Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

20150311 IoT 시대 개인정보보호를 위한 새로운 패러다임

2 141 vues

Publié le

IoT 시대에 홍수를 이룰 개인정보보호 관련 고지사항과 동의로 인해 사실상 개인정보가 보호되지 않는 역설을 해결할 방안을 제시한다.

2015. 3. 10. 전자신문 주최 '그랜드 정보보안 컨퍼런스'에서 발표한 내용

Publié dans : Droit
  • Soyez le premier à commenter

20150311 IoT 시대 개인정보보호를 위한 새로운 패러다임

  1. 1. 아이언맨의 추락! IoT시대 개인정보보호를 위한 새로운 패러다임 테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / contact@teknlaw.com 2015. 3. 10. 구 태 언 테크앤로법률사무소 대표변호사
  2. 2. 아이언 맨이 추락한 이유는?
  3. 3. http://youtu.be/mA_qV8B51xU Copyright © 마블 엔터테인먼트 추락중! 아이언맨 수트 출동 아이언맨 마스크 동작 아이언맨 수트 사용 위한 개인정보 동의화면 클릭요청 동의서 내용 읽다가 클릭 못해서 아이언맨 추락!
  4. 4. 사물인터넷 시대는 고지사항과 동의사항이 홍수를 이룹니다.
  5. 5. 사물인터넷은 그야말로 개인정보의 총체적 서비스 빅데이터 수집에 따른 데이터 유형화와 개인정보의 재식별을 기반으로 함 영화 ‘마이너리티 리포트’에 등장한 개인식별기술 – 타겟 음향/시각 광고 기술 • 행태 및 생태정보를 이용한 구매활동 등을 모니터링하고 데이터 유형화함으로 인해서 발생하는 광고활용
  6. 6. 개인정보 보호법상 오남용시 처벌은 강화되어 있으나… 형사처벌 행정처벌 5년 이하 징역 또는 5천만원 이하 벌금 5천만원 이하의 과태료 3천만원 이하의 과태료 동의 없는 목적 외 이용 및 제공 제3자 제공 고유식별번호 수집 이용 민감정보 수집 이용 동의 없는 개인정보 수집 개인정보의 누설 또는 타인 이용 제공 개인정보의 훼손/멸실/변경/위조/유출 14세 미만 개인정보 수집 안전성확보조치 미이행 보호자 동의 없는 양벌규정 적용 : 담당자와 법인은 같은 형량 민사처벌
  7. 7. 동의만 받으면 만사 OK인데, 어떻게 동의를 받지??? 수 많은 장비들이 고지사항을 보여줄 수 없다…… 동의하다가 안전사고날 수도... 사물인터넷 이용자 스스로 해당 장비가 어떠한 개인정보를 처리하는지 인지하기 어렵고, 동의서를 읽거나 “동의”버튼을 클릭한다고 해도 실질적 동의가 되기 어려운 상황이 발생함
  8. 8. 그럼, 홈페이지에 와서 읽고 동의하세요… 법이 그러니까… 깨알같은 고지사항. 둔감해지는 보호의식. 습관적인 ‘동의. 동의. 동의…’ 사물인터넷 서비스는 이용자의 행태를 관찰하는 사물이 자동으로 정보를 수집하여 처리하기 때문에 개인의 통제권행사가 곤란 현행법상 ‘고지와 동의‘ 원칙을 엄격하게 고수할 경우, 개인의 불편이 극심해 짐은 물론 서비스의 편리성도 함께 떨어지고 결국 동의 남발로 이어져 개인정보보호가 형해화되는 상황이 명백히 예견됨 1 2 고령자 등 사회적 약자들의 ‘Privacy Divide’ 발생 3
  9. 9. 개별적, 구체적, 사전적 동의가 개인정보를 보호할 줄 알았는데… 개인도 LOSE 남발되는 고지와 무의식적 동의의 일상화… 개인정보통제권은 허울 정보격차에 따른 ‘프라이버시 양극화(Privacy Divide)‘ 기업도 LOSE 단순 사물기기 정보도 개인정보라는 법규로 빅데이터 처리 곤란 사물인터넷, 핀테크 산업발에 걸림돌 선진국에 비해 재미 없고 불편한 서비스 구현으로 연결  온라인 프라이버시가 강화된 2000년대 이후 인터넷 대기업 없고, SNS 쇠퇴 너무 읽을게 많아서 이해가 어려우니 고지사항을 ‘요약'해 달랍니다. 미안하지만, 앞으로 훨씬 더 많아질 겁니다.
  10. 10. 핀테크 산업의 빛과 그림자 = 금융규제와 온라인 규제의 종합판 정보통신망법 개인정보보호법 신용정보보호법 개정안 주체 생존하는 개인 정보형식 부호·문자·음성·음향 및 영상 영상을 예시로 확장성 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우  대전제: 핀테크 = Finance + Tech  금융회사는 2014 범정부 개인정보유출 재발방지 TFT 결정사항에 따라 개인정보 보호법 엄격 적용(신용정보보호법 전면 개정)  테크기업은 금융서비스 제공에 따라 금융산업 규제 적용  전통적 금융규제와 IT산업규제가 중첩 적용되어 핀테크 산업발전 장애  핀테크도 온라인 개인정보처리자 = 정통망법 적용(예, 뱅크월릿 for 카카오)  방통위 산하로? 금융위 산하로?
  11. 11. 사물인터넷 시대의 실질적 개인정보보호는 지금까지와 달라야 한다.
  12. 12. Privacy not by Consent 모두가 Loser가 되는 상황이 온다면, 패러다임을 바꿔야 개별적, 구체적, 사전적 동의가 아니더라도 개인정보보호를 해 달라! Win-Win 시스템의 3대 원칙 (광범위한 개인정보정의 수정은 별론) 1. 개인(동의)책임형에서 국가후견형으로 2. 사전규제형에서 민원처리형으로 3. 형사책임형에서 시정명령형으로 Lose-Lose에서 Win-Win으로 전환
  13. 13. 우리나라에선 모든 사람 관련 서비스는 결국 개인정보기반 서비스다. 빅데이터 산업을 가로막는 초광폭 개인정보 정의 규정 정보통신망법 제2조 • "개인정보"란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다. 컴퓨터로 처리되는 정보들의 ‘결합’은 어렵지 않음에도 ‘결합가능성'의 난이도 판단 에 대한 기준 없이 광범위한 확장가능성을 규정한 개인정보보호법령 개인정보보호법 제2조 제1호 • "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
  14. 14. 그래서, 우리나라에선 사물의 일련번호도 그 자체로 개인정보다. 사물정보가 개인정보로 인정되어 처벌된 사례 다른 식별성이 높은 정보가 ‘함께‘ 처리되어 사물정보의 식별성을 높이는지 여부와 상관 없이 해당 정보의 ‘확장식별가능성’을 근거로 개인정보로 판단 사물인터넷 시대에 기기정보 등이 개인정보가 된다면 그 처리에 사전적, 형식적, 개별적, 구체적 동의를 모든 이용자로부터 받지 않으면 불법 • IMEI – 휴대전화 고유번호 (형사처벌) • USIM S/N – 가입자식별모듈 고유번호 (형사처벌) • 휴대전화번호의 뒤 4자리 숫자 – 휴대전화에 부여된 가입자식별부호 (형사처벌) • IP Address 숫자 – 인터넷에 연결된 단말기에 부여된 일련번호 (방통위 가이드) • GPS 숫자 – 기기가 위치한 위치정보를 숫자로 표시한 번호 (방통위 가이드)
  15. 15. EU의 개인정보 정의 합리적인 노력으로 입수할 수 있는 정보와 결합가능성이 기준 A person is identifiable if additional information can be obtained without unreasonable effort, allowing the identification of the data subject by name and any means. - European Union Agency for Fundamental Rights, Council of Europe, "Handbook on European data protection law" 2013 반면 EU지침의 “식별 가능한 정보”란 불합리한 노력이 없어도 구할 수 있는 추가정보가 가미되면 개인이 ‘이름 등’으로 식별될 수 있는 정보라고 EU 공식 핸드북에서 유권해석 하고 있음. 불합리한 노력을 들이지 않아도 (스스로 보유, 처리하거나 계약관계 등으로 ) 식별성 있는 추가정보를 구할 수 있을 때 개인을 식별 가능하다 => 단순한 사물기기 정보만 처리하는 경우에는 개인정보보호법 적용이 배제됨
  16. 16. 그래서, 기업이 조금만 잘못하면 직원들은 전과자가 될 수 있다. 합리적인 노력으로 입수할 수 있는 정보와 결합가능성이 기준 형사법상 ‘죄형법정주의‘ 원칙에 의하면 처벌되는 정보의 범위가 지나치게 모호하므로, 국내 기업은 형사처벌의 위험 속에서 글로 벌 서비스 거인들과 경쟁 중.. 개인정보 정의가 넓으므로 모든 사물인터넷 서비스, 빅데이터를 기반으로 한 서비스는 개인정보 기반 서비스 미국은 사생활비밀(Privacy)만을 보호하며, EU/일본은 개인정보 의 범위를 ‘불합리한 노력 없이’ 추가 정보와 결합하여 개인을 식 별가능할 때 개인정보라 정의하여 산업발전과 개인정보보호 조화
  17. 17. 사물인터넷 시대의 새로운 개인정보보호 패러다임 제안
  18. 18. 제안 1 - 개인책임형에서 국가후견형으로  개인 책임형 즉 형식적 동의형(Opt-in)은 동의를 받아내는데 기업이 주력하게 됨  뒤집어 말하면, 동의해 주면 개인정보 이용에 대해 면죄부  대기업 / 희망 서비스는 스스로 찾아가므로 동의를 남발하게 되고, 중소기업/스타트업 서비스는 타겟 마케팅을 할 수 없어 고객에 접근이 제한됨 • 개인정보보호 제도가 대마 불패, 빈익빈 부익부, 승자 독식 현상의 심화를 야기해 • 경제구조에 영향을 미침  사물인터넷 시대에는 개개 사물의 이용시 고지사항을 표시하고 이를 충분히 숙지하여 동의하기가 점점 어려워짐 • 모든 사물에 LED 창을 띄울 수도 없고, 자동차, 비행기 등 고속 물체의 사용시에 일정한 시 간 간격을 둔 계속적 동의를 요청할 경우 사고의 위험이 커짐 • 아이언맨이 추락한 이유
  19. 19. 동의해야 이용할 수 있어 동의했더니, 다 내 책임이야… ○ 우리나라의 개인정보 형식적 동의제도 - 이용자들에게 법정 고지사항을 제시하고, 각 동의항목별로 개별적, 명시적으로 서명(클릭)을 받는 것. ○ 이용자들의 불만 - 기업들이 방대한 고지사항을 제시하고 법에 따라 동의를 요구하게 됨. - 이용자들이 서비스 제공을 받기를 희망할 때에는 고지사항의 구체적인 내용에는 관심이 없이 묻지마 동의에 이름. - 결국 동의제도가 형해화 되고 있음. 우리나라의 개인정보 형식적 동의제도의 문제점과 이용자들의 불만
  20. 20. 개인 책임형에서 국가후견형으로 전환 국가 후견형 즉 약관규제형(Opt-out)은 기업과 정부의 협치적 규제모델  기업들이 개인정보 처리방침 게시토록 하고,  개인은 개인정보 처리방침에 포괄적으로 동의하고 서비스를 이용하며,  소관 당국이 개인정보 오남용 등 문제 있는 기업의 개인정보 처리방침을 규제
  21. 21. 제안 2 – 사전규제형에서 민원처리형으로  사전규제형 • Lose-Lose 모델: 사전규제형은 종래 민원이 발생하기도 전에 법규에 정해진 사항 위반이면 제재를 가하므로 성장잠재력 있는 스타트업 기업들의 서비스를 폐쇄시키는 등 국가의 경쟁력 약화  민원처리형  “민원 없으면 불법 없다.”  Win-Win 모델: 미국 연방정부는 대표적 핀테크 기업인 렌딩클럽의 비즈니스 모델을 관찰한 후 민원이 발생하자, 일시적 서비스 중지 후 맞춤형 규제완화로 P2P 금융 서비스 양성화하여, 외국 기업대비 경쟁력 향상을 꾀하였음.
  22. 22. 제안 3 – 형사책임형에서 시정명령형으로 형사(행정)처벌형의 문제점  사소한 문제의 발생 시에도 고소, 고발만 있으면 경찰이 개입하여 과거의 불법을 처벌  글로벌표준과 달리 개인정보의 범위가 광범위해 형사처벌의 위험이 불특정하게 광범위함  위헌 논란까지 제기될 가능성  기업의 임직원은 개인정보 침해를 이유로 고소하면 담당 임직원만 처벌됨 • 개인의 불법으로 치부되는 현상발생 • 결국 회사의 개인정보 보호에 관한 인식과 체제는 쉽게 변하지 않음 • 주무부처(유럽은 개인정보보호위원회) 또는 지방자치단체(일본)가 기업의 개인정보처리가 실질적 으로 개인정보주체의 자기결정권을 침해했는지 살펴서 시정명령 등 행정처분 및 불응시 형사제재 • 개인정보 보호 담당기관인 행정자치부, 방송통신위원회, 금융위원회가 등이 각 주무기관으로 전문성 있는 조직구조와 인력을 확충하여 규제의 혁신 가능함
  23. 23. 전문기구에 의한 후견적 조치가 바람직.. 교육형 후견자로서 정부가 기능해야..  기업의 임직원에 대한 징계 등 꼬리자르기로 문제해결이 되지 않고, 주무 정부기관의 적 극적 개선활동에 따라 개인정보보호의 실질적 강화 가능  전문성 지닌 개인정보 주무부처가 대응하는 것이 바람직 • 개인정보 보호 담당기관인 행정자치부, 방송통신위원회, 금융위원회가 등이 각 주무기관으로 전문성 있는 조직구조와 인력을 확충할 필요
  24. 24. 결론 - 이용자는 편리하게, 기업은 지나치지 않게… ○ IoT 서비스가 수집하는 모든 개인화 정보는 개인정보이므로 이를 상세히 고지하고 동의를 받아야 함. ○ 이용자들의 서비스 이용 시 각 서비스 단계마다 동의를 요구하게 되어 사실상 서비스의 이용이 매우 불편하게 됨. ○ 형식적이고 1회 적인 동의를 받거나, 이를 반복해서 받는 것은 결국 동의제도의 형해화로 개인정보보호도 약화되고, 서비스 산업의 글로벌 발전도 저해하게 됨 ○ 개인정보보호 고지는 애니메이션 등으로 이해하기 쉽게 설명하고, 언제나 찾아볼 수 있도록 고객의 접근성을 높여서 쉽게 구체적 사항에 대한 세부 동의 철회(Opt –Out)를 하도록 유도 ○ 기업의 개인보호정책이 바람직하지 않을 경우 정부가 후견적 감독 IoT 시대 초대형 개인정보 처리 동의의 형해화 + 산업발전의 저해를 과감히 해결하자
  25. 25. 감사합니다 테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / contact@teknlaw.com

×