META-X

Meta의 'AI 데이터 활용 계획', 유럽 시민 단체들의 집단 반발: 김하영 기자 / 기사승인 : 2025-05-30 07:00:00

Meta와 유럽의 데이터 전쟁
'AI 혁신과 개인정보 보호, 어디까지 허용할 것인가'

Meta, 명시적 동의 없는 AI 학습 선언
2025년 봄, Meta(구 페이스북)는 유럽연합(EU) 사용자 데이터를 명시적 동의 없이 자사의 AI 모델 훈련에 활용하겠다는 계획을 공식 발표했다. 그리고 이어진 4월 중순, 공개된 정책에 따르면 Meta는 Facebook, Instagram 등 자사 플랫폼에서 EU 내 성인 이용자가 공개적으로 남긴 게시물, 댓글, 그리고 Meta AI와의 상호작용 데이터를 수집해 5월 27일부터 AI 학습에 활용할 방침이었다. 해당 정책은 앱 내 알림과 이메일을 통해 사용자에게 사전 공지되었으며, 사용자에게는 웹폼을 통한 이의제기(옵트아웃) 절차가 안내되었다.

https://about.fb.com/news/2025/04/making-ai-work-harder-for-europeans/

Meta 측은 “유럽의 언어·문화적 다양성을 반영한 AI 기술 개발을 위한 불가피한 조치”라고 설명하며, 아울러 18세 미만 사용자의 콘텐츠, 비공개 메시지, 옵트아웃 신청자의 데이터는 수집 대상에서 제외된다고 밝혔다. 이 모든 데이터 처리는 GDPR(일반 개인정보보호규정)*의 ‘정당한 이익(legitimate interest)’ 조항을 근거로 한다고도 덧붙였다. 하지만 여전히 핵심은 “동의 없는 AI 학습”이라는 점에서, 이용자 권리 침해 우려는 쉽게 사라지지 않았다.

유럽 단체들의 반발과 법적 경고
Meta의 이 같은 조치는 즉각적으로 프라이버시 단체와 시민사회로부터 강력한 반발을 불러왔다.

5월 14일, 오스트리아의 데이터 보호 비영리 단체 NOYB(None of Your Business)는 Meta 아일랜드 법인에 공식 ‘중단 요구서(cease and desist letter)’를 발송하며 대응에 나섰다. NOYB는 이 편지에서 “명시적 동의(Opt-In)* 없이 사용자 데이터를 AI 훈련에 사용하는 것은 GDPR 명백한 위반”이라며, 만약 Meta가 정책을 예정대로 강행할 경우 아일랜드 및 EU 각국에서의 가처분 신청, 집단소송 등 법적 절차를 개시하겠다고 경고했다.

https://noyb.eu/en/noyb-sends-meta-cease-and-desist-letter-over-ai-training-european-class-action-potential-next-step

특히 NOYB는 Meta가 개인정보 활용을 '정당한 이익'이라는 근거에 의존하면서도 옵트인이 아닌 옵트아웃만 허용하고 있다는 점을 비판했다. 이들은 "데이터 처리의 기본 원칙은 ‘사전 동의’이며, 이는 유럽법에서 보호받는 핵심 권리"라고 강조했다. 더불어 "설령 10%의 사용자만 동의하더라도, AI 학습에는 충분한 규모의 데이터가 확보된다"는 논리를 제시하며, Meta가 필요 이상으로 개인정보를 수집하고 있다는 의심도 함께 제기했다.

독일 노르트라인베스트팔렌 소비자보호협회(NRW)와 함부르크 데이터보호위원회(HmbBfDI) 등 주요 기관이 Meta의 AI 훈련을 강하게 문제 삼았다.

독일 노르트라인베스트팔렌 주 소비자보호협회의 안내글, 'Meta의 데이터 수집을 제한하는 방법을 설명합니다.' : https://www.verbraucherzentrale.nrw/wissen/digitale-welt/soziale-netzwerke/facebook-und-instagram-metadatenschutzrichtlinie-zusammengefasst-102022

NRW는 옵트인(명시적 동의) 없는 데이터 활용이 GDPR 위반이라고 주장하며 가처분 신청까지 제기했다. 하지만 함부르크 데이터보호위원회는 여전히 Meta의 데이터 처리 방식에 비판적이며, 최소 3개월간 AI 훈련 금지 명령을 예고하는 등 추가 조치를 검토 중이다.

네덜란드 개인정보보호감독기관(AP)은 Meta의 AI 훈련 계획에 대해 “매우 우려스럽다”고 공식 입장을 냈다. AP는 사용자들에게 5월 27일 이전에 반드시 옵트아웃 권리를 행사하라고 권고했으며, Meta의 옵트아웃 모델이 법적 요건을 충족하는지 의문을 표했다. 네덜란드 당국은 아일랜드 DPC 및 유럽 각국 감독기관과 긴밀히 협의하며, 향후 상황에 따라 추가 규제나 법적 조치도 검토 중이다.

"Meta AI가 귀하의 데이터로 학습하는 것을 원하지 않으면 지금 조치를 취하세요." : https://www.autoriteitpersoonsgegevens.nl/actueel/ap-kom-nu-in-actie-als-je-niet-wil-dat-meta-ai-traint-met-jouw-data:

벨기에 데이터보호청(DPA) 또한 Meta의 AI 훈련 정책에 대해 공식적으로 우려를 표명했다. DPA는 5월 27일 정책 시행 전까지 Facebook, Instagram 사용자들에게 데이터 활용에 반대(옵트아웃)할 권리가 있음을 적극적으로 안내하고, 구체적인 거부 절차를 상세히 공지했다. 벨기에 당국은 Meta의 옵트아웃 모델이 충분히 명확하고 쉬운지, GDPR 요건을 충족하는지에 대해 계속 검토 중이며, 필요시 추가 규제 조치도 배제하지 않고 있다.

Meta의 반박: “법적 근거와 절차를 모두 갖췄다”
이에 대해 Meta는 공식 성명을 통해 즉각 반박에 나섰다. Meta는 언론과의 인터뷰 및 웹사이트를 통해 “NOYB의 주장은 사실과 법률 모두에서 오해에 기반하고 있다”고 지적했다. 또한 자사는 해당 정책을 수립하기 전, 아일랜드 개인정보보호위원회(DPC)와의 협의를 거쳤으며, 유럽 전체를 관할하는 데이터보호이사회(EDPB)의 가이드라인에도 부합한다고 주장했다.

Meta는 사용자에게 충분한 고지와 선택권이 제공되고 있다는 점도 강조했다. 실제로 EU 사용자들에게는 이메일과 앱 내 알림을 통해 AI 데이터 활용 사실이 통지되었고, 이의제기(Opt-Out)* 페이지 링크도 함께 제공되었다. 아울러, Meta는 해당 정책 도입과 함께 ▲이의제기 프로세스 개선, ▲개인정보 마스킹 처리 강화, ▲사용자 안내 문구의 투명성 개선 등의 조치를 취했다고 덧붙였다. 결과적으로 Meta는 법적·윤리적 정당성 확보와 기술 개발이라는 두 목표를 동시에 충족시키려 한다는 입장이다.

*GDPR: General Data Protection Regulation(일반 데이터 보호 규정), 2018년부터 유럽연합(EU) 전역에 적용된 세계에서 가장 강력한 개인정보 보호법

*옵트인(Opt-in): 개인이 어떤 서비스, 데이터 수집, 마케팅 메시지 수신 등에 대해 ‘명시적으로 동의’하거나 ‘적극적으로 참여 의사를 표시’하는 것 예) “이메일 수신 동의” 체크박스를 사용자가 직접 체크해야만 뉴스레터가 발송됨

*옵트아웃(Opt-Out): 개인이 이미 참여 중이거나 동의한 서비스, 데이터 처리, 마케팅 메시지 수신 등 에서 ‘더 이상 참여하지 않겠다’고 ‘거부 의사를 표시’하는 것 예) 마케팅 이메일 수신이 기본으로 설정되어 있고, 사용자가 수신 거부(“구독 취소”) 링크를 눌러야 중단됨

5월 23일, Meta의 손이 올라갔다.

5월 23일, 쾰른 고등법원은 “메타가 사용자에게 이메일 등으로 데이터 활용 사실을 충분히 고지했고, 사용자가 원할 경우 손쉽게 옵트아웃할 수 있도록 했다”며 소비자 단체의 가처분 신청을 기각했다.
법원은 메타가 ‘정당한 이익(legitimate interest)’이라는 GDPR상 근거를 충족했고, 사용자가 적극적으로 거부(옵트아웃)할 수 있는 기회를 제공했으므로, 데이터 처리의 법적 요건을 갖췄다고 판단했다.

쾰른 고등지방법원의 2025년 5월 23일 판결문, "Meta는 공개적으로 설정된 사용자 프로필의 데이터를 인공지능(AI) 훈련에 사용할 수 있다."

또, 메타의 유럽 내 대표 감독기관인 아일랜드 데이터보호위원회(DPC)는 장기간의 협의와 개선 권고 끝에 2025년 5월 메타의 AI 훈련 계획을 조건부 승인했다. DPC의 관련 성명에 따르면, Meta가 사용자에게 명확한 고지 및 앱 내 알림 제공, 옵트아웃 폼 개선, 위험성 평가 및 데이터 보호 조치 강화 등 여러 개선책을 시행한 점을 인정했다. DPC는 메타가 GDPR과 EU 감독기관의 가이드라인을 준수했고, 사용자가 데이터 활용을 거부할 수 있는 현실적 수단을 제공하고 있다고 판단했다. DPC의 승인은 “로컬(유럽 현지) 데이터 없이는 유럽 맞춤형 AI 개발이 어렵다”는 메타의 주장과, 개인정보보호 규정 준수 사이에서 균형을 시도한 결과로 해석된다.

https://www.dataprotection.ie/en/news-media/latest-news/dpc-statement-meta-ai

AI는 누구를 위해 학습하는가, 그리고 그 데이터는 누구의 것인가

이번 Meta 사태는 단순히 한 기업의 데이터 정책을 넘어, AI와 개인정보보호, 그리고 글로벌 규제 환경의 복잡한 교차점을 드러낸다. Meta는 유럽 사용자들에게 “공개 게시물, 댓글, AI와의 상호작용 데이터”를 AI 모델 훈련에 활용하겠다고 밝히며, 이를 거부하려면 사용자가 직접 ‘옵트아웃’ 신청을 해야 한다고 안내했다. 그러나 이 과정에서 독일, 벨기에, 네덜란드 등 여러 국가의 데이터보호 당국과 시민단체들은 “명확한 사전 동의(opt-in) 없이 데이터가 활용되는 것은 GDPR(유럽 개인정보보호법) 취지에 어긋난다”며 강하게 반발했다. 실제로 Meta가 내세운 ‘정당한 이익(legitimate interest)’ 논리는 GDPR상 허용된 근거 중 하나지만, 유럽사법재판소(CJEU)는 이미 타깃 광고 등에서 이 근거의 남용을 제한한 바 있다258. 그럼에도 불구하고 아일랜드 DPC와 독일 쾰른 고등지방법원은 “충분한 고지와 옵트아웃 기회가 있다면 합법”이라는 판단을 내렸다. 이로써 Meta는 5월 27일부터 유럽 내에서 AI 훈련을 재개할 수 있게 됐다.

문제는 여기서 끝나지 않는다.
첫째, 실질적 동의와 사용자 권리의 문제다. 옵트아웃 방식은 사용자가 데이터 활용 사실을 명확히 인지하지 못하거나, 복잡한 절차 때문에 거부권을 행사하기 어렵게 만든다. 실제로 시민단체들은 “옵트아웃 폼이 여러 단계를 거쳐야 찾을 수 있고, 정보 제공도 충분하지 않다”고 지적한다.
둘째, 저작권과 데이터 주권의 문제도 심각하다. Meta가 AI 훈련에 사용하는 데이터에는 저작권이 있는 콘텐츠도 포함될 수 있고, 이로 인해 작가, 아티스트, 언론사 등 다양한 이해관계자들이 법적 대응에 나서고 있다.
셋째, 투명성과 책임성의 문제다. Meta는 “유럽 현지 언어와 문화를 반영한 AI 개발”이라는 명분을 내세우지만, 실제로 어떤 데이터가 어떻게 쓰이는지, 사용자가 자신의 데이터 활용 내역을 얼마나 투명하게 확인할 수 있는지에 대한 정보는 부족하다.

결국 이번 논란은 AI 혁신과 개인정보보호, 저작권, 사용자 권리, 플랫폼 책임이라는 복합적 이슈가 한꺼번에 터져 나온 사건이다. 무엇보다 “충분한 고지와 옵트아웃만으로 데이터 활용이 정당화될 수 있는가”라는 질문은, 단순히 기술적 절차를 넘어 사용자 권리와 기업의 책임 간 균형이라는 근본적인 논의로 이어진다. 유럽 각국의 규제기관과 시민사회, 그리고 글로벌 플랫폼 사용자 모두가 이 사안에 대해 보다 장기적이고 성찰적인 접근을 할 필요가 있다.

앞으로도 빅테크 기업들의 AI 개발과 데이터 활용을 둘러싼 논의는 계속될 것이며, 기술 혁신과 개인정보 보호 간의 균형, 투명한 소통 절차, 사용자의 실질적인 선택권이 함께 고려되어야 지속 가능한 발전이 가능할 것이다.

[METAX = 김하영 기자]