50 Business Highlights 4차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 51 4 차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 이재웅이사리스크자문본부정보보안서비스그룹 Introduction 글로벌추세는자국데이터보호및관련규제강화인공지능 (AI

Similar documents
[ 목차 ]

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

Output file

KISO저널 원고 작성 양식

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할


중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

개인정보처리방침_성동청소년수련관.hwp

C O N T E N T S 1. FDI NEWS 2. GOVERNMENT POLICIES 3. ECONOMY & BUSINESS 4. FDI STATISTICS 5. FDI FOCUS

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

01-02Àå_»ç·ÊÁýb74öÁ¤š


C O N T E N T S 1. FDI NEWS 2. GOVERNMENT POLICIES 中, ( ) ( 对外投资备案 ( 核准 ) 报告暂行办法 ) 3. ECONOMY & BUSINESS 美, (Fact Sheet) 4. FDI STATISTICS 5. FDI FOCU

Windows 10 General Announcement v1.0-KO

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있


Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental Ta

USC HIPAA AUTHORIZATION FOR

슬라이드 1

수입목재의합법성판단세부기준 [ ] [ , , ] ( ) 제 1 조 ( 목적 ) 제 2 조 ( 용어정의 ). 1.. 제3조 ( 대상상품의분류체계 ) ( ) 18 2 (Harmoniz

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

Windows 8에서 BioStar 1 설치하기

PowerPoint 프레젠테이션

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

C O N T E N T S 1. FDI NEWS 2. GOVERNMENT POLICIES 3. ECONOMY & BUSINESS 4. FDI STATISTICS 5. FDI FOCUS

2 KHU 글로벌 기업법무 리뷰 제2권 제1호 또 내용적으로 중대한 위기를 맞이하게 되었고, 개인은 흡사 어항 속의 금붕어 와 같은 신세로 전락할 운명에 처해있다. 현대정보화 사회에서 개인의 사적 영역이 얼마나 침해되고 있는지 는 양 비디오 사건 과 같은 연예인들의 사

표현의 자유


13.11 ②분석

모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다.

SIGIL 완벽입문

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

wtu05_ÃÖÁ¾

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

한국노인인력개발원 규정집(2015ver11).hwp

2

2015

- 2 - 장하려는것임. 주요내용 가. 기획재정부장관은공기업 준정부기관임원임명에양성평등을실현하기위하여특정성별이임원정수의 100분의 70을초과되지아니하도록하는지침을정하되, 그비율을 2018년부터 2021년까지는 1 00분의 85, 2022년부터 2023년까지는 100분의

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

_서울특별시_강서구_자활기금_설치_및_운용_조례_일부개정조례안[1].hwp

슬라이드 1

5...hwp

EU 29 조작업반의 GDPR 대응동향 년개정및신규발표한 GDPR 가이드라인을중심으로 < 목차 > * 2017년 9월해외개인정보보호동향핫이슈보고서에서 해외주요국의 GDPR 대응동향 EU회원국을중심으로 를다룬바있음 * 본동향보고서에서는위동향보고서에이어, EU

경상북도와시 군간인사교류활성화방안


ìœ€íŁ´IP( _0219).xlsx


Ⅰ Ⅱ Ⅲ Ⅳ

41호-소비자문제연구(최종추가수정0507).hwp

내지(교사용) 4-6부

암호내지

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

( ),,., ,..,. OOO.,, ( )...?.,.,.,.,,.,. ( ),.,,,,,.,..,

(012~031)223교과(교)2-1

조사보고서 구조화금융관점에서본금융위기 분석및시사점

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목 차 Ⅰ

C O N T E N T S 목 차 요약 / 1 Ⅰ. 유럽온라인유통시장현황및진출확대방안 3 1. 유럽개관 Ⅱ. 동유럽국가별온라인유통시장현황및진출확대방안 폴란드 2. 헝가리 3. 체코 4. 오스트리아 5. 크로아티아 6.


04.박락인(최종)치안정책연구 29-3.hwp

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하


미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

1809_2018-BESPINGLOBAL_Design Guidelines_out

C O N T E N T S 목 차 요약 / 1 I. 성장견인국 / 3 II. 위기진행국 / 54 III. 중도성장국 / 112

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

Zentralanweisung

ITFGc03ÖÁ¾š

120330(00)(1~4).indd

Act84_

Microsoft PowerPoint - 6.pptx

신규투자사업에 대한 타당성조사(최종보고서)_v10_클린아이공시.hwp

04 특집

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

목 차 주요내용요약 1 Ⅰ. 서론 3 Ⅱ. 스마트그리드산업동향 6 1. 특징 2. 시장동향및전망 Ⅲ. 주요국별스마트그리드산업정책 17 Ⅳ. 미국의스마트그리드산업동향 스마트그리드산업구조 2. 스마트그리드가치사슬 3. 스마트그리드보급현황 Ⅴ. 미국의스마트그리드정


아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>


주간S&T정책동향

맘톡광고소개서

조사보고서 복합금융그룹의리스크와감독

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

C O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙

1~10

Microsoft Word - PLC제어응용-2차시.doc

¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp

감사회보 5월

Transcription:

50 Business Highlights 4차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 51 4 차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 이재웅이사리스크자문본부정보보안서비스그룹 Introduction 글로벌추세는자국데이터보호및관련규제강화인공지능 (AI) 등신기술과데이터활용을접목한서비스개발등기업데이터활용경쟁심화 EU GDPR 첫번째제소및벌금부과사례 2019년 1월 21일프랑스의개인정보보호감독기관 CNIL(Commission Nationale de l informatique et des Libertés) 은구글에 5,000만유로의벌금을부과했다. 2018년 5월 25일시행된유럽일반개인정보보호법 (General Data Protection Regulation [EU], GDPR) 의필수원칙인투명성 (transparency) 과정보제공 (information), 그리고개인정보처리에대한동의절차와관련해 EU GDPR의법적의무를위반했다는이유에서다. CNIL은조사를통해구글에서 2개유형의법률위반을확인했다. 첫째는서비스제공을위한데이터 이용자의데이터처리목적, 데이터보관기간, 그리고개인화광고에사용되는개인정보항목과관련된정보가여러문서에분산되어제공되므로, 사용자가전체정보를확인하려면여러차례관련링크및버튼을클릭해야만해정보에대한접근과이해가어렵다는점이다. 또한일부개인정보항목에대해서는보관기간을고지하고있지않음을지적했다. 둘째는구글이 개인맞춤광고 (ads personalization processing) 서비스를제공하기위해개인정보사용에대한동의절차를마련하고있지만이과정에서개인정보사용내역에대한정보를이용자에게충분히제공하지않으며, 관련내용이구체적이거나명료하지않음을지적했다. 구글은다양한서비스 ( 구글검색, 유튜브, 구글홈, 구글지도등 ) 를통해수집한이용자의개인정보를 개인맞춤광고 에활용하고있으나, 각각의서비스에서어떤항목의데이터가얼마나사용되는지, 어떠한방법을통해사용되고있는지가명확하지않다는것이다.

52 Business Highlights 4차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 53 이는 EU GDPR 시행당일오스트리아의비영리단체인 NOYB, 프랑스인터넷프라이버시옹호단체인 LQDN(La Quadrature Du Net) 이 GDPR 위반혐의로구글을제소한건에대한결정으로 GDPR 위반혐의로벌금이부과된것은이번이처음이다. NOYB는 내사생활은당신과상관없어 (My Privacy is None Of Your Business) 라는슬로건을바탕으로 2017년에설립된단체인데기업의무분별한개인정보의처리 ( 수집, 이용, 제공등의활동 ) 및오 남용을근절하기위한활동을목표로한다. 이단체는 EU GDPR 시행당일구글뿐만아니라인스타그램, 왓츠앱, 페이스북을제소했으며, 추가로 2019년 1월에는넷플릭스, 유튜브, 스포티파이, 아 이번제소건은 GDPR 제정시강화된 정보주체의권리보장 에관한위반사항을다루고있지만, 본질적으로는구글의위반사례중첫째에해당하는 투명성 위반과사실상같은사안인듯보인다. 표1의 NOYB 개인정보접근요청에대한업체별회신결과에따르면많은회사가개인정보의수집출처, 이용목적, 수집 이용한개인정보의항목및조합, 보관기간및개인정보파기시점, 개인정보제공여부등에대해정보주체에게충분한정보를제공하지않은사실이확인된다. 본사례의각회사가처리하는개인정보활동과관련해이용자에게고지한내용대로개인정보를투명하게처리하고있는지합리적인의심을하지않을수없다. 그림 1. 익명처리된개인정보의활용과관련한 GDPR의전문 (recital) 26 General Data Protection Regulation Recital 26 Not applicable to anonymous data The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes. 출처 : 유럽 일반개인정보보호법 본문발췌 (https://eur-lex.europa.eu) 마존프라임, 애플뮤직등의글로벌기업을정보주 필자도다양한프로젝트를통해조직의개인정보 부서에서실제처리하고있는운영현황이상이해적 한다. 우선 GDPR 에서는유럽연합 (EU) 내회원국 체의개인정보접근요청에대한 GDPR 법위반으로 처리현황을파악하는과정에서개인정보보호담당 절한조치및관련절차개선등을수행했던기억이 간의자유로운데이터이전을보장하지만, 제 3 국으 제소했다. 자가이해하고있던개인정보의처리현황과현업 있다. 조직에서는개인정보처리내역을이용자에게 로의데이터역외이전은강하게규제한다. 제 3 국이 투명하게공개할수있는지다시한번내부현황을 EU 회원국과자유로운데이터이전을하기위해서 표 1. NOYB 개인정보접근요청에대한업체별회신결과에따른제소내역 응답여부 원본데이터 데이터이해가능성 배경정보 1 응답지연정도 okay partly missing 회사소재지최대벌금액 3 아마존프라임다운로드 2 룩셈부르크 63.1 억유로 애플뮤직다운로드 2 아일랜드 80.2 억유로 DAZN 응답없음영국 2,000 만유로 필름잇 30 일오스트리아요구되지않음 넷플릭스 27~30 일네덜란드 4.15 억유로 사운드클라우드응답없음독일 2,000 만유로 스포티파이다운로드 2 스웨덴 1.63 억유로 유튜브다운로드 2 미국 38.7 억유로 1. 배경정보 : 개인정보수집출처, 제공받은자와제공목적, 보관기간등. 2. 다운로드 : 웹페이지에서다운로드기능제공. 3. 최대벌금액 : 2017 년공개된정보를기반으로산정한값. 출처 : NOYB 홈페이지 (https://noyb.eu/access_streaming/) 점검해볼필요가있다. 데이터활용을위한 GDPR의법적근거마련 GDPR은개인정보보호에초점을두고있지만, 데이터의안전한활용에대한법적근거도포함하고있다. GDPR은익명정보 (anonymous information) 에대해당법의개인정보보호원칙을적용하지않음으로써통계및연구목적등을위한익명정보의처리가가능하도록규정하고있다. 또한가명처리 (pseudonymization) 의개념을제시함으로써데이터의안전한보호와함께데이터의활용을어느정도보장하는의도를가진다고해석된다. 국가별자국데이터보호및활용을위한법제도정비현황데이터보호와활용을주제로한 GDPR의시행은본격적인글로벌컴플라이언스전쟁의시작을의미 는 GDPR과동등한수준의법제도와함께이를관리 감독하기위한독립적인감독기관을갖춰야한다. 이러한요건을갖춘제3국이 EU 집행위원회의 적정성결정 (adequacy decision) 적합승인을받은후에, EU 회원국과의데이터이전이가능하도록규정되었다. 현재까지적정성결정을획득한국가는스위스, 뉴질랜드, 캐나다, 이스라엘등총 12개국가이며, 일본은최근적정성결정에서 적합 승인을받았다. 중국, 베트남등은자국내에서수집한개인정보및중요데이터는자국내에저장 보관하도록하는 사이버보안법 을제정해자국내데이터보호를강화하는규제를새롭게시행했다. 일본, 인도등은국외이전을제한하는원칙을포함하는등자국의데이터보호를위해법제도를제 개정하면서익명처리된정보등을활용할수있도록법적근거를마련하고있다.

54 Business Highlights 4차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 55 표 2. 국가별개인정보및중요데이터보호법제 개정현황 국가법령및규정주요내용 국외이전제한 익명정보활용 제정및시행일 EU GDPR ( 일반개인정보보호법 ) EU 역내데이터의자유로운활용 EU 시민의개인정보국외이전제한 위반시매출액의최대 4% 또는 2,000 만유로의과징금부과 2016.5.24. 제정 2018.5.25. 시행 미국 (CA) CCPA ( 소비자프라이버시법 ) 미국캘리포니아내에서수집 이용한소비자정보 익명화정보는적용제외 2018.6.28. 채택 2020.1. 시행예정 미국 ( 연방 ) 중국 CLOUD ( 클라우드법 ) 사이버보안법 ( 네트워크안전법 ) 수사기관이클라우드기업의해외서버에저장된메일, 문서, 기타통신자료등을열람할수있도록권한을부여 애플, 페이스북, 구글, 마이크로소프트등이법안을지지 중국내수집한개인정보및중요데이터는중국에저장 데이터국외이전시안전평가등규정화 2018.3. 법안승인 2017.6. 시행 프라이버시법 (California Consumer Privacy Act) 을제정했다. 법의주요내용은개인정보에대한개념정의확대, 가명처리등비식별정보와관련된개념정의, 정보주체의권리보장강화, 개인정보처리 마련하고있다. 미국정부는 2015년부터이와같은법안을제정해해외에저장된데이터에대한법적근거를마련하려했지만의회의지지를받지못했었다. 그러나이제필요성에대한인식이바뀌었다. 베트남 사이버보안법 자국민데이터의현지보관의무규정 중국의 사이버보안법 과유사 ( 글로벌기업의데이터현지화 ) 2019.1.1. 시행 자의개인정보유출책임과관련된사항등을규정하며, 개인정보를제3자에게판매하는사업자에대 한국의상황 인도 일본 한국 개인정보보호법안 개인정보보호법 개인정보보호법 GDPR 를모델로작성되었으며, 인도의개인정보보호일반법으로제정추진 국외이전에대한조건을명시해규정화 익명화정보는적용제외 자국민개인정보의국외이전제한 익명화가공정보개념도입 GDPR 수준의강력한일반개인정보보호법으로분류 데이터활용을위한법개정안제시 2018.8.27. 초안 2017.5.30. 시행 2011.9.30. 시행 해자신의개인정보판매를거부하는옵트아웃 (optout) 절차등을포함하고있다. 캘리포니아는경제규모로봤을때 2018년기준세계 5위권국가에해당하는규모이며, 미국에서가장인구가많고, 구글, 애플등초대형글로벌정보기술 (IT) 기업및많은유니콘기업을배출한스타트업의성지인실리콘밸리가위치해있다. 따라서향후 데이터활용을위한법적근거마련필요 EU와의자유로운데이터이전을위한감독기구의독립성확보시급우리나라는 2011년 9월 30일 개인정보보호법 을시행할당시형사처벌이규정된강력한규제법 출처 : 딜로이트애널리시스 많은미국기업들의데이터프라이버시대응에상당 안으로서상당한논란이있었다. 현재까지도한국의 한변화가예고된다. 개인정보보호법 은전세계적으로가장강력한개인 미국의대응현황 소비자의개인정보보호를위한규제가존재하나, 또한미국은일명클라우드법 (CLOUD Act) 으로 정보보호규제법안으로평가되며, 법적요건과큰 연방차원의종합적인 개인정보보호법 은마련되 불리는 합법적인해외데이터활용의명확화를위한 틀에서 GDPR 와거의유사한수준으로개인정보의 캘리포니아소비자프라이버시법 (CCPA), 어있지않다. 이는미국이데이터활용을통한기 법률 (Clarifying Lawful Overseas Use of Data 보호대책을요구한다. 다만, 한국의개인정보보호 합법적인해외데이터활용의명확화를위한 업의성장을우선시하고데이터보호는자율규제 Act) 을 2018 년미국의회에서통과시켰으며, 도널 법제도에대해 EU 의적정성평가를추진한결과개 법 (CLOUD) 등법제도정비 에맡기는방식을채택하고있기때문이다. 미국에 드트럼프미국대통령이 3 월 23 일이를승인했다. 인정보보호위원회가독립적인감독기관으로서지 서는개인정보를판매하는비즈니스인 데이터브 해당법률은미국의통신서비스제공자들이저장해 위가부적합하다고결정되어 EU 와한국간자유로 미국의대표적기업애플의최고경영자 (CEO) 인 로커 도상당히활성화되어있다. 관리하고있는통신내용, 트래픽데이터, 가입자정 운데이터이전근거는아직까지확보되지않았다. 팀쿡은 2019 년다보스포럼에서연방차원의포괄 최근미국은개인정보의보호와활용과관련된 보등에대해정부기관이 데이터가저장된실제위 따라서우리나라의많은기업중 GDPR 의적용을받 적인개인정보보호법안제정의필요성을강조했다. 법안을제 개정하고있다. 먼저소비자개인정보 치에관계없이 제공요청을할수있도록명시함으 는사업자는자체적으로데이터이전에대한근거를 미국에서는뉴욕및캘리포니아등일부주 (state) 에 보호와관련해캘리포니아는 캘리포니아소비자 로써역외데이터에의접근에대한법률적근거를 마련해야한다.

56 Business Highlights 4차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 57 한편한국의 개인정보보호법 은제정이후 9번의개정이이뤄졌고, 추가개정안이제안중이다. 개인정보보호법 은규제위주의법제도로운영되어왔는데, 가명처리된데이터의활용방안에대한법 Flows of Personal Data) 에서제시된 8대원칙이다. GDPR나우리나라의 개인정보보호법 도 OECD 프라이버시 8대원칙을준용해수립되었다. 2013년이지침이개정되었으나, 8대기본원칙은그대로유 표 3. OECD 프라이버시 8 대기본원칙 OECD 프라이버시원칙 1. 수집제한의원칙 (collection limitation) 설명 개인데이터의수집에는제한이있어야하고그러한정보는적법하고공정한방법에의해얻어져야하며, 정보주체의적절한인지또는동의가있어야한다. 적근거와개인정보의범위와관련해정의하기어려운면이있어개정이필요하다는의견이제시되어이에따라다수의 개인정보보호법일부개정법률안 지되고있다. 이기본원칙은개인의권리및자유에관한데이터처리의기본원칙을다루고있으므로, 데이터의윤리적인활용을위한정책수립시이를 2. 데이터품질원칙 (data quality) 3. 목적명확화의원칙 (purpose specification) 개인데이터는사용목적과관계가있어야하고그목적에필요한한도내에서정확하고, 완전하며, 최신의것이어야한다. 개인데이터의수집목적은수집이전또는수집당시에명시되어야하며, 개인데이터의이용은명시된수집목적또는수집시목적, 목적변경시명시되는목적과상충하지않아야한다. 이제안되고있다. 우리나라국가및기업의경쟁력강화를위해빠른시일내에데이터활용에대한법적근거가마련되어야한다. 고려해야한다. GDPR에서는 7개의원칙을정하고있는데, 첫째원칙인 적법성, 공정성, 투명성 (lawfulness, fairness and transparency) 은정보주체와관련된사항으 4. 이용제한의원칙 (use limitation) 5. 안전성확보의원칙 (security safeguards) 개인데이터는명시된목적이외로공개되거나접근가능하거나사용될수없다. 단, 다음의경우는그러하지아니하다. (a) 정보주체의동의가있는경우 (b) 법률에의해허가된경우 개인데이터는손실또는권한없는접근, 파기, 사용, 수정또는공개에대해적절한안전성이확보되어야한다. 기업의대응전략 로기본원칙중에서도가장우선적으로고려해야하는기본원칙으로여겨진다. 앞서소개한구글등글 6. 공개의원칙 (openness) 개인데이터와관련해개발, 실행, 정책에대한전반적인공개방침이있어야하고, 그방법은정보관리자의신원및주소를비롯해개인데이터의존재와성질, 정보의이용목적을용이하게확인할수있는것이어야한다. 4차산업혁명에서기업의경쟁력은데이터의윤리적활용과보호정책의성공에좌우 1. 데이터활용및보호를위한개인정보보호원칙을이해했는가? 개인의권리및자유를보장하기위한 OECD 로벌기업의제소사례도가장중요한이기본원칙에해당하는준수의무가미흡했던것으로보인다. 기업에서도내부적으로수립한기본정책이나원칙, 표준등은쉽게변경되지아니하므로, 다시한번 OECD 8대기본원칙과적용받는법령을기준으로각원칙에위배되는사항이없는지면밀히검토해야한다. 7. 개인참여의원칙 (individual participation) 개인들은다음과같은권리를가진다. (a) 정보관리자로부터또는기타의방법으로정보관리자가자신들에대한정보를보유하고있는지에대해확인할권리 (b) 다음과같이자신에관한정보와통신할수있는권리 (ⅰ) 적절한시간내 (ⅱ) 유료라면과도하지않은비용으로 (ⅲ) 적절한방법으로 (ⅳ) 개인들이쉽게알수있는형식으로 (c) (a) 항, (b) 항에따른요청이거부된경우, 그사유를알고이의를제기할수있는권리 (d) 자신의정보와관련된정보에이의를제기하고이의제기가수락된경우, 그정보를삭제 정정 완성 수정할수있는권리 프라이버시 8대원칙의이해필요 GDPR의개인정보처리원칙첫번째 적법성, 공정성, 투명성 기본에충실한조직의개인정보보호및활용 2. 조직에서처리하는데이터의항목및범위가 명확하게식별되어있는가? 기술발전에따른개인정보범주의변화에 8. 책임성의원칙 (accountability) 출처 : OECD 프라이버시프레임워크 번역본, 한국정보화진흥원, 2013. 9. 정보관리자는상기원칙들에대한실행조치를준수할책임이있어야한다. 기준수립필요 대응필요 고객사에서처리하는데이터중특정데이터가개인 정보등이개인정보의항목으로분류되어왔다. 최근 개인정보영향평가 등을통해상세한 정보냐아니냐에대한질의를상당히많이받아왔다. 에는통신정보중모바일기기와관련된고유식별자 데이터의윤리적인활용을위해서는적절한보호 개인정보처리현황파악이중요 기술발전에따른데이터활용의강조로인해기존 (UUID, IMEI 등 ), 브라우저유형및설정, 기기유형및 대책이마련되어야한다. 앞서다뤄진국가별컴플 에저장되던데이터의활용가치를다시검토하거나 설정, 운영체제 (OS), 통신사명, 전화번호를포함한모 라이언스준수를위해경제협력개발기구 (OECD) 의 우리나라의 개인정보보호법 에서는개인정보가 이러한데이터를결합해유의미한데이터로사용하려 바일네트워크정보, 애플리케이션버전번호와개 프라이버시가이드라인 8 대원칙을정확게이해하 해당정보만으로는특정개인을알아볼수없더라도 시도하고, 새로운기술이나서비스에서사용되거나 인맞춤형광고등을위한웹비콘 (web beacon), 는것이매우중요하다. 다른정보와쉽게결합해알아볼수있는것을포함 한 생성되는신규데이터가등장함에따라기존에정의 픽셀, 광고태그, 쿠키등의광고기술데이터, 검색 OECD 프라이버시기본원칙은 1980 년 9 월 23 일 다고정의하는데, 여기서다른정보와쉽게결합해알 한개인정보범주내의데이터항목이달라지고있다. 한단어, 시청한동영상, 구매활동과위치정보등의 제정된 프라이버시보호및개인데이터의국경간유 아볼수있는데이터의범주가모호해 개인정보보호 지금까지일반적인개인의신상과관련된정보 수많은데이터가특정개인과관련된개인정보로활 통에관한경제협력개발기구지침 (OECD Guidelines 법 의적용대상이되는데이터를규정하기가쉽지않 인성명, 성별, 나이, 직업, 연락처, 주소등부터신용 발하게활용되는추세다. on the Protection of Privacy and Transborder 다. 따라서필자는많은고객사담당자로부터해당 정보, 의료정보, 신체정보, 습관및취미정보, 가족 조직은새로이활용하고자하는데이터또는데이터

58 Business Highlights 4차산업혁명시대핵심자산, 개인정보의안전한활용및보호원칙 59 의조합이기존에정의된개인정보의범주에포함되 3. 데이터활용과보호를위한조직의권한이 않는다면 CPO 는효과적인개인정보보호를위한 결론 는지, 포함되지않는다면해당데이터를개인정보로 적절히부여되어있는가? 내부통제운영에실패할가능성이크다. 우리나라 서관리해야하는대상으로포함해야하는지를검토 사고발생시이를전적으로책임지는역할로 의많은 CPO 가직면하는어려움에는여러가지가 적절한보호조치가마련된개인정보의활용 해야한다. 만약, 조직에서처리하는데이터의범주가 규정하는것은지양 있겠지만, 가장근본적인문제는 CPO 의역할및 기반마련은필수 명확히식별되지않는다면사실상무조건적인데이터 독립적기능으로업무를수행할수있는기반 권한과관련된조직내위상과관련이있다고생각 보호정책을고수하는방법이최선으로보이지만, 이 마련필요 한다. 데이터활용과보호는 4 차산업혁명시대에기업 는데이터활용전략의실패를자인함과다름없다. 반면, GDPR 은이러한어려움을해소할목적으 의경쟁력과존폐를좌우하는매우중요한이슈임이 따라서개인정보처리의성격, 범위, 상황, 목적, 우리나라의 개인정보보호법 은개인정보의처리 로 DPO 의지위 와관련된사항만을위해조항 1 개 명확해보인다. 이에따라데이터활용과보호를위 적용된최신기술, 처리비용뿐만아니라개인의권 에관한업무를총괄해서책임지는자로서개인정보 를온전히할애해규정한듯하다. 여기에는조직에 해국가별로제 개정되는법제도의테두리내에서데 리와자유에대한침해가능성및심각성등의위험도 보호책임자 (Chief Privacy Officer, CPO) 를지정 서개인정보보호와관련된리스크를효과적으로관 이터의윤리적활용과보호의균형을잘맞출수있는 에대한명확한식별과분석이필요하다. 이러한개인 하도록요구하며, GDPR 도특정조건에해당하는조 리및통제하기위해가장근본적인문제를해결하 원칙과전략의수립이필수적으로요구되는시대가 정보처리현황을상세하게파악하기위해각서비스 직의경우개인정보보호담당관 (Data Protection 려는고민이반영된것으로보인다. 이미성큼다가와있다. 또한각산업에따라처리하 또는업무별개인정보처리흐름을생명주기 ( 수집, 이 Officer, DPO) 을지정하도록규정하고있다. 우리 또한데이터를활용하고보호하는효과적인내부 는개인정보의종류, 중요도와민감도에차이가일부 용, 보관, 제공, 파기등 ) 전반에걸쳐파악해야하며, 나라에서발생한개인정보유출및침해사고사례를 통제를갖춘조직으로서역할을수립하기위해서는 있겠지만, 그사안에따라서개인의인권과생명에영 국내외에서공개되어있는 개인정보영향평가 (data 보면해당조직의 CPO 가사고에대한책임을지고 효과적인리스크관리와내부통제를위한 3 차방어 향을미치기도하기때문에개인정보의윤리적이고 protection impact assessment) 방법론이나점검 자리에서물러난경우가많다. 그러나 GDPR 에서규 선모형 (IIA) 의참고가권고된다. 3 차방어선모형은 안전한활용이지속적으로요구될것으로예상된다. 도구를활용한진단이권고된다. 정하는 DPO 는본인의업무실행과관련해어떠한 조직내에서각직무에대해 3 가지 (1 차현업, 2 차관 최근 < 서치 > 라는영화를보면서아버지가딸의이 이렇게식별된데이터처리현황에따라적절한보 지시도받지않으며, 개인정보처리작업과관련한 리및감독기능, 3 차내부감사기능 ) 방어선의역할 메일, 소셜네트워크서비스 (SNS) 포스팅기록, 통화기 호대책을수립할수있으며, 익명처리또는가명처리 정보의접근및필요한정보의제공을보장받고있다. 을정의하고, 각역할의책임을정의한다. 이러한역 록, 문자메시지, 채팅기록, 시청한동영상및접속한 한데이터의활용가능성, 활용목적, 상황, 처리하는 그리고 DPO 가업무수행을이유로해임또는처벌 할을통해내부통제를효과적으로운영함으로써조 웹사이트기록, 폐쇄회로 TV(CCTV) 등의로그를활용 데적용된기술및위험분석을수행함으로써데이터 을받지않도록규정하고있으며, 조직내부의임직 직의목표를성공적으로달성하도록돕는다. 해실종된딸을찾는과정을굉장히인상깊게느꼈다. 의활용에관한적절한의사결정을할수있도록절차 원뿐만아니라외부전문가를조직의 DPO 로지정할 DPO 는 3 차방어선에해당하는 내부감사기능 반면에특정개인의일거수일투족이온라인상에기록 를마련해야한다. 수도있다. 역할에해당하는지위를확보한상태에서관리및 되어우리의사생활이극단적으로침해될수있다는시 의사결정단계에서는해당데이터의활용이개인 일반적으로 CPO 는경영진의일원으로서또는경 감독기능의역할도수행하는직무로정의되나, 우 나리오와그가능성에다시한번놀라지않을수없었다. 정보처리원칙을위반하지않는지반드시검증하고, 영진의관리아래개인정보와관련된리스크를관리 리나라의 CPO 는 2 차방어선에해당하는 관리및 데이터의활용가치는보호가치와비례한다는사 필요할경우이용자에게관련내용을추가로고지하 감독하는역할을수행하기위해현업부서및 IT, 정 감독기능 의역할에해당해경영진을지원하는역 실을바탕으로우리나라의많은기업들이데이터를 고동의를획득하는등정보주체의권리보장을위한 보보호, 준법부서등타기능과효과적으로협업해 할에가깝다. 조직은데이터의효과적인활용과보 윤리적으로활용해성공적인 4 차산업혁명시대의 조치를적절히취해야한다. 야한다. 따라서경영진이참여하는개인정보보호위 호를위해 CPO 에게내부감사기능에해당하는독 주인공이되길기대한다. 이를위해서비스운영과관련한데이터처리흐 원회등의의사결정기구등을운영하는방식을활용 립성을어느정도보장하고, 해당역할을효과적으 름및처리기술등에대한데이터보호담당부서의 해조직의개인정보보호와관련된리스크를관리하 로수행하도록적절한내부통제시스템을개발하고 Contact 상세한현황파악이데이터활용을허용받고, 보호 기도한다. 운영할필요가있다. 또한급격한기술의발전뿐만 이재웅이사 대상을정의하고대책을마련하기위해선행되어야하는필수과정이며, 이를위해서는데이터보호담당부서의권한및역할정의가매우중요하다. 그러나조직의소통및협업체계가효과적으로운영되지않아개인정보보호내부통제와관련된필요한정보에대한접근과지원이적시에제공되지 아니라새로운컴플라이언스에효과적으로대응하기위해관련전문가집단및규제기관등과협력하는체계를마련해운영하는방안도권고된다. 리스크자문본부정보보안서비스그룹 02-6676-2918 jaewoonlee@deloitte.com

2024 © docsplayer.org 개인정보보호 | 약관 | 지원