LinkedIn 프로필 방문자 목록은 사람들의 소유다, Noyb가 말한다

Source: Slashdot

배경

EU에 거주하는 한 LinkedIn 사용자가 GDPR 제15조에 따라 Microsoft가 프로필 방문자 전체 목록을 제공하지 않는 것을 도전하고 있습니다. 사용자는 LinkedIn이 해당 데이터를 처리하고 프리미엄 사용자에게 더 완전한 버전을 판매하고 있기 때문에 데이터는 무료로 제공되어야 한다고 주장합니다. 프라이버시 단체 Noyb는 이번 사건이 기업이 사용자 관련 데이터를 수익화하면서 GDPR 요청을 통해 동일한 데이터에 대한 접근을 거부할 수 있는지에 대한 광범위한 선례를 만들 수 있다고 보고 있습니다.

“자사의 사용자에게 데이터를 판매하는 것은 기업들 사이에서 흔한 관행입니다,” 라고 Noyb 데이터 보호 변호사 Martin Baumann이 말했습니다. “하지만 실제로는 사람들은 자신의 데이터를 무료로 받을 권리가 있습니다.”

The Register는 다음과 같이 언급합니다:

Article 15의 문구를 살펴보면, 매우 명확합니다: 데이터 주체(즉, 사용자)는 제공자가 처리한 자신에 관한 모든 데이터의 사본을 받을 권리가 있습니다. 프로필 방문자 전체 목록도 제15조 데이터에 해당하므로—보통은 유료 사용자에게만 제공되고 더 보기 좋게 표시되더라도—실제로 요청하는 무료 사용자도 접근할 수 있어야 합니다.

법적 논점

Noyb는 프리미엄 서비스 제공과 관련된 “명확한 법적 모호성”을 인정합니다:

“어떤 기업이 개인의 개인정보를 처리한다면, 그 정보는 일반적으로 GDPR에 따른 접근권의 보호를 받습니다,” 라고 Baumann이 The Register에 말했습니다. “기업이 데이터를 데이터 주체에게 판매하고 싶어한다는 이유나, 그것이 비즈니스 모델에 해가 된다는 이유는 중요하지 않습니다.”

Baumann에 따르면, Article 15에 LinkedIn이 탈출할 수 있는 유일한 예외는 최종 문단으로, 이는 개인의 데이터 접근권이 다른 사람들의 권리와 자유에 부정적인 영향을 미쳐서는 안 된다고 명시하고 있습니다.

“LinkedIn이 유료 프리미엄 회원에게 프로필 방문 정보를 제공하고 있기 때문에, 해당 데이터를 공개하는 것이 방문자의 권리에 부정적인 영향을 미친다고 판단할 수 없습니다,” 라고 Noyb 변호사가 설명했습니다. “그렇지 않다면, 프리미엄 사용자에게 이 정보를 제공하는 것 자체도 불법이 될 것입니다.”

핵심 문제는 접근권이 시작되는 시점과 기업이 데이터를 수익화할 수 있는 경계가 어디인지입니다. Baumann은 이번 사건이 다음과 같이 명확히 되기를 기대합니다:

“사용자가 비용을 지불하고 접근할 수 있는 개인 데이터도 접근권에 포함됩니다.”

그는 비슷한 명확성이 필요할 상황을 예로 들었습니다. 예를 들어, 은행이 GDPR 요청에 따라 계좌 명세서를 제공하지 않지만 같은 데이터를 유료로 제공하는 경우입니다. “선례가 마련된다면 환영합니다,” 라고 그는 말했습니다.

LinkedIn의 입장

LinkedIn 대변인은 The Register에 다음과 같이 답변했습니다:

“프리미엄 회원만이 프로필을 본 사람을 볼 수 있다는 것이 잘못된 주장일 뿐만 아니라, 우리는 개인정보 처리방침을 통해 해당 정보를 공개함으로써 GDPR 제15조를 충족하고 있습니다.”