03.Security

개인정보 - 비식별 - EU GDPR(General Data Protection Regulation)

Mr. Slumber 2023. 9. 13. 12:44
728x90
반응형
1. 개요
- ’18년 5월 25일 GDPR이 시행됨에 따라 EU 29조 작업반은 기존 GDPR 가이드라인의 4가지 주제에 대한 개정판과
    2개의 신규 가이드라인을 발표함
 

 

 

2. 기존 GDPR 가이드라인에 대한 개정판의 주요내용
- (1) 자동화된 의사결정 및 프로파일링(Automated decision-making and profiling)  
- (2) 동의(Consent)  
- (3) 투명성(Transparency)  
- (4) 개인정보 유출 통지(Data breach notification)
 
3. 신규 GDPR 가이드라인의 주요내용
- (1) 인증 기구(Accreditation of certification bodies)  
- (2) 특정상황에 대한 역외이전 예외 조항 (Article 49, Derogations for specific situation)
 
KPMG-MS 공동개발 GDPR 점검평가 로드맵 방법론 도안
 
EU 전역에서 시행되는 GDPR에 대응해 점검 및 평가 로드맵을 개발
 
KPMG와 MS가 공동 개발한 EU GDPR 대응을 위한 점검 및 평가 로드맵은 기업의 전반적인 GDPR 준비상태와 개인정보에 대한 리스크 식별 등 성숙도를 점검케 한다. 기업의 프로세스 및 기술, 구성원 등에 대한 권장 사항과 보완 방법을 제시한다. GDPR 준수를 위한 서비스 외에도 기업 내 전반적인 개인정보의 보유 및 처리 현황 분석으로 정보주체 권리보장 요구에 대응하는 방안을 제시한다.
 
IP·쿠키도 개인정보
GDPR는 규제를 목적으로 하는 게 아니라 활용을 목적으로 나온 법이다
 
 
네이버 최고프라이버시책임자(CPO) 겸 최고정보보호책임자(CISO)인 이진규 이사의 2017년 9월 발표자료 'EU GDPR Survival Guide for Korean Controllers and Processors'에 담긴 순서도.
 
 
KISA, ‘우리 기업을 위한 EU GDPR 가이드북’ 공개
 
이번 가이드북은
▲GDPR 주요 원칙
▲컨트롤러·프로세서의 역할
▲정보주체 권리 강화
▲기업의 책임성 강화
▲개인정보 역외 이전
▲개인정보 침해 발생 시 조치 사항
▲피해 구제·제재 규정 등 GDPR의 세부 지침 및 주요 개념에 대한 해석을 전반적으로 다루고 있다.
 
우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북 / p202 /2018 / 한국인터넷진흥원
 
GDPR 구축 시 11가지 핵심사항을 고려
△DPO 지정 및 개인정보보호 조직 수립
△개인정보영향평가
△국가 간 정보 전송
△개인정보 동의
△개인정보 처리활동 기록
△정보주체 권리보장
△협력업체 관리
△개인정보 보호와 정보유출 고지방안 수립
△행동강령
△GDPR 위반항목 관리
△프로파일링 등이다.
 
GDPR 대응을 위한 단계별 방안
△1단계: 대응기반 확보
△2단계: 관리체계 가동
△3단계: 관리체계 고도화
 
 
‘잊혀질 권리’ 따라 구글에 삭제 명령
영국 고등법원 판결, 전세계 파장
 
GDPR 적용 대상은 유럽연합 거주 시민의 개인정보를 처리하는 정보 통제자, 정보 처리자, 정보보호책임자(DPO) 등이다. 유럽연합에 사업장을 보유한 경우나, 유럽연합에 사업장을 가지고 있지 않아도 유럽연합 거주 정보 주체에게 재화 또는 서비스를 제공하거나 정보주체의 행동을 모니터링하는 기업도 해당된다.
 
기업이 개인정보를 침해했을 경우, 그 사실을 알게 된 후 72시간 이내에 감독기구는 물론 정보주체에게 지체 없이 알려야 한다. 개인정보 처리 원칙, 동의요건, 국외이전 등 심각한 GDPR 규칙을 위반하면, 전 세계 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액이 과징금으로 부과된다.
 
일반적 위반이면 전 세계 연간 매출액의 2% 또는 1000만 유로 중 더 높은 금액이 과징금으로 부과된다. GDPR은 법적 구속력을 가지며 모든 EU 회원국에 직접 적용된다.
 
 
[기업] DPO 지정, GDPR 준수를 위한 적절한 기술 도입 및 투자 시급
- DPO 지정 및 조직역량 평가
- GDPR에 대비한 프로세스 마련
- 개인정보 처리에 GDPR 적용 가능성 정리
- GDPR의 새로운 통제 요구사항 평가
- 기술 도입을 통한 30일 내 삭제권 조치 등 데이터 식별 및 파악 위한 역량 제고
 
[정부] GDPR 준비를 위한 정책 연구, 민간 기업 지원방안 마련
- EU 집행위 및 회원국의 GDPR 시행 준비 상황 조사
- 가이드라인, 입법 등(빅데이터, 인공지능 등 신규 이슈 대응 프레임워크 마련)
- GDPR 관련 대응 자료 홍보 등 민간부분 지원
- EU 적정성 결정을 이끌어내 기업의 자유로운 활동 지원
 
 
 
2019 AI 윤리 가이드라인 - AI 발전전과 신뢰 확보를 위한 백서

 

 

 

2021.4.23 AI 관련 고위험 AI 애플리케이션 제한 제안
사람들의 안전과 생계, 기본권(safety, livelihoods, rights of people)에 위협으로 여겨지는 AI 시스템은 EU 내에서 금지될 것
각 분야에서 안전과 생계, 기본권에 있어 ‘고위험'(high risk)이라고 판단되는 AI 시스템은 EU 내에서 사용할 수 없다.
- 안면인식, 챗봇, 딥페이크
 
 
2021.3.30 GDPR 적정성 결정 국가
 
한국이 유럽 일반 개인정보보호법(GDPR) 적정성 결정 국가가 되기 위한 실무 절차인 '초기결정'을 완료함에 따라 늦어도 올해까지 적정성 결정 국가 지위를 획득할 것으로 전망되기 때문이다.
 
GDPR 적정성 결정 국가가 되면 해당 국가의 법제가 GDPR과 동등한 수준으로 개인정보 보호 제도를 갖췄으며, EU 시민의 개인정보가 안전하게 유통될 수 있는 곳으로 간주된다. 국내법을 준수하는 이상 GDPR에 따른 제재를 받지 않을 수 있는 것이다.
 
산업계는 특히 GDPR의 강력한 과징금 규정을 우려해왔다. GDPR은 심각한 법 위반을 저지른 기업에 전세계 연간 매출의 4%까지 과징금을 매길 수 있다고 규정하고 있다. 유럽연합(EU) 지역에서 활동하는 기업들은 이런 제재를 피하기 위해 지금까지 많은 시간과 비용을 투입해왔다. 한국이 적정성 결정 국가 지위를 획득하면 이런 부담을 덜 수 있다.
개인정보 자기결정권을 실질적으로 보호하기 위해서는 개인정보보호의 중점이 사후규제로 이동할 필요가 있다는 지적이다. 동의 여부가 아닌, 개인정보가 수집된 후 이용·제공 과정에 대한 투명성 확보, 동의철회권·정정철회권 등 접근권 보장, 적절한 보호조치 의무. 의무위반에 대하 제재 및 손해배상제도 등이 정비되어야 한다는 설명이다.
 
특히, 사후규제가 사전규제에 비해 규제가 완화된 것으로 평가되지만, 현재 사전 동의제도가 사실상 형식화되어 실질적인 기능을 발휘하지 못하는 것을 고려하면, 사후규제 중심의 개인정보보호가 개인정보보호의 실질적 강화를 의미한다
 
 
 
◆과징금 산정의 11가지 기준
 
▲위반의 성격·중대성·지속기간
▲위반 의동성 또는 태만 여부
▲정보주체 피해를 경감하기 위한 컨트롤러·프로세서 책임 수준
▲컨트롤러·프로세서가 이전에 범했던 관련 법규 위반 여부
▲위반을 해결하고 부정적 영향을 경감하기 위한 감독기구와의 협조 수준
▲위반으로 인해 영향 받는 개인정보 종류
▲감독기구가 위반을 인지하게 된 경우, 특히 컨트롤러·프로세서의 위반 통제 여부 등
◆“명백히 EU시장 염두에 뒀을 때 적용”
 
개인정보를 수집·보관하는데, 이를 처리하지 않는다면 GDPR 적용대상이 아니다. 그러나 유출될 경우에는 해당 정보의 EU 역내 처리 여부에 따라 GDPR 적용 가능성이 존재한다.
EU 외 지역에서 개인정보를 처리하는 경우라도 EU 정보주체에 재화나 서비스를 제공하거나 정보주체가 수행하는 활동을 모니터링한다면 GDPR에 적용된다. 이 경우, EU 내 대리인을 지정해야 한다.
 
 
또 GDPR은 어플리케이션, 제품, 서비스의 개발과 기본 설정에 있어서 데이터 보호와 프라이버시 친화적인 설계를 요구하고 있다. 개인정보 처리와 관련 있는 제품, 서비스, 어플리케이션은 개발 과정에서 개인정보보호를 고려해야 하며 특히 최신 기술을 적용할 수 있도록 해야 한다
 
데이터 제어
개인정보를 보호하기 위해 조직은 다음과 같은 조항을 수행해야 한다.
 
- 승인된 용도로만 데이터를 처리해야 한다
- 데이터 정확성과 무결성을 보장해야 한다
- 대상의 정체성 노출을 최소화해야 한다
- 데이터 보안 수단을 이행해야 한다
 
데이터 보안
데이터 보안은 데이터 제어와 함께 사용된다. GDPR은 보안을 개인 정보보호 서비스에 포함시킨다. 한 대상의 프라이버시를 보호하기 위해 조직은 다음과 같은 사항을 구현해야 한다.
 
- 추가 처리를 위해 데이터 보관을 위한 보호장치을 둬야 한다
- 데이터 보호 조치를 기본적으로 갖춰야 한다
- 위험 평가와 암호화를 기반으로 한 계약 요구 사항으로서의 보안을 시행해야 한다
 
잊힐 권리
대상의 데이터는 무기한 보관할 수 없다. GDPR은 다음과 같은 경우 조직이 모든 저장소의 데이터를 완전히 지우도록 요구한다.
 
- 데이터 대상이 동의를 철회한 경우
- 파트너 조직이 데이터 삭제를 요청한 경우
- 서비스 또는 계약이 종료한 경우
 
여기에 주목할 필요가 있다. 대상은 자신의 데이터를 지우기 위해 일일리 요구하지는 않는다. 규정에 명시된 법적 사유가 있는 경우, 조직은 대상의 데이터를 보존하고 처리할 수 있다. 예외는 없다.
 
위험 완화와 상당한 주의
조직은 개인정보보호와 보안에 대한 위험을 평가하고 위험을 완화해야 한다. 이를 위해 다음과 같은 사항이 필요하다.
 
- 완전한 위험 평가를 실시해야 한다
- 컴플라이언스를 보장하고 입증하는 조치를 이행해야 한다
- 서드파티 고객과 파트너가 이를 준수할 수 있도록 사전에 지원해야 한다
- 데이터를 완전히 제어한다는 것을 입증해야 한다
 
침해 알림
데이터 대상 또는 대상의 권리와 개인정보를 위협받는 보안 침해 사고가 났을 때, 조직은 다음과 같은 사항을 수행해야 한다.
 
- 72시간 내에 당국에 통보해야 한다
- 침해 결과를 설명해야 한다
- 영향을 받은 모든 대상에 대해 직접 침해 사실을 알려야 한다
 
GDPR 컴플라이언스 6단계
GDPR에 대비하기 위해 조직은 다음과 같은 6단계 프로세스를 사용할 수 있다.
 
1. 법을 이해하라
데이터 수집, 처리, 저장과 관련해 GDPR 하에서 법규의 많은 특수 사항을 포함한 자사의 의무를 이해하라.
 
2. 로드맵 작성
데이터 검색을 이행해 데이터의 연구, 발견, 결정, 행동, 위험에 대한 모든 것을 문서화하라.
 
3. 규제되는 데이터 파악
우선 데이터가 GDPR 특별 사항에 포함되는지 알아본다. 그런 다음 다른 유형의 데이터에 접속할 수 있는 사용자, 데이터를 공유하는 사용자, 해당 데이터를 처리하는 애플리케이션들을 분류한다.
 
4. 중요한 데이터부터, 절차와 함께 시작하라
모든 개인 데이터의 위험을 평가하고 정책과 절차를 검토하라. 핵심 자산에 포함되는 생산 데이터에 보안 조치를 적용하고 난 다음, 해당 조치들을 백업과 기타 저장소로 확장하라.
 
5. 다른 위험을 평가하고 문서화하라
이전 평가에 포함하지 않은 데이터에 대한 다른 위험들을 조사하라.
 
6. 개정하고 반복하라
4~6단계를 반복하고 필요한 경우 결과를 조정하라.
 
CSO들에게 GDPR은 조직의 보안 기능을 업그레이드해 데이터 기밀성과 개인정보보호에 대한 요구 사항을 충족시키고 전반적인 보안을 향상시킬 수 있는 좋은 기회를 제공한다
 
 
◇ GDPR, EU 회원국 국민 개인정보 보호 권리 대폭 강화
◇ 국내 대책 마련 분주, 기업 체감도는 낮아
◇ 남은 시간은 반년 핵심 처리 방안은
 
데이터관리기업 효성인포메이션시스템에 따르면 기업들이 GDPR에 대비하기 위해선 △개인정보의 효율적 관리 △개인정보의 손쉬운 검색 △완벽한 보안 △개인정보 무결성 보장 △개인정보의 완벽한 삭제를 조언합니다. GDPR의 시행으로 개인정보 보호에 대한 인식이 급격히 달라질 것으로 예상됩니다.
 
GDPR을 준수하기 위해서는 조직이 보유하고 있는 데이터에 대한 기업의 이해가 선행되어야 합니다. 단순히 개인정보보호에 대한 규제에만 초점을 맞추는 것 보다 개인정보를 포함한 데이터를 제대로 활용, 처리하고 보호하기 위한 기술적 검토가 필요합니다. 즉, 규제를 준수하면서 데이터를 기업의 자산으로 만드는 환경을 구축하고 이를 활용하여 기업의 혁신과 성장을 이끌어내는 데이터의 운영 전략을 수립하는 것이 중요한 시점입니다.
 
 
GDPR은 개인 정보의 정의를 큰 폭으로 확대한 것이 특징입니다. IP 주소 같은 온라인 식별자, 그리고 경제적, 문화적, 정신 건강 정보에 해당하는 데이터도 개인 식별 정보로 간주됩니다. 즉, IP 주소나 쿠키, RFID 태그도 사용자를 식별할 수 있다면, 이름, 주소, 사회보장번호 등 기존 핵심 개인 정보와 동등한 취급을 받게 됩니다. GDPR 규정에 명시된 개인 정보 데이터는 그 밖에도 건강 및 유전 데이터, 생체 인식 데이터, 인종 또는 민족 데이터, 정치적 견해, 성적 취향 등이 있습니다.
 
사용자들은 기업이나 단체가 보유한 모든 자신의 개인 정보에 액세스할 권리와 데이터가 처리되는 방식, 이유, 저장 기간, 열람 권한자를 알 권리를 가집니다. 데이터 컨트롤러는 가능한 한 사용자가 저장 정보를 검토할 수 있는 안전하고 직접적인 접근 방식을 제공해야 합니다. 또한, 사용자는 부정확하거나 불완전한 자료를 수정할 권리가 있습니다.
 
일명 ‘잊힐 권리’도 관계가 있습니다. 수집된 목적에 부합하지 않거나 불필요한 경우 개인 데이터 삭제를 요구할 권리를 말합니다. 유럽은 전통적으로 개인의 프라이버시를 민감한 문제로 인식해 왔으며, 시민의 개인 정보를 엄격하게 처리해 왔습니다. 2014년 5월 유럽 최고법원이 구글에 개인의 과거 행적을 담은 문서를 검색 결과에서 삭제하도록 명령한 판결 역시 개인 정보 및 프라이버시를 옹호하는 맥락에서 비롯됐습니다.
 
원문보기:

 

728x90
저작자표시