프라이버시 이슈를 모아, 프리-뷰. 1. 국내 사업자들을 향한 개인정보보보호위원회의 조사 내용과
2. 우리나라와 영국 간의 적정성 결정이 통과되었다는 소식,
3. 해외에서 개인정보 이슈로 벌금을 받은 사례에 대해 정리했어요. |
|
|
개인정보 유출, 한 명 정도는 괜찮다고요?
최근 한 달간 개인정보보호위원회로부터 법규 위반으로 제재를 받은 사업자는 총 28개예요. 이번 처분들 중에는 특히, 단 1명의 개인정보가 유출되어 제재를 받은 사례가 많아요. 아래 4개 사업자 모두 1명의 개인정보 유·노출로 인해 제재를 받았어요.
- SSG 닷컴 : (파기 의무 위반, 과태료 360만 원) 잘못 붙인 택배 송장을 제거하지 않고 새 운송장을 그 위에 덧붙여 발송해서 이를 수령한 고객에게 타인의 개인정보가 노출되었어요.
- KT : (안전조치의무 위반, 과태료 300만 원) 테스트 계정으로 로그인한 상태의 URL을 담당자 실수로 고객에게 발송하여 개인정보가 유출되었어요.
- 현대백화점 : (안전조치의무 위반, 과태료 360만 원) 앱의 비밀번호 변경과 관련된 프로그래밍 오류로 이용자의 개인정보가 유출되었어요.
- 지마켓 : (개인정보 유출통지·신고 의무 위반, 과태료 360만 원) ‘옥션’의 고객센터에서 이용자 민원에 대해 이메일로 회신하면서 타인의 민원 내용으로 잘못 회신하여 개인정보가 유출되었어요. 이 사실에 대한 유출 통지 및 신고도 24시간 내에 이루어지지 않았어요.
위 사례들은 모두 유출/민원 신고 접수를 통해 개인정보위가 조사에 착수한 내용이에요. 단순 1명일 뿐이니 그저 실수다, 유·노출에 대해 통지하고 신고하지 않아도 된다는 말은 이제 옛말이에요. 정보 주체의 프라이버시에 대한 인식이 점점 강화되고 있기 때문에 1명에 대해 발생한 사고도 소홀히 해서는 안 돼요. |
|
|
스타트업의 새로운 리스크 - 개인정보 보호법 준수
올해 국정감사에서 스타트업들의 개인정보 보호법 위반 여부가 논의되었어요. 나도 모르는 세무대리인 선정으로 논란이 된 ‘삼쩜삼’, 민감정보를 맞춤형 회원 서비스 개발에 사용한다는 ‘올라케어’는 이미 개인정보보호위원회가 조사중이고요. 이렇게 하나의 기업에 대해 조사가 시작되면 관련 업계도 함께 조사에 들어가는 경우가 많아서 더욱 주의가 필요해요. 실제로 올라케어를 시작으로 개인정보위가 비대면 의료 플랫폼 전수조사에 들어갔다고 밝혔어요.
스타트업의 특성상 신생 분야가 많다 보니, 업계 입장에서는 참고할 만한 사례나 가이드를 찾기 힘든 경우가 많죠. 하지만, 언제까지 담당 인력이 없고 법을 몰라서라는 변명은 통하지 않아요. 개인정보보호위원회에서는 아예 온라인 플랫폼을 전담하는 팀(개인정보위 조사 3팀)이 작년 말 신설되었어요. 개인들의 프라이버시 보호에 대한 인식도 점점 높아져가고 있고요. 그만큼 시장에 새로운 서비스를 제공하는 스타트업들도 서비스 운영에 대한 책임감을 갖고, 수집 이용하는 개인정보에 대해 관련 법령을 잘 준수하려는 노력이 필요합니다.👍 |
|
|
한국 기업의 영국 진출이 수월해졌어요
12월 19일, 영국과의 적정성 결정이 최종적으로 채택되면서 이제 영국 이용자들의 개인정보를 별도의 승인 절차 없이 국내로 이전할 수 있게 되었어요.
우리나라는 작년 12월 17일 EU GDPR 적정성 심사에 통과하면서 EU 회원국 시민들의 개인정보를 자유롭게 국내로 옮길 수 있어요. 하지만 영국이 2020년 유럽연합을 탈퇴함에 따라 영국 이용자들의 정보는 이전에 제약이 있었어요. 즉, 영국에서 국내로 개인정보를 이전하려면 여전히 높은 비용과 긴 시간을 들여 승인을 받아야만 했는데, 이번 적정성 결정으로 더이상 그럴 필요가 없어진 거죠.
또한, EU와는 다르게 영국과는 신용 정보의 이전도 가능하답니다! 영국이 브렉시트 이후 최초로 적정성 결정을 채택한 국가가 우리나라라니, 한국의 높은 개인정보 보호 수준을 인정받았네요 😉
적정성 결정이란?
적정성 결정을 맺으려는 두 국가의 개인정보 보호 수준을 평가하여 두 나라가 개인정보를 동등한 수준에서 엄격히 보호하고 있다는 게 판단되면, 해당 국가 간에는 별도의 조치 없이 개인정보를 손쉽게 이전할 수 있도록 승인하는 제도예요.
GDPR 적정성 결정이 더 궁금하다면? 👉 보러가기 |
|
|
호주 개인정보 보호법 개정안 통과
지난 뉴스레터에서 해킹으로 고통받고 있는 호주의 소식을 전해드렸는데요. 11월 28일, 해커와의 전쟁에 칼을 빼든 호주 정부가 빠르게 개인정보 보호법 개정안을 승인했다는 소식이에요. 개정안 발표부터 도입까지 전부 한 달 만에 이루어졌답니다!
[ 법안 주요 내용 ]
- 데이터 유출 시, ‘유출된 정보로 얻을 수 있는 이익의 3배’ 또는 ‘회사의 해당기간 국내 매출액의 30%’ 중 더 높은 금액(최대 5천만 달러)을 벌금으로 부과 (cf. 현재 한도는 222만 달러)
- 아동 개인정보의 관리 의무 강화
- 온라인 플랫폼 규제를 위한 온라인 개인정보 보호 코드 개발
- 호주 연방 개인정보보호위원회(OAIC)의 권한 강화
|
|
|
메타, 개인정보 유출로 아일랜드에서 2억 6500만 유로 과징금 부과
페이스북의 메타가 아일랜드 데이터보호위원회(DPC)로부터 2억 6500만유로(약 3620억 원)의 과징금을 부과 받았어요. 지난 2018년 5월부터 2019년 9월까지 약 5억 3,300만 명의 페이스북 이용자 개인정보가 유출된 데에 대한 벌금이에요.
무슨 상황인데?
당시 페이스북의 ‘연락처 가져오기’ 기능을 사용하면, 이용자의 휴대폰에 저장되어 있던 연락처와 일치하는 전화번호를 등록한 사람의 정보를 조회할 수 있었어요. 문제는 전화번호를 통한 프로필 조회 권한을 설정할 수 없었기 때문에, 연락처를 입력하기만 하면 그 사람의 정보를 전 세계 모든 사용자가 다 볼 수 있었어요. (’나만 보기’로 설정하는 방법이 없었던 거죠!) 누군가 이 점을 이용해 5억 3,300만 명의 정보를 스크래핑하여 만든 DB를 다크웹에 공유하며 문제점이 드러났어요. 이로 인해 유명 인사들의 정보를 포함해 106개국의 페이스북 이용자 정보가 유출되었어요.😥
얘네 예전에도 벌금받지 않았어?
- 2021.09 2억 2500만 유로 - 왓츠앱, 페이스북과 사용자 데이터 공유에 관한 내용 미공개
- 2022.03 1700만 유로 - 12건의 데이터 유출
- 2022.09 4억 500만 유로 - 인스타그램, 아동 개인정보 관리 원칙 위반
맞아요. 이로써 메타가 아일랜드 DPC로부터 과징금을 부과받은 게 벌써 네 번째예요. 사소한 기능 하나만 잘못 설정해도 이렇게 수억 명의 피해자가 발생할 수 있어요. 항상 서비스 기획 단계부터 이용자의 프라이버시와 데이터를 보호할 수 있도록 주의해야겠어요. |
|
|
디스코드, GDPR 위반으로 80만 유로 벌금
게임 메신저로 유명한 Discord가 GDPR 위반으로 프랑스 개인정보보호 감독 기구(CNIL)로부터 800,000유로의 벌금을 부과 받았어요. 그 이유를 자세히 알아보면 :
- 데이터 보존 정책의 부재 - 비활성화 상태가 3년 이상인 계정 240만 개 확인되었고, 5년이 넘은 계정은 58,000개가 확인되었어요.
- 데이터 보호 영향 평가 미수행
- 데이터를 보호하지 않는 기본 설정 - 인터넷 창을 닫을 때는 ‘X 버튼’을 클릭하시죠? 그만큼 ‘X’를 누르면 현재 화면이 종료될 것이라 생각할텐데요. 하지만 디스코드에선 채팅 종료를 생각하고 ‘X 버튼’을 클릭하면 채팅이 종료되는 것이 아니라, 백그라운드로 이동되어 계속 실행되었어요. 목소리가 여전히 녹음되거나 방송된다는 사실에 대한 안내도 없었고요.
- 비밀번호 설정 규칙의 단순함 - 규칙이 ‘문자와 숫자가 혼합된 6글자’로 너무 단순했어요. GDPR에서는 강력한 보안을 위해 문자, 숫자, 대문자, 특수문자를 조합한 8자 이상을 권고하고 있어요.
주목할 점은 CNIL이 조사를 시작한 이유가 ‘데이터 유출’이 아닌, 기본적인 ‘데이터 보호 정책이 미흡’했기 때문이라는 점이에요. 이제 개인정보가 유출된 기업만이 아닌, 일반 기업도 언제든지 조사할 수 있다는 의미죠. 특히 디스코드는 미성년자 이용자가 유독 많아 조사 대상이 되었다고 해요. |
|
|
|
