국제기구·국제협의체인 UN, OECD, APEC, APPA 등의 2019년 개인정보보호 관련 활동현황 살펴보니
2020 개인정보보호 연차보고서에서는 해외 동향도 소개하고 있다. 국제기구 및 국제협의체인 △국제연합(UN) △경제협력개발기구(OECD) △아시아·태평양경제협력체(APEC) △아시아·태평양 프라이버시 감독기구(APPA) 포럼 △국제 개인정보보호 감독기구 협의체(GPA) △국제프라이버시집행네트워크(GPEN)의 개인정보보호 분야 2019년 활동현황을 살펴본다.
[이미지=utoimage]
1. 국제연합(UN)
전쟁 방지와 평화 유지를 위해 1946년 설립된 국제연합(이하 UN)은 산하에 UN 가입국의 인권 상황을 정기적·체계적으로 검토하고 개선하기 위한 인권이사회(UN Human Rights Council, 이하 UNHRC)를 두고 다양한 결의안을 내놓고 있다. 이러한 결의안들은 회원국들을 강제하는 법적 효력은 없으나 인권보호의 기준으로서 법에 준하는 중요한 역할을 담당하고 있다고 볼 수 있다.
UN 인권이사회는 2013년 12월 UN 총회에서 ‘디지털 시대의 프라이버시권(The Right to Privacy in the Digital Age)’에 관한 결의를 채택한 이래 지속적으로 국가들이 디지털 통신에서 프라이버시권을 존중하고 보호하며, 통신감시·개인정보의 감청과 수집에 관한 절차·관행 및 법률 등을 검토하도록 요구하는 개인정보보호 활동 등을 펼치고 있다.
UN 인권이사회 사생활권 특별보고관 조셉 칸나타치가 UNHRC에 제출한 연례 보고서에 따르면, 2019년에는 UN에서 프라이버시와 퍼스낼리티·건강 데이터·기업의 개인정보 이용·안보 및 감시를 중점적으로 다룬 것으로 나타났다. 프라이버시와 퍼스낼리티에 관한 태스크포스에서는 개인정보보호와 양성 평등 사이의 연결 관계를 다루고 있는데, 특별보고관은 2019년부터 3년간 다수의 국가에서 나타나는 개인정보보호, 성별 자율성, 남성 후견 제도 사이의 연계성에 대해 더 많은 관심을 기울일 계획임을 선언한 바 있다. 또한, 2019년 연례보고서를 통해 공개한 권고안 초안에서는 디지털 시대에 발생하는 개인정보보호에 대한 성별 격차의 영향에 대한 대응 방안, 권고사항 등을 다루고 있다. 권고안 초안은 개인정보보호가 성별에 따라 다르게 경험되고 인종, 연령, 사회 경제적 독립성 및 기타 요인에 의해 복합화된다는 연구 결과에 근거를 두고 있다.
건강 데이터와 개인정보보호 주제와 관련해서는 2019년 10월 UN 총회에서 건강 데이터 보호 및 안전한 이용을 위한 국제표준을 공개했다. UN 총회에 제출된 권고사항(Recommendation on the Protection and Use of Health-related Data)에서는 건강 관련 데이터는 매우 민감한 정보임에도 불구하고, 상업적 가치가 높아 건강 데이터를 수집·이용·판매하는 비즈니스가 이미 성행하고 있기에 이에 대한 개인정보 침해 우려가 커지고 있다는 점을 지적했다. 이와 관련해 전자의무기록, 모바일 앱, 마케팅, 건강 관련 데이터에 대한 고용주와 보험사의 열람 등과 같은 구체적인 문제를 해결하기 위해 데이터 관리에 대한 모범 사례를 제시하고 원주민, 장애인, 난민, 수감자 등 특정 상황에 있는 정보주체들의 개인정보보호 요구를 배려할 것을 권고했다.
또한, ‘건강 데이터’에 관한 태스크포스에서는 특정 국가에서 전체 인구의 DNA 데이터를 수집할 필요성과 비례성에 대한 문제를 검토하고, 그러한 조치를 취하는 국가들의 상황에 관여할 계획임을 선언했다. 기업의 개인정보 이용(Use of Personal Data by Corporations)과 관련해서는 2019년 3월 몰타(제1회)와 2019년 9월 브뤼셀(제2회)에서 총 2회에 걸친 태스크포스 회의를 개최했다. 화웨이, 도이치텔레콤, 마이크로소프트, 페이스북, 애플, 구글 등 주요 기술기업과 시민단체 등이 참석한 회의에서는 투명성, 인공지능, 아동 개인정보보호 등과 관련된 주요 과제와 모범 사례 등에 대해 논의했다.
2019년 3월부터는 기업의 신기술 확산으로 인해 발생하는 개인정보보호 문제들을 조사하고 개인정보보호와 관련한 다양한 활동을 수행해 오고 있다. 동 주제와 관련해 데이터 주권·디지털 포렌식을 위한 데이터베이스, 체내 이식형 건강 장치 및 보철물을 통해 수집된 건강 데이터를 전송하는 문제·인공지능과 기계학습·자동화된 데이터 처리 등에 대한 사항도 함께 다루고 있으며 의견 수렴 과정을 통해 지속적으로 논의 중이다. 안보 및 감시와 관련해서는 2019년 10월 영국에서 국제정보감독포럼(IIOF, International Intelligence Oversight Forum)을 개최해 개인정보보호 관행 개선을 위한 모범 사례, 감시와 관련한 개별 사례들에 대한 조사와 검토를 진행했다.
한편, UN 인권이사회 사생활권 특별보고관 조셉 칸나타치는 2019년 7월 15일부터 26일까지 한국을 공식 방문해 행정안전부, 방송통신위원회, 개인정보보호위원회 등과 면담 등을 갖고 한국의 프라이버시 보호와 관련한 현황을 파악하기도 했다. 방한 일정 중에 파악한 한국의 개인정보보호 현황 및 권고 사항을 담은 보고서는 향후 유엔 인권이사회에 제출될 예정이다.
2. 경제협력개발기구(OECD)
경제협력개발기구(이하 OECD)는 1977년 오스트리아 빈에서 열린 ‘국제 데이터 이전과 프라이버시 보호에 관한 국제 심포지엄’을 시작으로 프라이버시를 존중하면서 개인정보의 국경 간 자유로운 유통환경을 조성하는 데 중요한 역할을 해왔다. OECD의 가이드라인 또는 권고안은 국제법으로서의 구속력을 가지지 않지만, 개인정보의 수집 및 이용에 제한을 두는 ‘OECD 개인정보보호 가이드라인(OECD Privacy Guidelines)’ 등의 내용은 미국·유럽·아시아 각국의 개인정보보호 법률과 제도에 반영되는 등 영향력을 갖는다.
2019년 5월 열린 연례 OECD 각료 이사회(MCM, OECD Ministerial Council Meeting)에서 최근 각국에서 이슈가 되고 있는 ‘인공지능 이용에 관한 국제 윤리 원칙(Principles on Artificial Intelligence)’이 만장일치로 채택됐다. 이 권고안은 개인정보보호를 비롯한 가치를 구현하는 인공지능 기술의 비전을 제시하고 있으며, 앙헬 구리아 사무총장은 인공지능 시스템에서 안전과 개인정보보호가 가장 중요하다는 점을 강조했다. 권고안의 핵심 내용은 포용성장과 지속가능한 개발, 인간 중심의 가치와 공정성, 투명성과 설명 가능성, 보안과 안전, 책임성의 원칙 등으로 이뤄져 있다. 우리나라의 과학기술정보통신부 제2차관이 OECD AI 전문가 그룹 의장으로 참여한 이 선언은 국제기구에서 최초로 수립된 AI 권고안이라는 점에서 향후 AI·로봇 관련 기술의 개발 방향에 핵심적인 가이드라인 역할을 할 것으로 전망된다.
또한, OECD는 온라인 환경에서 아동의 권익 보호를 위해서도 지속적으로 노력하고 있다. 2011년 온라인에서 아동이 직면한 위험과 아동 보호 정책에 대한 연구를 시작했고, 이를 토대로 2012년 아동 보호 관련 정책 결정과 국내 및 국제협력 강화에 대한 권고안을 제시했다. 2020년 2월부터 기존 권고안에 대한 업데이트를 추진 중으로 온라인 환경에 대한 정책 노트(Growing Up Online: Addressing the Needs of Children in the Digital Environment)를 통해 개인정보에 대한 위협 및 데이터화 등 오늘날의 디지털 세계에서 아동이 직면한 상황에 부응하는 정책적 대응 방안의 중요성을 검토하고 있다.
3. 아시아·태평양경제협력체(APEC)
아시아·태평양경제협력체(이하 APEC)는 2011년부터 글로벌 개인정보보호 인증체계인 ‘국가 간 프라이버시 규칙’(Cross-border Privacy Rules, 이하 CBPR)을 운영하고 있다. CBPR은 기업의 개인정보보호 수준을 평가하는 글로벌 인증제도로, APEC 역내 전자상거래의 활성화와 회원국 간 안전한 개인정보의 상호 이전을 위해 시행됐다. APEC은 정기적으로 고위관리급 회의를 개최하는데 전자상거래 운영 그룹(ECSG, Electronic Commerce Steering Group)의 개인정보보호 분과(DPS, Data Privacy Sub-group) 회의를 통해 APEC 권역 및 주요 국제기구의 개인정보보호 동향 분석, 회원국의 CBPR 제도 도입 추진·운영 현황을 파악한다.
2019년 2월 칠레 산티아고에서 있었던 ECSG DPS 회의에서는 APEC 프라이버시 프레임워크의 개정에 대한 논의가 진행됐다. 개인정보 이동권의 도입을 골자로 한 해당 논의에서는 개인정보 이동권 도입의 기대효과와 부작용, 각국의 도입 사례 등에 대한 분석 결과가 소개됐다. 회원국들은 현안 협의를 위한 협력 체계 필요성을 공감했고, 관련 내용을 지속적으로 협의할 예정이다.
2018년까지 우리나라를 포함해 총 8개국이 CBPR 체계에 가입한 데 이어 2019년에는 필리핀이 9번째로 가입 신청서를 제출했다. 8개의 국가 중 4개의 국가에서 6개의 인증기관(미국 3개 기관, 일본·싱가포르·한국 각 1개 기관)이 승인을 받았으며, Apple·HP·IBM 등 약 20여개의 기업에서 CBPR 인증을 획득했다. CBPR 인증 획득 국가의 관련 활동을 살펴보면 미국은 3개의 인증기관들의 협의를 바탕으로 인증심사 툴과 같은 기술 활용 방안을 연구하고 있으며, 인증기관 간 협력을 통해 제도 확산을 추진 중이다. 인증 획득 기업이 증가해 2019년 3월 기준 CBPR은 23개, PRP(Privacy Recognition for Processors) 인증은 6개 기업이 획득했다.
또한, 캐나다·멕시코와의 NAFTA 재협상을 통해 USMCA(United States-Mexico-Canada Agreement)를 체결해 디지털 경제 확산과 CBPR 활성화의 계기를 마련하고 있다. 일본은 제51차 APPA 포럼을 주최해 일본의 CBPR 추진 현황 등을 공유한 바 있으며, 국내외에서 CBPR 홍보 세미나를 개최했다. Paidy, Inc.가 CBPR 인증을 획득함에 따라 인증기업은 총 3개로 증가했으며, 지난해 제40차 ICDPPC 사이드이벤트 및 제50차 APPA 포럼 공개 콘퍼런스에 CBPR 관련 세션을 운영했다. 국내외에서 기업들을 대상으로 한 CBPR 워크숍을 개최하는 등 제도 활성화를 추진 중이다. 싱가포르는 IMDA(Info-communications Media Development Authority)가 인증기관으로 지정됐으며, 중소기업들의 인증 취득을 유인하기 위해 첫해에 인증신청 수수료 감면 정책을 추진했다. 이에 따라 2개 기업이 인증 신청을 고려하고 있다.
이와 함께 CBPR·PRP 인증의 모범 사례를 분석해 자국 내 CBPR 제도 확산 활동을 꾸준히 추진 중이며, 나아가 기존의 동의·구속력 있는 기업규칙(BCR, Binding Corporate Rules) 외에 인증제도를 개인정보 국외이전 요건으로 추가해 CBPR 인증기업으로 하여금 자유로운 국외이전을 보장할 예정이다. 캐나다는 CBPR 제도 운영을 위한 인증기관을 모색하고 있으며, 해외 인증기관을 지정하는 방식도 고려 중이다. 2019년 10월 연방 선거 이후 자국 내 CBPR 운영을 위한 기반 조성을 기대하고 있다. 트러스트아크(TrustArc)가 CBPR 인증기관 신청을 고려 중이다. 호주는 2017년 CBPR 가입 의사 표명 후 2018년 12월에 CBPR 체계에 공식 가입했으며, 제도 운영을 위한 자국 내 인증기관을 모집 중이다. 대만은 개인정보보호 관련 정책 총괄 및 관련 법규 해석을 담당할 개인정보보호청(Personal Data Protection Office)을 설립했다. GDPR 관련 이슈 대응 및 적정성 평가를 위한 자국법 분석 등 EU와의 협력을 주요 업무로 수행할 예정이다.
4. 아시아·태평양 프라이버시 감독기구(APPA) 포럼
1992년에 설립된 아시아·태평양 프라이버시 감독기구(Asia Pacific Privacy Authorities, 이하 APPA) 포럼은 개인정보보호 분야의 법제, 신기술 등에 관한 이슈를 논의하는 장이다. 회원국 감독기구들은 매 포럼에서 국내의 개인정보보호 동향을 공유하고 개인정보 침해 공동조사 등 협력 방안에 대해서도 의견을 나눈다. 2019년 12월 기준으로 한국, 미국, 호주, 싱가포르 등 12개국 20개 기관(주정부 포함)의 커미셔너들이 회원기관으로 활동하고 있다.
제51차 APPA 포럼(2019년 5월, 일본 도쿄)에서 뉴질랜드는 ‘테러리즘과 소셜미디어’의 주제와 관련해 크라이스트처치 테러 발생 직후 뉴질랜드 총리와 프랑스 대통령의 주도로 개최된 크라이스트처치 대응 회담을 언급, 소셜미디어 사용이 극단적 폭력주의 및 테러리즘의 조장으로 이어지는 것을 막기 위한 각국 정부 및 기술기업의 결속력 있는 행동을 촉구했다. 한편, ‘데이터 국외이전’과 관련해 미국 상무성 관계자는 중국의 해외 기업에 대한 국가안보 및 사이버보안 강화, 시장 진입장벽 증가 외에도 프라이버시와 데이터 보호에 중점을 둔 EU 개인정보보호법(General Data Protection Regulation, 이하 GDPR) 등 지역별 동향에 대해 설명했다. 또한, 다양한 규정 존재로 인해 다국적 기업들의 준수비용 부담이 크게 증가함을 지적하면서 각국의 상이한 법제, 경제력 격차와 문화적 차이 등을 고려해 규제체계 간 상호운용성을 확립할 필요가 있다고 언급했다.
동일한 주제에 대해 한국의 개인정보보호위원회는 관련 국내법을 소개하고 국제협정 간 상호운용성 및 데이터 국외이전을 위한 일관적 기준의 필요성을 강조하는 한편, FTA 업데이트 협의 추진을 비롯해 데이터 국외이전 메커니즘 및 데이터 지역화에 관한 지속적 논의 등 정부의 노력도 소개했다. 아울러 아동의 프라이버시와 관련해 영국은 2018년 개정 보호법에 GDPR의 아동 프라이버시 보호 요건이 반영됐고 디지털 시민으로서의 아동 보호를 위한 Code(Age Appropriate Design Code)를 제정 중이라고 밝혔다. 동 Code는 아동이 접근할 가능성이 있는 서비스 등에 적용되며 아동의 최대 이익을 고려, 설득력 있는 사유가 없는 한 ‘High Privacy’를 기본으로 설정하고 지리 위치(Geolocation) 옵션은 ‘Off’를 기본설정으로 채택할 것 등을 권장한다. 동일 주제에 대해 미국 연방거래위원회는 아동 온라인 프라이버시보호법(Children’s Online Privacy Protection Act, 이하 COPPA) 집행과 관련해 온라인 데이트 앱 등에 대한 주요 제재 사례를 소개하고, 해외 소재의 웹사이트들도 미국 아동의 개인정보 처리 시 동법을 준수할 의무가 있음을 강조했다.
제52차 포럼(2019년 12월, 필리핀 세부)에서는 공무 수행에 있어 개인정보보호와 관련해 홍콩과 영국이 자국의 얼굴인식기술 사용에 대해 소개했다. 홍콩은 스마트시티 건설 계획의 일환으로 4개 지역에 교통량 감지 및 기상/공기질 감지 기능과 파노라마식 카메라가 장착된 스마트 가로등을 설치할 계획이었으나, 개인정보 침해 우려가 제기됨에 따라 현재 중단된 상황임을 알렸다. 한편, 개인정보보호 친화적인 기술 활용 및 개인정보 처리의 투명성 증진을 통해 안전하고 바람직한 설치가 이뤄져야 한다고 강조했다. 영국은 공공장소에서 경찰이 얼굴인식 기술을 사용하고 있는 사례를 소개하며 그 사용 배경 및 부작용에 대해 설명했다. 특히, 런던경찰국과 사우스웨일스 경찰의 얼굴인식기술 사용에 대한 영국 정보보호위원회(Information Commissioner’s Office, 이하 ICO)의 조사 결과 및 그에 따른 권고 사항, 향후 계획 등을 공유했다.
또한, ‘데이터 이동권’ 주제와 관련해서 호주는 경쟁소비자법 개정에 EU GDPR의 관련 개념을 반영해 ‘소비자 데이터권리’ 형태의 데이터 이동권을 도입했다고 소개했다. 동 권리는 공정한 경쟁의 장을 확립하기 위해 소비자가 이용 제품 및 서비스에 대한 동의 내용을 명확히 알고 있는 상태에서 동의를 제공할 수 있게 했다. 이는 금융 분야에 우선 적용 후 에너지, 통신 분야에 순차적으로 적용될 예정이다. 동일 주제에 대해 싱가포르는 데이터 이동권 보장 의무를 적용받는 컨트롤러 및 데이터의 범위, 데이터 국외이식(Porting) 포함 여부 등에 대한 의견을 공개적으로 수렴했음을 알리는 한편, 주요 피드백으로 동 의무 준수를 위한 자원 필요·준수 비용 절감을 위한 명확한 데이터 유형·포맷·기준 확립 필요성 등이 있다고 발표했다.
한편, 한국 개인정보보호위원회는 신기술과 디지털 통상이 급속히 발전하고 데이터 역외이전의 필요성이 급증하는 디지털 경제에서 특히 중소기업들이 통상 협상과 관련해 각국의 데이터 보호 규정을 제대로 파악하고 준수할 수 있도록 지원이 필요하다고 언급했다. 이를 위해 APPA 차원에서 영문 버전의 ‘회원국 개인정보 법제정보를 공유하기 위한 공통포털’을 개설할 것을 제안했다. 회원국 감독기구들은 공통 포털을 통한 법제정보 공유의 필요성에 대해 공감하고 포털 개설 및 운영에 동의했다. 현 커뮤니케이션 작업반장인 마카오 개인정보위원회가 한국 개인정보보호위원회 등 작업반과 협력해 관련 프로젝트를 추가 진행할 예정이다.
5. 국제 개인정보보호 감독기구 협의체(GPA)
국제 개인정보보호 감독기구 협의체(Global Privacy Assembly, 이하 GPA)는 그 전신인 국제개인정보보호감독기관회의(International Conference of Data Protection and Privacy Commissioners, 이하 ICDPPC)가 제41차 총회(2019년 10월, 알바니아)에서 그 명칭을 변경한 이래, 기존의 활동을 이어오고 있다. 개인정보보호를 증진하고 회원기관 간의 대화와 협력, 정보 공유를 목적으로 1979년에 설립된 이후 매년 정기총회를 1회 개최해 개인정보보호 분야의 법제 동향, 신기술 발전 등에 따른 주요 변화 등을 논의하고 관련 결의안을 채택하며 작업반 결성 및 활동을 통해 주요 글로벌 개인정보보호 이슈에 대한 공동의 대응 방안을 모색하는 등 글로벌 차원의 개인정보보호 토론의 장으로서 중요한 역할을 하고 있다.
2019년 10월 알바니아 티라나에서 개최된 제41차 총회에서는 칠레, 가봉, OECD, 산마리노, 상투메프린시페의 감독기구가 정회원으로 승인됐다. 또한, 의장인 영국 ICO의 엘리자베스 덴헴 위원장의 연임을 승인했고, 부르키나파소 CIL, 아르헨티나 APIA를 신규 집행위원회 멤버로 선출했다. 이번 총회에서는 회의체의 향후 발전 방안 및 디지털 시대의 인권보호를 위한 ①글로벌정책·기준·모델 개발 ②규제 방안 협력 및 모범 사례 공유 ③인권과 사회 보호 ④경제적 거버넌스 및 디지털 경제 ⑤민주 권리와 정치적 절차 ⑥공공 분야의 데이터 거버넌스 등 6가지 전략에 합의했다.
특히, 이번 총회에서 회의체를 상설 사무국을 갖춘 국제기구 수준으로의 격상을 추진함에 따라 회의체가 향후 지속적으로 기능 및 체계를 갖춰 나갈 것으로 예상된다. 회의체의 명칭은 기존의 ICDPPC에서 GPA(Global Privacy Assembly)로 변경하는 데 합의했다. 또한 제41차 총회는 ①국가 간 효과적인 사법 집행력 강화를 위한 감독기구 협력 방안 ②기본인권으로서 다른 기본권의 전제 조건으로서의 프라이버시 ③개인정보보호 감독기관과 소비자 보호기구 간 협업 ④개인정보 침해에서의 인적 오류 이해 ⑤소셜미디어와 온라인상의 폭력적 극단주의 콘텐츠 연구 등 5개 결의안을 채택했다. 부대행사로 진행된 ‘아시아 국가 중심의 개인정보 인식 제고와 역량 강화’ 토론회에서는 개인정보 인식 제고와 역량 강화를 위한 아시아 국가의 현황과 상호 협력 방안을 논의하고, 글로벌 디지털 환경에서 안전한 개인정보보호와 활용을 위한 환경 조성을 위해 국제 협력을 지속적으로 확대해야 한다는 점에 의견을 모았다. 또한 미국·유럽 등과 비교할 때 아시아 국가들의 참여 및 목소리가 아직 충분치 않다고 진단, 향후 이에 대한 참여와 관심의 제고를 위해 아시아 국가들이 적극적으로 노력해야 한다는 데 공감대를 형성했다.
6. 국제프라이버시집행네트워크(GPEN)
국제프라이버시집행네트워크(이하 GPEN)는 OECD의 권고에 따라 2007년 6월에 설립된 국제 네트워크로, OECD 회원국 간 개인정보 이슈와 경험 등을 공유하고 국가 간 개인정보보호 협력 강화 활동을 전개하는 단체다. 2019년 12월 기준으로 총 50개 국가, 69개의 감독기관이 참여하고 있다. GPEN은 회원기관 간 협력을 증진하기 위해 온라인 또는 화상회의, 오프라인 미팅 등 다양한 방식의 정보 교류를 추진하고 있다. 화상회의는 통상적으로 2개월에 1회 개최되는데, 주로 1~2개국에서 최근 입법동향, GDPR의 대응 현황 등 개인정보보호 주요 동향 등을 발표하고 토론한다. 아울러 연 1회 프라이버시 집행기관들이 모여 개인의 프라이버시권을 보호하기 위해 협력하는 GPEN 주도의 이니셔티브(Initiative)인 스윕(Sweep, 회원기관 공동의 연례행사)을 개최하고 있다.
2019년 스윕은 9월 말부터 10월 초까지 ‘데이터 유출 통지(Data Breach Notification)’를 주제로 다뤘다. 데이터 보호 감독기구(Data Protection Authorities, 이하 DPAs)들은 개인정보를 처리하는 사업장에 데이터 유출 통지 프레임워크에 대한 인식 정도, 데이터 유출 처리에 대한 (사업장) 내부 절차, 데이터 유출에 대한 대응체계, 관리, 향후 유출 방지를 지표로 한 사전 작성 질문지를 송부해 이들 사업장의 데이터 유출 대응 현황 및 체계를 파악하고자 했다. 설문 응답 요청을 받은 1,145개 기관 중 258개 기관이 답변을 제출했고(응답률 21%), 스윕에 참여한 감독기구가 소재한 16개 국가 중 12개 국가에서만 데이터 유출 통지가 의무 사항인 것으로 판단됐다.
응답한 기관의 약 98%가 관련 법적 프레임워크에 대해 인식하고 있었고, 5개 기관만이 법적 프레임워크에 대한 인식이 낮은 편이었다. 또한, 응답기관의 86%가 직원들이 데이터 유출 또는 잠재적 유출을 인식할 수 있도록 지원하는 내부 지침을 갖추고 있었고, 분야 간/국가 간 응답기관의 84%는 데이터 유출 관리 책임을 맡은 팀이나 단체를 지정한 것으로 알려졌다. 응답기관의 84%가 내부 보고 외에도 외부 관련 당사자(피해를 입은 개인 또는 규제기관)에 유출을 통지하는 정책 또는 절차를 갖추고 있었으나, 74%만이 당사자에게 적정 수준의 정보를 통지했다. 유출 통지 관리와 관련해 응답기관의 83%가 데이터 유출 또는 잠재적 데이터 유출에 관한 기록을 보관한다고 밝혔으나, 데이터 보호 기준에 대한 내부 준수 모니터링과 관련해서는 30% 이상의 기관이 자체평가 또는 내부감사를 실시하는 프로그램을 갖추고 있지 않은 것으로 드러났다. 향후 유출 방지와 관련해 응답기관의 65%만이 데이터 유출 발생 후 향후 유출 방지를 위한 조치를 취했다고 답했다. 조치를 취한 기관들은 유출 통지 및 기록 보관의 업무를 통해 유출 동향을 파악할 수 있었고, 따라서 유출의 근본 원인을 찾으려는 시도를 할 수 있었다고 밝혔다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
2020 개인정보보호 연차보고서에서는 해외 동향도 소개하고 있다. 국제기구 및 국제협의체인 △국제연합(UN) △경제협력개발기구(OECD) △아시아·태평양경제협력체(APEC) △아시아·태평양 프라이버시 감독기구(APPA) 포럼 △국제 개인정보보호 감독기구 협의체(GPA) △국제프라이버시집행네트워크(GPEN)의 개인정보보호 분야 2019년 활동현황을 살펴본다.
[이미지=utoimage]
1. 국제연합(UN)
전쟁 방지와 평화 유지를 위해 1946년 설립된 국제연합(이하 UN)은 산하에 UN 가입국의 인권 상황을 정기적·체계적으로 검토하고 개선하기 위한 인권이사회(UN Human Rights Council, 이하 UNHRC)를 두고 다양한 결의안을 내놓고 있다. 이러한 결의안들은 회원국들을 강제하는 법적 효력은 없으나 인권보호의 기준으로서 법에 준하는 중요한 역할을 담당하고 있다고 볼 수 있다.
UN 인권이사회는 2013년 12월 UN 총회에서 ‘디지털 시대의 프라이버시권(The Right to Privacy in the Digital Age)’에 관한 결의를 채택한 이래 지속적으로 국가들이 디지털 통신에서 프라이버시권을 존중하고 보호하며, 통신감시·개인정보의 감청과 수집에 관한 절차·관행 및 법률 등을 검토하도록 요구하는 개인정보보호 활동 등을 펼치고 있다.
UN 인권이사회 사생활권 특별보고관 조셉 칸나타치가 UNHRC에 제출한 연례 보고서에 따르면, 2019년에는 UN에서 프라이버시와 퍼스낼리티·건강 데이터·기업의 개인정보 이용·안보 및 감시를 중점적으로 다룬 것으로 나타났다. 프라이버시와 퍼스낼리티에 관한 태스크포스에서는 개인정보보호와 양성 평등 사이의 연결 관계를 다루고 있는데, 특별보고관은 2019년부터 3년간 다수의 국가에서 나타나는 개인정보보호, 성별 자율성, 남성 후견 제도 사이의 연계성에 대해 더 많은 관심을 기울일 계획임을 선언한 바 있다. 또한, 2019년 연례보고서를 통해 공개한 권고안 초안에서는 디지털 시대에 발생하는 개인정보보호에 대한 성별 격차의 영향에 대한 대응 방안, 권고사항 등을 다루고 있다. 권고안 초안은 개인정보보호가 성별에 따라 다르게 경험되고 인종, 연령, 사회 경제적 독립성 및 기타 요인에 의해 복합화된다는 연구 결과에 근거를 두고 있다.
건강 데이터와 개인정보보호 주제와 관련해서는 2019년 10월 UN 총회에서 건강 데이터 보호 및 안전한 이용을 위한 국제표준을 공개했다. UN 총회에 제출된 권고사항(Recommendation on the Protection and Use of Health-related Data)에서는 건강 관련 데이터는 매우 민감한 정보임에도 불구하고, 상업적 가치가 높아 건강 데이터를 수집·이용·판매하는 비즈니스가 이미 성행하고 있기에 이에 대한 개인정보 침해 우려가 커지고 있다는 점을 지적했다. 이와 관련해 전자의무기록, 모바일 앱, 마케팅, 건강 관련 데이터에 대한 고용주와 보험사의 열람 등과 같은 구체적인 문제를 해결하기 위해 데이터 관리에 대한 모범 사례를 제시하고 원주민, 장애인, 난민, 수감자 등 특정 상황에 있는 정보주체들의 개인정보보호 요구를 배려할 것을 권고했다.
또한, ‘건강 데이터’에 관한 태스크포스에서는 특정 국가에서 전체 인구의 DNA 데이터를 수집할 필요성과 비례성에 대한 문제를 검토하고, 그러한 조치를 취하는 국가들의 상황에 관여할 계획임을 선언했다. 기업의 개인정보 이용(Use of Personal Data by Corporations)과 관련해서는 2019년 3월 몰타(제1회)와 2019년 9월 브뤼셀(제2회)에서 총 2회에 걸친 태스크포스 회의를 개최했다. 화웨이, 도이치텔레콤, 마이크로소프트, 페이스북, 애플, 구글 등 주요 기술기업과 시민단체 등이 참석한 회의에서는 투명성, 인공지능, 아동 개인정보보호 등과 관련된 주요 과제와 모범 사례 등에 대해 논의했다.
2019년 3월부터는 기업의 신기술 확산으로 인해 발생하는 개인정보보호 문제들을 조사하고 개인정보보호와 관련한 다양한 활동을 수행해 오고 있다. 동 주제와 관련해 데이터 주권·디지털 포렌식을 위한 데이터베이스, 체내 이식형 건강 장치 및 보철물을 통해 수집된 건강 데이터를 전송하는 문제·인공지능과 기계학습·자동화된 데이터 처리 등에 대한 사항도 함께 다루고 있으며 의견 수렴 과정을 통해 지속적으로 논의 중이다. 안보 및 감시와 관련해서는 2019년 10월 영국에서 국제정보감독포럼(IIOF, International Intelligence Oversight Forum)을 개최해 개인정보보호 관행 개선을 위한 모범 사례, 감시와 관련한 개별 사례들에 대한 조사와 검토를 진행했다.
한편, UN 인권이사회 사생활권 특별보고관 조셉 칸나타치는 2019년 7월 15일부터 26일까지 한국을 공식 방문해 행정안전부, 방송통신위원회, 개인정보보호위원회 등과 면담 등을 갖고 한국의 프라이버시 보호와 관련한 현황을 파악하기도 했다. 방한 일정 중에 파악한 한국의 개인정보보호 현황 및 권고 사항을 담은 보고서는 향후 유엔 인권이사회에 제출될 예정이다.
2. 경제협력개발기구(OECD)
경제협력개발기구(이하 OECD)는 1977년 오스트리아 빈에서 열린 ‘국제 데이터 이전과 프라이버시 보호에 관한 국제 심포지엄’을 시작으로 프라이버시를 존중하면서 개인정보의 국경 간 자유로운 유통환경을 조성하는 데 중요한 역할을 해왔다. OECD의 가이드라인 또는 권고안은 국제법으로서의 구속력을 가지지 않지만, 개인정보의 수집 및 이용에 제한을 두는 ‘OECD 개인정보보호 가이드라인(OECD Privacy Guidelines)’ 등의 내용은 미국·유럽·아시아 각국의 개인정보보호 법률과 제도에 반영되는 등 영향력을 갖는다.
2019년 5월 열린 연례 OECD 각료 이사회(MCM, OECD Ministerial Council Meeting)에서 최근 각국에서 이슈가 되고 있는 ‘인공지능 이용에 관한 국제 윤리 원칙(Principles on Artificial Intelligence)’이 만장일치로 채택됐다. 이 권고안은 개인정보보호를 비롯한 가치를 구현하는 인공지능 기술의 비전을 제시하고 있으며, 앙헬 구리아 사무총장은 인공지능 시스템에서 안전과 개인정보보호가 가장 중요하다는 점을 강조했다. 권고안의 핵심 내용은 포용성장과 지속가능한 개발, 인간 중심의 가치와 공정성, 투명성과 설명 가능성, 보안과 안전, 책임성의 원칙 등으로 이뤄져 있다. 우리나라의 과학기술정보통신부 제2차관이 OECD AI 전문가 그룹 의장으로 참여한 이 선언은 국제기구에서 최초로 수립된 AI 권고안이라는 점에서 향후 AI·로봇 관련 기술의 개발 방향에 핵심적인 가이드라인 역할을 할 것으로 전망된다.
또한, OECD는 온라인 환경에서 아동의 권익 보호를 위해서도 지속적으로 노력하고 있다. 2011년 온라인에서 아동이 직면한 위험과 아동 보호 정책에 대한 연구를 시작했고, 이를 토대로 2012년 아동 보호 관련 정책 결정과 국내 및 국제협력 강화에 대한 권고안을 제시했다. 2020년 2월부터 기존 권고안에 대한 업데이트를 추진 중으로 온라인 환경에 대한 정책 노트(Growing Up Online: Addressing the Needs of Children in the Digital Environment)를 통해 개인정보에 대한 위협 및 데이터화 등 오늘날의 디지털 세계에서 아동이 직면한 상황에 부응하는 정책적 대응 방안의 중요성을 검토하고 있다.
3. 아시아·태평양경제협력체(APEC)
아시아·태평양경제협력체(이하 APEC)는 2011년부터 글로벌 개인정보보호 인증체계인 ‘국가 간 프라이버시 규칙’(Cross-border Privacy Rules, 이하 CBPR)을 운영하고 있다. CBPR은 기업의 개인정보보호 수준을 평가하는 글로벌 인증제도로, APEC 역내 전자상거래의 활성화와 회원국 간 안전한 개인정보의 상호 이전을 위해 시행됐다. APEC은 정기적으로 고위관리급 회의를 개최하는데 전자상거래 운영 그룹(ECSG, Electronic Commerce Steering Group)의 개인정보보호 분과(DPS, Data Privacy Sub-group) 회의를 통해 APEC 권역 및 주요 국제기구의 개인정보보호 동향 분석, 회원국의 CBPR 제도 도입 추진·운영 현황을 파악한다.
2019년 2월 칠레 산티아고에서 있었던 ECSG DPS 회의에서는 APEC 프라이버시 프레임워크의 개정에 대한 논의가 진행됐다. 개인정보 이동권의 도입을 골자로 한 해당 논의에서는 개인정보 이동권 도입의 기대효과와 부작용, 각국의 도입 사례 등에 대한 분석 결과가 소개됐다. 회원국들은 현안 협의를 위한 협력 체계 필요성을 공감했고, 관련 내용을 지속적으로 협의할 예정이다.
2018년까지 우리나라를 포함해 총 8개국이 CBPR 체계에 가입한 데 이어 2019년에는 필리핀이 9번째로 가입 신청서를 제출했다. 8개의 국가 중 4개의 국가에서 6개의 인증기관(미국 3개 기관, 일본·싱가포르·한국 각 1개 기관)이 승인을 받았으며, Apple·HP·IBM 등 약 20여개의 기업에서 CBPR 인증을 획득했다. CBPR 인증 획득 국가의 관련 활동을 살펴보면 미국은 3개의 인증기관들의 협의를 바탕으로 인증심사 툴과 같은 기술 활용 방안을 연구하고 있으며, 인증기관 간 협력을 통해 제도 확산을 추진 중이다. 인증 획득 기업이 증가해 2019년 3월 기준 CBPR은 23개, PRP(Privacy Recognition for Processors) 인증은 6개 기업이 획득했다.
또한, 캐나다·멕시코와의 NAFTA 재협상을 통해 USMCA(United States-Mexico-Canada Agreement)를 체결해 디지털 경제 확산과 CBPR 활성화의 계기를 마련하고 있다. 일본은 제51차 APPA 포럼을 주최해 일본의 CBPR 추진 현황 등을 공유한 바 있으며, 국내외에서 CBPR 홍보 세미나를 개최했다. Paidy, Inc.가 CBPR 인증을 획득함에 따라 인증기업은 총 3개로 증가했으며, 지난해 제40차 ICDPPC 사이드이벤트 및 제50차 APPA 포럼 공개 콘퍼런스에 CBPR 관련 세션을 운영했다. 국내외에서 기업들을 대상으로 한 CBPR 워크숍을 개최하는 등 제도 활성화를 추진 중이다. 싱가포르는 IMDA(Info-communications Media Development Authority)가 인증기관으로 지정됐으며, 중소기업들의 인증 취득을 유인하기 위해 첫해에 인증신청 수수료 감면 정책을 추진했다. 이에 따라 2개 기업이 인증 신청을 고려하고 있다.
이와 함께 CBPR·PRP 인증의 모범 사례를 분석해 자국 내 CBPR 제도 확산 활동을 꾸준히 추진 중이며, 나아가 기존의 동의·구속력 있는 기업규칙(BCR, Binding Corporate Rules) 외에 인증제도를 개인정보 국외이전 요건으로 추가해 CBPR 인증기업으로 하여금 자유로운 국외이전을 보장할 예정이다. 캐나다는 CBPR 제도 운영을 위한 인증기관을 모색하고 있으며, 해외 인증기관을 지정하는 방식도 고려 중이다. 2019년 10월 연방 선거 이후 자국 내 CBPR 운영을 위한 기반 조성을 기대하고 있다. 트러스트아크(TrustArc)가 CBPR 인증기관 신청을 고려 중이다. 호주는 2017년 CBPR 가입 의사 표명 후 2018년 12월에 CBPR 체계에 공식 가입했으며, 제도 운영을 위한 자국 내 인증기관을 모집 중이다. 대만은 개인정보보호 관련 정책 총괄 및 관련 법규 해석을 담당할 개인정보보호청(Personal Data Protection Office)을 설립했다. GDPR 관련 이슈 대응 및 적정성 평가를 위한 자국법 분석 등 EU와의 협력을 주요 업무로 수행할 예정이다.
4. 아시아·태평양 프라이버시 감독기구(APPA) 포럼
1992년에 설립된 아시아·태평양 프라이버시 감독기구(Asia Pacific Privacy Authorities, 이하 APPA) 포럼은 개인정보보호 분야의 법제, 신기술 등에 관한 이슈를 논의하는 장이다. 회원국 감독기구들은 매 포럼에서 국내의 개인정보보호 동향을 공유하고 개인정보 침해 공동조사 등 협력 방안에 대해서도 의견을 나눈다. 2019년 12월 기준으로 한국, 미국, 호주, 싱가포르 등 12개국 20개 기관(주정부 포함)의 커미셔너들이 회원기관으로 활동하고 있다.
제51차 APPA 포럼(2019년 5월, 일본 도쿄)에서 뉴질랜드는 ‘테러리즘과 소셜미디어’의 주제와 관련해 크라이스트처치 테러 발생 직후 뉴질랜드 총리와 프랑스 대통령의 주도로 개최된 크라이스트처치 대응 회담을 언급, 소셜미디어 사용이 극단적 폭력주의 및 테러리즘의 조장으로 이어지는 것을 막기 위한 각국 정부 및 기술기업의 결속력 있는 행동을 촉구했다. 한편, ‘데이터 국외이전’과 관련해 미국 상무성 관계자는 중국의 해외 기업에 대한 국가안보 및 사이버보안 강화, 시장 진입장벽 증가 외에도 프라이버시와 데이터 보호에 중점을 둔 EU 개인정보보호법(General Data Protection Regulation, 이하 GDPR) 등 지역별 동향에 대해 설명했다. 또한, 다양한 규정 존재로 인해 다국적 기업들의 준수비용 부담이 크게 증가함을 지적하면서 각국의 상이한 법제, 경제력 격차와 문화적 차이 등을 고려해 규제체계 간 상호운용성을 확립할 필요가 있다고 언급했다.
동일한 주제에 대해 한국의 개인정보보호위원회는 관련 국내법을 소개하고 국제협정 간 상호운용성 및 데이터 국외이전을 위한 일관적 기준의 필요성을 강조하는 한편, FTA 업데이트 협의 추진을 비롯해 데이터 국외이전 메커니즘 및 데이터 지역화에 관한 지속적 논의 등 정부의 노력도 소개했다. 아울러 아동의 프라이버시와 관련해 영국은 2018년 개정 보호법에 GDPR의 아동 프라이버시 보호 요건이 반영됐고 디지털 시민으로서의 아동 보호를 위한 Code(Age Appropriate Design Code)를 제정 중이라고 밝혔다. 동 Code는 아동이 접근할 가능성이 있는 서비스 등에 적용되며 아동의 최대 이익을 고려, 설득력 있는 사유가 없는 한 ‘High Privacy’를 기본으로 설정하고 지리 위치(Geolocation) 옵션은 ‘Off’를 기본설정으로 채택할 것 등을 권장한다. 동일 주제에 대해 미국 연방거래위원회는 아동 온라인 프라이버시보호법(Children’s Online Privacy Protection Act, 이하 COPPA) 집행과 관련해 온라인 데이트 앱 등에 대한 주요 제재 사례를 소개하고, 해외 소재의 웹사이트들도 미국 아동의 개인정보 처리 시 동법을 준수할 의무가 있음을 강조했다.
제52차 포럼(2019년 12월, 필리핀 세부)에서는 공무 수행에 있어 개인정보보호와 관련해 홍콩과 영국이 자국의 얼굴인식기술 사용에 대해 소개했다. 홍콩은 스마트시티 건설 계획의 일환으로 4개 지역에 교통량 감지 및 기상/공기질 감지 기능과 파노라마식 카메라가 장착된 스마트 가로등을 설치할 계획이었으나, 개인정보 침해 우려가 제기됨에 따라 현재 중단된 상황임을 알렸다. 한편, 개인정보보호 친화적인 기술 활용 및 개인정보 처리의 투명성 증진을 통해 안전하고 바람직한 설치가 이뤄져야 한다고 강조했다. 영국은 공공장소에서 경찰이 얼굴인식 기술을 사용하고 있는 사례를 소개하며 그 사용 배경 및 부작용에 대해 설명했다. 특히, 런던경찰국과 사우스웨일스 경찰의 얼굴인식기술 사용에 대한 영국 정보보호위원회(Information Commissioner’s Office, 이하 ICO)의 조사 결과 및 그에 따른 권고 사항, 향후 계획 등을 공유했다.
또한, ‘데이터 이동권’ 주제와 관련해서 호주는 경쟁소비자법 개정에 EU GDPR의 관련 개념을 반영해 ‘소비자 데이터권리’ 형태의 데이터 이동권을 도입했다고 소개했다. 동 권리는 공정한 경쟁의 장을 확립하기 위해 소비자가 이용 제품 및 서비스에 대한 동의 내용을 명확히 알고 있는 상태에서 동의를 제공할 수 있게 했다. 이는 금융 분야에 우선 적용 후 에너지, 통신 분야에 순차적으로 적용될 예정이다. 동일 주제에 대해 싱가포르는 데이터 이동권 보장 의무를 적용받는 컨트롤러 및 데이터의 범위, 데이터 국외이식(Porting) 포함 여부 등에 대한 의견을 공개적으로 수렴했음을 알리는 한편, 주요 피드백으로 동 의무 준수를 위한 자원 필요·준수 비용 절감을 위한 명확한 데이터 유형·포맷·기준 확립 필요성 등이 있다고 발표했다.
한편, 한국 개인정보보호위원회는 신기술과 디지털 통상이 급속히 발전하고 데이터 역외이전의 필요성이 급증하는 디지털 경제에서 특히 중소기업들이 통상 협상과 관련해 각국의 데이터 보호 규정을 제대로 파악하고 준수할 수 있도록 지원이 필요하다고 언급했다. 이를 위해 APPA 차원에서 영문 버전의 ‘회원국 개인정보 법제정보를 공유하기 위한 공통포털’을 개설할 것을 제안했다. 회원국 감독기구들은 공통 포털을 통한 법제정보 공유의 필요성에 대해 공감하고 포털 개설 및 운영에 동의했다. 현 커뮤니케이션 작업반장인 마카오 개인정보위원회가 한국 개인정보보호위원회 등 작업반과 협력해 관련 프로젝트를 추가 진행할 예정이다.
5. 국제 개인정보보호 감독기구 협의체(GPA)
국제 개인정보보호 감독기구 협의체(Global Privacy Assembly, 이하 GPA)는 그 전신인 국제개인정보보호감독기관회의(International Conference of Data Protection and Privacy Commissioners, 이하 ICDPPC)가 제41차 총회(2019년 10월, 알바니아)에서 그 명칭을 변경한 이래, 기존의 활동을 이어오고 있다. 개인정보보호를 증진하고 회원기관 간의 대화와 협력, 정보 공유를 목적으로 1979년에 설립된 이후 매년 정기총회를 1회 개최해 개인정보보호 분야의 법제 동향, 신기술 발전 등에 따른 주요 변화 등을 논의하고 관련 결의안을 채택하며 작업반 결성 및 활동을 통해 주요 글로벌 개인정보보호 이슈에 대한 공동의 대응 방안을 모색하는 등 글로벌 차원의 개인정보보호 토론의 장으로서 중요한 역할을 하고 있다.
2019년 10월 알바니아 티라나에서 개최된 제41차 총회에서는 칠레, 가봉, OECD, 산마리노, 상투메프린시페의 감독기구가 정회원으로 승인됐다. 또한, 의장인 영국 ICO의 엘리자베스 덴헴 위원장의 연임을 승인했고, 부르키나파소 CIL, 아르헨티나 APIA를 신규 집행위원회 멤버로 선출했다. 이번 총회에서는 회의체의 향후 발전 방안 및 디지털 시대의 인권보호를 위한 ①글로벌정책·기준·모델 개발 ②규제 방안 협력 및 모범 사례 공유 ③인권과 사회 보호 ④경제적 거버넌스 및 디지털 경제 ⑤민주 권리와 정치적 절차 ⑥공공 분야의 데이터 거버넌스 등 6가지 전략에 합의했다.
특히, 이번 총회에서 회의체를 상설 사무국을 갖춘 국제기구 수준으로의 격상을 추진함에 따라 회의체가 향후 지속적으로 기능 및 체계를 갖춰 나갈 것으로 예상된다. 회의체의 명칭은 기존의 ICDPPC에서 GPA(Global Privacy Assembly)로 변경하는 데 합의했다. 또한 제41차 총회는 ①국가 간 효과적인 사법 집행력 강화를 위한 감독기구 협력 방안 ②기본인권으로서 다른 기본권의 전제 조건으로서의 프라이버시 ③개인정보보호 감독기관과 소비자 보호기구 간 협업 ④개인정보 침해에서의 인적 오류 이해 ⑤소셜미디어와 온라인상의 폭력적 극단주의 콘텐츠 연구 등 5개 결의안을 채택했다. 부대행사로 진행된 ‘아시아 국가 중심의 개인정보 인식 제고와 역량 강화’ 토론회에서는 개인정보 인식 제고와 역량 강화를 위한 아시아 국가의 현황과 상호 협력 방안을 논의하고, 글로벌 디지털 환경에서 안전한 개인정보보호와 활용을 위한 환경 조성을 위해 국제 협력을 지속적으로 확대해야 한다는 점에 의견을 모았다. 또한 미국·유럽 등과 비교할 때 아시아 국가들의 참여 및 목소리가 아직 충분치 않다고 진단, 향후 이에 대한 참여와 관심의 제고를 위해 아시아 국가들이 적극적으로 노력해야 한다는 데 공감대를 형성했다.
6. 국제프라이버시집행네트워크(GPEN)
국제프라이버시집행네트워크(이하 GPEN)는 OECD의 권고에 따라 2007년 6월에 설립된 국제 네트워크로, OECD 회원국 간 개인정보 이슈와 경험 등을 공유하고 국가 간 개인정보보호 협력 강화 활동을 전개하는 단체다. 2019년 12월 기준으로 총 50개 국가, 69개의 감독기관이 참여하고 있다. GPEN은 회원기관 간 협력을 증진하기 위해 온라인 또는 화상회의, 오프라인 미팅 등 다양한 방식의 정보 교류를 추진하고 있다. 화상회의는 통상적으로 2개월에 1회 개최되는데, 주로 1~2개국에서 최근 입법동향, GDPR의 대응 현황 등 개인정보보호 주요 동향 등을 발표하고 토론한다. 아울러 연 1회 프라이버시 집행기관들이 모여 개인의 프라이버시권을 보호하기 위해 협력하는 GPEN 주도의 이니셔티브(Initiative)인 스윕(Sweep, 회원기관 공동의 연례행사)을 개최하고 있다.
2019년 스윕은 9월 말부터 10월 초까지 ‘데이터 유출 통지(Data Breach Notification)’를 주제로 다뤘다. 데이터 보호 감독기구(Data Protection Authorities, 이하 DPAs)들은 개인정보를 처리하는 사업장에 데이터 유출 통지 프레임워크에 대한 인식 정도, 데이터 유출 처리에 대한 (사업장) 내부 절차, 데이터 유출에 대한 대응체계, 관리, 향후 유출 방지를 지표로 한 사전 작성 질문지를 송부해 이들 사업장의 데이터 유출 대응 현황 및 체계를 파악하고자 했다. 설문 응답 요청을 받은 1,145개 기관 중 258개 기관이 답변을 제출했고(응답률 21%), 스윕에 참여한 감독기구가 소재한 16개 국가 중 12개 국가에서만 데이터 유출 통지가 의무 사항인 것으로 판단됐다.
응답한 기관의 약 98%가 관련 법적 프레임워크에 대해 인식하고 있었고, 5개 기관만이 법적 프레임워크에 대한 인식이 낮은 편이었다. 또한, 응답기관의 86%가 직원들이 데이터 유출 또는 잠재적 유출을 인식할 수 있도록 지원하는 내부 지침을 갖추고 있었고, 분야 간/국가 간 응답기관의 84%는 데이터 유출 관리 책임을 맡은 팀이나 단체를 지정한 것으로 알려졌다. 응답기관의 84%가 내부 보고 외에도 외부 관련 당사자(피해를 입은 개인 또는 규제기관)에 유출을 통지하는 정책 또는 절차를 갖추고 있었으나, 74%만이 당사자에게 적정 수준의 정보를 통지했다. 유출 통지 관리와 관련해 응답기관의 83%가 데이터 유출 또는 잠재적 데이터 유출에 관한 기록을 보관한다고 밝혔으나, 데이터 보호 기준에 대한 내부 준수 모니터링과 관련해서는 30% 이상의 기관이 자체평가 또는 내부감사를 실시하는 프로그램을 갖추고 있지 않은 것으로 드러났다. 향후 유출 방지와 관련해 응답기관의 65%만이 데이터 유출 발생 후 향후 유출 방지를 위한 조치를 취했다고 답했다. 조치를 취한 기관들은 유출 통지 및 기록 보관의 업무를 통해 유출 동향을 파악할 수 있었고, 따라서 유출의 근본 원인을 찾으려는 시도를 할 수 있었다고 밝혔다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
