오스트리아 최고법원은 메타(Meta)의 개인화 광고 모델이 불법이라고 판결하고, 유럽연합(EU) 전역 사용자들에게 개인 데이터에 대한 완전한 접근권을 요청일로부터 14일 이내에 제공하라고 명령했다. 이 판결은 최종적이며 직접 집행 가능한 결정으로서 EU 전체에 걸쳐 법적 선례를 설정한다.
2025년 12월 18일, 로이터의 보도에 따르면, 법원은 메타가 제공해야 할 정보는 단순한 원시 데이터(raw data)뿐만 아니라 각 정보 항목에 대한 출처, 수신자, 목적 등 포괄적인 내용까지 포함해야 한다고 명시하면서 메타가 주장한 모든 영업비밀 주장을 기각했다.
법원은 메타가 타사 앱과 웹사이트로부터 불법적으로 데이터를 수집했으며, 정치적 성향, 성적 지향, 건강 관련 데이터 등 민감한 정보을 다른 사용자 데이터와 함께 처리했다고 판단했다. 또한 EU의 일반개인정보보호규정(GDPR)을 위반하면서 ‘특정하고, 충분히 사전 고지된, 명확하며 자유로이 제공된’ 동의를 받지 않고 개인화된 콘텐츠와 광고를 제공했다고 결론지었다.
이 사건은 오스트리아의 프라이버시 활동가인 맥스 슈렘스(Max Schrems)가 2014년에 제기한 소송으로 시작되어 11년에 걸쳐 진행되었다. 이 과정에는 오스트리아 최고법원의 세 차례 결정과 EU 최고법원인 유럽사법재판소(CJEU)의 두 차례 판결이 포함되어 있다고 슈렘스의 대리인인 카타리나 라베-스투프닝(Katharina Raabe-Stuppning) 변호사가 밝혔다.
법원의 명령
재판부는 메타가 민감한 데이터를 다른 데이터와 함께 처리하지 않도록 보장할 것을 명령했다. 메타가 해당 정보를 의도적으로 수집하지 않거나 기술적으로 분리할 수 없다는 주장을 제기했으나 법원은 이를 받아들이지 않았다. 또한 이전 CJEU 판결을 재확인하면서 메타가 유럽인의 개인정보를 광고 목적으로 처리할 수 없다고 판시했다.
“페이스북이나 인스타그램과 같은 플랫폼은 예를 들어 사용자에게 정치적 견해를 밀어주는 방식으로 거대한 영향력을 행사한다.”
슈렘스는 이번 결정이 각 사용자로부터의 명시적 동의 없이 메타가 사용자 선호를 이용해서는 안 된다는 점을 분명히 했다고 말했다.
손해배상 및 집행 가능성
법원은 GDPR 위반에 대해 슈렘스에게 500유로(약 587달러)의 손해배상을 지급하라고 판결했다. 프라이버시옹호단체 None Of Your Business(noyb), 슈렘스가 설립한 단체는 이 500유로는 2014년에 선택된 보수적인 금액이라고 설명했다. noyb는 “당시에는 GDPR 시행 이전이었기 때문에 상한이 제한되었고 오늘날에는 더 많은 금액을 받을 가능성이 있다”고 밝혔다.
noyb는 또한 이번 판결이 원고에 의해 EU 전역에서 집행 가능하다고 지적하면서, 집행 국가에 따라 불이행 시 일일 과태료 또는 관련 메타 책임자에 대한 징역형까지 부과될 수 있다고 전했다.
관련 법률과 용어 설명
여기서 언급된 GDPR(General Data Protection Regulation)은 유럽연합 차원의 개인정보 보호 규정으로, 개인 데이터의 수집·처리·보관·이전 등에 대해 엄격한 기준을 적용한다. 특히 민감한 개인정보(정치적 견해, 종교, 건강, 성적 지향 등)에 대해서는 더욱 높은 보호 기준을 요구하며, 데이터 주체(개인)의 명시적이고 구체적인 동의가 없는 한 처리할 수 없도록 규정하고 있다. 법원이 언급한 ‘특정, 사전 고지, 분명하고 자유로운 동의’은 GDPR에서 요구하는 동의의 높은 기준을 지칭한다.
사건의 경과 요약
이 사건은 2014년 제기된 이래 11년간 이어져 왔으며, 오스트리아 최고법원의 다수 결정과 EU 최고법원의 판단을 거쳐 이번 최종 판결에 이르렀다. 법원은 메타의 데이터 수집·처리 방식이 체계적으로 GDPR을 위반했다고 판단했고, 이에 따라 메타는 사용자에게 데이터에 대한 완전한 접근권을 제공하고 민감한 데이터 처리를 중단하도록 명령받았다.
영향과 전망
이번 판결은 광고 기반 비즈니스 모델을 운영하는 기업들에 상당한 파급효과를 미칠 가능성이 크다. 메타가 유럽 내에서 개인화 광고에 필요한 데이터 처리를 제한받으면 광고 타깃팅의 정확성 저하로 인한 광고 수익 감소가 예상된다. 또한 기타 글로벌 플랫폼들도 유사한 법적·규제 리스크를 재검토하게 될 것이므로, 광고산업 전반에서 데이터 최소화와 익명화(또는 집계) 기법의 채택이 가속화될 가능성이 높다.
규제 집행 측면에서 이번 판결은 EU 전역에서 직접 집행 가능한 선례를 제시했으므로 각 회원국의 감독 당국은 보다 적극적으로 집행 조치를 취할 수 있다. 이는 플랫폼 기업들이 유럽 시장에서의 개인화 광고 전략을 재설계하거나 유럽별 별도 운영 방식을 도입하는 등 조직적·기술적 대응을 촉발할 수 있다.
실무적 시사점
기업들은 데이터 주체의 권리를 강화하고, 민감 데이터와 비민감 데이터를 기술적으로 분리·관리하는 시스템을 도입해야 한다. 구체적으로는 데이터 흐름의 투명성 확보, 동의 관리 플랫폼의 강화, 개인정보 열람·이전 요청에 대한 내부 대응 절차를 마련하는 것이 필요하다. 또한 광고주와의 계약 조건, 광고 측정·분석 방법, 제3자 데이터 연동 방식 등을 재검토해 GDPR 준수를 최우선으로 하는 비즈니스 모델 전환을 준비해야 할 것이다.
관련 인용
“결정은 메타가 각 사용자로부터의 명시적 동의 없이 사용자 선호를 이용해서는 안 된다는 점을 분명히 한다.”
환율 참고: 기사 원문에 표시된 바와 같이 1달러 = 0.8519유로로 계산되었다.
