밀라노 법원이 소비자단체가 제기한 메타 플랫폼스(구 페이스북)의 개인정보 무단수집에 대한 집단소송(class action)을 수용했다.
2026년 4월 14일, 로이터 통신의 보도에 따르면, 이번 사건은 페이스북 이탈리아에서 발생한 개인 정보 도용에 관한 것으로, 법원 명령문에 따르면 데이터 스크래핑(data scraping) 사건은 2018년 1월부터 2019년 9월까지 발생했으며, 메타가 이를 2021년에 공개했다는 내용이 포함되어 있다.
법원 문서에 따르면 이번 유출로 인한 영향은 전 세계적으로 약 5억 3,300만 명(533 million)의 페이스북 이용자에게 미친 것으로 확인됐다. 원고 측인 CTCU 소비자협회는 유럽연합의 개인정보보호규정인 GDPR(General Data Protection Regulation)을 위반했다고 주장하며, 개인정보에 대한 통제권을 상실했거나 상실을 우려한 이용자들을 대신해 손해배상을 청구하고 있다.
법률 소식통은 이번 사건으로 이탈리아에서 약 3,500만 명(35 million)의 페이스북 이용자가 잠재적으로 피해를 입었을 가능성이 있다고 추정했다.
메타 대변인은 성명에서 “우리는 법원의 이번 결정에 대해 존중의 뜻을 표하지만, 이는 절차적 판결일 뿐이고 메타가 어떠한 법을 위반했다는 실체적 판단을 의미하지 않는다”며 “우리는 이 주장이 결국 기각될 것이라고 자신한다”고 밝혔다.
사건의 핵심 내용
이번 집단소송 수용 결정은 개인정보 유출의 규모와 연관된 집단적 피해구제가 법적으로 인정될 가능성을 여는 의미를 갖는다. 데이터 스크래핑은 웹사이트 또는 플랫폼에서 자동화된 수단으로 대량의 정보를 수집하는 행위를 말한다. 본 사건에서는 타인의 개인정보가 수집·유출되거나 제3자에게 무단으로 접근된 정황이 문제로 제기되었다.
GDPR(유럽일반개인정보보호규정)에 대해 설명하면, 이는 유럽연합(EU) 내에서 개인정보의 처리와 보호에 관한 기준을 규정한 법으로, 개인정보 주체의 권리 보호와 기업의 책임을 명시하고 있다. GDPR은 개인정보의 수집, 저장, 처리 과정에서 투명성, 정당한 근거, 최소화의 원칙 등을 요구하며, 위반 시에는 개인정보 주체의 권리 구제와 함께 행정적·민사적 제재가 따를 수 있다. 본 기사에서는 GDPR의 구체적 벌칙 규모 등은 원문에 언급되지 않았음을 밝힌다.
법적 절차와 향후 전망
밀라노 법원이 집단소송을 수용함에 따라 사건은 집단소송 절차에 따라 본안 심리로 이행될 가능성이 높다. 집단소송은 일정 조건을 충족한 소비자들이 한데 모여 공동으로 권리를 구제하는 제도로, 개별 소송보다 효율적으로 집단적 손해배상을 청구할 수 있다. 다만 법원은 이번 결정이 절차적 수용임을 명시했으므로, 실제로 메타가 법률을 위반했는지에 대해서는 본안 심리에서 판단될 예정이다.
메타 측은 이번 결정에 대해 이의를 제기할 수 있으며, 향후 항소 가능성도 존재한다. 절차가 계속 진행되면 증거 제출, 기술적·법률적 쟁점에 대한 전문 감정, 개인정보 침해로 인한 구체적 손해액 산정 등이 큰 쟁점이 될 것으로 예상된다.
경제적·시장 영향에 대한 분석
이번 소송 수용은 메타의 법적 리스크가 공론화되는 계기가 된다. 직접적인 재무적 손실은 본안 판결 결과와 청구액 규모에 따라 달라지지만, 법적 분쟁의 장기화는 평판 훼손 및 규제 리스크를 증폭시켜 단기적으로 투자 심리에 부정적 영향을 미칠 수 있다. 또한 광고주와 이용자 신뢰의 저하는 매출 기반이 되는 광고비 수익에 간접적인 영향을 줄 가능성이 있다.
반면 장기적으로는 기업이 개인정보 보호와 관련된 내부 통제 강화, 투명성 제고, 데이터 처리 관행의 개선에 투자하면 규제 리스크를 완화하고 신뢰 회복에 기여할 수 있다. 법원 판결과 그 이후의 행정적·민사적 절차에서 어떤 결론이 도출되느냐에 따라 메타의 경영 전략에 변화가 요구될 수 있다.
일반 독자들을 위한 용어 설명
데이터 스크래핑(data scraping): 웹사이트나 플랫폼에서 자동화 도구를 사용해 공개 또는 비공개 정보를 대량으로 추출하는 행위이다. 모든 스크래핑이 불법은 아니지만, 개인식별정보(PII)를 무단으로 수집하거나 플랫폼의 이용약관이나 법률을 위반하는 방식으로 이루어질 경우 법적 문제가 될 수 있다.
GDPR(유럽일반개인정보보호규정): 유럽연합이 2018년에 발효한 개인정보 보호 규정으로, EU 거주자의 개인정보 처리에 엄격한 기준을 적용한다. GDPR은 개인정보 주체의 권리를 강화하고 데이터 처리자에게 높은 수준의 책임을 부과한다. 본 사건은 GDPR 위반 여부를 둘러싼 민·형사적 책임 문제와 관련이 있다.
법적 및 실무적 시사점
이번 사건은 다국적 플랫폼 기업의 데이터 관행이 국가별 규제·소비자 권리와 충돌할 경우 어떤 법적 문제가 발생하는지를 보여주는 사례다. 플랫폼 사업자는 여러 관할권에서 상이한 법률·규제를 준수해야 하는 복잡성을 안고 있으며, 소비자단체의 집단소송은 규제 집행과 별개로 민사적 책임을 추구하는 또 하나의 경로가 된다.
기업 측면에서 보면, 데이터 거버넌스의 강화, 투명성 제고, 제3자 접근 통제에 대한 기술적·관리적 조치 강화가 필수적으로 요구된다. 규제 당국과의 협의, 내부 감시체계 정비, 그리고 이용자 피해 발생 시 신속한 보상과 소통 전략은 장기적 신뢰 회복에 중요하다.
결론
밀라노 법원의 이번 집단소송 수용 결정은 메타에 대한 법적 대응이 본격화될 것임을 알린다. 피해 규모로 지목된 5억 3,300만 명이라는 수치는 사건의 범위와 잠재적 영향력을 상징적으로 보여준다. 향후 본안 심리와 항소 과정, 그리고 법원이 내릴 실체적 판단은 메타의 법적 책임 여부뿐 아니라 플랫폼 사업자의 데이터 관리 관행 전반에 대한 중요한 선례를 제공할 가능성이 있다.
