[영-한 번역 기업과인권리소스센터 제공]

“마이크로소프트, 교육용 소프트웨어로 아동 개인정보 추적 의혹,” 2024년 6월 4일

개인정보보호 관련 캠페인 활동을 통해 여러 법적 변화를 일으킨 바 있는 단체 노이브(Noyb)는 최근 오스트리아 데이터 보호 당국에 교육용 소프트웨어 프로그램인 마이크로소프트 365 에듀케이션 (Microsoft 365 Education)의 유럽 일반 개인정보보호법(General Data Protection Regulation, GDPR)위반 여부에 대한 조사를 요청하였다.

노이브측은 마이크로소프트가 해당 시스템을 사용하는 학교에 데이터보호 의무를 강요하였으며 피험자의 데이터 엑세스 권한을 준수하지 않았다고 주장하고 있다. 마이크로소프트의 개인정보보호 관련 문서, 액세스 요청, 그리고 노이브의 자체 조사 결과 마이크로소프트 365 에듀케이션이 이를 사용하는 아동의 데이터를 어떻게 처리하는지에 대해 명확히 확인할 수 없었다.

노이브는 최근의 진정을 통해 마이크로소프트가 거의 모든 데이터 보호 책임을 지방당국이나 학교에 전가함으로써 GDPR에 따른 기업책임을 회피하려한다고 주장하고 있다.

노이브는 성명서를 통해 “실제로는 (지방당국이나 학교) 어느 쪽도 마이크로소프트가 사용자 데이터를 처리하는 방식에 영향을 줄 권한이 없”다며, “모든 의사결정권한과 이익은 마이크로소프트 측에 있는 한편, 이와 관련한 대부분의 위험은 지방당국이나 학교가 부담하여야 하는 상황으로, 이를 받아들이지 않으면 소프트웨어를 사용하지 못하는 구조”라며, 학교는 관련한 조건을 협상 혹은 변경할 수 있는 현실적인 방법이 없는 상황이라고 지적하였다.

노이브의 데이터보호 담당 변호인 마르트제 드 그라프 (Maartje de Graaf)는 “마이크로소프트가 교육기관에 적용하는 시스템 하에서 각 학교는 마이크로소프트가 학생들의 데이터를 처리하는 방법에 대한 지침을 제공하거나 이를 직접 감시하여야 한다. 이런 계약방식이 현실적이지 않다는 사실은 누구나 알고 있다. 이는 마이크로소프트가 아동들의 데이터에 대한 책임으로부터 최대한 떨어지려고 하는 시도이다.”

이어진 두번째 진정서에서 노이브는 마이크로소프트 365 에듀케이션이 여전히 동의없이 쿠키를 설치하여 사용자의 행동을 분석하고 브라우저 데이터를 수집하여 이를 광고 기반정보로 사용하고 있다고 밝혔다. 노이브는 이러한 행태를 뒷받침할 법적 근거가 없다고 주장하고 있다.

노이브의 데이터보호 담당 변호인 펠릭스 미콜라쉬(Felix Mikolasch)는 “(마이크로소프트의) 데이터 흐름에 대한 분석결과는 매우 우려스럽”다며, 마이크로소프트 365 에듀케이션이 연령에 관계없이 사용자를 추적하고 있는 것으로 보인다고 밝혔다. 나아가 그는 “이러한 관행은 유럽연합(EU) 및 유럽경제지역(EAA) 내 수백 수십만의 아동과 학생에 영향을 미칠수 있는 것으로, 관계당국이 나서 미성년자의 권리를 효과적으로 이행할 수 있도록 하여야 할 것”이라고 주장하였다.

노이브는 오스트리아 데이터보호당국인 DSB에 마이트로소프트 365 에듀케이션의 아동 개인데이터의 처리에 관한 확인을 요청하였으며, 만약 GDPR 위반 여부가 발견되었을 경우 벌금을 부과하여야 한다고 밝혔다.

이와 관련하여 마이크로소프트 대변인은 관련 게시 및 발송한 성명을 통해, “교육용 M365는 GDPR 및 기타 관련 개인정보 보호법을 준수하고 있으며, 어린 연령층 사용자의 개인정보를 철저히 보호하고 있다. 금번 발표와 관련한 데이터 보호기관의 질문에 기꺼이 답변할 의향이 있다”고 밝혔다.