 GDPR의 이 구석에 명확한 법적 모호성이 존재한다는 점을 인정합니다.
“어떠한 기업이든 개인의 개인정보를 처리한다면, 이 정보는 …”
REG AD – advertisement placeholder
“Since LinkedIn does provide information about profile visits to paying Premium members, it cannot consider that disclosing the data would adversely affect the rights of the visitors whose data is disclosed,” the Noyb lawyer explained. “Otherwise, providing this information to Premium users would be unlawful too.”
정보는 일반적으로 GDPR에 따른 접근 권리로 다루어집니다,”라고 Baumann은 The Register에 말했습니다. “기업이 데이터를 데이터 주체에게 판매하고 싶어한다는 점이나, 그것이 비즈니스 모델에 해가 될 수 있다는 점은 중요하지 않습니다.”
Baumann은 우리에게 기사 15에 LinkedIn이 빠져나갈 수 있는 유일한 예외는 마지막 단락이라고 설명했으며, 이는 개인의 데이터 권리가 다른 사람들의 권리와 자유에 부정적인 영향을 미쳐서는 안 된다는 내용입니다. LinkedIn이 데이터 주체의 프로필을 방문한 사람들의 신원을 보호해야 한다고 주장한다면 변명거리가 될 수는 있지만, Baumann의 의견으로는 좋은 변명은 아닙니다.
REG AD – advertisement placeholder
“LinkedIn이 유료 프리미엄 회원에게 프로필 방문 정보를 제공하고 있기 때문에, 데이터를 공개하는 것이 방문자의 권리에 부정적인 영향을 미친다고 볼 수 없습니다,”라고 Noyb 변호사는 설명했습니다. “그렇지 않다면, 프리미엄 사용자에게 이 정보를 제공하는 것도 불법이 될 것입니다.”
여기서 핵심은 접근 권리가 언제 시작되고, 기업이 보유하고 있는 데이터(사용자가 제공한 데이터)를 통해 수익을 창출할 권리가 언제 끝나는가 하는 점입니다. Baumann은 이 사건이 법적 흐름을 정리하는 데 도움이 되길 바란다고 말했습니다.
“사용자가 비용을 지불하고 접근할 수 있는 개인 데이터도 접근 권리의 보호를 받는다는 점에 대한 명확한 해석을 기대합니다.”
Article Excerpt
이렇게 생각해 보세요: LinkedIn은 GDPR에 따라 프로필 방문자에 대한 데이터를 수집하고, 이를 패키징하고, 분석을 추가한 뒤, 프리미엄 서비스를 위해 비용을 지불하는 사람들에게 가장 유용한 형태로 제공할 권리가 있습니다. 하지만 같은 데이터를 CSV 파일 형태로 원시적으로 받아보고자 하는 사용자는 그 권리도 가져야 하며, GDPR 제 15조가 이를 보장합니다.
Linked인만 해당되는 것이 아닙니다. Baumann은 비슷한 법적 명확성이 필요할 사례가 많이 있다고 말했으며, 예로 GDPR 요청에 따라 계좌 명세서 제공을 거부하고는 있지만, 유료로 유사한 데이터를 제공하는 은행을 들었습니다.
“선례가 마련된다면 환영받을 것입니다,”라고 Baumann은 말했습니다. ®