미 연방의회 의원이 주도한 7개월간 조사 끝에 복수 회계 사무소가 납세자 개인 정보를 구글이나 메타에 제공하고 있었다고 보고됐다. 성명과 주소 외에 부양 가족 데이터와 저축 계좌 사용 상황이 공유됐다는 의심이 있다.
이에 따르면 3개사(H&R Block, TaxAct, TaxSlayer)가 자사 서비스에 구글과 메타 트래킹 코드를 포함한 탓에 고객 성명과 주소, 생년월일, 세금 신고 상황, 계좌 이용 상황 등 정보가 빠져 나갔다는 것이다. 미국에선 고객 동의 없이 회계사무소가 신고 정보를 공유하는 걸 금지하고 있기 때문에 이들 3개사가 법률을 위반했을 가능성이 있으며 의원은 추가 수사를 위해 기소하도록 집행 당국에 요청했다.
보고서에 따르면 허가를 받지 않고 신고 정보를 공개한 대행사는 1회 위반당 최고 1,000달러 벍므과 최고 1년 징역형 대상이 되며 이 경우에는 수백만 명 납세자에 대한 확정 신고 데이터가 공유되고 있기 때문에 잠재적으로 수십억 달러 규모 형사 책임이 부과될 가능성이 있다.
회계사무소가 정보를 공유하고 있다는 지적은 2022년 11월 처음으로 이뤄졌다고 한다. 7개월에 걸친 조사 끝에 보고서를 공개해 연방거래위원회나 재무부 등 관계 기관에 추가 조사 실시를 요구했다.
한편 앞선 3개사는 추적 코드를 삭제하거나 비활성화해 대응했지만 이때까지 여러 정보가 공유된 것으로 보인다. 추적 코드에서 얻은 정보는 광고 타깃팅에 사용됐다는 지적이지만 구글과 메타는 이에 반박했다. 구글은 엄격한 정책과 기술을 통해 개인을 식별할 수 있는 데이터를 수집하는 걸 금지하고 있다며 어떻게 사용되는지 사용자에게 알려야 하며 또 기밀 정보를 기반으로 하는 광고에 대한 엄격한 정책이 있다고 밝혔다.
메타는 광고주는 회사 비즈니스 도구를 이용해 기밀 정보를 제출해선 안 된다며 도구를 적절하게 설정하도록 광고주를 교육하고 있다며 회계사무소 실수에 불과하다는 자세를 보였으며 얻은 데이터는 모두 익명화되어 있어 개인 정보 유출에는 해당되지 않는다고 주장했다.
하지만 의원들은 2개사가 실시한 해시화는 익명화 기술로 보기 의심스럽고 개인을 특정하기 위해 혹은 타깃 광고 등에 사용할 수 있는 개인 정보를 작성하기 위해 쉽게 다룰 수 있다며 반론을 펼치고 있다. 트래킹 코드를 내장한 회계사무소에 대해선 의원은 어떤 정보가 송신되는지 충분히 이해하지 않고 전문가에게 상담하지 않고 도입하고 있었다며 이런 코드가 사용되는지 모르는 경우도 있으며 회계사무소는 코드가 납세자 프라이버시에 어떤 영향을 미치는지 인식하지 못한 것 같다며 정책을 지키지 않은 기업에 책임이 있다고 주장하는 메타와 구글을 견제하면서도 회계사무소가 주요 책임을 갖고 있다는 견해를 나타냈다.
이번 경우는 납세자 데이터를 책임지고 취급하는 세무 신고 업계 능력과 이런 업계가 고객 프라이버시를 얼마나 진지하게 생각하고 있는지에 대해 의문을 던지는 것이라는 지적이다. 관련 내용은 이곳에서 확인할 수 있다.