ZDNet 검색 페이지

'개인 정보'통합검색 결과 입니다. (460건)

개인정보위, '2030 자문단' 발족…"청년 가치관 반영"

개인정보보호위원회가 청년의 가치관을 국정철학에 반영하기 위한 '2030 자문단'을 25일 발족했다. '2030 자문단'은 부처별 주요 정책에 대해 청년세대의 인식을 전하는 핵심 창구역할을 수행하는 20대와 30대로 구성된 정책 모니터링단이다. 개인정보위는 지난해 12월 공개모집을 거쳐 이달 '2030 자문단' 최종 20명을 선발했다. 모집 당시 선발인원의 약 9.5배가 넘는 191여 명의 청년이 지원했다. 개인정보위 '2030 자문단' 단장은 지난해 12월 청년보좌역으로 임용된 '신세연' 씨가 맡았다. 선발된 자문단원들은 대학생, 직장인, 스타트업 창업자 등 다양한 경력을 가진 인사로 구성됐다. 앞으로 개인정보위 주요 업무 분야인 ▲개인정보 보호·활용 ▲개인정보 침해 방지 및 권리 강화 ▲개인정보 소통·협력 등 3개 분과별로 활동하게 된다. 고학수 개인정보위원장은 “개인정보위에서 처음으로 출범하는 청년자문단인 만큼 2030 자문단의 활동에 큰 기대를 갖고 있다”며 “개인정보위에서는 청년보좌역과 2030 자문단이 전하는 신선한 청년의 목소리를 정책에 적극 반영해 나가겠다”고 언급했다.

2024.01.25 16:37이한얼

기관 보유 데이터 자체결합 가능해진다

과거 법령상 자기 활용 목적 데이터 자체결합이 불가했던 규제가 앞으로는 풀릴 전망이다. 정부는 국립암센터와 같은 기관이 보유한 데이터를 직접 결합해 과학적 연구 등에 활용하는 것을 허용키로 했다. 개인정보보호위원회는 지난 24일 제2회 위원회 전체회의를 개최하고 이같은 내용을 담은 '가명정보 결합 및 반출 등에 관한 고시' 일부 개정안을 의결했다고 25일 밝혔다. 결합고시의 주요 개정내용에 따르면 가명정보 결합전문기관의 자기활용 목적을 위한 데이터 자체결합을 허용했다. 그간 결합전문기관은 기관이 보유한 데이터를 직접 결합해서 자신의 과학적 연구 등에 활용하는 것이 불가능했다. 이번 개정으로 가능하게 됐다. 앞으로 국립암센터, 국민건강보험공단, 통계청 등 다양한 데이터를 보유한 결합전문기관의 가명정보 결합·활용 절차가 진행될 수 있게 될 전망이다. 다만 개인정보위는 규제 개선에 따른 제도 오·남용 방지 장치도 동시에 마련했다. 기관이 결합한 정보를 활용할 시 '반출심사위원회'의 위원 전원을 유사분야의 다른 결합전문기관의 임직원 또는 해당 기관에서 추천한 자로 구성토록 해 개인 식별위험을 심사토록 했다. 더불어 결합전문기관 지정요건을 개선했다. 결합전문기관이 갖춰야 할 인적요건 중 전문인력의 경력인정 분야를 확대했다. 경력요건을 다양화하고 인정범위를 넓혀 결합전문기관의 부담을 완화했다. 이 밖에 결합전문기관 지정기준의 변경사항이 발생해 지정부처에 통보하면, 지정부처는 일정기간 이내에 변경심사를 수행하도록 의무화해 가명정보 결합이 불필요하게 지연되는 것을 막기로 했다. 개정된 결합고시는 관계기관 협의를 거쳐 이달 말 관보에 게재될 예정이며, 관보에 게재되는 즉시 시행된다.

2024.01.25 15:41이한얼

개인정보위, CCTV 개인정보법 위반 사업자에 '시정명령'

개인정보보호위원회가 고정형 영상정보처리기기(CCTV)를 설치·운영하면서, 안내판을 설치하지 않고 '개인정보 보호법'을 위반한 15개 사업자와 개인에게 시정명령·경고 조치하기로 결정했다. 개인정보위는 지난 24일 제2회 전체회의를 열고 이같은 내용을 의결했다고 25일 밝혔다. 개인정보 보호법 제25조에 따르면 고정형 영상정보처리기기를 설치·운영하는 자는 정보주체가 쉽게 인식할 수 있도록 설치 목적 및 장소, 관리책임자 연락처 등을 포함한 안내판을 설치해야 한다. 지난해 9월 개정 보호법 시행 이후 달라진 영상정보처리기기 관련규정을 적용한 첫 번째 사례다. 법 개정 이전에는 영상정보처리기기 관련 안내판을 설치하지 않으면 즉시 과태료 처분을 받았다. 그러나 법 개정 후 먼저 시정명령을 받고 이를 이행하지 않는 경우에 한해 과태료 처분을 받도록 변경됐다. 이번 의결에서는, 조사가 완료될 때까지 안내판 부착 조치를 취하지 않은 3명의 개인에게는 시정명령을 처분했지만 조사 과정에서 안내판 부착 조치를 자진해서 완료한 12개 사업자 및 개인에게는 경고 조치만 하기로 했다.

2024.01.25 15:11이한얼

개인정보위, 영상정보처리기기 사전적정성 검토 2건 의결

개인정보보호위원회는 지난 24일 제2회 전체회의를 열고, 사전적정성 검토를 신청한 2건에 대해 사업자와 마련한 개인정보 보호법 준수방안을 의결했다고 25일 밝혔다. 앞서 인공지능(AI) 영상정보처리기기(CCTV) 선별관제 솔루션 개발업체인 벡터시스는 자사 솔루션 상용화를 위해 법적 불확실성을 해소하고자 사전적정성 검토를 신청한 바 있다. 개인정보위는 현장 확인을 통해 솔루션이 사람의 쓰러짐, 추락 등 산업재해·안전과 관련된 상황이나 통제구역 침입, 배회 등 보안·방범과 관련된 상황만 발췌해 관제·녹화할 수 있는 선별관제 기능을 확인했다. ▲해당 기능을 활용해 사건·사고 장면만 원본영상을 표시·녹화하고, 나머지 일상적 장면에 관한 원본영상 정보를 별도 저장하지 않으며 ▲영상정보처리기기 관제 화면에 노출되는 사람의 영상은 아이콘 등으로 표시하고 촬영구역 내 정보주체들에게 운영 정책을 투명하게 공개하는 것을 전제로 근로자 감시 우려는 적고 사건·사고 예방·분석으로써 얻어지는 법익은 크다고 봤다. 영상정보처리기기 설치구역 내 정보주체의 동의 없이도 이를 운영할 수 있다고 판단했다. 또 동형암호(암호문 상태에서 합계·평균·회귀분석 등 연산을 할 수 있는 암호기술) 기반 데이터분석 솔루션을 제공하는 디사일로와 금융 마이데이터 사업자인 뱅크샐러드가 '동형암호 연산으로 산출된 통계값을 활용하는 경우 가명처리에 해당하는지'에 관한 사전적정성 검토를 신청한 바 있다. 개인정보위는 뱅크샐러드가 동형암호화한 데이터를디사일로의 분석 시스템(데이터 클린룸)으로 이전하고 디사일로는 분석 시스템에 접속한 외부 연구자에게 통계분석을 할 수 있는 환경을 제공했다는 것을 확인했다. 또 동형암호 연산 결과 산출된 통계값만을 반출한다는 것과, 암·복호화 키(key)를 뱅크샐러드만 보유하고 있어 디사일로 및 외부 연구자들은 데이터 원문을 볼 수 없다는 사실도 확인했다. ▲안전한 암·복호화 키(key) 관리 방안을 마련하고 ▲해당 동형암호문은 통계 목적으로만 활용하며 ▲통계값으로부터 원문을 추론하지 못하도록 통계모수를 '20명 이상'으로 제한하는 등의 요건을 충족하는 경우, 적법한 가명처리에 해당할 수 있다고 판단했다.

2024.01.25 10:19이한얼

개인정보 유출 한국고용정보원·한국장학재단에 과태료 제재

개인정보위원회가 한국고용정보원과 한국장학재단에 각각 840만원의 과태료 부과 결정을 내렸다. 이른바 '크리덴셜 스터핑' 방식의 해킹 공격에 의해 양기관이 다수의 개인정보를 유출했다는 이유다. 개인정보위는 지난 24일 전체 회의를 열고 이같은 조치를 취했다고 25일 밝혔다. 아울러 시스템 보안 대책도 정비하도록 개선권고하기로 결정했다. 개인정보위는 지난해 6월에서 7월 한국고용정보원의 구인·구직 사이트 '워크넷'에 신원 미상의 자가 '크리덴셜 스터핑' 방식으로 침입해 23만 6천여 명의 개인정보가 유출된 사실을 확인했다. 한국장학재단 홈페이지의 경우에도 동일한 방식에 의해 3만2천여 명의 개인정보가 유출된 사실이 확인됐다. '크리덴셜 스터핑'은 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 중 하나다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다. 두 기관 모두 24시간 감시·모니터링 체계는 갖추고 있었으나, 로그인 시도 및 실패율이 증가하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했던 것으로 밝혀졌다. 개인정보위 조사결과에 따르면, 워크넷에는 국내외 26개 아이피(IP)를 통해 1초당 최대 166회, 총 4천500만 번 이상 로그인 시도가 있었고 이중 56만 번 로그인에 성공(성공률 1.25%)한 기록이 확인됐다. 한국장학재단 홈페이지에는 국내외 44만여 개 아이피를 통해 1초당 최대 240회, 총 2천100만 번 이상 로그인 시도가 있었고 이중 3만 6천 번 로그인에 성공(성공률 0.17%)한 기록이 확인됐다. 사건 이후 두 기관은 보안 대책 설정을 재정비하는 등 위반 사항을 시정하는 한편, 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다. 개인정보위 관계자는, "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 시스템의 특성을 감안해 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다"고 밝혔다.

2024.01.25 10:17이한얼

[인사] 개인정보보호위원회

◇ 국장급 전보 ▲ 기획조정관 고은영

2024.01.23 16:15이한얼

1천억대 과징금 부과...구글·메타 VS 개인정보위 공방 올해 본격 진행

개인정보 침해와 관련해 과징금을 부과받은 글로벌 빅테크 기업과 국내 규제 당국의 공방전이 올해 본격적으로 진행될 전망이다. 이미 과징금 부과 관련 행정소송이 지난해부터 진행되고 있는 만큼 이르면 연내 1심 선고도 판가름이 날 것으로 전망된다. 지난 2022년 개인정보보호위원회는 구글과 메타가 이용자의 동의 없이 온라인 맞춤형 광고에 개인정보를 이용했다는 이유로 약 1천억원의 과징금을 부과했다. 당시 개인정보위는 구글과 메타가 개인정보 보호법을 위반해 이용자의 권익을 부당하게 침해했다며 과징금 부과 배경을 설명한 바 있다. 해당 사건은 구글과 메타가 지난해 2월 과징금 부과 취소 행정소송을 제기하면서 법적 공방으로 넘어갔다. 쟁점은 개인정보 수집 주체가 구글·메타이냐는 것이다. 실제 두 기업은 다른 사업자들이 수집한 개인정보를 단순히 위탁받은 입장에 불과하다는 법리를 펼치고 있는 것으로 전해졌다. 반면 개인정보위는 과징금 부과 당시에 동일하게 이용자의 동의 없이 상업성 있는 광고에 개인정보를 이용했고 두 기업이 실제 개인정보 수집 주체가 맞다는 입장을 고수하고 있다. 양측의 행정소송은 지난해 9월 첫 변론기일을 거쳐 이르면 연내 행정소송 1심 선고 결과가 나올 전망이다. 개인정보위 관계자는 "통상 행정소송 1심 선고에 걸리는 기간이 1년이 넘지 않는 만큼 올해 안에 1심 선고 결과가 나올 가능성이 크다"고 전했다. 개인정보위는 승소를 자신하는 입장이다. 고학수 개인정보위 위원장은 지난해 한 매체와의 인터뷰에서 "(구글 ·메타와의 소송에서)100% 우리가 승소한다"고 언급한 바 있다. 개인정보위는 비단 이번 송사 뿐만 아니라 늘어나는 빅테크 기업과의 행정소송을 위해 예산도 대거 증액했다. 앞서 개인정보위는 지난해 국정감사에서 소송 수행예산이 2억 여원이 불과하다는 지적을 받고 올해 전년 대비 2배 증액된 4억2천만원을 소송 예산으로 확보했다. 대형로펌과의 대결 뿐 아니라 3심까지도 이어질 수 있는 지리한 법적 공방에 대비하기 위한 조처다. 한편 이번 행정소송의 1심 선고 결과는 빅테크 기업의 개인정보 행태 수집에 관한 첫 번째 법리적 판결로 업계에 미치는 파장 역시 클 전망이다. 온라인 맞춤형 광고 플랫폼의 행태정보 수집 관련 첫 번째 제재이자 개인정보보호법 위반으로는 가장 큰 규모의 과징금이라는 이유에서다. 한편 통계 사이트 스태티스타에 따르면 지난 2022년 기준 메타와 구글의 총수익에서 디지털 광고수익이 차지하는 비중은 각각 97%, 81%다.

2024.01.22 11:22이한얼

개인정보위 "빅테크 정보 침해 대응 예산 2배 증액"

개인정보호위원회가 올해 글로벌 빅테크와 행정소송에 적극적으로 대응하기 위해 전년 대비 2배 이상 증액된 소송수행 예산 4억2천만원을 확보했다고 19일 밝혔다. 개인정보위는 현재 11건의 행정소송을 진행 중이다. 행정소송 제기 건수는 특히 지난해 급격히 증가했다. 이는 개인정보 정책 및 조사·처분 기능을 통합한 개인정보위 출범이후 최근 '개인정보 보호법' 위반에 따른 과태료·과징금 부과 처분이 대폭 늘어났기 때문이라는 설명이다. 대표적으로 구글과 메타가 이용자 동의없이 개인정보를 수집해 온라인 맞춤형 광고에 활용한 행위에 대해 '개인정보 보호법' 위반으로 판단해 약 1천억 원의 과징금을 처분한 바 있다. 이는 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금 처분 결정이다. 구글과 메타는 지난해 2월 행정소송을 제기해 현재 1심이 진행중이다. '개인정보 보호법' 개정으로 국제 기준을 반영한 과징금 상한액 기준이 변경됐고 과징금 처분 대상이 정보통신서비스 제공자에서 모든 개인정보처리자로 확대되면서, 향후 행정처분에 대한 소송제기는 더욱 증가할 것으로 예상된다. 개인정보위 관계자는 "소송 증가 추세와 함께 대체로 글로벌 기업이 국내 대형 법무법인(로펌)을 소송대리인으로 선임해 소송에 임하고 있는 점을 고려하면, 개인정보위 역시 올해 소송수행 예산 증가로 인해 보다 체계적인 소송 대응이 가능할 것으로 전망된다"고 밝혔다.

2024.01.19 16:00이한얼

개인정보위, 'CCTV 설치·운영 가이드라인' 개정 시행

개인정보보호위원회는 공공기관과 민간분야에 적용되는 '고정형 영상정보처리기기 설치·운영 가이드라인'이 개정됐다고 19일 밝혔다. CCTV 가이드라인은 지난 2012년 3월 제정된 이후 2021년 4월까지 총 4차례 개정됐다. 이번 개정은 최근 '개인정보 보호법' 및 하위 지침·고시 등의 개정사항을 종합적으로 반영한 제5차 개정이다. 이번 CCTV 가이드라인의 주요 개정사항으로는 먼저 최근 개정된 '개인정보 보호법' 및 하위 지침·고시 내용을 반영해 '영상정보처리기기'를 '고정형 영상정보처리기기'로 용어를 변경했다. 매장 내 방문객 수 집계 등의 통계값 산출을 위한 CCTV를 허용하는 한편, 안내판 필수 기재사항을 개선하는 등 현행 제도에 맞도록 했다. 또 최신 동향을 반영해 가이드라인의 구성·목차 등을 체계화하고 CCTV 설치·운영시 준수해야 하는 기본원칙과 활용 안내사항 등을 추가했다. 아울러 최근 제도개선 사항과 CCTV 설치·운영에 대한 민원 질의내용을 종합 고려해 구체적인 해석사례를 추가하고, 질의응답(Q&A)의 미비점을 개선하는 등 CCTV 가이드라인의 내용 전반을 보완했다. 개인정보위는 이번 CCTV 가이드라인 개정 내용을 공공기관에 배포하고 개인정보위 누리집과 개인정보보호포털 등을 통해 공개하는 한편, 안전한 CCTV 설치·운영을 위한 온·오프라인 교육도 실시할 계획이다.

2024.01.19 13:02이한얼

개인정보위 "털린 내 정보 찾기로 정보유출 확인하세요"

개인정보보호위원회는 '털린 내 정보 찾기' 서비스를 통해 직접 자신의 계정정보 유출 여부를 확인하고, 본인의 계정정보를 변경하는 등의 자발적인 조치가 필요하다고 19일 밝혔다. 최근 국내기업·기관들을 대상으로 한 크리덴셜 스터핑 공격, 생성형 인공지능(AI)을 활용한 공격 등이 고도화하고 있다. 실제 웹사이트 한 곳에서 확보한 아이디와 비밀번호를 여러 다른 인터넷 서비스에서 무작위로 대입해 계정정보를 해킹하는 '크리덴셜 스터핑' 공격 신고는 2022년 1건에서 지난해 18건으로 늘었다. '털린 내 정보 찾기' 서비스는 이용자가 평소 온라인 상에서 사용하는 계정정보(아이디, 암호)를 입력하면, 해당 정보가 다크웹 등 음성화 사이트에서 불법유통 됐는지 확인할 수 있는 서비스다. 서비스 개시 후, 현재까지 총 140만여 명이 이용, 이 중 7.2%인 10만여 명이 본인의 계정정보 유출 사실 확인했다. 한번 유출된 계정정보는 다크웹 등 음성화 사이트에서 불법유통 되면서 명의도용, 보이스피싱 등 각종 범죄에 활용되어 2차 피해를 유발한다. 특히 이용자들은 편의를 위해 여러 사이트에서 동일한 계정정보를 사용하는 경우가 많아, 하나의 계정정보가 유출될 경우 연쇄적인 피해 가능성이 크다. 계정정보 유출이 확인된 경우, 이용자는 계정정보 변경 등의 조치를 통해 추가적인 피해 확산을 방지할 수 있다. 아이디‧암호를 알지 못하는 경우, 개인정보포털의 '정보주체 권리행사(웹사이트 회원 탈퇴)' 서비스를 이용해 사용하지 않는 웹사이트의 회원 탈퇴를 할 수 있다.

2024.01.19 12:15이한얼

개인정보위, '사전 적정성 검토제' 전문가 의견수렴...제도적 기반 마련

개인정보보호위원회가 현재 시범운영 중인 사전적정성 검토제의 제도적 기반을 강화하기 위해 고시 제정에 착수한 가운데 산업계와 전문가들을 대상으로 고시 초안에 대해 의견을 청취했다고 19일 밝혔다. 사전적정성 검토제란 인공지능(AI) 등 신서비스 및 신기술 분야에서 개인정보 보호법을 준수하는 방안을 민간사업자와 정부가 함께 마련하고, 이를 사업자가 적정히 적용했다면 추후 환경·사정 변화가 없는 한 행정처분 대상에서 제외하는 제도다. 개인정보위는 지난해 10월 13일부터 사전적정성 검토제 시범운영을 개시했고 12월 13일 최초 사례를 도출한 바 있다. 이날 회의에서는 신청 대상 신서비스·신기술의 범위, 검토결과서의 법적 효력, 효율적인 절차 진행방안 외에도, 신속처리 절차(Fast-track)의 도입과 효율적 검토를 위한 기술 전문위원회의 설치·운영 등에 대해 활발한 의견이 오갔다. 개인정보위는 간담회에서 제기된 의견을 반영해 2월 말경 전체회의를 거쳐 운영규칙 고시(안)을 확정한 후, 이를 행정예고할 계획이다. 행정예고 기간(20일 이상) 중 접수되는 의견을 반영해 3월 중 최종적으로 고시가 제정·시행될 예정이다. 개인정보위는 관계자는 “사전적정성 제도를 충실히 운영함으로써 신기술 발전에 걸림돌이 되지 않으면서 정보주체의 보호도 놓치지 않는 합리적인 선례가 축적될 것으로 기대한다”고 밝혔다.

2024.01.19 10:09이한얼

개인정보위, '공공기관 개인정보 보호수준 평가제' 3월 시행

개인정보보호위원회가 개인정보 보호수준 평가대상을 확대하고 평가체계를 강화한 '공공기관 개인정보 보호수준 평가제'를 올해 3월 15일부터 시행한다고 18일 밝혔다. 우선, 평가대상 공공기관이 1천600여개로 대폭 늘어난다. 이는 관리수준 진단과 비교해 두 배가량 늘어난 것으로, 기존 관리수준 진단 대상에 중앙행정기관의 소속기관과 시도 교육청·교육지원청 등이 추가된다. 개인정보위는 이후에도 민감정보 및 대규모 개인정보를 처리하거나 유출 사고가 발생한 공공기관 등 보호수준 평가가 필요하다고 판단하는 기관을 지속적으로 평가대상 범위에 포함할 계획이다. 또한, 평가 및 환류 체계가 대폭 강화된다. 법 개정사항 및 기관 특성 등을 반영한 평가지표를 개발해 반영하고, 개인정보 보호 업무에 대한 기관 차원의 관심도와 노력도에 대한 평가를 확대한다. 아울러 평가에 대한 신뢰도를 높이기 위해 주요 사항에 대한 전문가 현장검증도 실시한다. 이외에도, 평가자료 제출에 대한 제재 조치가 도입돼 정당한 사유 없이 자료를 제출하지 않거나 거짓으로 제출한 경우 과태료를 부과할 수 있다. 2024년 보호수준 평가는 오는 4월 평가계획을 수립해 각 기관에 알리는 것을 시작으로 내년 3월까지 이어질 계획이다. 한편, 2023년 관리수준 진단 결과는 오는 3월에 발표될 예정이다. 양청삼 개인정보위 개인정보정책국장은 “보호수준 평가제가 단순히 공공기관의 개인정보 관리실태를 점검하거나 관리수준을 비교 평가하는 데 그치지 않고, 공공기관 스스로 국민이 신뢰할 수 있는 개인정보 보호 관리체계를 갖춰나가는 계기가 될 수 있도록 운영할 것”이라고 말했다.

2024.01.18 12:05이한얼

韓, '개인정보 UN' GPA서 AI 프라이버시 이슈 주도한다

개인정보보호위원회는 새해를 한국이 개인정보 분야에서 글로벌 리더십을 확보하고 국제 허브로 도약하는 원년으로 삼겠다는 포부를 밝혔다. 개인정보위는 이를 위해 세계연합(UN), 경제협력개발기구(OECD), 세계개인정보감독기구총회(GPA) 아태지역개인정보감독기구협의체(APPA) 등 각종 국제 협의체와 회의에 적극 참여하고 컨퍼런스를 개최하는 등 글로벌 규범 형성을 주도하고, 국제 공조 체계도 공고히 해나간다는 계획이다. 개인정보위는 지난 2020년 11월부터 역임했던 APPA 집행위원과 더불어 GPA 집행위원 지난해 10월부터 3년간 새로 수행하고 있다. GPA의 경우 전세계 92개국 140개 기관이 참여해 개인정보 분야 'UN'으로 불린다는 설명이다. 인공지능(AI) 발달에 따라 더욱 복잡하고 다양해진 개인정보 처리환경에서 프라이버시 보호 관련 산업계, 시민사회, 학계, 정부기관 등 전 세계 관심이 GPA로 집중될 예정이다. 개인정보위는 GPA 집행위원과 GPA 내 'AI 작업반(워킹그룹)' 공동 의장으로서, 필요한 논의 주제를 설정하고 방향을 제시할 계획이다. 지난해 6월 '인공지능과 데이터 프라이버시 국제 컨퍼런스'에 이어 두 번째 국제 컨퍼런스도 개최할 계획이다. 이번 컨퍼런스는 한국이 유치한 2025년 GPA를 앞두고 A와 프라이버시에 관한 국제 논의를 준비하기 위한 것이다. 전 세계 감독기구와의 협력과 공조도 적극 유도한다. 그 일환으로 세계 각국의 개인정보 관련 처분사례와 주요 판례를 한눈에 볼 수 있는 웹사이트 구축을 추진하고 있다. 새롭게 구축될 웹사이트는 각국의 정부 기관, 민간기업, 연구기관 등 전 세계 누구나 이용할 수 있도록 운영될 예정이다. 개인정보 처분 사례와 주요 판례를 공유하는 포털의 기능을 수행하게 된다. 고학수 위원장은 “AI 서비스가 우리 일상에서 빠르게 자리잡고 있는 만큼, 개인정보위 역할이 더욱 중요해질 것”이라면서 “독자적 AI 산업 생태계를 지니면서도 수준 높은 개인정보 보호 규범을 갖춘 한국이 국제 사회에서 리더십을 확보하도록 노력하겠다“고 밝혔다.

2024.01.11 12:00김윤희

개인정보위 "웹 이용 기록 빼가던 '페북 로그인' 시정 완료"

SNS 페이스북 운영사 메타가 '페이스북 로그인' 기능 이용 시 타사 행태정보를 자동 수집하는 것을 중단키로 했다. 타사 행태정보는 이용자의 다른 사업자 웹사이트 및 앱 방문‧사용 이력, 구매‧검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악‧분석할 수 있는 온라인 활동정보다. 개인정보보호위원회 조사 과정에서 위법 소지를 인정하고 자진 시정한 것이다. 개인정보보호위원회는 메타가 개인정보위가 명령한 시정조치를 완료했고, 향후 유사한 행위가 재발하지 않도록 경고 조치했다고 11일 밝혔다. 앞서 개인정보위는 개발자(사업자)가 자신이 운영하는 웹사이트 및 앱에서 간편 로그인 기능을 제공하기 위해 '페이스북 로그인'을 설치하는 경우, 타사 행태정보가 메타로 자동 전송되어 맞춤형 광고에 활용되는 사실을 발견했다. 이와 관련해 개인정보보호법 위반 여부 등을 검토하는 과정에서 메타가 해당 행위를 자진 시정하겠다는 의견을 제출했다. 이에 개인정보위는 지난해 7월 전체회의에서 메타에 자진 시정 기회를 부여하고, 그 이행 결과를 점검·확인하기로 결정했다. 시정 기간인 3개월 경과 후, 메타는 한국에서 배포되는 페이스북 로그인 관련 소스코드의 기본값을 변경 출시해 타사 행태정보가 자동 전송되지 않도록 했다. 관련 페이스북 개발자 페이지도 수정했다. 기존 '페이스북 로그인'을 설치한 사업자에게도 개별 전자우편을 통해 업데이트 등을 안내한 것을 확인했다. 개인정보위는 이번 시정조치를 통해 “다른 국가에서 페이스북 로그인을 설치하면 사업자들이 소스코드를 검토해 타사 행태정보가 전송되지 않도록 하는 등 개인정보 보호에 대한 주의를 기울여야 하는 것과는 달리, 앞으로 한국에서는 사업자가 페이스북 로그인 설치 시 이같은 별도의 조치는 불필요하다”고 밝혔다.

2024.01.11 10:00김윤희

병원 의료기록 시스템서 개인정보 보호 '미흡' 확인

개인정보보호위원회는 10일 전체회의를 열고 의료기관의 개인정보 보호 조치 강화를 위한 개선사항을 의결했다. 개인정보위는 의료기관의 환자 개인정보 유출사건 후속으로 보건복지부의 협조를 받아 지난해 6월부터 4개월간 전자의무기록(EMR) 시스템을 제공하는 상위 5개 사업자인 유비케어, 비트컴퓨터, 이지케어텍, 포인트임플란트, 이지스헬스케어의 7개 소프트웨어를 조사했다. 조사 결과, 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인하고, 조사 대상 사업자에게 개선을 권고했다. 개선 필요 사항으로는 ▲개인정보취급자 계정에 대한 접근권한 관련 기록 ▲패스워드 제한 해제 시 확인 ▲외부에서 접속 시 안전한 접속·인증수단 ▲안전한 암호화 알고리즘 ▲취급자 접속기록 중 처리한 정보주체 정보 기록 ▲개인정보 다운로드 사유 입력·확인 ▲삭제 기능 제공 등이 확인됐다. 개인정보위는 조사와 병행해 보건복지부와 긴밀한 협의를 거쳐 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보 보호 수준 향상을 위해 'EMR 인증기준'과 '청구소프트웨어 적정성 검사기준'을 강화하기로 했다. 이에 따라 보건복지부, 한국보건의료정보원, 건강보험심사평가원은 EMR 인증기준과 청구소프트웨어 적정성 검사기준을 구체화하는 작업을 진행할 예정이다. 특히 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임추적성을 강화하는 것이 핵심 내용이다. 개인정보위는 의료기관의 환자 개인정보 관리 책임을 강화하기 위한 구체적인 방안을 마련하여 안내할 예정이다. ▲의료기관과 EMR제공사의 위·수탁 계약 명확화 ▲의료기관의 개인정보 책임 명확화를 위한 교육 ▲의료기관에서 인증받은 버전의 EMR 제품 사용하도록 유도 등을 예로 들었다. 정부는 이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인 대다수 의료기관의 환자 개인정보 보호 수준이 향상되고, 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대했다.

2024.01.11 10:00김윤희

주요 앱 5천개 중 개인정보법 미준수 '69.5%'

개인정보보호위원회는 지난해 이용률 높은 상위 5천개 모바일 앱을 대상으로 개인정보보호법 준수사항을 점검한 결과, 미준수 비율이 69.5%인 것으로 나타났다고 밝혔다. 이는 전년 80.2%에서 약 10.7%p 개선된 것이다. 개인정보 처리방침의 공개에 대해서는 확실하게 정착된 것으로 확인됐다. 개인정보 수집‧이용 시 개별적, 구체적으로 동의를 받는 등 대다수 앱에서 사전동의 절차도 준수하고 있었다. 정보주체의 권리(자기결정권) 보장을 위한 열람 요구 등의 절차 고지와 동의 철회 고지도 대체로 지켜지는 것으로 나타났다. 여전히 미흡한 점도 많았다. 일부 앱의 경우 개인정보 처리방침 내용 중 제3자 제공 고지, 파기 절차 안내가 충분하지 않았다. 동의 항목 중 일부 항목을 미고지하거나 개인정보 처리방침으로 포괄 동의를 받는 사례도 다수 발견됐다. 정보주체가 자신의 권리를 명확히 알고 행사할 수 있도록 권리행사 절차 등에 대한 가시성 높은 안내 필요성도 확인됐다. 개인정보위는 실태점검 결과 확인된 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 필요하면 조사에 착수한다는 방침이다. 다만 유관기관과의 협력 등을 통해 신속하게 자발적 개선이 이루어지도록 계도 조치할 예정이다.

2024.01.11 10:00김윤희

"나도 모르게 동의" 개인정보 수집 '눈속임' 설계 성행

개인정보보호위원회는 눈속임 설계(다크패턴), 국외 이전, 아동‧청소년 개인정보 보호 등 모바일 앱 상 3대 취약 분야에 대한 개인정보 실태점검 결과를 10일 전체회의에서 보고했다. 개인정보위는 온라인 쇼핑, 예약, 누리소통망(SNS), 게임·콘텐츠 등 일상 생활과 밀접하고 비용 결제 등으로 연결돼 눈속임 설계가 많이 발생하는 4개 부문을 집중 점검했다. 그 결과 눈속임 설계는 가입 단계 외에도 이용, 탈퇴 등 개인정보를 처리하는 모든 단계에서 일어나고 있음을 확인했다. ▲개인정보 수집·이용에 대해 별도로 동의받지 않고 개인정보 처리방침, 이용약관 전문으로 동의받거나 ▲마케팅 정보 제공 등 선택 동의 사항을 사전에 미리 설정해놔 이용자가 개인정보 설정 화면에 들어가서 확인해야만 수정할 수 있는 경우 ▲가입 시 이용자 본인이 입력한 개인정보를 확인하거나 수정하기 어려운 경우 등 이용자의 개인정보 보호와 관련 주요 눈속임 설계 유형 11개를 발견했다. 개인정보를 국외 이전하는 국내 앱 서비스는 지난 2022년 696개에서 지난해 769개로 70여 개가 늘어났다. 주로 미국, 일본, 싱가폴 등으로 개인정보가 이전되고 있으며, 특히 클라우드 서비스 이용 영향 등으로 인해 아마존웹서비스(AWS), 구글클라우드, 젠데스크 등으로 많이 이전됐다. 개인정보를 국외 이전하는 목적으로 고객 서비스(CS) 상담·민원 처리 등 '처리위탁' 유형은 66%에서 56%가량으로 줄고, 광고(마케팅)·통계 분석 등을 위한 '정보제공' 유형이 12%에서 32%로 크게 늘어났다. 아동·청소년이 많이 이용하는 게임, 동영상, SNS, 앱 20개를 중심으로 개인정보보호법과 '아동·청소년 개인정보 보호 가이드라인' 준수 여부에 대한 집중 점검도 실시됐다. 점검 결과, 14세 미만 연령확인 절차는 대부분 마련하고 있으나 아동이 연령을 허위 기입하는 것을 막기 위한 방지 조치는 미흡했다. 일부 해외 앱은 아동 연령 기준을 13세 미만 등으로 설정한 것으로 확인됐다. 아동·청소년 개인정보 보호 가이드라인은 알기 쉬운 개인정보 처리방침 제공, 높은 수준의 개인정보 보호를 기본값으로 설정, 각종 권리행사 절차 안내 등을 권고 중이나 전반적으로 미흡한 것으로 확인됐다. 개인정보위는 이번 실태점검 결과를 토대로 주요 앱 운영 사업자에게 앱 서비스 개발, 운영 시 올바른 개인정보 수집·이용에 관한 사항과 이용자가 유의할 사항을 정리해 안내할 계획이다. 개인정보보호법상 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 조사에 착수하는 한편, 경미한 사안은 계도 조치하되 유관기관과 협력해 신속한 개선을 유도할 예정이다.

2024.01.11 10:00김윤희

온라인 개인정보 흔적 '지우개' 서비스 지원 대상 확대

개인정보보호위원회가 작년부터 시범운영하고 있는 '지우개서비스' 지원 대상을 확대한다고 10일 밝혔다. 지우개서비스는 어릴 적 무심코 올린 개인정보가 포함된 온라인 게시물 삭제, 블라인드 처리 등을 도와주는 서비스다. 개인정보위는 앞으로 지우개서비스 신청 연령을 24세 이하에서 30세 미만으로 확대하고, 지원 대상에 해당하는 온라인 게시물의 작성 시기도 '18세 미만'에서 '19세 미만'까지로 늘린다. 이에 따라 서비스 이용 대상이 약 300만명 더 늘어날 것으로 전망했다. 개인정보위는 지난해 지우개서비스 시범운영 결과 이 같은 확대를 결정했다. 시범 운영했던 지난 8개월간 접수된 신청 약 1만여 건을 분석한 결과, 가장 많은 신청인 연령은 15세, 14세, 16세 순으로 나타났다. 연령대별로 살펴보면 16~18세(고등학생)가 전체의 34.8%를 차지했다. 15세 이하(중학생 등)도 34.3%로 큰 차이가 없었다. 19~24세(성인)는 30.9%로, 주로 중·고등학생이 서비스를 많이 이용하는 것으로 나타났다. 삭제 요청 대상 사이트를 살펴보면 유튜브, 틱톡 등에 올린 영상 게시물 삭제 요청이 많았다. 그 밖에도 네이버(지식인, 카페 등)나 인스타그램, 페이스북 등 주요 SNS에 올린 게시물 삭제 요청도 많은 비중을 차지했다. 패스워드 분실이나 휴대폰 번호를 바꿔 계정 등록 정보와 달라진 경우, 삭제가 불가능한 점을 모르고 개인정보를 댓글로 작성한 경우, 개인정보가 포함된 댓글을 삭제하지 못한 채 사이트를 탈퇴한 경우 등이 있었다. 지우개서비스는 오는 11일부터 확대 시행될 예정이다. 양청삼 개인정보정책국장은 “지우개서비스는 온라인 게시물 삭제 지원을 통한 실질적인 도움뿐 아니라, 아동·청소년 시기부터 개인정보를 스스로 보호하는 인식 조성에 중요한 역할을 할 것”이라며, “개인정보위는 우리 사회의 미래인 아동·청소년의 개인정보 보호 강화를 위해 계속해서 노력하겠다”고 말했다.

2024.01.10 14:59김윤희

개인정보위, '마이데이터' 인프라 구축에 152억 투입

개인정보보호위원회는 마이데이터 제도의 시행을 위해 올해 준비 예산 152억원을 확보하고, 마이데이터의 기술적·제도적 인프라 구축을 본격 추진한다고 밝혔다. 마이데이터 제도는 정보 주체가 본인에 관한 개인정보를 원하는 곳으로 전송해 본인 의사에 따라 개인정보를 관리하고 활용하는 제도다. 개별법에 근거해 금융, 공공 분야에서 먼저 시행된 데 이어, 지난해 법 개정으로 전 분야로 확대할 수 있는 법적 근거가 마련됐다. 올해 추진 주요 과제는 ▲선도서비스 발굴 ▲전송 인프라 구축 ▲마이데이터 지원 플랫폼 구축 등이다. 기업들이 마이데이터를 활용해 국민이 체감할 수 있는 선도 서비스를 발굴, 검증하고 이를 사업화하는 데 예산 25억원이 투입된다. 공모 및 심사를 통해 선정된 기업에는 일정 비율을 매칭해 정부 예산을 지원할 예정이다. 전송 인프라 구축도 추진한다. 정보제공자인 개인정보 보유 기업·기관, 중계기관, 정보수신자인 마이데이터 사업자 등 간의 세부 전송기술 규격 및 절차 등을 실증하기 위해 예산 약 15억원을 참여 사업자에게 지원한다. 실증사업을 통해 검증된 전송기술 규격에 따라 올해 하반기에는 다양한 정보제공자, 중계기관, 정보수신자별로 실제 전송 시스템을 구축할 수 있도록 추진할 예정이다. 정보주체의 개인정보 전송요구권을 종합적으로 지원하기 위한 '마이데이터 지원 플랫폼'도 구축될 예정이다. 마이데이터 지원 플랫폼은 본인의 전송 요구 현황과 전송 이력을 관리하고, 전송 요구 중단과 전송정보 파기 등을 요청할 수 있도록 지원한다. 이를 위해 올해 예산 75억원이 투입된다. 개인정보위는 내달 중 조달청 입찰공고를 통해 사업자를 선정할 계획이다. 개인정보위는 내년 통신, 유통, 의료 등 분야부터 마이데이터 제도를 적용하고, 이후 단계적으로 전 분야로 확대해나갈 계획이다. 이를 위해 전송 대상, 전송 방법과 절차, 안전성 확보 조치 등 정보 제공자와 수신자 등이 준수해야 할 제도적·기술적 사항을 담은 개인정보보호법 시행령과 고시, 가이드라인 등을 올해 마련할 예정이다. 이상민 범정부 마이데이터추진단장은 “다양한 이해관계자 및 관계부처와의 긴밀한 협력을 통해 '25년 마이데이터 제도 시행을 차질없이 준비할 것"이라며 "세계에서도 유례가 없는 전 분야 마이데이터가 우리 사회에 안착할 수 있도록 최선을 다하겠다”고 말했다.

2024.01.04 16:03김윤희

개인정보위 고학수 "프라이버시 걱정 없는 AI 만들 것"

고학수 개인정보보호위원회 위원장은 새해 신년사를 통해 인공지능(AI) 서비스를 신뢰하고 사용할 수 있도록 프라이버시 보호 체계 구축을 중점적으로 추진하겠다고 밝혔다. 고 위원장은 AI 기술이 뿌리내리기 위해선 사회적 신뢰 형성이 대전제라고 강조했다. 산업계와 국민에게 AI 활용 관련 애로사항에 대해 적극 소통하고, AI 관련 가이드라인 6종을 마련해 원칙 기반 AI 프라이버시 규율 체계를 실현하겠다고 했다. UN 및 주요 선진국과도 공조해 AI 국제 규범 마련에 선도적인 역할을 해야 한다고도 언급했다. 국내 데이터 거버넌스 구축도 올해 중점 추진사항으로 꼽았다. 고 위원장은 "개인정보 전송요구권이 내년 계획대로 시행되려면 이를 뒷받침해줄 기반 마련이 필수"라며 "전 분야 마이데이터의 차질 없는 시행을 위해 제도와 인프라 마련에 힘써주시기를 부탁드린다"고 말했다. 이어 "안전하고 유연한 개인정보 활용을 위해 '개인정보 안심구역'을 새롭게 도입하고 가명정보에 대한 지원체계도 강화해 스타트업과 연구자들의 혁신적인 서비스 개발을 지원하자"고 덧붙였다. 국민이 체감하는 개인정보 안전 사회 구현도 중점 추진사항으로 제시했다. 고 위원장은 "기업의 개인정보최고책임자(CPO)를 제도화해 민간의 안전한 개인정보 활용을 유인하겠다"며 "국민 생활 밀접 서비스의 개인정보 보호 실태를 집중 점검해 프라이버시 관련 국민 불안이 불거지지 않도록 해야할 것"이라고 언급했다.

2024.01.02 17:03김윤희

지금 뜨는 기사

이시각 헤드라인

폴더블폰 새 기준 내놨다…"모바일 AI 대중화 선도"

정기선 HD현대 수석부회장, 인도 콕 집은 이유

내연차→전기차 전환 지원금 주나…환경부 장관 후보자 "검토 중"

[써보고서] 갤럭시Z폴드7 얼마나 얇아졌나 보니

ZDNet Power Center