ZDNet 검색 페이지

'개인정보보호법'통합검색 결과 입니다. (15건)

"개인정보 유출 기업이 불법유통 추적해야"

더불어민주당 이정문 의원이 개인정보 유출 기업과 기관의 사후 책임을 강화하는 개인정보 보호법 개정안을 대표발의 했다고 1일 밝혔다. 최근 SK텔레콤 사이버 침해사고를 비롯해 대규모 개인정보 유출 사고가 반복되고 있으나, 현행 개인정보보호법에는 유출된 개인정보의 불법유통을 추적하고 확산을 방지하는 사후 조치에 대한 의무는 없다. 이에 따라 개정안은 일정 규모 이상의 개인정보 유출 사고 발생 시 기업에 추가적인 의무를 부과하는 내용을 담았다. 구체적으로 ▲1천명 이상의 정보주체에 관한 개인정보 유출 ▲민감정보, 고유식별정보 유출 ▲개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의한 개인정보 유출 시 2년간 유출된 정보의 불법유통 여부를 모니터링하고 모니터링 결과를 개인정보보호위원회에 보고하도록 의무화했다. 모니터링 미이행 또는 보고 의무 위반 시 3천만원 이하의 과태료 부과 조치도 마련했다. 아울러 유출된 개인정보가 불법 유통되는 것을 확인한 경우 정보를 유통하는 자를 수사기관에 고발하도록 하고, 개인정보 유출로 피해를 입은 정보주체가 해당 정보의 불법유통 의심 시 개인정보보호위원회 등 전문기관에 신고할 수 있는 법적 근거를 마련했다. 이정문 의원은 “개인정보 유출로 인한 피해는 단순히 유출 자체에서 그치지 않고, 2차·3차 피해로 확산되는 경우가 많다”며 “기업과 공공기관들이 개인정보 유출 이후에도 지속적으로 유출된 정보에 대한 책임을 지고 사후 관리를 철저히 하도록 하는 것이 개정안의 취지”라고 밝혔다. 이어 “개인정보를 수집하는 기업과 공공기관은 정보의 안전한 보호뿐만 아니라 유출사고 발생 시 사후 확산 방지에도 책임을 다해야 한다”면서 “이번 개정안을 통해 SK텔레콤의 대규모 개인정보 유출 초기 대응실패와 무책임한 대응과 같은 상황을 방지해 국민의 피해를 최소화하는 데 기여할 것”이라고 강조했다.

2025.05.01 12:46박수형

"中에 220배 뒤처져"...자율주행차 발목잡는 규제

“지난해까지 중국 바이두가 쌓은 자율주행 운행 기록이 1억1천만km였다. 국내 1위 업체로 평가받는 오토노머스에이투지가 50만km로 약 220배 차이가 난다. 방대한 데이터 차이를 극복하려면 양질의 데이터를 수집할 수 있게 해야 한다.” 이상동 한국자율주행산업협회 팀장은 지난 27일 열린 '자율주행 산업 지원 국회 토론회'에서 이같이 말했다. 최근 중국 스타트업이 내놓은 AI 모델 '딥시크'가 저성능 칩으로 충격적인 성능을 보여주자 BYD와 지리 등 현지 자동차 기업들이 잇따라 자율주행 기술에 딥시크를 활용하겠다고 나섰다. 일찍이 자율주행 기술을 내세워온 테슬라도 지난해 말 완전자율주행(FSD) 소프트웨어 최신 버전을 업데이트하고, 오는 6월 이를 기반으로 한 로보택시 서비스를 예고하는 등 기술 고도화에 집중하는 추세다. 해외 기업들이 실제 주행 데이터를 수집하고, 이를 토대로 기술을 고도화하는 반면 우리나라는 데이터 수집 제한 규제로 양적 격차가 크게 벌어지고 있다는 지적이다. 이상동 팀장은 “AI 기업과 자율주행 기업, 완성차 기업들이 경계선 없이 넘나들면서 협업을 하며 AI 학습을 위한 데이터 수집과 활용이 중요하게 됐다”며 “국내에 자율주행차가 돌아다니려면 국내 환경에 맞는 최적화 데이터가 꼭 필요하다”고 강조했다. 특히 국가 차원에서 양질의 주행 데이터를 수집하는 것이 바람직하다고 봤다. 영세한 스타트업도 산업에 진입할 수 있게 하자는 취지다. 지난 2023년 개인정보보호법 개정에 따라 '이동형 영상정보처리기기'라는 개념으로 주행 영상을 데이터로 활용할 수 있는 법적 근거가 마련됐다. 그러나 데이터의 질적 측면에서 미국, 중국 등 자율주행 기술에 공들이는 국가 대비 여건이 불리하다는 지적이다. 이 팀장은 “테슬라로 예를 들면, 500만대 차량이 도로를 주행하며 사고가 발생하면 당시 영상을 그대로 본사에 전송함에 따라 그 데이터를 자율주행 AI 성능 개선에 활용하고 있다”며 “이런 회사와 규제 샌드박스 차량 몇십 대의 주행 데이터를 토대로 기술을 개발하는 (우리나라) 회사 간 경쟁력이 어디에 있겠나”라고 강조했다. 특히 현 제도 하에서 주행 영상 데이터를 활용할 때 개인정보 비식별화 처리 과정을 거치게 하는 점을 문제 삼았다. 비식별 처리된 영상을 학습한 AI보다 원본 영상을 학습한 AI가 객체 인식이나 주행 판단의 정확도가 17% 이상 높아졌다는 연구 결과를 소개했다. 이 팀장은 “특히 야간 주행, 악천우 등 복잡한 도심 환경에서 원본 주행 영상의 활용 가치가 더욱 올라간다”고 덧붙였다. 우리나라에선 설정된 규칙에 따라 자율주행 AI 모델이 주어진 상황을 인지하고 제어하는 반면, 테슬라 등 선도 기업들은 AI가 사람처럼 새로운 상황에서도 적절한 판단을 할 수 있도록 엔드투엔드(E2E) 방식을 쓰고 있는 점에도 주목했다. E2E 방식 자율주행 AI 성능을 개선하기 위해 더욱 양질의 주행 데이터가 요구되고 있다는 분석이다. 이 팀장은 “결국 모든 사례를 사전에 정의할 수 없기 때문에, 정의된 내용을 벗어나는 사례에서 자율주행 AI가 어떻게 대응할지 모른다는 기술적 어려움이 있다”고 첨언했다. 규제 샌드박스를 통해 원본 주행 데이터 활용이 일부 허용되고 있지만, 대규모 개발 프로젝트에는 한계가 있어 많은 기업들이 비식별 처리된 영상 데이터를 사용할 수밖에 없는 상황이다. 이 팀장은 “규제 샌드박스는 일시적인 예외를 두는 제도인데 자율주행 산업은 계속 고도화해나갈 산업”이라며 “원본 주행 데이터 활용에 대한 지속적인 법적 근거가 마련돼야 한다”고 주장했다.

2025.02.28 18:37김윤희

공공기관 개인정보보호법 위반 늘었지만…

지난해 공공기관의 개인정보보호법 위반 건수가 근 3배 가량 폭증했음에도 국민에게 이를 알리는 활동이 저조하다는 지적이 나왔다. 3일 강명구 국민의힘 의원실에 따르면 지난해 공공기관의 개인정보보호법 위반 건수는 87건으로 지난 2022년 대비 2.7배 증가했다. 그럼에도 개인정보보호법 위반 사실을 국민에게 알리는 공표 처분은 17건에 그쳤다. 개인정보보호위원회가 강 의원실에 제출한 자료에 따르면 지난 2021년 49건이었던 위반 건수는 다음해 32건으로 감소했으나 지난 2023년 들어 다시 급증한 것으로 나타났다. 이는 공공기관의 개인정보 관리 소홀 문제가 심각해지고 있음을 보여준다. 행정 처분 중 과징금 부과 건수도 크게 늘어났다. 지난 2021년과 2022년에는 과징금이 부과되지 않았으나 2023년에는 16건이 부과돼 총 3억7천450만원의 과징금이 징수됐다. 과태료 부과 건수 역시 대폭 증가해 69건에 달했다. 그럼에도 국민에게 위반 사실을 알리기 위한 공표 처분은 지난 2023년에 17건으로 여전히 저조한 수준이었다. 이는 지난 2021년과 2022년에 각각 1건에 불과했던 것과 비교해 소폭 증가했으나 여전히 투명성이 부족하다는 평가를 받는다. 개인정보보호위원회는 공표 제도의 실효성을 높이기 위해 제도 개선을 검토 중이라고 밝혔다. 공공기관의 개인정보 관리 문제와 관련해 투명성과 책임성을 강화할 필요성이 커지고 있다는 점에서 이번 사례가 중요한 전환점이 될 것으로 보인다. 강명구 의원은 "공표 제도가 공공기관의 법 위반 사실을 감추는 방패막이로 전락했다"며 "공공기관은 법을 더욱 엄격하게 준수하고 위반 사실을 투명하게 공개해야 한다"고 강조했다.

2024.10.03 12:04조이환

"CCTV 관제센터 정보 유출 안 돼"…이강일 의원, 개인정보보호법 개정안 발의

폐쇄회로(CC)TV 통합관제센터 설치·운영 근거를 명확히 하고 관제 업무 종사자 개인정보 보호를 의무화하자는 법안이 발의됐다. 더불어민주당 이강일 의원은 CCTV 통합관제센터 설치와 운영 근거 등을 담은 개인정보보호법 일부개정안을 대표 발의했다고 2일 밝혔다. 그동안 각 지방자치단체 CCTV 통합관제센터는 범죄예방과 수사, 화재 예방, 시설물 관리 등을 위해 운영됐다. 이 과정에서 민감한 개인정보를 수집하고 처리할 뿐 아니라 범죄 수사 등 긴급한 경우 개인정보를 제3자에게 제공하는 사례가 발생했다. 이에 대한 명확한 법적 근거가 없어 처벌도 어려웠다. 이 의원 개정안은 관제센터 설치와 운영 근거를 명확히 하자는 내용이 주제다. 또 관제 업무 종사자의 개인정보 보호와 유출 방지 교육을 의무화하는 내용도 담겼다. 이 의원은 "개인의 일상적인 신상정보가 수집·처리되는 만큼 유출 사고를 방지할 수 있도록 관제센터 종사자의 자격을 관리해야 한다"며 "체계적인 보안 교육으로 개인정보 보호에 만전을 기해야 한다"고 입법 취지를 설명했다.

2024.10.02 17:34김미정

개보위 "불필요한 동의 절차 간소화 해드려요"

개인정보보호위원회(개보위)가 보다 투명한 개인정보 처리 시스템을 구축하기 위해 개인정보 수집 절차를 간소화하고 정보주체의 선택권을 강화한다. 개보위는 오는 15일부터 계약 이행에 필요한 개인정보를 동의 없이 처리할 수 있도록 필수동의 관행을 개선한다고 12일 밝혔다. 이번 조치는 개정된 개인정보 보호법 시행령에 따른 것이며 정보주체의 선택권을 강화하고 불필요한 개인정보 수집을 줄이는 데 목적이 있다. 이번 개정으로 서비스 이용계약과 직접 관련된 개인정보는 동의 절차 없이도 처리할 수 있게 됐다. 이는 기존의 필수동의 관행을 폐지하고 동의 절차 없이 계약 이행에 필요한 개인정보를 처리할 수 있도록 한 것이다. 이와 동시에 서비스와 직접 관련이 없는 개인정보를 수집·이용할 경우에는 정보주체의 동의가 여전히 필요하다. 이는 명확한 정보 제공과 자유로운 선택에 따라 동의가 이뤄져야 한다는 원칙에 따른 것이다. 또 개보위는 계약과 직접 관련된 개인정보와 그렇지 않은 개인정보를 구분하여 처리하는 방식을 도입할 계획이다. 이를 통해 정보주체가 어떤 정보에 동의했는지를 명확히 알 수 있도록 해 개인정보 처리 과정의 투명성을 높일 예정이다. 특히 민감정보나 고유식별정보를 처리할 때는 그 필요성을 충분히 설명하고 정보주체로부터 동의를 받아야 한다. 예외적으로 법령에 따라 필수적인 경우에만 동의 없이 처리할 수 있지만 이는 제한적으로 적용된다. 필수동의 절차가 간소화됨에 따라 발생하는 혼선을 방지하기 위해 개보위는 연말까지 '개인정보 처리 통합 안내서'를 발간할 예정이다. 이 안내서는 개인정보 처리의 각 단계에서 준수해야 할 사항을 사례 중심으로 설명할 계획이다. 개인정보보호위원회 관계자는 "개정된 개인정보 보호법이 현장에서 무리 없이 정착될 수 있도록 산업계와의 소통을 강화하겠다"며 "관련 규정을 적극적으로 안내할 예정"이라고 밝혔다.

2024.09.12 12:01조이환

정부, 개인정보 전송요구권 세부 기준 알린다

정부가 개인정보 전송요구권 세부 기준을 설명하는 자리를 마련한다. 개인정보보호위원회는 오는 25일 오전 10시 서울 양재 엘타워 그레이스홀에서 '개인정보보호법 시행령' 개정안에 대해 산업계 등 이해관계자 대상으로 현장 설명회를 개최한다고 20일 밝혔다. 그동안 개인정보위는 개인정보보호법 개정으로 마련된 개인정보 전송요구권 제도의 실효성 확보를 위해 시행령으로 위임된 세부기준들을 구체화해 왔다. 이번 설명회는 ▲본인이나 제3자에게 전송의무가 있는 정보전송자 기준 ▲마이데이터 서비스를 제공하는 일반·특수 전문기관·정보전송자의 전송을 지원하는 중계 전문기관의 기준 ▲전송요구 대상이 되는 정보의 상세 범위 ▲전송요구, 전송, 거절·중단 방법 ▲개인정보관리 전문기관의 지정요건·금지행위 규정 등을 다룰 예정이다. 이날 전분야 마이데이터 시행에 앞서 국민 생활과 밀접하고 체감도가 높은 통신, 의료, 유통 분야 중심의 마이데이터 선도 서비스 발굴·지원(과제당 5억원, 총 5개 과제 선정 예정) 계획에 대해서도 안내한다. 개인정보위 이상민 범정부 마이데이터 추진단장은 "개인정보 전송요구권 세부기준에 대한 시행령이 마련된 만큼 이번 설명회를 통해 전분야 마이데이터 정책을 공유하고 제도 시행에 따른 궁금증이 해소될 수 있도록 많은 기업이 참석하길 바란다"고 말했다.

2024.06.20 10:47김미정

전문가 판단도 제각각...카톡 오픈채팅 개인정보 유출 논란 핵심은?

개인정보보호법 위반을 둘러싼 카카오와 개인정보보호위원회(이하 개보위)의 갈등이 깊어지는 가운데, 개인정보 관련 법령의 모호성이 도마에 올랐다. 카카오톡 회원일련번호가 개인정보냐 아니냐를 두고 개보위와 카카오의 입장뿐 아니라, 전문가들의 판단도 서로 엇갈리고 있다. 다만, 개인정보 판별 기준이 법으로 명확하지 않고, 정확한 가이드라인도 없어 발생된 문제라는 것이 업계와 전문가들의 공통된 시각이다. 개보위는 지난달 23일 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 했다는 이유로 카카오에 과징금 151억4천196만원과 과태료 780만원을 부과했다. 카카오가 관리감독을 소홀히 해 카카오톡 오픈채팅 이용자 정보 6만5천여 건이 유출됐다는 판단에서다. 개보위의 조사에 따르면 해커들은 카카오톡 오픈채팅방의 참여자 정보를 알아 내 '회원일련번호'를 매개로 여러 정보를 결합한 뒤 개인정보 파일을 생성해 판매했다. 이를 통해 최소 696명의 정보가 유출됐다는 설명이다. 개보위는 "(카카오톡의) 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다"며 "이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다"고 발표했다. 개보위 "개인정보와 '쉽게' 결합되는 정보는 개인정보" 카카오는 임시 ID나 회원일련번호를 개인정보로 인정할 수 없다는 입장이다. 카카오는 개보위 결정에 대한 입장문을 내고 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 주장했다. 또 카카오 측은 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라면서 "현실적으로 메신저 등 온라인, 모바일 서비스에서 임시ID를 쓰지 않기도 어렵다"고 토로했다. 개보위는 회원일련번호와 임시ID가 회원 개인정보와 '쉽게 결합된다'는 점을 들어 카카오 주장을 반박했다. 최장혁 개보위 부위원장은 지난 5일 정부서울청사 정례 브리핑에서 "외부 정보와 결합해 충분히 개인을 식별할 수 있으면 개인정보에 포함된다"고 단언했다. 그 자체로는 개인정보가 아니더라도 '쉽게' 개인정보와 결합될 수 있는 정보라면 이를 개인정보로 취급한다는 주장이다. 최 부위원장은 "회원일련번호는 개인정보가 아니라는 카카오의 주장은 개인정보에 대한 개념이 많이 바뀐 상태에선 수긍할 수 없다"며 "과거 자동차 차대번호만으로는 개인정보를 식별할 수 없음에도 법원은 2019년 차대번호 유출을 개인정보 유출로 봤다"는 예시를 들었다. 개인정보법 모호한데 가이드라인 없어…전문가 의견도 분분 개인정보보호법 상에선 '시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보'라면 개인정보가 아니라고 본다. 여기서 '합리적 고려'가 어느 정도인지 모호하기기 때문에 규제의 명확성을 위해선 하위법령으로 개인정보의 범위를 규정해야 하지만, 이에 대한 개보위의 가이드라인은 아직 확립되지 않았다. 개인정보보호법 상의 기관인 개보위가 사안별로 개인정보 여부를 판별할 여지가 생긴 것이다. 업계에서는 현행법의 모호함을 지적하는 의견이 나왔다. 법조계 관계자는 "시간·비용·기술 등을 고려했을 때 일반인이 알 수 없는 정보는 개인정보가 아니라고 규정하는데, 시간이 지나고 기술이 발전할수록 정보 접근성은 변할 수밖에 없다"면서 "시시각각 새로운 사례가 나오는 지금 시기에 1차적으로 개인정보 유권해석을 해줄 수 있는 곳은 개보위밖에 없다"고 말했다. IT 업계 관계자는 "데이터 관련 사업자들 중 대다수가 개인정보와 관련된 데이터를 다루는데, 지금처럼 개인정보의 기준이 모호하면 사업자 입장에서 불안하지 않을 수 없다"며 "적어도 개보위에서 이런 사안이 발생할 때마다 개인정보 판단 기준을 시장에 알려주기 바란다"고 밝혔다. 명확한 가이드라인이 없는 가운데 전문가들의 의견도 분분하다. 김승주 고려대 정보보호대학원 교수는 "개인정보와 '쉽게' 결합될 수 있는 정보라는 말 자체는 상당히 주관적이다. 개인정보 판별 기준은 개보위에서 제시해야 한다"면서 "가장 나쁜 제도는 불확실성을 해소하지 못하는 제도"라고 비판했다. 김 교수는 카카오톡 회원일련번호를 차대번호에 비유한 개보위 설명도 반박했다. 그는 "당시 차대번호는 누구나 검색하면 알 수 있었기에 카카오톡 회원일련번호와는 의미가 다르다"며 "해커의 개인 정보 수집 노력을 차대번호 조회랑 비교한다는 건 말도 안 된다"고 지적했다. 반대로 최경진 가천대 교수(한국인공지능법학회장)는 카톡 회원일련번호를 개인정보로 볼 수 있다는 의견을 냈다. 그는 "개인정보 여부가 식별의 용이성으로 결정되는데, 이번 사안은 전문가가 아니라도 시간이나 비용이 많이 들지는 않는 것으로 보인다"면서 "하나의 정보를 통해 다른 정보를 알 수 있다면, 두 정보는 매우 가깝게 결합된 것으로 볼 수 있다"고 했다. 이어 최 교수는 "작년에 개인정보위가 국민의 개인정보 자기 결정권을 보호하면서도 기업이 행태정보와 연계정보를 안전하게 처리할 가이드라인을 만들려 했으나, 기업들의 반발로 가이드라인이 확립되지 못했다"며 "안타깝지만 당분간은 가이드라인 확립이 어려울 듯하다"고 덧붙였다.

2024.06.07 19:43정석규

개인정보위, 전 분야 마이데이터시행 개인정보법 시행령 개정안 입법예고

개인정보보호위원회가 전 분야 마이데이터 시행을 골자로 한 개인정보보호법 시행령 개정안을 본격 도입한다. 개인정보보호위는 전 분야 마이데이터시행을 위한 개인정보보호법 시행령 개정안을 다음달 1일부터 6월 10일까지 40일간 입법예고한다고 30일 밝혔다. 이번 시행령 개정안은 지난해 3월 개인정보보호법 개정으로 도입된 개인정보 전송요구권 제도의 후속조치다. 개인정보 전송 요구권은 내년에 본격 시행된다. 시행령에선 정보주체인 국민이 개인정보 전송을 요구할 때, 정보를 전송하는 개인정보처리자와 전송 요구 대상 정보의 기준을 정했다. 정보주체 본인에게 정보를 전송하는 경우는 부문·분야 구분 없이 정보전송자 및 전송정보 기준을 폭넓게 설정했다. 제3자에게 정보를 전송하는 경우는 서비스 수요, 전송인프라 여건 등을 고려해 보건의료·통신·유통 부문부터 우선적으로 추진하는 것으로 기준을 수립했다. 구체적으로 본인 전송(다운로드)의 경우 정보전송자 기준은 개인정보 처리 능력 등을 고려해 정보주체 수가 10만 명 이상인 대기업·중견기업 또는 정보주체 수가 100만명 이상인 기관·법인·단체 등으로 설정했다. 전송정보는 제3자권리 침해 정보 등의 제외기준에 해당하지 않으면 전송을 요구할 수 있도록 기준을 규정했다. 제3자 전송은 산업별 특성을 고려해 정보전송자 및 전송정보를 유형화했으며, 하위 고시 제정을 거쳐 보건의료, 통신, 유통 등 부문별로 세부 기준을 수립한다. 아울러 시행령은 정보를 전송받을 수 있는 개인정보관리 전문기관의 지정 절차를 수립하는 등 마이데이터의 본격 시행에 필요한 세부 기준을 마련하는 내용을 담고 있다.또 가명정보 결합실적이 전혀 없는 결합전문기관에 대해 재지정을 하지 않을 수 있는 근거도 마련했다. 고학수 개인정보위 위원장은 "이번에 도입되는 개인정보 전송요구권은 분야간 칸막이에 갇혀있던 데이터가 정보주체의 요구에 따라 이동·융합될 수 있는 근본적 변화인 만큼, 국민이 우선적으로 체감할 수 있는 부문을 시작으로 점진적·단계적으로 확대해 나갈 계획"이라고 말했다.

2024.04.30 15:39이한얼

中 알리·테무, "법 준수 유예기간 달라"…개인정보위 '일축'

정부가 지난 17일 방중해 알리, 테무 등 중국 기업에 개인정보보호법 준수를 요청한 가운데 현지 기업들은 "개인정보법을 준수하겠다. 다만 유예 기간을 달라"고 언급한 것으로 확인됐다. 최장혁 개인정보위 부위원장은 22일 정부서울청사에서 출입 기자들과 만난 자리에서 이같이 밝혔다. 최 부위원장은 방중 간담회 당시 알리, 테무 등 중국 기업이 "'외국 기업이 한국에서 사업을 하는데 예를 들면 제도나 문화 또 법 시스템이 달라서 적용하는 데 조금 착오가 있을 수도 있기 때문에 유예기간을 달라'는 요청을 해왔다"면서도 "시스템이나 제도 문화를 잘 이해하는 시간이 필요한데 거꾸로 지금 너무 한국에서 급하게 사업을 확장하다 보니까 오히려 한국의 법이나 제도, 문화를 조금 간과한 측면이 있지 않느냐 지적했다"고 전했다. 다만 최 부위원장은 중국 기업들의 유예 요청에 대해 받아들이지 않았다고 밝혔다. 그는 "공식적으로 아직 저희 법상은 유예기간을 줄 그런 제도는 없다"면서 "일단 그쪽 어려운 사정을 잘 감안하겠다는 의사를 전달했고 그리고 분명히 유예기간을 줄 수는 없다고 말했다"고 강조했다. 최 부위원장은 이번 알리·테무의 개인정보법 위반 여부 조사를 상반기 내 마무리 짓겠다고 설명했다. 그는 "우리 국민들의 개인정보가 어떻게 활용되는지 의구심이 가장 크기 때문에 그래서 가능한 한 빨리 조사를 마무리 지으려고 하고 있다"면서 "시간을 적어도 상반기 내에는 마무리 지으려고 하고 있다"고 부연했다. 그러면서 "개인정보위가 잘 조사를 하고 있고 그리고 거기서 굉장히 성실하게 조사에 응하고 있다"면서 "또 아까 말씀드린 대로 본인들이 이제 급격하게 이렇게 사업 확장 단계로 조금 놓친 부분에 대해서는 잘 연구하리라고 생각한다"고 덧붙였다. 일각에서 제기되는 중국 정부의 국내 기업 보복 가능성에 대해서는 "보복이라기보다는 상호 개인정보보호법을 적용하는 문제가 있다"면서 "중국에 진출한 우리 기업들도 중국 개인정보법 내용을 잘 숙지하고 잘 준수해야 된다고 충분히 설명을 했다"고 설명했다. 이어 "혹시 그런 어떤 어려운 상황이 되면 당국 간의 소통 채널이 생기면 그런 부분도 나중에라도 협의해 볼 수 있지 않을까 하는 기대를 가지고 있다"고 부연했다. 한편 지난 18일 개인정보위와 간담회에 참석한 기업은 ▲중국인터넷협회 ▲알리익스프레스 ▲테무 ▲징둥 ▲360그룹 ▲셰청 ▲ 북경 두글로벌 과학기술유한회사 ▲북경안전과학기술유한공사 ▲치안신그룹 ▲북경소영과학기술유한회사 ▲검은 고양이 신고 ▲상포과학기술주식유한회사 ▲중국이동연구원 등 13개 단체다.

2024.04.22 17:24이한얼

"개인정보 길라잡이"…정부, '해외사업자 개인정보법 적용 안내서' 발간

정부가 국민의 개인정보보호를 위해 해외사업자가 준수해야 할 개인정보보호법 길라잡이를 마련했다. 개인정보보호위원회는 '해외사업자의 개인정보 보호법 적용 안내서'를 발간했다고 4일 밝혔다. 안내서에선 개인정보보호법의 적용 대상이 되는 해외사업자의 유형을 크게 세 가지로 나눴다. 구체적으로 ▲해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우 ▲해외사업자의 개인정보 처리가 한국 정보주체에게 영향을 미치는 경우 ▲해외사업자의 사업장이 한국 영토 내에 존재하는 경우 등이다. 안내서엔 개정 개인정보보호법과 관련해 해외사업자가 특히 유의해야 할 사항에 대한 법적의무 이행도 담았다. 해외사업자도 국내사업자와 마찬가지로 정보주체의 개인정보 유출을 인지한 후 72시간 내 개인정보위에 신고해야 하고, 해당 정보주체에게 통지할 의무가 있다. 이때 구체적 내용 확인 전이라도 해당 시점까지 알게 된 내용을 중심으로 우선 통지·신고해야 한다. 또 해외에서 한국 정보주체의 개인정보를 처리할 경우, 처리 사실과 해당 국가·사업자명 등을 명확히 기재할 의무가 있다. 정보주체에게 열람되는 개인정보 처리방침은 개인정보보호법에서 정한 항목을 모두 포함해 가독성을 높일 필요가 있다. 아울러 국내 법인이 존재하는 해외사업자가 국내대리인을 지정해야 하는 경우, 해당 법인을 우선 국내대리인으로 지정하는 것이 바람직하다. 안내서는 개인정보위 홈페이지와 개인정보 포털 등에서 확인할 수 있다. 영문 안내서도 이달 중 홈페이지 등에 게시할 계획이다. 개인정보위 관계자는 "글로벌 온라인 서비스가 보편화된 환경 하에서 국내·외 사업자를 막론하고 보호법은 동일하게 적용된다"며 "이번 안내서를 계기로 해외사업자가 국내의 법적 요건을 좀 더 깊이 이해하고 준수해 우리 정보주체의 개인정보를 안전하게 보호하는 데 기여해줄 것"을 당부했다.

2024.04.04 16:43이한얼

개인정보보호법학회 'AI·데이터 시대, 개인정보 집행체계 한계와 과제' 세미나 개최

개인정보보호법학회(회장 김현경 서울과학기술대 교수)는 29일 오후 2시부터 한국프레스센터 기자회견장에서 '개인정보 집행체계의 한계와 과제'란 주제로 세미나를 개최한다. 이날 최요섭 한국외대 교수는 '개인정보 보호법과 경쟁법의 충돌과 조화'란 주제로 최근 유럽을 중심으로 개인정보 감독기관과 경쟁당국 간의 갈등과 공조 사례를 소개할 예정이다. AI·데이터 기반 환경에서 개인정보 보호법(GDPR) 위반 조사는 개인정보 감독기관만의 역할이 아니라 경쟁 당국의 기능이 될 수 있다는 사례, 또 개인정보 보호정책을 강화하는 것이 광고시장에서 자사를 우대해 경쟁자를 배제하는 시장지배력 남용행위가 될 수 있음을 구글의 프라이버시 샌드박스 사례 소개와 함께 고찰할 예정이다. 결국 강화된 정보주체의 데이터 통제규범이 반드시 소비자 주권·후생에 정비례하지 않을 수 있으므로 통합적 관점에서 바람직한 개인정보 집행체계의 모색이 필요함을 제안할 예정이다. 이어 부산대 법전원 김현수 교수는 '소비자 보호와 정보주체의 권리 집행체계'를 주제로 발표할 예정이다. 김 교수는 미국 FTC를 중심으로 이뤄지는 민간 영역에서의 개인정보 집행체계를 소개하면서, 민간의 혁신과 자율을 증진하면서 소비자의 권익을 보호하는 방안으로 연성법(Soft Law)과 자율규제의 중요성을 소개할 예정이다. 특히 “FTC에 의한 소비자 프라이버시 제도 및 그 운용은 공정한 경쟁이라는 목적에 근거하는 것이며, 그 사고방식의 기초에는 자유로운 기업 활동에 의한 경쟁촉진이 있음”을 제시할 예정이다. 한편, 법무법인 동서양재의 김기중 변호사는 '정보인권의 바람직한 집행체계'를 주제로, 국가인권위원회와 개인정보보호위원회가 그간 각각 공공부문에서의 개인정보 문제를 어떻게 다뤄 왔는지 진단하고 향후 양 기관 간의 바람직한 공조 체계를 모색할 예정이다. 특히 최근 법무부가 출입국관리 고도화를 위해 내·외국인 약 1억7천만건의 안면 정보를 인공지능(AI) 학습에 이용한 것에 대해 개보위는 법 위반이 아니라는 결정을 내렸으나, 인권위는 향후 인권침해 위험성을 방지하기 위한 입법을 마련하기 전까지 공공기관은 이러한 기술을 도입⋅활용하지 않도록 하라는 권고를 내린 바 있다. 이처럼 양 기관의 다른 결정이 가지는 의미와 향후 과제 등을 소개할 예정이다. 이어 제2세션 '특별좌담(사회 김민호 성균관대 교수)'에서는 '한국 개보위 조직, 권한, 역할의 현실적 한계와 과제'란 주제로 학계, 소비자, 법률실무가의 열띤 논의가 이어질 예정이다. 마지막으로 제3세션에서는(사회 이해원 목포대 교수) 신진학자와 대학원생들의 발표와 토론이 이어질 예정이다. 특히 이번 신진학자 발표에서는 '인공지능 시대의 개인정보처리의 개념', '신뢰기반의 인공지능을 위한 개인정보 제도', '인공지능 학습용 데이터로써 공개된 개인정보의 수집과 이용 문제' 등 최근 인공지능과 관련된 첨예한 개인정보 이슈들이 다양하고 폭넓게 다뤄질 예정이다.

2024.03.27 09:31이한얼

개인정보위 "웹 이용 기록 빼가던 '페북 로그인' 시정 완료"

SNS 페이스북 운영사 메타가 '페이스북 로그인' 기능 이용 시 타사 행태정보를 자동 수집하는 것을 중단키로 했다. 타사 행태정보는 이용자의 다른 사업자 웹사이트 및 앱 방문‧사용 이력, 구매‧검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악‧분석할 수 있는 온라인 활동정보다. 개인정보보호위원회 조사 과정에서 위법 소지를 인정하고 자진 시정한 것이다. 개인정보보호위원회는 메타가 개인정보위가 명령한 시정조치를 완료했고, 향후 유사한 행위가 재발하지 않도록 경고 조치했다고 11일 밝혔다. 앞서 개인정보위는 개발자(사업자)가 자신이 운영하는 웹사이트 및 앱에서 간편 로그인 기능을 제공하기 위해 '페이스북 로그인'을 설치하는 경우, 타사 행태정보가 메타로 자동 전송되어 맞춤형 광고에 활용되는 사실을 발견했다. 이와 관련해 개인정보보호법 위반 여부 등을 검토하는 과정에서 메타가 해당 행위를 자진 시정하겠다는 의견을 제출했다. 이에 개인정보위는 지난해 7월 전체회의에서 메타에 자진 시정 기회를 부여하고, 그 이행 결과를 점검·확인하기로 결정했다. 시정 기간인 3개월 경과 후, 메타는 한국에서 배포되는 페이스북 로그인 관련 소스코드의 기본값을 변경 출시해 타사 행태정보가 자동 전송되지 않도록 했다. 관련 페이스북 개발자 페이지도 수정했다. 기존 '페이스북 로그인'을 설치한 사업자에게도 개별 전자우편을 통해 업데이트 등을 안내한 것을 확인했다. 개인정보위는 이번 시정조치를 통해 “다른 국가에서 페이스북 로그인을 설치하면 사업자들이 소스코드를 검토해 타사 행태정보가 전송되지 않도록 하는 등 개인정보 보호에 대한 주의를 기울여야 하는 것과는 달리, 앞으로 한국에서는 사업자가 페이스북 로그인 설치 시 이같은 별도의 조치는 불필요하다”고 밝혔다.

2024.01.11 10:00김윤희

주요 앱 5천개 중 개인정보법 미준수 '69.5%'

개인정보보호위원회는 지난해 이용률 높은 상위 5천개 모바일 앱을 대상으로 개인정보보호법 준수사항을 점검한 결과, 미준수 비율이 69.5%인 것으로 나타났다고 밝혔다. 이는 전년 80.2%에서 약 10.7%p 개선된 것이다. 개인정보 처리방침의 공개에 대해서는 확실하게 정착된 것으로 확인됐다. 개인정보 수집‧이용 시 개별적, 구체적으로 동의를 받는 등 대다수 앱에서 사전동의 절차도 준수하고 있었다. 정보주체의 권리(자기결정권) 보장을 위한 열람 요구 등의 절차 고지와 동의 철회 고지도 대체로 지켜지는 것으로 나타났다. 여전히 미흡한 점도 많았다. 일부 앱의 경우 개인정보 처리방침 내용 중 제3자 제공 고지, 파기 절차 안내가 충분하지 않았다. 동의 항목 중 일부 항목을 미고지하거나 개인정보 처리방침으로 포괄 동의를 받는 사례도 다수 발견됐다. 정보주체가 자신의 권리를 명확히 알고 행사할 수 있도록 권리행사 절차 등에 대한 가시성 높은 안내 필요성도 확인됐다. 개인정보위는 실태점검 결과 확인된 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 필요하면 조사에 착수한다는 방침이다. 다만 유관기관과의 협력 등을 통해 신속하게 자발적 개선이 이루어지도록 계도 조치할 예정이다.

2024.01.11 10:00김윤희

"나도 모르게 동의" 개인정보 수집 '눈속임' 설계 성행

개인정보보호위원회는 눈속임 설계(다크패턴), 국외 이전, 아동‧청소년 개인정보 보호 등 모바일 앱 상 3대 취약 분야에 대한 개인정보 실태점검 결과를 10일 전체회의에서 보고했다. 개인정보위는 온라인 쇼핑, 예약, 누리소통망(SNS), 게임·콘텐츠 등 일상 생활과 밀접하고 비용 결제 등으로 연결돼 눈속임 설계가 많이 발생하는 4개 부문을 집중 점검했다. 그 결과 눈속임 설계는 가입 단계 외에도 이용, 탈퇴 등 개인정보를 처리하는 모든 단계에서 일어나고 있음을 확인했다. ▲개인정보 수집·이용에 대해 별도로 동의받지 않고 개인정보 처리방침, 이용약관 전문으로 동의받거나 ▲마케팅 정보 제공 등 선택 동의 사항을 사전에 미리 설정해놔 이용자가 개인정보 설정 화면에 들어가서 확인해야만 수정할 수 있는 경우 ▲가입 시 이용자 본인이 입력한 개인정보를 확인하거나 수정하기 어려운 경우 등 이용자의 개인정보 보호와 관련 주요 눈속임 설계 유형 11개를 발견했다. 개인정보를 국외 이전하는 국내 앱 서비스는 지난 2022년 696개에서 지난해 769개로 70여 개가 늘어났다. 주로 미국, 일본, 싱가폴 등으로 개인정보가 이전되고 있으며, 특히 클라우드 서비스 이용 영향 등으로 인해 아마존웹서비스(AWS), 구글클라우드, 젠데스크 등으로 많이 이전됐다. 개인정보를 국외 이전하는 목적으로 고객 서비스(CS) 상담·민원 처리 등 '처리위탁' 유형은 66%에서 56%가량으로 줄고, 광고(마케팅)·통계 분석 등을 위한 '정보제공' 유형이 12%에서 32%로 크게 늘어났다. 아동·청소년이 많이 이용하는 게임, 동영상, SNS, 앱 20개를 중심으로 개인정보보호법과 '아동·청소년 개인정보 보호 가이드라인' 준수 여부에 대한 집중 점검도 실시됐다. 점검 결과, 14세 미만 연령확인 절차는 대부분 마련하고 있으나 아동이 연령을 허위 기입하는 것을 막기 위한 방지 조치는 미흡했다. 일부 해외 앱은 아동 연령 기준을 13세 미만 등으로 설정한 것으로 확인됐다. 아동·청소년 개인정보 보호 가이드라인은 알기 쉬운 개인정보 처리방침 제공, 높은 수준의 개인정보 보호를 기본값으로 설정, 각종 권리행사 절차 안내 등을 권고 중이나 전반적으로 미흡한 것으로 확인됐다. 개인정보위는 이번 실태점검 결과를 토대로 주요 앱 운영 사업자에게 앱 서비스 개발, 운영 시 올바른 개인정보 수집·이용에 관한 사항과 이용자가 유의할 사항을 정리해 안내할 계획이다. 개인정보보호법상 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 조사에 착수하는 한편, 경미한 사안은 계도 조치하되 유관기관과 협력해 신속한 개선을 유도할 예정이다.

2024.01.11 10:00김윤희

개인정보위, '마이데이터' 인프라 구축에 152억 투입

개인정보보호위원회는 마이데이터 제도의 시행을 위해 올해 준비 예산 152억원을 확보하고, 마이데이터의 기술적·제도적 인프라 구축을 본격 추진한다고 밝혔다. 마이데이터 제도는 정보 주체가 본인에 관한 개인정보를 원하는 곳으로 전송해 본인 의사에 따라 개인정보를 관리하고 활용하는 제도다. 개별법에 근거해 금융, 공공 분야에서 먼저 시행된 데 이어, 지난해 법 개정으로 전 분야로 확대할 수 있는 법적 근거가 마련됐다. 올해 추진 주요 과제는 ▲선도서비스 발굴 ▲전송 인프라 구축 ▲마이데이터 지원 플랫폼 구축 등이다. 기업들이 마이데이터를 활용해 국민이 체감할 수 있는 선도 서비스를 발굴, 검증하고 이를 사업화하는 데 예산 25억원이 투입된다. 공모 및 심사를 통해 선정된 기업에는 일정 비율을 매칭해 정부 예산을 지원할 예정이다. 전송 인프라 구축도 추진한다. 정보제공자인 개인정보 보유 기업·기관, 중계기관, 정보수신자인 마이데이터 사업자 등 간의 세부 전송기술 규격 및 절차 등을 실증하기 위해 예산 약 15억원을 참여 사업자에게 지원한다. 실증사업을 통해 검증된 전송기술 규격에 따라 올해 하반기에는 다양한 정보제공자, 중계기관, 정보수신자별로 실제 전송 시스템을 구축할 수 있도록 추진할 예정이다. 정보주체의 개인정보 전송요구권을 종합적으로 지원하기 위한 '마이데이터 지원 플랫폼'도 구축될 예정이다. 마이데이터 지원 플랫폼은 본인의 전송 요구 현황과 전송 이력을 관리하고, 전송 요구 중단과 전송정보 파기 등을 요청할 수 있도록 지원한다. 이를 위해 올해 예산 75억원이 투입된다. 개인정보위는 내달 중 조달청 입찰공고를 통해 사업자를 선정할 계획이다. 개인정보위는 내년 통신, 유통, 의료 등 분야부터 마이데이터 제도를 적용하고, 이후 단계적으로 전 분야로 확대해나갈 계획이다. 이를 위해 전송 대상, 전송 방법과 절차, 안전성 확보 조치 등 정보 제공자와 수신자 등이 준수해야 할 제도적·기술적 사항을 담은 개인정보보호법 시행령과 고시, 가이드라인 등을 올해 마련할 예정이다. 이상민 범정부 마이데이터추진단장은 “다양한 이해관계자 및 관계부처와의 긴밀한 협력을 통해 '25년 마이데이터 제도 시행을 차질없이 준비할 것"이라며 "세계에서도 유례가 없는 전 분야 마이데이터가 우리 사회에 안착할 수 있도록 최선을 다하겠다”고 말했다.

2024.01.04 16:03김윤희

지금 뜨는 기사

이시각 헤드라인

대기업 유통·이커머스 뒤바뀐 처지..."규제 풀어야 산다"

[르포] 격납고 할퀸 '더 뉴 아우디 A5'…獨 정수 담아왔다

[르포] 골프 코치에서 피부 상담까지…일상 파고든 AI, AWS서밋에서 만난다

SKT 유심교체 누적 187만...오늘 50만명에 유심재설정 안내

ZDNet Power Center