검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보 보호'통합검색 결과 입니다. (118건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

개인정보위, 내년 R&D 87억원 투자…전년비 22.2%↑

정부가 개인정보 보호 기술 연구개발(R&D)과 마이데이터 생태계 조성에 내년 예산 207억원을 투자한다. 안전한 정보 이용과 정보주체 권익에 힘쓸 방침이다. 개인정보보호위원회는 개인정보 안심사회 실현과 개인정보 글로벌 규범 형성을 위한 2025년도 예산안 646억원을 편성했다고 5일 발표했다. 내년 개인정보 보호·활용기술 R&D 예산은 87억원이다. 전년도 예산 71억원보다 22.2% 오른 규모다. 구체적으로는 개인정보보호강화 기술 연구개발에 52억원, 개인정보기술 표준개발지원에 20억원이 편성됐다. 인공지능(AI) 개인정보보호활용 기술개발에도 15억 원을 신규 편성했다. 내년도 예산 계획은 정보주체 권익 강화도 초점 맞췄다. 개인정보 전송요구권인 마이데이터 제도 시행 초기에 맞춰 마이데이터 중계인프라 지원에 61억원을, 마이데이터 전송 지원 플랫폼 사업에 60억원 등 총 121억원 투자한다. 이를 통해 전송 참여자 비용 부담을 낮추는 것이 목표다. 개인정보위는 신규 부문에도 예산 편성을 했다고 밝혔다. 개인정보 유출사고 발생 시 책임 입증 자료를 분석할 수 있는 디지털포렌식 연구소 구축 사업에 16억원을 처음 투자한다. 신속하고 정확한 유출 규모 및 경위 파악을 통해 조사 신뢰성을 확보할 수 있도록 지원할 방침이다. 개인정보 국제협력을 위한 예산도 10억원에서 24억원으로 14억원 늘었다. 내년 국내에서 제47차 글로벌 프라이버시 총회(GPA)가 개최되는 점이 주요 이유다. 여기에 14억원을 새롭게 편성했다. 이를 통해 개인정보 글로벌 규범 형성과 개최국 위상에 걸맞은 주도권 확보로 국제 공조 체계를 공고히 할 계획이다. 개인정보 안심구역 및 가명정보 활용센터를 지원하는 안전한 데이터 활용 지원 사업에 36억원을 투자한다. 이중 보건의료를 포함한 각 산업 분야에서 비식별화된 정보를 활용할 수 있도록 영상·음성 등 비정형 데이터 가명처리를 위한 시스템 구축 사업에 6억원을 투입한다. 개인정보를 처리하는 공공기관·민간사업자 등이 자발적으로 개인정보를 보호하는 환경을 조성하기 위한 개인정보 자율환경 조성 사업에 37억원이 편성됐다. 특히 개인정보 보호수준 평가 및 개인정보 처리방침 평가를 통해 개인정보 처리 수준을 향상할 나갈 계획이다. 이 외에도 개인정보위는 ▲개인정보 정책지원 19억원 ▲개인정보 교육지원 11억원 ▲개인정보보호 기술개발 지원 보급 5억원 ▲위원회 운영지원 21억원 ▲위원회 정보화지원 19억원 ▲위원회 법무지원 5억원을 편성했다. 개인정보위 이정렬 사무처장은 "개인정보위는 그동안 개인정보 분야 컨트롤 타워로서 역할을 견고히 했다"며 "앞으로 AI와 로봇 등 신기술과 신산업 변화를 고려해 개인정보를 안전하게 보호하고 활용할 수 있는 정책 전환을 위해 책임을 다 하겠다"고 강조했다.

2024.09.05 13:16김미정

한화호텔·현대차, 과징금 2억 부과…"개인정보 보호법 위반"

정부가 개인정보 보호법을 위반한 국내 기업에 과징금과 과태료를 부과하기로 결정했다. 개인정보보호위원회는 개인정보 보호법을 위반한 현대자동차와 한화호텔앤드리조트, 띵스플로우에 총 2억1천592만원 과징금과 1천560만원 과태료를 부과한다고 29일 밝혔다. 해당 사업자들은 온라인으로 서비스를 제공하면서 개인정보 보호법에 따른 안전조치 의무, 동의 의무, 개인정보 유출 신고와 통지 의무 등을 위반해 과징금과 과태료 부과, 결과공표 등의 처분을 받았다. 개인정보위는 한화호텔앤드리조트에 과징금 1억8천531만원과 과태료 300만원을 부과했다. 한화호텔앤드리조트는 온라인 회원도 쿠폰을 사용한 숙박예약을 할 수 있는 이벤트를 위해 온라인 예약 절차를 변경하면서 시스템 개발 과실 및 사전 검증에 소홀했던 것으로 전해졌다. 회원이 쿠폰을 사용해 예약한 경우 예약자가 아닌 다른 사람의 예약정보가 최대 1천818건 조회되는 오류가 발생했다. 개인정보위는 로그인 절차를 변경하면서 타인의 개인정보 조회 가능성을 제대로 검증하지 않아 안전조치 의무 위반이 있다고 판단했다. 정부는 띵스플로우에 과징금 2천732만원과 과태료 360만원이 부과했다. 띵스플로우가 합병한 비트윈어스는 커플 대상 소셜미디어 서비스 '비트윈'을 운영하는 사업자다. 만 14세 미만 아동 3만8천633명 개인정보를 법정대리인 동의 없이 수집했다. 또 개인정보취급자가 개인정보처리시스템에 접속한 기록을 보존·관리하지 않았다. 개인정보 열람 요구에 대해 기간 내 답하지 않은 사실도 드러났다. 개인정보위는 띵스플로우에 과징금과 과태료를 부과하면서 14세 미만 아동 개인정보를 연령확인이나 법정대리인 동의 없이 무분별하게 수집한 위반행위가 위중하다고 판단하했다. 이에 시정명령과 처분 결과를 개인정보위 홈페이지에 공표하기로 했다. 정부는 현대자동차에 과징금 329만원과 과태료 900만원을 부과했다. 현대자동차는 신차 시승 이벤트를 하면서 선택사항인 마케팅 활용 등 홍보 목적의 개인정보 수집에 동의하지 않은 고객에게 시승 서비스 제공을 거부한 사실이 드러났다. 고객지원 애플리케이션 '마이현대' 운영에 사용되는 상용소프트웨어 보안 패치를 즉시 적용하지 않은 점도 알려졌다. 이에 타인 개인정보가 이용자에게 노출됐다. 신고 및 통지도 지연한 사실이 있었다. 처분 결과는 개인정보위 홈페이지에 공표된다. 개인정보위 관계자는 "개인정보를 수집‧처리하는 모든 사업자는 개인정보처리자로서 개인정보처리시스템 운영환경과 취약점을 주기적으로 점검‧개선하고, 만 14세 미만 아동의 개인정보를 수집할 땐 법정대리인의 동의를 받아야 한다"며 "마케팅 활용 등 홍보를 위한 개인정보 수집‧이용에 동의하지 않았다는 이유로 재화나 서비스의 제공을 거부해서는 안 된다"고 당부했다.

2024.08.29 12:00김미정

개인정보위, 아동·청소년 개인정보 보호 나선다

정부가 아동·청소년 개인정보 보호를 위해 보안 전문가들과 방안을 마련한다. 개인정보보호위원회는 21일 열린 제4차 '2024 개인정보 미래포럼'에서 그간 세 차례 걸쳐 논의된 '인공지능(AI)과 개인정보'에 이어 '아동·청소년 개인정보 보호'를 의제로 발제와 토론을 진행했다. 나종연 위원과 이재림 위원은 각각 '아동·청소년 개인정보 보호 방안'과 '자기게시물 접근배제 요청권에 대하여'를 주제로 발제했다. 개인정보위는 아동·청소년이 자신의 개인정보에 대한 주인으로서 권리를 행사하고 안전하게 보호받을 수 있는 환경을 조성하기 위해 기본계획을 지난 2022년 7월 마련한 바 있다. 같은 해 9월에는 후속조치로 민간 전문가와 유관 기관이 참여하는 민관 정책협의회를 출범했다. 또 지난해 4월에는 어렸을 때 온라인에 올린 게시물의 삭제를 돕는 '디지털 잊힐권리 지원사업(지우개 서비스)'을 시행했다. 올해 1월부터는 신청 대상 연령을 24세 이하에서 29세 이하로 확대했다. 올해 5월 프랑스 국가정보·자유위원회(CNIL)와 손잡고 아동·청소년의 개인정보 권리를 안내하는 케이(K)-웹툰 포스터를 공동으로 제작하는 등 국제협력 사업도 진행했다. 개인정보위 관계자는 "제4차 개인정보 미래포럼에서 제안된 의견을 반영해 아동·청소년 개인정보 보호 강화를 위한 정책과 제도 개선을 검토할 계획"이라며 "10월에 열릴 제5차 포럼은 개인정보 보호 강화기술(PET) 주제로 진행될 예정"이라고 말했다.

2024.08.21 16:00김미정

[현장] "AI 만난 프라이버시법, 유연성 필수로 갖춰야"

개인정보보호법이 급속도로 발전하는 인공지능(AI) 기술에 원활히 적용되려면 유연성을 필수로 갖춰야 한다는 주장이 나왔다. 한국과 미국 법률 전문가들은 13일 서울 페럼홀에서 열린 '서울 AI 정책 컨퍼런스 2024'에서 AI 시대 개인정보보호를 위한 논의 과정에서 이같은 필요성을 제기했다. 이날 전문가들은 "기존 개인정보보호법이 현대 기술에 적용되기 힘든 상태"라며 "결국 AI 혁신에 장애물이 될 것"이라고 입을 모았다. 2016년 제정된 유럽연합(EU)의 일반데이터보호규정(GDPR)은 전 세계 개인정보보호법 개선을 도운 바 있다. 그러나 최근 개인정보가 실질적으로 보호되지 않는 사례가 각국서 등장하고 있다. 이는 GDPR을 포함안 각국 개인정보보호법이 지나치게 복잡하고, 사용자에게만 책임을 떠넘기는 형식이기 때문이다. 해당 법은 모든 결정권을 개인에게 부여함으로써 사용자가 자신의 권리를 제대로 인식하지 못하는 상황이 발생한다. 2022년 챗GPT 출현 후 급속도로 발전하는 AI 기술에 적용할 수 없는 조항이 느는 것도 한 몫 한다. 이에 전문가들은 사용자들이 온라인 플랫폼 사용 시 개인정보보호 규정에 관심을 기울이지 않는다고 지적했다. 조지타운대 대니얼 솔로브 교수는 "'프라이버시 패러독스' 탓에 사람들은 개인정보 보호에 신경을 덜 쓰게 됐다"며 "AI 알고리즘이 고도로 복잡해지는 가운데 개인에게만 책임을 떠넘기는 기존 프라이버시법은 큰 악영향을 준다"고 강조했다. 전문가들은 법이 개인에게 책임을 미루는 대신 선제적 조치를 취해야 한다고 주장했다. 또 지나치게 세부적인 규제보다는 원칙에 기반한 유연한 접근이 필요하다고 입을 모았다. 생성형 AI 등 신기술의 빠른 발전 속도에 기존 법체계가 발을 맞추기 위해선 법이 유연하게 변화해야 하기 때문이다. 솔로브 교수는 "기술이 변하건 말건 데이터 관리는 효율적으로 이루어져야 한다"며 "이 목적을 잊지 말고 관리당국과 기업이 긴밀히 협력해야 한다"고 당부했다. AI 시대의 패러다임 변화에 맞춰 국내 개인정보보호법도 원칙 기반으로 유연하게 변화하고 있다. 엄격하고 복잡한 규제에서 벗어나 변화하는 기술 환경에 적응할 수 있는 체계를 마련하기 위함이다. 기존 개인정보보호위원회는 공공기관과 민간기업의 개인정보 처리에 대해 엄격한 규제를 적용해왔다. 그러나 챗GPT 등 신기술 출현 후 기존 데이터 규제가 충분치 않다는 점이 대두되고 있다. 정부는 AI 시대에 맞는 법 유연성을 높이기 위해 정책 수정에 한창이다. 최근 개인정보위원회는 거대언어모델(LLM) 학습 과정에서 기업·기관이 개인정보를 적법히 활용하도록 안전조치 강화 가이드라인을 발간했다. 또 데이터의 2차적 활용을 촉진하기 위해 개인정보를 익명화하거나 가명 처리한 후 정보 주체 동의 없이도 사용 가능한 법적 환경을 조성하고 있다. 개인정보위 양청삼 개인정보정책국장은 "AI 발전에 따라 개인정보 보호를 위한 원칙 기반으로 유연한 규제 체계를 마련하고 있다"며 "기존 세부 규정 중심에서 벗어나 변화하는 기술 환경에 적응하는 것이 목표"라고 밝혔다.

2024.08.13 15:42조이환

유통·플랫폼·스타트업계 "마이데이터 반대"

"사업성이 불명확한데 유통 등 온라인산업 전체의 데이터를 공유하게 만드는 건 사실상 기업 정보공개법과 같은 위험한 발상이다." 스타트업·벤처기업 등 기업협회가 유통·온라인 분야로 확대된 마이데이터 제도에 반대 의견을 냈다. 개인정보 주체의 동의만으로 기업·기관이 보유한 개인정보를 다른 곳으로 이전시키면 민감한 개인정보가 해외 등으로 유출될 위험이 있다는 주장이다. 특히 각 기업들이 힘들게 모은 정보를 타사에 공개하라는 꼴이라며 마이데이터 제도의 부작용을 우려했다. 7일 벤처기업협회·스타트업얼라이언스·코리아스타트업포럼·한국플랫폼입점사업자협회·한국디지털광고협회·한국온라인쇼핑협회·한국인터넷기업협회는 공동 성명서를 내고 정부의 마이데이터 제도 중단을 촉구했다. 이들은 "정부의 마이데이터 사업 추진에 깊은 우려를 표명한다"며 "정부는 마이데이터를 통해 정보주체의 자기결정권을 강화할 수 있다 주장하지만, 부작용이 뻔히 예상됨에도 무리하게 정책을 추진하는 것은 무책임·무능력한 행태"라고 강조했다. 마이데이터 사업은 소비자 동의를 거쳐 흩어진 개인 정보를 한 업체 서비스나 앱이 받아, 이를 사업적으로 활용하는 것이다. 개인정보보호위원회는 이 사업을 유통분야로 확대해 운영 중이다. 앞서 개보위는 마이데이터 제도를 내년 의료·통신·유통 분야에 적용하는 등 전 분야로 확대하기 위해 지난 5월 1일 개인정보보호법 시행령 개정안을 입법 예고했다. 시행령에 따르면 최근 3년 내 매출 평균 1천500억원 이상, 300만명 이상의 개인정보를 저장하는 유통업체는 소비자가 동의할 경우 개인정보를 마이데이터 업체에 보내야 한다. 업계는 특히 유통 분야에 마이데이터 제도가 확장되는 데 강력히 반대했다. 유통 분야에서 공유되는 개인정보는 공익에 부합되는 정보로 보기 힘들고, 개인의 소비성향이 고스란히 담겨 있는 사적 데이터라는 주장이다. 개인의 민감한 정보를 유추해 낼 수 있다는 우려도 제기했다. 업계 관계자들은 "이런 정보를 소비자가 명확한 인지 없이 커피쿠폰 등 판촉 행사에 동의해 데이터 전송을 하는 경우, 대한민국 전 국민의 민감한 개인정보가 손쉽게 국내·해외 어디든 유출되는 심각한 사태가 발생할 수 있다"고 지적했다. 성명에 참가한 업계 관계자들은 마이데이터 사업이 스타트업 및 벤처기업의 발전에 악영향을 미칠 것이라 주장했다. 개인정보보호위원회는 스타트업 및 벤처기업들이 참여해 데이터를 활용한 신산업을 발전시킬 것으로 기대하는 반면, 업계는 이번 성명서에서 "데이터를 받기는커녕, 스타트업 성장의 핵심비법을 다른 기업에 공개해야 하는 악법으로 전락할 것"이라며 "오히려 자본력을 지닌 기업이 행사를 통해 스타트업의 핵심 데이터를 정보주체로부터 받아올 수 있는 통로가 생길 것"이라고 말했다. 데이터가 외부로 쉽게 나갈 수 있는 환경이 조성되면, 경쟁사에 중요한 영업비밀도 유출될 가능성이 커진다는 우려다. 업계는 이어 "기업이 막대한 비용을 투입해 구축한 데이터를 타사에 제공하게 되면 결국 기업들은 데이터 구축을 위해 어떠한 투자도 하지 않게 될 것"이라면서 "인공지능(AI) 등 데이터를 기반으로 한 대한민국 미래 산업에 큰 악영향을 미칠 것"이라고 내다봤다. 지난 2022년 금융 분야 마이데이터 시행의 성과가 뚜렷하지 않다는 점도 비판 대상이 됐다. 업계 성명에 따르면, 금융 마이데이터의 전송의무자인 기업 650여곳은 2022년 1천293억원, 지난해 997억원의 손실이 발생한 것으로 나타났다. 업계 관계자들은 "적법한 법적 근거 없이 기업들에게 마이데이터 제도에 참여할 것을 강제하고 있다"며 "사업성이 불명확한데 유통 등 온라인산업 전체의 데이터를 공유하게 만드는 건 사실상 기업 정보공개법과 같은 위험한 발상"이라고 비판했다. 이들은 "정부는 전 분야 마이데이터 제도에 대해 전면 재검토하고 전송의무자에 온라인 유통과 온라인 사업 분야를 제외해 줄 것을 강력히 요구한다"고 덧붙였다.

2024.08.07 17:59정석규

티몬·위메프 이용자, 정보유출 우려…"처벌 과태료에 그쳐"

티몬·위메프 사태로 개인정보 처리에 관심이 높아진 가운데, 기업이 파산해도 회원·탈퇴자 정보 유출이나 해킹 염려가 꾸준히 나오고 있다. 이에 대한 정부 처벌이 과태료에 그쳐서다. 6일 개인정보보호위원회 최장혁 부위원장은 정례브리핑에서 "예방조치를 조속히 마련하겠다"고 밝혔다. 최근 티몬·위메프가 판매자들에게 대금 정산을 제대로 하지 않으면서 판매자뿐만 아니라 소비자 피해도 급증하고 있다. 이에 소비자들은 해당 플랫폼에 등록된 개인정보 침해나 유출이 발생하지 않을까 전전긍긍하고 있다. 플랫폼 회원 탈퇴를 한 소비자들도 기존 정보 유출에 대한 우려가 여전하다. 앞서 개인정보위는 조사단을 별도로 꾸려 티몬과 위메프에 소비자 정보 처리 문제점이 없는지 조사에 나선 바 있다. 티몬·위메프 개인정보 관리를 위탁받아 담당 중인 큐텐테크놀로지 개인정보 보호책임자(CPO)와 소통함으로써 개인정보 처리 실태를 파악했다. 지난달 개인정보위가 해당 채널을 점검한 결과 정산이나 환불 이슈 발생 시부터 현재까지 개인정보 처리 관련 문제점이 없다는 것을 확인했다고 밝힌 바 있다. 여전히 티몬·위메프에 가입했던 이용자 염려는 여전하다. 기업이 파산해도 정부는 기업 회원·탈퇴자 정보 유출에 대응할 수 있는 뾰족한 수가 없기 때문이다. 이에 최 부위원장은 "기업 파산 후 정보 유출이나 해킹 발생 시 정부는 운영사에 과태료를 부과하는 수준으로 처벌한다"고 설명했다. 그는 "개인정보위는 다른 처벌을 마련하지 않았다"며 "규정을 만들 때 이런 상황까지 염두하지 못했기 때문"이라고 말했다. 이어 "현재 티몬·위메프 사태를 통해 처벌 강화 필요성을 인식하고 좀 더 신경 쓸 것"이라고 덧붙였다.

2024.08.06 17:06김미정

"내가 스미싱 용의자?"…정부, 휴가철 개인정보 노출·불법유통 차단

정부가 불법스팸·스미싱에 악용될 수 있는 개인정보 유출·불법유통을 주의하라고 당부했다. 개인정보보호위원회는 한국인터넷진흥원과 본격 여름 휴가철을 맞은 오는 29일부터 내달 31일까지 온라인상 개인정보 노출·불법유통 집중 탐지 기간을 운영한다고 28일 밝혔다. 구체적으로는 불법스팸·스미싱 등에 악용될 수 있는 '휴대전화번호가 노출된 게시물'과 '개인정보가 포함된 데이터베이스를 판매하거나 구매하는 게시물'을 집중 탐지한다. 해당 게시물이 게재되고 유포될 가능성이 높은 휴가철 여행 관련 사이트나 커뮤니티, 소셜네트워크서비스(SNS) 등을 중점적 으로 살필 방침이다. 개인정보위는 탐지된 게시물에 대해서는 국내외 주요 포털과 SNS 운영사업자 등으로 구성된 핫라인을 운영하고, 방심위 등 유관기관과의 협력을 통해 삭제와 차단이 가능토록 조치할 계획이다. 정부는 여름 휴가철 동안 온라인 활동 증가를 고려해 세가지 수칙을 지켜달라고 당부했다. 우선 여행 관련 후기, 정보 등을 온라인에 게시할 때는 개인정보를 마스킹 해야 한다. 여행 예약 사이트를 사칭하는 문자와 이메일은 주의해야 한다. 의심되는 인터넷주소 접속과 애플리케이션 설치도 삼가해야 한다는 점이다. 개인정보위와 인터넷진흥원은 집중 탐지 외에도 국민 누구나 온라인에서 발견한 개인정보 불법유통 게시물을 직접 제보할 수 있는 '국민제보제'를 운영 중이다. 전담기관인 인터넷진흥원에 불법유통 게시글의 인터넷 주소를 알려주면 확인을 거쳐 삭제한다. 개인정보위 관계자는 "여름 휴가철을 맞아 온라인 활동이 증가하는 가운데, 자칫 소홀히 관리될 수 있는 개인정보를 보호하고 침해를 방지하기 위한 캠페인을 추진하는 것"이라며 "탐지된 게시물 삭제와 차단을 통해 각종 범죄에 악용될 수 있는 개인정보 불법유통에 선제적으로 대응할 수 있을 것으로 기대한다"고 강조했다.

2024.07.28 12:00김미정

개인정보위 "티몬·위메프, 개인정보 처리 문제 없다"

정부가 티몬·위메프 사태에 따른 개인정보 처리에 문제없다고 밝혔다. 개인정보보호위원회는 티몬·위메프 개인정보 관리를 위탁받아 담당 중인 큐텐테크놀로지 개인정보 보호책임자(CPO)와 소통함으로써 개인정보 처리 실태를 파악했다고 26일 발표했다. 현재 티몬·위메프는 '온라인쇼핑 분야 민관협력 자율규약' 참여사다. 개인정보위가 해당 채널을 점검한 결과 정산이나 환불 이슈 발생 시부터 현재까지 개인정보 처리 관련 문제점이 없다는 것을 확인했다. 자율규약 참여사는 온라인쇼핑 분야에서 보호법이 정한 수준 이상의 개인정보보호를 제공하기 위해 정부와 기업이 만든 체계다. 2022년 7월부터 활동하고 있다. 참여사는 티몬·위메프를 비롯한 11번가, 네이버 스마트스토어, 롯데쇼핑의 롯데온, 버킷플레이스의 오늘의집, 인터파크, 지마켓, 카카오의 카카오쇼핑으로 구성됐다. 최근 티몬·위메프가 판매자들에게 대금 정산을 제대로 하지 않으면서 판매자뿐만 아니라 소비자 피해도 급증하고 있다. 이에 소비자들은 해당 플랫폼에 등록된 개인정보 침해나 유출이 발생하지 않을까 전전긍긍하고 있다. 개인정보위는 조사단을 꾸려 티몬과 위메프에 소비자 정보 처리 문제점이 없는지 조사에 나선 것이다. 개인정보위 관계자는 "관계사 개인정보 처리 실태를 적극적으로 지도·감독하고 지속적으로 모니터링하고 있다"며 "국민이 불안해하지 않도록 최선을 다하겠다"고 밝혔다.

2024.07.26 15:03김미정

"데이터 보안 두텁게"…정부·기업, 한국 CPO협의회 설립

인공지능(AI) 등 신기술 발전과 데이터 중요성이 강조되는 가운데, 정부와 기업이 손잡고 개인정보 책임자 협의회를 구성했다. 한국 개인정보 보호책임자(CPO) 협의회 설립추진단은 25일 서울 포스트타워 스카이홀에서 협의회 사단법인 설립을 위한 발기인총회를 개최했다. 총회에는 최장혁 개인정보보호위원회 부위원장과 민간기업·공공기관 소속 보호책임자로 구성된 발기인 13명이 참석했다. 이날 총회에서는 순천향대 염흥열 명예교수가 초대 회장으로 선출됐다. LG유플러스·국립암센터 등 민간기업과 공공기관 소속 보호책임자 17인이 부회장으로 선임됐다. 이들은 협의회 정관을 채택하고, 사업계획 등도 의결했다. 설립추진단은 8월 내로 사단법인 설립을 위한 행정절차를 마무리하고, 9월 중 모든 회원사가 참여하는 협의회 법인 출범식을 서울에서 개최할 예정이다. 협의회는 보호책임자 간 교류협력 및 정부와의 긴밀한 정책소통을 통해 사회 전반의 개인정보보호 수준을 높여나가는 공식적 대표기구로 기능할 것이라고 밝혔다. 우선 올 하반기에 보호책임자가 현장에서 활용할 수 있는 '보호책임자 핸드북'을 개인정보위와 공동으로 펴낼 예정이다. 이 외에도 보호책임자 지정현황 등에 대한 실태조사와 민관협력 포럼을 개최하는 등 활발한 활동을 이어갈 계획이다. 염흥열 초대 협의회 회장은 취임사에서 "그간 개인정보 보호 현장의 최일선에서 보호책임자들이 겪어왔던 고충을 해소하고 보호책임자들이 연대함으로써 정책당국과 활발히 소통할 것"이라며 "개인정보 보호를 위한 선순환적 생태계를 만들어 나가는 데 협의회가 기여할 수 있도록 최선을 다하겠다"고 말했다. 최장혁 개인정보위 부위원장은 축사를 통해 "협의회 공식출범을 위한 각계 노력이 드디어 결실을 맺었다"고 강조하면서 "협의회가 개인정보 분야 대표성을 가진 단체로서 개인정보처리자와 정보주체 간 데이터 처리와 관련된 신뢰가 굳건히 뿌리내리는 데 핵심적 역할을 해주길 바란다"고 당부했다.

2024.07.25 16:08김미정

中 커머스 알리, 개인정보법 어겨 韓서 과징금 20억 '철퇴'…테무는?

중국 이커머스 기업 알리익스프레스가 국내 개인정보보호법을 위반했다는 이유로 우리나라 정부로부터 철퇴를 맞게 됐다. 테무는 이번에 칼날을 피했으나 조만간 추가 사실 관계 확인 등을 거쳐 알리와 비슷한 수준의 제재를 받을 것으로 보인다. 개인정보보호위원회는 25일 서울 정부청사에서 제13회 전체회의를 열고 알리에 과징금 19억7천800만원과 과태로 780만원, 시정명령 및 개선권고를 의결한다고 발표했다. 테무의 경우 사실관계 추가 확인 및 자료제출 보완요구 등을 거쳐 추후 심의할 계획이다. 남석 조사조정국장은 과징금 산정금액을 19억7천800만원으로 정한 것에 대해 "중대성 판단과 위반 행위 정도를 비롯해 고의 과실, 행위 위반 여부, 개인정보 피해 유형 등을 종합적으로 고려했다"며 "알리 매출액 일정 범위 내에서 공과 과징 부과 기준에 따라 선정했다"고 설명했다. 그동안 개인정보위는 해외직구 서비스가 급증으로 국민 개인정보 침해 우려가 크다는 국회 국정감사 지정과 언론보도 등에 따라 조사를 진행해 왔다. 알리는 입점 판매자가 이용자에게 상품을 판매할 수 있도록 중계 플랫폼을 제공한다. 상품 판매 금액의 일정 비율을 중개수수료로 받는 전형적인 오픈마켓이다. 여기선 이용자가 상품을 구매하면 판매자가 상품을 배송하도록 이용자 개인정보를 국외 판매자에게 제공한다. 그동안 한국 이용자의 개인정보를 제공받은 알리의 중국 판매자는 18만여 개에 이르는 것으로 확인됐다. 그러나 알리는 '개인정보가 이전되는 국가' '개인정보를 이전받는 자의 성명 및 연락처' 등 국내 보호법에서 정한 고지사항을 이용자에게 알리지 않은 것으로 알려졌다. 판매자 약관 등에 개인정보 보호에 필요한 조치를 반영하지도 않았다. 회원 탈퇴 메뉴를 찾기 어렵게 구성하고 계정 삭제 페이지를 영문으로 표시하는 등 이용자 권리행사를 어렵게 했다. 이에 따라 개인정보위는 알리익스프레스에 대해 개인정보의 국외 이전과 관련한 보호법 규정 위반 등으로 과징금과 과태료를 부과한 것이다. "밖으로 나간 정보 규모 파악 어려워…테무 건은 다음에" 남석 국장은 중국 등 해외로 흘러 들어간 한국 이용자 개인정보 규모는 알 수 없다고 했다. 현재 국내 개인정보를 제공받은 중국 판매자는 18만개에 이르는 것으로 확인됐다. 그러나 이 판매자들이 국내 회원 개인정보를 얼마나 제공받았는지 추정할 수 없는 상태다. 남 국장은 "알리가 개인정보를 계속 갖고 있는 것이 아니라 일정 기간 지나면 파기한다"며 "이후 관계까지 파악하기 어렵다"고 이유를 설명했다. 이어 "현재 밖으로 나간 개인정보 다수가 중국으로 간 것은 맞다"며 "기타 국가로 흘러간 건은 극소수인 것으로 파악한다"고 설명했다. 또 그는 테무 건 심의 의결 결과를 또 연기한 이유도 밝혔다. 남 국장은 "어제 테무 소송대리인이 비공개 전체 회의에 참석해 정부 관계자와 질의응답 했다"고 말했다. 이어 "논의 후 정부 관계자들은 추가적인 사실 관계 확인이 필요하다는 의견을 내놨다"며 "테무에 자료 제출 보완 요구를 한 번 더 하자는 결론이 나왔다"고 설명했다. 이에 개인정보위는 테무 건은 심의 의결하지 않고 다음 기회에 추진하기로 했다. 또 국내 이용자 개인정보 보호 수준을 제고하기 위해 알리 측에 시정명령과 개선 권고를 진행했다. 특히 개인정보위는 개인정보 처리 흐름을 최대한 투명하고 알기 쉽게 정보 주체에 공개하고 변동 시 신속히 현행화할 것을 알리에 주문했다. 또 국내 대리인의 단순 지정을 넘어 개인정보 보호를 위한 실질적 운영 노력을 기울이며 개인정보 처리와 관련한 불만의 해결 및 피해를 구제할 수 있도록 구체적 방안을 마련하라고 권고했다. 더불어 보호법상 원칙에 따라 수집하는 개인정보를 최소화할 것을 요청했다. 국내 이커머스 기업들이 운영 중인 민관협력 자율규약에 참여하거나 이에 준하는 수준의 개인정보보호를 제공해야 한다는 점도 권고했다. 남석 국장은 "이번 조사·처분은 해외 이커머스 사업자라 하더라도 국내 이용자 대상으로 서비스할 때 국내 보호법 적용 대상이 될 뿐 아니라 국내 사업자 수준의 개인정보 보호와 관리가 필요하다는 점을 명확히 한 것에 의의가 있다"며 "특히 개인정보를 국외로 이전하는 경우 보호법이 정하고 있는 의무 사항을 충실히 이행하고, 입점 판매자 등과의 관계에서도 적절한 보호와 안전 조치를 취함으로써 정보 주체의 개인정보자기결정권 보장에 만전을 기하는 계기가 될 것"이라고 강조했다.

2024.07.25 12:00김미정

중소·영세 사업자, 개인정보 처리방침 관리 지원 받는다

앞으로 중소·영세 사업자는 정부의 도움으로 개인정보 처리방침을 작성하기가 더 쉬워질 것으로 보인다. 한국인터넷진흥원(KISA)는 개인정보 처리방침 작성에 어려움을 겪는 사업자 대상으로 개인정보 처리방침제·개정 컨설팅과 업종별 단체 교육을 지원한다고 24일 밝혔다. 개인정보 처리방침은 개인정보 수집 근거, 제3자 제공 현황 등 개인 정보 처리에 관한 중요 정보를 정보주체에 공개하는 문서다. 기업이 개인정보 투명성을 확보할 수 있도록 돕는 역할을 한다. 그러나 지난해 개인정보 보호 및 활용조사에 따르면, 개인정보 처리 방침의 모든 기재사항을 작성한 개인정보처리자 비율은 약 29%에 그쳤다. 이에 KISA는 개인정보보호위원회와 손잡고 중소·영세 사업자 대상으로 개인정보 처리방침 제·개정을 지원키로 했다. 개인정보를 처리하는 중소·영세 및 스타트업 사업자면 누구나 개인 정보 포털 누리집을 통해 신청할 수 있다. 10월 31일까지 선착순으로 80개 기업을 모집한다. 지원 대상으로 뽑히면 1:1 맞춤형 분석을 통해 개인정보 처리방침 작성 가이드를 받는다. 업종별 협·단체 대상으로 컨설팅과 집합 교육을 진행할 계획이다. KISA 김주영 개인정보안전활용본부장은 "개인정보 처리방침은 정보 주체의 개인정보를 투명하고 안전하게 처리하겠다는 개인정보처리자 약속"이라며 "앞으로 컨설팅을 통해 사업자에 대한 신뢰도를 높일 수 있도록 지원하겠다"고 강조했다.

2024.07.24 15:38김미정

개보위-KISA, '개인정보 불법유통 대응 대학생 모니터링단 발대식' 개최

개인정보보호위원회(개보위)와 한국인터넷진흥원(KISA)이 '2024년 개인정보 불법유통 대응 대학생 모니터링단' 발대식을 22일 열었다. 이번 행사는 서울시청 시민청 태평홀에서 개최됐으며 개인정보 보호에 관심 있는 전국대학생 50명이 참여했다. 이들은 이번달부터 오는 12월까지 대학생 모니터링단으로 활동하게 된다. 모니터링단은 온라인상에서 개인정보 불법유통 게시물을 찾고 '털린 내 정보 찾기' 등의 서비스를 홍보할 예정이다. 또 유관기관 탐방과 전문가 특강 참여를 통해 개인정보 보호 활동을 펼치게 된다. 올해는 작년보다 20명이 늘어나 총 50명이 모니터링단 구성원으로 선발됐다. 개보위는 이들에게 활동실적에 따라 기프티콘 등 인센티브를 제공하고 특히 최우수 활동자 5명에게는 연말에 포상을 수여할 예정이다. 지난해에는 모니터링단이 2만8천여 건의 불법유통 게시물을 찾아냈다. 올해는 더 많은 대학생들이 참여하기에 더욱 활발한 성과를 거둘 것으로 개보위는 예측했다. 고학수 개인정보보호위원장은 "대학생들이 개인정보 보호에 대한 다양한 경험을 쌓길 바란다"며 "앞으로 불법스팸 등 2차 피해를 방지하기 위해 인터넷진흥원과 함께 집중 모니터링을 강화할 계획"이라고 밝혔다.

2024.07.22 17:38조이환

"성행위 영상 뿌린다"…'몸캠 피싱' 피해자 보호 나선 '이 기업' 어디?

#. 지난해 11월. A씨(38·여)는 몸캠피싱 조직원들의 라오스 사무실에서 카카오톡 오픈 채팅방을 통해 B씨와 화상 채팅을 하면서 성행위 하는 영상을 녹화한 뒤 이를 조직원에게 전송했다. 이를 빌미로 B씨에게 돈을 뜯어내려 했던 A씨는 '보내주는 앱을 설치하면 성인 기구 강약을 조절할 수 있으니 이를 설치한 후에 계속 화상 채팅을 하자'고 말하며 휴대전화에 저장된 연락처를 전송받을 수 있는 기능의 악성프로그램 파일을 설치하도록 유도했다. 이후 A씨와 조직원들은 B씨 지인들의 연락처, 성행위 영상 캡처 사진 등을 전송하면서 '돈을 보내지 않으면 지인들에게 유포하겠다'는 취지로 협박했다. 결국 A씨는 지난달 28일 춘천에서 폭력행위처벌법상 공동공갈, 정보통신망법 위반 혐의로 기소돼 징역 3년이 선고됐다. 이처럼 최근 들어 몸캠 피싱(신체 불법 촬영 협박)이 기승을 부리는 가운데 라바웨이브가 피해자 보호를 위한 개인정보 유출 방지에 나섰다. 라바웨이브는 몸캠 피싱 피해자 전용 개인정보 데이터베이스(DB) 서버를 구축했다고 19일 밝혔다. 최근 몸캠 피싱 범죄가 지속적으로 증가하는 가운데 피해자 보호를 최우선으로 고려하기 위한 조치다. 라바웨이브는 전용 DB 서버 구축을 통해 개인정보 암호화 처리와 주기적인 안정성 검사를 강화했다. 이에 따라 데이터가 외부로 유출되더라도 정보는 난독화된 상태로 남는다. 최근 국내 주요 기업들 대상으로 사이버 공격과 해킹 시도가 증가하면서 고객정보 유출사고가 빈번히 발생하고 있다. 특히 몸캠피싱 범죄는 원클라우드, 버니19, 비밀영상 등 새로운 형태로 등장하는 추세다. 이 같은 신규 범죄에 대응하기 위해 라바웨이브는 전용 DB 서버 구축으로 피해자 보호를 더욱 강화할 방침이다. 서버 암호화뿐 아니라 주기적 검사와 백업으로 유출 위협 봉쇄에 본격 나선 셈이다. 라바웨이브 관계자는 "몸캠피싱 피해자 보호를 위해 앞으로도 끊임없이 노력할 것"이라며 "디지털 범죄 없는 안전한 세상을 만드는 데 앞장서겠다"고 강조했다.

2024.07.19 15:49조이환

개인정보위가 제시한 AI 프라이버시 미래는?

정부가 인공지능(AI) 시대에 필요한 개인정보 투명성 확보 논의를 위한 자리를 마련했다. 개인정보보호위원회는 제3차 '2024 개인정보 미래포럼'을 개최했다고 19일 밝혔다. 이 행사는 개인정보 분야 미래 의제를 선제적으로 논의하고, 산업계과 시민사회 등 현장 의견을 수렴하는 정책 토론의 장이다. 학계를 비롯한 법조계, 사업계, 시민사회 등 관계자 42명이 참석했다. 이번 회의는 AI와 개인정보를 의제로 진행되는 세 번째 포럼이다. 서울대 박상철 법학전문대학원 교수와 한양대 박혜진 법학전문대학원 교수는 각각 'AI 프라이버시 위험도 평가 방안'과 '투명성 확보 방안'을 주제로 발제했다. 개인정보위는 미래포럼에서 제안된 의견을 반영해 ▲공개된 개인정보 처리 안내서 ▲AI 프라이버시 위험도 평가 모델 ▲개인정보 처리 투명성 확보 안내서 등을 마련한다. 개인정보위 관계자는 "이번 포럼을 통한 새로운 정책 마련으로 AI 등 신기술·신산업 성장을 지속적으로 지원할 계획"이라고 말했다.

2024.06.19 16:00김미정

정부 "올해부터 개인정보 처리 투명성 더 자세히 점검"

정부가 개인정보 처리 투명성과 책임성을 강화하기 위한 정책을 실시한다. 개인정보보호위원회는 제10회 전체회의를 열고 '2024년도 개인정보 처리방침(처리방침)' 평가계획을 확정했다고 13일 밝혔다. 올해 평가 분야는 국민생활과 밀접한 ▲빅테크 ▲온라인 쇼핑 ▲온라인 플랫폼(주문·배달, 숙박·여행) ▲병·의료원 ▲온라인 동영상 서비스(OTT) ▲엔터테인먼트(게임, 웹툰) ▲인공지능(AI) 채용이다. 대상기업·기관은 개인정보 보호법 시행령(제31조의2) 및 '개인정보 처리방침 평가에 관한 고시'의 평가 대상 선정 기준을 고려해 고정된 주요 개인정보처리자 49개 기업·기관이다. 평가 기준은 개인정보 보호법(제30조의2)에 따라 ▲처리방침에 포함 사항을 적정하게 정하고 있는지(적정성) ▲처리방침을 알기 쉽게 작성하였는지(가독성) ▲처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등으로 이뤄졌다. 총 26개 항목 42개 지표를 활용해 법적 의무사항 이행 여부, 개인정보처리자의 노력 등을 평가한다. 평가는 외부 전문가로 구성된 평가위원회에서 공개된 자료를 기반으로 한 기초 평가와 평가 대상기관이 제출한 의견 토대로 이뤄지는 심층 평가 방식이다. 해당 서비스 실제 이용자 관점에서 가독성, 접근성 등을 평가하는 이용자 평가도 진행된다. 평가 결과 처리방침이 우수한 개인정보처리자에 대해서는 개인정보 보호법에 따른 과징금·과태료 부과 시 감경 등 인센티브를 제공한다. 개인정보처리자의 자율적인 개선을 유도하고, 개선이 필요한 사항에 대해서는 개선권고 등의 조치를 할 계획이다. 개인정보 처리방침 평가계획은 개인정보 수집·이용, 제공, 위탁 등 개인정보 처리와 관련된 기준과 안전조치에 관한 사항에 대해 개인정보처리자가 스스로 정한 문서다. 개인정보처리자가 어떤 개인정보를 어떠한 목적으로 어떻게 처리하는지 확인할 수 있게 하는 시스템이다. 정보주체의 권리를 보장하는 가장 기본적인 수단이라고 볼 수 있다. 지난해 법 개정을 통해 개인정보 처리의 투명성, 책임성을 강화하고 정보주체의 알권리 등 실질적인 통제권을 보장할 수 있도록 개인정보 처리방침 평가제도를 도입했다. 올해 본격적으로 첫 평가를 실시한다. 양청삼 개인정보정책국장은 "개인정보 처리방침 평가제가 올해 처음으로 시행되는 제도인 만큼, 개인정보처리자에게 부담을 주는 방향으로 운영하기 보다는 우수한 사례를 발굴, 공유하는 데 중점을 둘 것"이라며 "법 위반 우려 등이 있는 경우에는 개선을 유도하는 방향으로 추진할 계획"이라고 말했다.

2024.06.13 17:19김미정

AI 사업자, 개인정보 처리 잘 할까?…정부가 확인해 보니

정부가 국내외 인공지능(AI) 서비스 사업자들의 개인정보 처리 과정을 점검한 결과와 권고사항을 발표했다. 개인정보보호위원회는 지난 12일 전체회의를 열고 SK텔레콤을 비롯한 스노우, 딥엘, 뷰노의 AI 플랫폼 사전 실태점검 결과를 의결했다고 13일 밝혔다. 이날 전체회의에선 SK텔레콤의 통화녹음·요약·통역 서비스 '에이닷' 개인정보 처리 과정 점검 결과부터 공개됐다. 점검 결과 통화 녹음‧요약 서비스는 경우 이용자 기기에서 통화 녹음이 이뤄지면 음성파일이 SK텔레콤 서버에서 텍스트로 변환되고, 이를 클라우드에서 요약되는 것으로 전해졌다. 이 과정에서 텍스트 파일을 보관하는 시스템에 접속기록이 보관되지 않았다. 이에 개인정보위는 시스템상 접속기록의 보관‧점검 등 안전조치 의무를 준수하도록 권고했다. 텍스트 파일의 보관 기간 최소화, 비식별 처리 강화, 서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련‧시행할 것도 요청했다. '스노우' 정보 처리 점검 결과도 나왔다. 스노우는 생성형 AI 기반으로 AI 프로필 등 얼굴 사진을 변형한 이미지를 생성할 수 있다. 해당 서비스는 인터넷에 공개된 AI 모델을 이용하고 있었다. 별도로 학습데이터는 수집하지 않으며, 서비스 이용 과정에서 생성된 이미지도 이용자 편의를 위해 일정기간 서버에 보관할 뿐, 다른 목적으로 이용하지 않고 있었다. 다만 이미지 처리방침 내용이 알기 어려운 형태로 공개됐고, 이미지 필터링 등을 위한 외부 개발도구 안전성을 충실히 검토하지 않은 것으로 드러났다. 정부는 개인정보를 서버로 전송해 처리할 경우, 이용자가 이를 쉽게 인지할 수 있도록 하라고 권고했다. 외부 개발도구로 개인정보를 처리하는 경우 의도하지 않은 개인정보 처리‧전송 가능성을 점검할 것도 요구했다. AI 번역 서비스 '딥엘'은 공개 데이터 및 이용자가 무료 서비스에 입력한 텍스트를 AI 학습데이터로 활용했던 것으로 나타났다. 개인정보위는 딥엘이 이용자가 무료 서비스에 입력한 정보에 대해 AI 학습 및 인적 검토를 진행하면서 이를 명확하게 공개하지 않은 사실을 확인했다. 다만 회사는 개인정보위가 지난 3월 발표한 내용 바탕으로 개인정보를 입력하지 않도록 입력 화면에 안내하고, 인적 검토 사실을 처리방침에 반영해 개선권고를 받지 않았다. 뷰노는 AI 기반 의료영상이나 생체신호를 판독·진단을 돕고 질환을 예측하는 솔루션을 운영하는 기업이다. 해당 기업은 AI 학습에 병원의 기관생명윤리위원회 및 기관데이터심의위원회를 통과한 데이터만 사용하고, 의료기관에서 프로그램에 입력한 의료영상 등의 데이터는 사용하지 않는 것으로 확인됐다. AI 학습데이터 수집·처리 관련 보호법 위반 사항은 발견되지 않았다. 개인정보위 관게자는 "정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI를 도입하는 응용서비스에 대한 지속적인 모니터링을 실시할 것"이라며 "AI 시대의 개인정보 보호 대책 및 안전한 개인정보 활용 방안을 마련하겠다"고 밝혔다.

2024.06.13 14:32김미정

개보위 고낙준 과장 "맞춤형 광고, 법망 벗어난 규제 안 만들 것"

개인정보보호위원회 관계자가 맞춤형 광고의 효용성을 논하는 토론회에서 "기존 법률에 명시되지 않은 규제를 가이드라인에 포함하지 않겠다"고 공언했다. 한국인터넷기업협회는 11일 서울 강남의 스타트업얼라이언스에서 '맞춤형 광고의 순기능과 효용성, 올바른 산업 발전 방향'을 주제로 토론회를 개최했다. 이날 주요 쟁점은 맞춤형 광고에 대한 정부의 규제 기조에 맞서, 업계와 소비자 관점에서 맞춤형 광고의 효용성을 부각하는 것이었다. 토론회에 참가한 발제자와 토론자들은 "맞춤형 광고가 기업과 소비자들에게 이익과 편의를 제공하고 있음을 간과해서는 안 된다"고 입을 모았다. 아울러 맞춤형 광고의 규제로, 자칫 관련 산업의 위축과 비용 낭비가 커져 소비자들의 불이익을 야기할 수도 있다는 우려가 제기됐다. 발제자로 나선 박정은 이화여자대학교경영전문대학원 교수는 "마케팅은 소비자가 필요한 물건을 구매하게 도울 수도 있지만, '충동구매'를 야기하는 등의 현상이 극대화되는 측면이 있다"며 마케팅에 양면성이 있다는 점을 환기했다. 박 교수는 "맞춤형 광고의 개인정보 침해 가능성에 대해 개보위가 우려하고 있지만, 무작정 시장을 규제하기보다는 맞춤형 광고의 순기능을 고려해야 한다"며 "역기능에 대해서는 업계 스스로가 개인정보 침해 가능성을 인지하고 개인정보 수집의 투명성과 이용자 통제권을 보장해야 한다"고 업계의 자율규제를 강조했다. 법무법인 태평양 박지연 변호사는 맞춤형 광고의 법적 쟁점에 대해 정리했다. 우선 그는 맞춤형 광고를 통해 ▲소비자 편익 증대 ▲인터넷 서비스 무료화 ▲광고비 절감을 통한 중소기업 경쟁력 제고라는 긍정적 경제효과가 발생한다는 점을 언급했다. 반면 소비자가 웹과 앱을 이용하면서 쌓이는 '행태정보'의 축적으로 사생활의 침해가 이뤄질 수 있으며 정보 수집의 주체가 서비스를 제공하는 인터넷 서비스 사업자인지, 광고를 집행하는 광고주인지 명확하지 않은 점이 소비자들 사이에서 불안을 조성할 수 있다고 지적했다. 이어진 종합토론에서는 맞춤형 광고 시장에서 소비자의 역할을 부각하는 목소리가 힘을 얻었다. 맞춤형 광고에 대한 소비자 권한이 더 많이 부여돼야 한다는 주장도 눈길을 끌었다. 문장호 숙명여자대학교 홍보광고학과 교수는 소비자들은 광고의 수동적인 수용자가 아니라 주체적으로 광고를 선택하고 효용을 누리는 시장 참가자라고 역설했다. 문 교수는 "소비자들이 자신의 개인 데이터가 어떻게 쓰이는지 이해할 수 있도록 광고주와 플랫폼이 적극적으로 나서야 한다"며 "소비자의 광고 선택권을 보장하기 위해 미국의 '사후거부(Opt out)' 방식을 디지털 광고업계가 적극 도입해야 한다"고 말했다. 사후거부란, 광고를 본 소비자가 이 광고를 보지 않겠다고 선택할 수 있는 방식의 광고다. 문 교수는 이를 디지털 시장을 통한 '광고의 민주화'라고 표현했다. 그는 "광고가 어떻게, 왜 이뤄지게 됐으며 광고주나 개인정보수집의 주체가 누구인지 정보가 소비자에게 전달될 수 있게 해야 한다. 또한 이 과정에서 광고 노출을 거부하고, 거부하는 이유에 대해서도 자유로운 의견 표출이 가능해야 한다"고 했다. 곽대섭 한국디지털광고협회 정책기획팀장은 맞춤형 광고에 쓰이는 행태정보가 개인정보로 분류되는 일을 우려했다. 곽 팀장은 "행태정보가 개인정보로 분류되는 순간, 중소 광고사업자들은 더이상 사업을 하기 어렵다"며 "그렇게 되면 개인정보를 보호하려는 정부의 정책이 오히려 핀테크나 대기업들의 정보 독점을 야기할 수도 있다"고 걱정했다. 이날 토론회에는 정책당국인 개보위 관계자도 참석해 업계 의견을 정책에 반영할 뜻을 나타냈다. 현재 개보위는 맞춤형 광고와 개인정보 보호에 대한 가이드라인을 작성하고 있다. 고낙준 개보위 신기술개인정보과장은 "개보위에서는 광고산업에 대해 이해하기 위해 업계와의 소통이 중요하다는 것을 잘 알고 있다"며 "특히 소비자들이 주체적으로 자기 정보를 통제할 수 있도록 바뀌어야 한다는 의견에 공감한다. 맞춤형 광고가 가진 순기능을 참고해 규제가 시장에 미칠 영향에 대해 충분히 고민하고 있다"고 말했다. 고 과장은 개보위가 가이드라인 제정 작업에서 한국방송광고진흥공사와 협력하고 있다는 소식도 전했다. 그는 "앞으로 나올 가이드라인에도 업계의 목소리를 최대한 반영하려 노력 중이다. 기존 정책방향과 법령 내에서 규제안을 고민할 것이며, 기존 법률의 범위를 넘어서는 새로운 규제를 창설하지 않겠다"고 약속했다. 아울러 개보위는 광고사업자들이 개인정보 침해 논란에 휘말리지 않도록 비즈니스 모델을 확실히 할 것을 주문했다. 고 과장은 "광고사업자들이 개인정보 수집 의도가 없다는 걸 입증하면 된다"며 "개인정보가 아닌 고객 구분에만 정보를 쓰도록 비즈니스 모델을 설계했다면, 사후에 문제가 발생해도 법적인 면책조항 인센티브를 최대한 활용토록 하겠다"고 조언했다.

2024.06.11 17:10정석규

개인정보 유출 없다던 골프존, 수십억 과징금 철퇴 맞았다

지난해 11월 해커에 의한 랜섬웨어 공격을 받은 후 '부실 대응' 지적을 받았던 골프존이 결국 정부로부터 수십억원의 과징금 철퇴를 맞았다. 지난해 9월 개인정보보호법이 개정된 후 실질적으로 적용된 첫 사례다. 개인정보보호위원회는 지난 8일 '제8회 전체회의'를 열고 개인정보보호 법규를 위반한 골프존에 대해 총 75억400만원의 과징금과 540만원의 과태료를 부과키로 했다고 9일 밝혔다. 동시에 시정명령 및 공표명령도 의결했다. 앞서 골프존은 지난해 11월 23일 랜섬웨어 공격을 받았다. 이 과정에서 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속하고 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개했다. 이로 인해 업무망 내 파일서버에 보관돼 있던 약 221만 명 이상의 서비스 이용자 및 임직원의 개인정보가 유출돼 큰 피해를 입었다. 일부는 주민등록번호(5천831명)와 계좌번호(1천647명)도 유출됐다. 국내 최대 스크린 골프 기업 골프존은 사고 이후 5일 동안 장애가 지속돼 곤욕을 치렀다. 또 초기에는 "개인정보 유출은 없다"고 주장했으나, 사고 발생 21일 만에 개인정보가 유출됐다고 시인해 논란이 되기도 했다. 일각에선 사태를 축소하려다가 피해를 키웠다는 지적도 나왔다. 실제 11월23일 랜섬웨어 사고 이후 골프존 회원들은 갑작스레 많은 피싱 문자를 받았다고 호소한 바 있다. 골프존은 12월13일 자사를 사칭한 피싱 문자가 발송되는 사례가 늘고 있다는 공지사항을 게재하기도 했다. 이와 관련해 개인정보위는 골프존이 ▲안전조치의무 ▲주민등록번호 처리제한 및 개인정보 파기 등을 위반했다고 결론을 내렸다. 개인정보위에 따르면 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했다. 개인정보파일이 보관돼 있는 파일서버에 대한 주기적 점검 등 관리체계도 미흡하게 운영한 것으로 밝혀졌다. 구체적으로 코로나19로 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID와 PW만으로 접속할 수 있도록 허용했다. 그럼에도 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토하고 필요한 안전조치를 하지 않았다. 이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 허용됐다. 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출을 방지하기 위한 안전조치도 소홀했다. 이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었던 것으로 파악됐다. 더불어 골프존은 주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관하고 있었던 것으로 조사됐다. 이에 보유기간이 경과되거나, 처리목적 달성 등 불필요하게 된 최소 38만여 명의 개인정보를 파기하지 않은 위반행위가 발각됐다. 이에 개인정보위는 골프존에 대해 보호법 제29조 안전조치의무 위반으로 과징금을 부과키로 했다. 또 같은 법 제21조에 따라 개인정보 파기의무를 준수하지 않은 행위에 대해서도 과태료 부과를 결정했다. 여기에 ▲회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립·시행 ▲공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수 ▲개인정보보호책임자의 위상과 역할 강화 ▲전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령했다. 또 이러한 사실을 홈페이지 등에 공표하도록 주문했다. 이번 처분은 개정된 개인정보보호법이 적용된 첫 사례다. 이 법은 지난해 기업 차원의 책임성을 강화하기 위해 과징금이 위반행위 관련 매출의 3% 이하에서 전체 매출의 3% 이하로 상향 조정됐다. 개인정보위 관계자는 "전통적으로 개인정보 처리가 많이 이루어지는 서비스 영역 뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용돼야 함을 강조한 사례"라며 "이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다"고 밝혔다.

2024.05.09 12:00장유미

개인정보위, 전 분야 마이데이터시행 개인정보법 시행령 개정안 입법예고

개인정보보호위원회가 전 분야 마이데이터 시행을 골자로 한 개인정보보호법 시행령 개정안을 본격 도입한다. 개인정보보호위는 전 분야 마이데이터시행을 위한 개인정보보호법 시행령 개정안을 다음달 1일부터 6월 10일까지 40일간 입법예고한다고 30일 밝혔다. 이번 시행령 개정안은 지난해 3월 개인정보보호법 개정으로 도입된 개인정보 전송요구권 제도의 후속조치다. 개인정보 전송 요구권은 내년에 본격 시행된다. 시행령에선 정보주체인 국민이 개인정보 전송을 요구할 때, 정보를 전송하는 개인정보처리자와 전송 요구 대상 정보의 기준을 정했다. 정보주체 본인에게 정보를 전송하는 경우는 부문·분야 구분 없이 정보전송자 및 전송정보 기준을 폭넓게 설정했다. 제3자에게 정보를 전송하는 경우는 서비스 수요, 전송인프라 여건 등을 고려해 보건의료·통신·유통 부문부터 우선적으로 추진하는 것으로 기준을 수립했다. 구체적으로 본인 전송(다운로드)의 경우 정보전송자 기준은 개인정보 처리 능력 등을 고려해 정보주체 수가 10만 명 이상인 대기업·중견기업 또는 정보주체 수가 100만명 이상인 기관·법인·단체 등으로 설정했다. 전송정보는 제3자권리 침해 정보 등의 제외기준에 해당하지 않으면 전송을 요구할 수 있도록 기준을 규정했다. 제3자 전송은 산업별 특성을 고려해 정보전송자 및 전송정보를 유형화했으며, 하위 고시 제정을 거쳐 보건의료, 통신, 유통 등 부문별로 세부 기준을 수립한다. 아울러 시행령은 정보를 전송받을 수 있는 개인정보관리 전문기관의 지정 절차를 수립하는 등 마이데이터의 본격 시행에 필요한 세부 기준을 마련하는 내용을 담고 있다.또 가명정보 결합실적이 전혀 없는 결합전문기관에 대해 재지정을 하지 않을 수 있는 근거도 마련했다. 고학수 개인정보위 위원장은 "이번에 도입되는 개인정보 전송요구권은 분야간 칸막이에 갇혀있던 데이터가 정보주체의 요구에 따라 이동·융합될 수 있는 근본적 변화인 만큼, 국민이 우선적으로 체감할 수 있는 부문을 시작으로 점진적·단계적으로 확대해 나갈 계획"이라고 말했다.

2024.04.30 15:39이한얼

개인정보위, 개인정보 처리방침 작성지침' 개정본 공개

개인정보보호위원회가 기업 일선 실무자가 참고할 개정된 개인정보법과 처리 등을 안내할 길라잡이를 마련했다. 개인정보보호위원회는 30일 '개인정보 처리방침 작성지침' 개정본을 공개했다. 법 개정에 따라 처리방침 필수 작성 항목으로 신설된 '민감정보 공개 가능성 및 비공개 선택 방법', '국외 수집', '이동형 영상정보처리기기'에 대한 작성법이 새롭게 마련된 것이 핵심이다. 개정본은 정보주체 동의 없이 처리하는 개인정보 항목과 처리 법적 근거를 동의 받아 수집한 개인정보와 구분해 기재하도록 했다. 또 국외 이전에 관해 처리방침에 명시해야 하는 사항을 현행화했다. 정보주체 권리 행사 방법 중 하나로, 이번에 신설된 '자동화된 결정에 대한 거부 및 설명요구' 방법과 절차를 안내하도록 했다. 아울러 온라인 행태정보 처리에 대한 책임성, 투명성을 강화할 수 있도록 행태정보 수집, 이용, 제공 및 거부에 관한 사항을 중심으로 안내를 구체화했다. 개인정보처리자가 쿠키 등 개인정보 자동 수집장치를 운영할 경우, 정보 주체를 식별하는 형태로 처리하는지 여부를 기준으로 작성 방법을 구분해 제시했다. 개정본은 개인정보위 누리집과 개인정보 포털에서 확인할 수 있다. 양청삼 개인정보정책국장은 "개인정보 처리방침은 개인정보처리자가 개인정보를 어떤 목적으로 어떻게 처리하는지 확인할 수 있도록 해 정보주체 권리를 보장하는 기본 수단으로서 중요한 의미를 갖는다"며 "정보주체가 쉽게 이해하고 접근할 수 있는 처리방침을 마련하는 데 도움이 되길 바란다"고 강조했다.

2024.04.30 15:37이한얼

Prev 1 2 3 4 5 6 Next