DataGuidance에 따르면 오스트리아 데이터 보호 당국(DSB)은 Microsoft가 동의 없이 Microsoft 365 Education Edition을 사용하는 미성년 학생의 장치에 추적 쿠키를 불법적으로 이식했으며 이는 법률 위반에 해당한다고 판결했습니다. 이는 오스트리아에 본사를 둔 디지털 개인 정보 보호 운동가 그룹인 None of Your Business(noyb)가 관련 사건에서 또 다른 승리를 거두었습니다.
Microsoft의 공식 문서에 따르면 관련된 쿠키의 목적에는 사용자 행동 분석, 브라우저 데이터 수집 및 광고 지원 제공이 포함됩니다. DSB는 불만을 제기한 학생에 대한 추적을 4주 이내에 중단하라고 Microsoft에 명령했습니다. 관련 학교와 오스트리아 교육부 모두 noyb가 불만을 제기하기 전에 이러한 추적 쿠키의 존재를 알지 못했다고 밝혔습니다.

이번 판결은 2024년 noyb가 제기한 관련 조사 요청에서 비롯되었습니다. 당시 해당 조직은 오스트리아 데이터 보호 기관에 Microsoft 365 Education이 일반 데이터 보호 규정(GDPR)의 투명성 조항을 위반했는지 확인하도록 요청했습니다. Microsoft는 자사 시스템을 사용하는 학교에 데이터 보호 의무를 이전했으며 데이터 주체가 자신의 데이터에 액세스할 수 있는 권리를 보장하지 않았다는 점을 지적했습니다. Microsoft의 개인 정보 보호 문서, 액세스 요청 및 noyb의 자체 조사를 통해서도 소프트웨어의 교육용 버전이 처리하는 아동 데이터가 무엇인지 완전히 명확히 하는 것은 불가능했습니다.
사실 마이크로소프트가 관련 소송에서 패소한 것은 이번이 처음이 아니다. 지난해 10월 DSB는 마이크로소프트가 365 교육 플랫폼을 통해 학생들을 '불법적으로' 추적했으며 데이터 접근 요청에 대한 책임을 지역 학교에 회피하려 했다고 판결했다. 또 완전한 데이터 전송 정보를 제공하고 '내부 보고', '비즈니스 모델링', '핵심 기능 개선' 등 용어에 대한 명확한 설명을 제공하도록 명령했습니다.
최근 판결에 대해 Microsoft 대변인은 Microsoft 365 Education이 필요한 모든 데이터 보호 표준을 충족하며 교육 기관이 GDPR을 준수하면서 이를 계속 사용할 수 있다고 밝혔습니다. 회사는 이번 판결을 검토 중이며, 적절한 시기에 후속 조치를 결정할 예정이다.
noyb의 데이터 보호 변호사인 Felix Mikolasch는 성명서에서 미성년자를 추적하는 것은 분명히 개인정보 보호 원칙에 어긋난다고 강조했습니다. 마이크로소프트는 개인정보 보호에 별 관심을 기울이지 않는 것으로 보이며 관련 조치는 마케팅 및 홍보 목적에 더 가깝습니다.