지난 기고에 이어 인터넷의 대표적인 어플리케이션인 검색, SNS 및 모바일 환경 하에서 어떻게 개인 데이터 보호를 고려해야 하는지 알아본다.
검색 엔진
검색 엔진은 인터넷상의 정보를 찾는 서비스이다. 이들은 대용량의 데이터를 처리하며 다음을 포함하여 일상적으로 처리한다.
| •사용자 IP 주소: 검색 엔진이 IP 주소를 수집하는 경우 해당 주소에서 수행된 검색과 연결할 수 있다. IP 주소가 정적인 경우 검색 엔진이 동일한 장치에서 수행한 검색을 연결할 수 있다.
•쿠키: 쿠키를 이용하면 동적 IP 주소와 관련된 제한을 극복하고 더 정확한 사용자 식별을 할 수 있다(예: IP 주소와 연결된 장치가 아닌 사용자 계정을 기반으로 한 식별, 여러 사용자가 있을 수 있음). 검색 엔진은 위에서 설명한 방법으로 쿠키를 사용한다. 여기에는 서비스를 개인화하고 개선하는 방법이 포함된다. •사용자 로그 파일: 쿠키 및 사용자 IP 주소를 사용하여 검색 엔진은 사용자가 취한 행동(예: 서버 요청) 로그를 만들고 서비스 사용에 대한 개요를 제공한다. 이 정보는 쿼리 로그(검색된 용어, 날짜 및 시간, 쿠키 식별자, 사용자 기본 설정 및 운영 체제 정보), 제공되는 내용(광고 포함) 및 사용자의 후속 탐색 정보를 포함하여 하위 범주로 나눌 수 있다. •제3자 웹 페이지: 관련 정보를 사용자에게 반환하기 위해 검색 엔진은 인터넷에서 새 콘텐츠를 지속적으로 검색(또는 ‘크롤링’)하고 검색 쿼리에 신속하고 적절하게 응답할 수 있도록 색인을 생성한다. ECJ는 Google 대 Spain에서 이러한 제3자 웹 페이지에 포함된 모든 개인 데이터를 포함한 데이터 처리에 제3자 웹 페이지가 관련이 있음을 확인했다. 이미 언급하였듯이, IP 주소와 쿠키가 사용자의 브라우징 이력의 프로파일을 구성할 때, IP 주소/쿠키와 함께 사용자 프로필도 개인 데이터일 가능성이 높다. |
컨트롤러로서의 검색 엔진
검색 엔진은 사용자에 대한 데이터(예: 사용자 로그 파일)를 처리하는 목적과 방법을 결정하므로 해당 개인 데이터의 컨트롤러가 된다.
Google 대 Spain 소송에서 ECJ는 검색 엔진도 제3자 웹 페이지에 포함된 개인 데이터의 컨트롤러라고 판결했다. 이 판결은 검색 엔진이 ‘데이터 주체의 이름에 기반하여 검색하는 임의의 인터넷 사용자에게도 접근 가능하게 한다는 측면에서, 해당 개인 데이터의 전반적인 유포에 결정적인 역할을 하고 그 데이터가 관련된 웹 사이트 퍼블리셔의 역할과 비교할 때, 개인의 프라이버시에 대한 근본적인 권리에 대해 지대한 영향을 끼치는데 책임이 있다’고 했다.
적용 법률
검색 엔진이 EEA에 설립된 경우, 해당 시설에서 수행한 처리 활동은 제3조 (1)항에 따라 GDPR의 대상이 된다. 검색 엔진은 종종 EEA 외부에 본사를 두고 있지만 EEA 내부의 개인에게 서비스를 제공한다. 그러므로 서비스를 제공하기 위해 이러한 개인이 조직에서 처리하는 데이터는 제3조 (2)항 (a)에 따라 GDPR의 적용을 받는다. 또한 사용자 로그 파일은 해당 개인에 대한 사용자 로그 파일 작성으로 자신의 행동을 모니터링하는 데 충분하기 때문에 사용자 로그 파일은 제3조 (2) (b)의 규정에 따라 GDPR의 대상이 될 수 있다.
Google 대 Spain의 판결과 GDPR 제3조 (1)항에 따라 EEA 외부의 검색 엔진은, 그들의 활동이 검색엔진의 핵심 동작과 경제적으로 연결된 EU 사업장을 두고 있는 경우, 제3자 웹 페이지에 포함된 개인 데이터 처리와 관련하여 GDPR의 적용을 받을 수 있다. Google 대 스페인에서 ECJ는, 그 처리가 Google Inc.를 위해 광고 공간을 홍보, 판매했던 Google Spain의 활동의 맥락에서 이루어졌기 때문에, 검색 엔진 사업 운영을 목적으로 하는 Google Inc.의 개인정보 처리는 GDPR의 적용을 받는다고 판단하였다. Google은 검색 엔진의 운영 목적을 위한 개인 데이터의 처리가 미국의 Google Inc. 에서만 이루어졌기 때문에, 이는 그 경우가 아니어야 한다고 주장했다. 그러나 ECJ는 Google Inc. 의 검색 엔진이 경제적으로 성장하기 위해 Google Spain의 광고 공간 판매 역할이 필요하기 때문에, Google Spain과 Google Inc.의 활동이 ‘밀접하게 관련’되어 있다고 판결하였다.
추가 데이터 보호 문제
GDPR의 일반적인 요구 사항 외에도 WP29는 검색 엔진 운영자가 직면하는 몇 가지 사항들을 언급하고 있다.
| •데이터 보관: 데이터 보관 기간은 GDPR의 비례성 일반 원칙을 준수해야 한다. 2010년 5월, WP29는 주요 검색 엔진에 개인 데이터 보관 기간을 최대 6개월(2008년 WP29에서 권고한 시간)으로 제한하도록 요청했다. 개인 데이터 보관 근거가 더 이상 존재하지 않으면 삭제되거나 비가역적으로 익명 처리되어야 한다.
•다른 목적을 위한 상관 관계 및 추가 처리: 대부분의 경우 검색 엔진은 서비스 제공 시 수집한 개인 데이터를 사용하여 사용자를 프로파일하고 검색 결과를 개인화 한다. 이러한 처리가 발생하는 경우, 매개 변수가 명확하게 정의되어야 하고 사용자가 처리를 알아야 된다. 완전히 정의되지 않은 개념의 새로운 서비스 개발을 위한 개인 데이터 수집은 GDPR을 준수하지 않는 것으로 간주된다. 마찬가지로 검색 엔진이 웹 메일 및 맞춤 검색 기능과 같은 여러 가지 서비스를 제공하는 경우 사용자 데이터는 종종 여러 서비스 및 플랫폼에서 서로 관련된다. 이러한 상황에서 검색 엔진은 WP29의 의견으로 사용자의 정보에 입각한 동의를 얻어야 한다는 GDPR에 따라, 처리가 합법적인지 확인해야 한다. 검색 엔진이 수집한 데이터와 다른 출처의 데이터를 연결하는 경우, 데이터 수집 시 개인이 필요한 공정한 처리 정보를 제공받지 못하거나, 프로파일링의 옵트 아웃 권리를 포함하여 GDPR에 따른 권리들이 존중되지 않는 경우, 이러한 처리는 불법이 된다. 검색 서비스를 제공하기 위해 처리 유형이 필요하지 않거나 개인의 검색 기록이 유지되는 경우 또한 WP29는 개인의 동의가 필요하다고 간주한다. •데이터 주체의 권리에 대한 준수: 이 권리는 등록된 사용자(검색 엔진에 계정이 있는 사용자)와 등록되지 않은 사용자(IP 주소 또는 쿠키 또는 유사한 기술을 통해 식별될 수 있는 사용자) 모두에게 적용된다. 제3자 웹 페이지의 데이터가 검색 엔진 운영자에 의해 캐싱될 때 WP29는 데이터 주체가 캐시된 개인 데이터와 관련하여 수정 또는 삭제 권한을 행사할 수 있다고 간주한다. Google 대 Spain 판결에 따라, 타사 웹 페이지에 포함된 개인 데이터의 데이터 주체는 특정 상황(‘잊혀질 권리’)에서 이러한 웹 페이지에 대한 링크를 검색 엔진에 제거하도록 요청할 권한이 있다. 이 권리는 새로운 GDPR에 의해 법적 근거가 확보되었다. |
소셜 네트워킹 서비스
소셜 네트워킹 서비스(SNS)는 관심사 및/또는 활동을 공유하는 사람들 사이에서 사회적 그룹을 지원하고 사회적 관계를 구축하기 위해 고안된 온라인 사이트이다.
컨트롤러로서의 SNS 및 기타
정보의 게시와 교환을 가능하게 하는 온라인 통신 플랫폼을 제공하고 광고 목적으로 개인 데이터의 추가적인 사용을 결정할 때, SNS 공급자는 데이터 컨트롤러이다. 그들은 목적과 수단을 결정한다. EEA 외부에 본사를 둔 SNS 제공 업체에 대한 GDPR의 적용 가능성과 관련된 요소는 검색 엔진과 관련하여 위에서 설명한 것과 유사하다.
SNS에서 실행하도록 설계된 응용 프로그램의 제작자가 SNS에서 제공하는 것 외에도 서비스를 제공하는 경우 사용자의 개인 데이터를 제어할 수 있다. WP29는 특히 제3자 애플리케이션 제공자를 언급하며, SNS는 이러한 애플리케이션이 GDPR, 특히 정보 제공 및 데이터 수집을 애플리케이션의 제공에 꼭 필요한 데이터 수집과 관련되도록 보장해야 한다고 명시한다.
SNS 사용자가 개인 데이터 또는 제3자의 개인 데이터를 업로드 할 때 개인이나 가구용(household)으로 순전히 그렇게 하는 경우(‘가구 예외’) GDPR으로부터 면제된다. GDPR 제2조 (3)항: GDPR을 적용할 수 없는 경우에도 개인정보를 SNS에 게시하는 개인은 명예 훼손 또는 개인정보의 오용과 같이 회원국의 다른 법률에 따라 책임을 질 수 있다.
그러나, 가구 예외가 적용되지 않는 경우가 있다.
| •SNS가 조직의 플랫폼으로 사용되고 SNS를 사용하는 개인이 해당 조직을 대신하여 행동하는 경우. 그러한 SNS 사용자가 제3자와 관련된 개인 데이터를 SNS에 추가하는 경우는 그들이 해당 데이터의 컨트롤러이며 GDPR의 적용을 받는 공개이다.
•WP29는 가구 예외가 사용자가 고의로 개인 데이터에 대한 액세스를 선택한 연락처 이상으로 확장하는 경우에는 적용되지 않는다고 간주한다. 이러한 상황에서 개인 데이터를 게시하는 개인은 컨트롤러이며, 개인이 다른 채널을 사용하여 인터넷에서 개인 데이터를 게시할 때와 마찬가지로 온라인에서 자신의 활동을 관리하는 법적 프레임워크가 동일한다. |
가구 예외가 적용되지 않는 경우, 개인은 저널리즘, 예술 또는 문학 목적을 위해 개인 데이터를 사용하는 것과 관련된 GDPR의 예외적인 혜택을 누릴 수 있다.
여러 당사자에 대한 GDPR의 잠재적 적용은 여러 개인 또는 단체가 SNS에 보유된 개인 데이터의 컨트롤러로서 각각 책임을 질 수 있는 불확실한 상황을 야기했다. 데이터 보안 및 보존, 목적 제한 및 데이터 주체의 권한과 관련한 것들과 같이 GDPR이 적용되는 곳에서는 해당 규정을 준수해야 한다.
정보 제공 의무
SNS 공급자 및 개인 데이터를 처리하는 SNS에 대한 응용 프로그램을 제공하는 독립체는 GDPR에 명시된 정보 규정의 적용을 받는다. SNS 공급자는 개방적이고 투명해야 하며 특히 사용자에게 다음 정보를 제공해야 한다.
| •관련성이 있는 경우, 마케팅 목적으로 개인정보를 사용할 것이며, 이를 옵트 아웃할 권리가 있음을 확인하는 고지
•개인정보가 특정 제3자와 공유됨을 고지 •실시되는 프로파일링에 대한 설명 •민감한 개인 데이터의 처리에 관한 정보 •SNS에 올리는 개인 데이터에 의한 개인정보 위험에 대한 경고(SNS에 개인 데이터를 게시하는 사용자와 개인 데이터를 처리하는 제3자 둘 다에게 경고가 필요하다.) •개인이 사진과 같은 제3자의 개인 데이터를 업로드하는 경우 제3자의 동의를 얻어야 한다는 경고 |
민감한 개인정보
대부분의 경우 데이터 주체가 정보를 게시하지 않는 한 데이터 주체의 명시적인 동의는 중요한 개인 데이터를 인터넷에서 사용할 수 있게 해야 한다. 따라서 SNS가 중요한 개인 데이터를 처리하는 경우, 데이터 주체의 명시적인 동의를 얻어야 한다. 마찬가지로 SNS가 민감한 개인 데이터를 공개하는 정보를 요구하는 경우(예: 프로필 작성 중에 개인의 종교적 견해를 요청하는 경우), SNS는 그러한 정보를 제공하는 것이 전적으로 자발적이어야 한다는 것을 분명히 해야 한다.
경우에 따라 사진을 통해 민감한 개인 데이터(예: 데이터 주체의 인종)가 노출될 수 있지만(일부 회원국의 법률에 따라 이 정보는 특수한 유형의 개인 데이터로 간주된다), WP29는 일반적으로 인터넷상의 이미지를 중요한 개인 데이터로 간주하지 않다.
제3자 개인 데이터
SNS는 사용자가 개인정보가 추가된 SNS의 회원이 아닌 개인을 포함하여 제3자에 관한 연락처 정보를 나열하거나 이미지에 개인의 이름을 지정하여 정보를 게시할 수 있게 한다. SNS 제공자는 GDPR하에서 이 처리를 위한 합법적인 근거를 가져야 한다.
SNS 사용자로부터 제3자에 대한 개인 데이터(예: 이메일 계정에 연결된 주소록 업로드 등)를 수집하고 SNS 회원이 아닌 개인의 미리 작성된 프로필을 형성하는 경우, WP29는 새로운 프로파일의 주체가 일반적으로 그 처리의 존재를 알 수 있는 위치에 있지 않기 때문에 SNS의 이러한 형태의 처리는 유럽의 데이터 보호법에 따라 법적 근거가 부족하다고 간주한다.
아동 데이터
일부 SNS는 특히 아동을 대상으로 한다. GDPR 제8조 (1)항은 개인이 16세 미만이며 동의 하에 자료가 처리되는 경우 부모의 동의 또는 허락을 얻어야 한다고 규정하고 있다. 회원국은 이 연령 한도를 13세까지 낮출 수 있다. 또한, GDPR 제6조 (f)는 합법적인 이익이 이용 가능하지 않을 수 있는 특정 사례로서 데이터 주체가 아동인 경우를 언급하고 있다.
WP29는 또한 유엔아동권리협약에 명시된 바와 같이 컨트롤러가 아동의 최대 이익을 고려해야 한다는 요구를 강조했다. SNS의 맥락에서 이는, 아동에 대한 인식 제고 활동을 장려하고, 미성년자의 정보 처리는 공정하고 합법적이어야 한다고 말하는 것이다. 실질적으로 이것은 민감한 개인 데이터가 미성년자에게 요청되지 않으며, 기본적으로 privacy-friendly 설정이 선택되고, 미성년자가 다이렉트 마케팅 자료로 타겟팅되지 않으며, 부모의 사전 동의가 획득되도록 보장해야 한다는 것을 의미한다.
모바일 기기의 응용 프로그램
스마트 폰 및 태블릿과 같은 인터넷이 가능한 모바일 기기는 조직(프로그램, 앱 등을 제공, 판매하는 회사 및 개인 등)이 새로운 통신 채널인 모바일 기기 응용 프로그램(‘응용 프로그램’)을 제공할 수 있게 한다. 응용 프로그램에는 몇 가지 고유한 데이터 보호 문제가 있다.
데이터 수집
앱은 설치된 휴대 기기의 센서(예: 위치, 오디오, 비디오, 고도, 속도 및 사용자 상호 작용)를 통해 방대한 양의 정보를 수집할 수 있다. 또한 모바일 기기에 저장된 정보에 액세스할 수 있으며 일반적으로 연락처 세부 정보, 사진, 전자 메일 및 인터넷 검색 기록이 포함된다. 이 정보는 사용자에게 혁신적인 서비스를 제공하는 데 사용될 수 있지만, 앱 개발자에게 전송되어 특정 기기(예: 고유한 식별자 또는 IP 주소)와 연결될 수도 있다.
데스크톱 및 랩톱 컴퓨터와 비교하여 모바일 기기는 여러 사용자가 공유할 가능성이 적다. 개인이 특정 계정에 로그인하지 않은 경우에도 데이터를 모바일 기기의 소유자와 연결할 때 그 소유자와 연결될 확률이 높다.
잠재적인 데이터 수집량 같은 데이터는 종종 사용자와 더 밀접하다는 특성이 있다. 특히 스마트 폰은 어디에서나 주인과 동행한다. 결과적으로 스마트 폰의 앱을 통해 수집된 데이터는 다른 유형의 인터넷 지원 장치와 비교할 때 소유자의 삶의 영역에 대해 자세한 정보를 제공할 수 있다. 예를 들어 위치 데이터를 사용하면 앱이 개인의 움직임에 대한 시간 경과에 따라 상세한 그림을 만들 수 있다. 개인의 움직임이 특정 위치에 반복적으로 방문하는 경우, 이는 개인의 종교 및 정치적 제휴와 같은 민감한 정보를 추론하는 데 사용될 수도 있다.
적용 법률
앱을 통해 수집된 정보가 특정 기기에 연결될 수 있는 경우 개인정보가 될 가능성이 높으며 GDPR이 적용된다. 또한 쿠키와 유사한 기술을 다루는 ePrivacy Directive의 조항도 관련된다.
컨트롤러 및 프로세서
앱이 개인 데이터를 수집하여 앱 개발자의 서버로 다시 전송하는 경우, 앱 개발자는 수집되는 데이터와 이후에 사용되는 방법을 결정할 책임이 있으므로 해당 데이터의 데이터 컨트롤러가 될 가능성이 크다.
그러나 앱이 사용자의 휴대 기기에서만 개인정보를 처리하고 앱 개발자의 서버 또는 다른 곳으로 보내지 않는 경우, 영국의 ICO는 개인정보가 사용자의 기기에 머물러 있고, 사용자의 통제 하에 있기 때문에 앱 소유자가 데이터 소유자가 아니라고 명시했다. WP29는 좀더 모호하게, 위와 같은 경우 응용 프로그램 개발자의 책임은 ‘상당히 제한’될 것이라고 말한다.
앱 개발자가 아닌 개인 데이터 처리에 관련된 많은 당사자가 종종 연관된다. 이러한 당사자가 앱 소유자(예: 호스팅 및 분석 공급자)를 대신하여 행동하는 경우, 처리하는 모든 개인 데이터와 관련하여 데이터 프로세서가 될 가능성이 크다. 그러나 광고 제공 업체와 같은 일부 제3자도 자체 목적으로 데이터를 처리할 수 있으므로 데이터 컨트롤러가 된다. App Store, 운영 체제 및 단말 제조업체는 사용자가 앱과의 상호 작용에 연결된 데이터를 처리하는 경우(예: 앱 스토어가 사용자가 다운로드 한 앱을 기록한 경우) 데이터 컨트롤러일 수도 있다.
쿠키 및 유사한 기술
앱에서 쿠키 또는 이와 유사한 기술을 사용하는 경우 ePrivacy Directive의 동의 요구 사항을 준수해야 한다.
앞에서 논의했듯이, 인터넷 브라우저와 달리 앱의 쿠키는 광고주의 관점에서 볼 때, 일반적으로 쿠키를 설정한 앱만 쿠키를 읽을 수 있다는 점에서 한계가 있다. 이전에는 인터넷을 통해 온라인 활동을 모두 동일한 온라인 브라우저에서 수행하였었지만, 개인은 서로 다른 온라인 활동을 서로 다른 앱에서 수행하기 때문에, 인터넷을 통해 개인의 행동을 추적하기 위해 쿠키를 사용하려는 광고주는 점점 더 어려움에 처하게 됐다.
쿠키의 기존 기능을 유지해야 한다는 인식에 따라 광고주는 앱에서 개인을 추적하는 새로운 방법을 개발했다. 이것은 MAC(Media Access Control) 주소와 같은 고유 ID와 같이 사용자의 장치에 저장된 식별자에 액세스하거나, 또는 기기 핑거 프린팅을 포함한다. 기기 핑거 프린팅의 경우 특정 사용자의 여러 가지 단일 식별자 정보의 조합을 이용한다. 그러므로 이러한 유형의 기술이 사용자의 기기에 저장된 정보에 액세스할 때는 사전 동의를 얻어야 한다.
마찬가지로 앱이 사용자의 기기에 저장된 연락처 세부 정보, 사진 또는 기타 미디어에 액세스하려는 경우 사전 동의가 필요하다.
통지
모바일 기기에서 정보를 사용하는 방법에 대해 사용자에게 적절하게 알려야 한다는 요구 사항은 랩톱 및 데스크톱에 비해 모바일 기기에서 사용할 수 있는 화면 공간이 제한되어 있으므로 모바일 기기의 응용 프로그램과 관련하여 특히 주의해야 한다. 결과적으로 전통적인 개인정보 보호 정책은 사용자에게 자신의 개인 데이터 사용 방법을 적절하게 알릴 의무를 이행하기에 충분하지 않다.
WP29는 아이콘이나 기타 시각적 기호가 사용자의 주의를 환기시키기 위해 유용한 도구임을 권고한다. 이것이 GDPR에서 고려되어야 하는 도구로 언급되는 것을 감안할 때, 그들의 사용은 앞으로도 몇년간 증가할 것으로 예상된다. 자세한 내용을 원하는 사용자를 위한 보다 완벽한 정보에 대한 링크와 함께, 가장 중요한 정보를 사용자가 관심 끌게 하는 계층화된 알림도 도움이 된다.
개인정보가 처리되는 시점까지 정보가 제공되어야 한다는 요구 사항을 충족하려면, 앱을 다운로드하기 전에(예: 앱 스토어에 표시된 개인정보 취급 방침을 통해) 알림을 제공해야 할 수 있다.
동의
앱을 사용자 기기에 다운로드하면 기기에 정보가 저장된다. 이를 위해서는 ePrivacy Directive에 따른 동의가 필요하다. 앞에서 논의한 바와 같이, 쿠키 또는 유사한 기술의 사용은 동의를 요구하게 될 것이다.
개인정보가 처리되는 합법적인 근거로서 동의가 필요할 수도 있다. 예를 들어, WP29의 견해로는, 사용자의 모바일 기기를 통해 수집된 위치 데이터는 일반적으로 합법적인 이익에 근거하기가 어려우며, 대개는 동의가 필요하다는 것이다.
이전 장에서 논의된 바와 같이, GDPR은 동의에 대해 높은 기준을 가지고 있다. 특히 앱의 기능을 제공하는 데 필수적이지 않은 데이터 처리에 대한 동의는 사용자가 앱을 사용하기 위해 그러한 동의를 제공해야 하는 경우 일반적으로 유효하지 않다. WP29의 견해에 따르면, 사용자가 개인정보 보호 정책에 나열된 모든 유형의 데이터 처리에 대한 단일 동의를 얻는 것보다 특정 유형의 데이터 처리에 동의할 수 있는 기능을 사용자에게 제공한다는 의미로, 동의는 ‘구체적’이어야 한다.
앱의 사용 맥락에서는 사용자가 특정 유형의 데이터 처리에 대해 세부적인 유형의 동의를 요청하고, 사용자가 특정 동의를 제공하지 않는 경우에도, 가능한 많은 기능을 제공하는 것을 의미할 공산이 크다. 예를 들어 앱은 지도에서 가장 가까운 편의점에 대한 길 찾기를 표시하기 위해 사용자에게 위치 데이터에 대한 액세스 권한을 요청할 수 있지만, 이 요청이 거부되는 경우에도 사용자는 스스로 길을 찾아내기 위해서 편의점 위치를 지도에서 수동으로도 볼 수 있게 해야 한다.
데이터 최소화
앱에서 수집할 수 있는 매우 많은 양의 데이터를 감안할 때, 앱 개발자는 데이터 최소화에 대한 GDPR의 요구 사항에 유의해야 한다. 개인정보가 적절하고 관련이 있으며 처리 목적과 관련하여 필요한 것에 한정되어야 한다. 이는 규제 당국의 ‘기본적인 데이터 보호’ 요구 사항에 의해 강화되며, 컨트롤러는 기본적으로 각 특정 처리 목적에 필요한 개인 데이터만 수집하여 사용하도록 한다.
IoT
사물인터넷(IoT, Internet of Things)은 사람이 도움을 받지 않고 다른 인터넷 사용 가능 개체와 직접 통신할 수 있는 인터넷 사용 가능 개체를 나타내는 광범위한 용어이다. 많은 경우에 이러한 개체에는 센서가 장착되어 있어 환경에 대한 정보를 수집하고 전송할 수 있다. 이러한 기술의 응용은 이미 여러 산업(예: 웨어러블 기술, 스마트 에너지 계량기 및 기타 가전 제품 및 연결된 차량)에서 나타났다.
이러한 개체의 센서는 식별 가능한 개인과 관련된 정보를 수집한다. 이러한 정보는 개인정보를 구성하며 GDPR의 적용을 받는다. 때로는 사용자의 위치를 추적할 수 있는 웨어러블 기술과 같이 명백한 경우가 있다. 반면 2초 간격으로 가정의 에너지 소비량을 모니터링하며 입주자가 보고 있는 TV쇼를 확인하는 기록을 만드는 스마트 미터기 같은 IoT 기기의 경우는 명백하지 않다. IoT는 특정 데이터 보호 고려 사항을 수반하며, 그중에서 가장 중요한 사항 중 일부는 다음과 같다.
컨트롤러 및 프로세서
인터넷이 가능한 기기에 의해 생성된 데이터의 관련 컨트롤러 및 프로세서를 결정하는 것과 관련된 고려 사항은 앞에서 논의된 인터넷 사용 가능 모바일 기기와 관련한 고려 사항과 유사하다.
보안
IoT 기기에 연결된 네트워크를 통해 전송된 개인 데이터를 적절하게 보호해야 한다는 요구 사항은 특히 다음과 같은 이유로 인해 어려움을 겪고 있다.
| •매우 많은 수의 기기가 종종 동일한 네트워크에 연결되어, 악의적인 행위자가 액세스할 수 있는 공격 지점이 많음
•인터넷 사용 가능 기기의 소프트웨어는 최신 보안 패치로 사람이 운영하는 컴퓨터나 기타 장치에 비해 최신 상태를 유지할 가능성이 낮음 |
결과적으로 그러한 네트워크가 안전하게 설계되도록 보장하는 데 특별한 주의를 기울여야 한다. 이것은 처음부터 IoT 네트워크가 보안을 염두에 두고 설계된 경우 성취될 가능성이 가장 높다. 이러한 접근법은 GDPR에서 취한 ‘data protection by design’ 접근법과도 일치한다.
통지 및 선택
통지 및 동의는 사람의 동작이 필요 없는 기기에 의한 자동 데이터 수집과 관련하여 어려움이 있을 수 있다. 그러한 기기에 의해 개인 데이터가 수집된 개인에게 그 사실을 알리고 GDPR에서 요구하는 정보를 제공할지에 대한 고려가 필요하다. WP29는 또한 IoT가 침입받을 가능성은 대부분의 경우 사용자의 동의가 정보의 처리를 위한 적절한 법적 근거가 될 것이라는 점을 지적했다. 하지만 사람의 개입 없이 기기에 의해 자동 수집되는 컨텍스트에 대한 동의를 획득은 쉬운 일이 아니다.
이러한 문제에 대한 솔루션은 문제의 기술에만 국한되지만, 혁신적인 접근 방식이 필요할 수 있다. 개인에게 정보를 수집하는 방법을 알려주며 데이터 주체가 추가 정보를 찾는 방법 및 위치에 관한 정보를 알려주는 스티커와 사용자가 근처에 있을 때 기기가 관련된 정보를 데이터 주체의 모바일 기기에 무선으로 통보하도록 하는 기기가 그 예이다. 사용자 동의와 관련하여 WP29는 장치 제조업체가 장치 자체에 동의 메커니즘을 구축하는 것이 필요할 수도 있다고 설명했다. 데이터 보호 영향 평가(DPIAs) 및 GDPR의 data protection by design 의무는 적절한 개발 단계에서 그러한 솔루션을 고안하고 구현할 의무가 조직에게 있음을 말하는 것이다.
맺음말
두차례의 기고를 통해 인터넷 및 통신 기술의 특정 범주와 관련된 몇 가지 관련 데이터를 보호할 때 고려해야 할 사항을 소개했다. 그러나 이 고려사항들 역시, 본 주제의 다양성으로 인해 관련된 이슈에 대한 소개 정도의 수준에 불과하다. 디지털 통신을 라우팅하는 기술은 이러한 기술이 IP 주소, MAC 주소 등의 식별자 사용을 필요로 한다는 것을 의미한다. 언제나 그렇듯이, 규제 대상 기업은 식별되거나 식별 가능한 자연인과 관련된 데이터를 수집하거나 수신할 때마다 GDPR을 준수해야 한다. 또한 조직에서 개인 데이터를 처리하지 않는 경우에도 ePrivacy Directive의 요구 사항이 적용될 수 있다. 개인정보 보호 및 데이터 보호 전문가는 EU 데이터 보호법이 적용될 수 있는 모든 사례를 적절하게 식별할 수 있도록 조직의 기술자와 긴밀하게 소통하는 것이 중요하다
You must be logged in to post a comment.