프라이버시 이슈를 모아, 프리-뷰. 🙌 안녕하세요. 구독자님, 토브데이터와 플립 서비스에 관심을 가져주셔서 감사합니다. '프리-뷰'는 프라이버시에 대한 이슈를 모아 고객님들께 알기 쉽게 전달해드리기 위해 만들어졌습니다. 시간 내어 개인정보 뉴스를 찾는 게 어려우셨던 분들, 개인정보 보호에 관심을 가지신 분들을 위해 앞으로 '프리-뷰'에서 이해하기 쉽게 정리해서 알려드릴게요😊 (구독을 원치 않으시는 경우, 언제든 뉴스레터 하단에 있는 수신 거부 버튼을 누르실 수 있습니다.) |
|
|
1. 올해 상반기, 국내에서 일어난 주요 개인정보 이슈에 대해 알아보고,
2. 바뀐 개인정보 수집・이용 동의서, 처리방침 작성을 쉽게 해주는 서비스를 소개할게요. |
|
|
올해 상반기 동안 국내에서 일어난 개인정보 주요 이슈를 선정했어요! 업계 동향은 어떤지, 사회 전반적인 분위기와 개인정보 관련 정책 변화에 대한 부분까지 꼼꼼하게 정리했으니 같이 알아볼까요? 👀 |
|
|
메타, 개인정보 처리방침 업데이트 동의 강요 → 철회
페이스북이나 인스타그램에 들어갔을 때, 위 화면을 보신 적 있나요? 메타가 개인정보 처리방침을 개정하면서 이에 동의하지 않으면 인스타그램과 페이스북을 이용할 수 없도록 강제한 거예요. 논란이 심해지자 메타는 동의 기한을 한 차례 연장했다가, 결국 7/28에 동의 강제를 취소했어요.
어차피 다들 하는 형식적인 동의 아냐? 뭐가 문제인데?
개인정보 보호법 위반 소지가 있어요. 자세히 살펴보면:
- 미동의자 서비스 이용 불가: 최소한의 정보 외의 개인정보 수집에 동의하지 않는다고 하여 서비스 제공을 거부해서는 안 된다는 규정이 있는데, 메타가 이를 어긴 거죠.
- 최소 수집의 원칙 위반: 메타가 가져가는 정보가 과연 최소한인가에 대한 논란도 있어요. 메타가 SNS에 입력하는 이름, 전화번호와 같은 기본 정보 외에도, 유저가 무슨 앱을 사용하였고, 그 앱에서 무슨 행동을 하였는지, 어떤 것을 구매하였고 어떤 광고를 보았는지 등등 유저의 행동 정보까지 모두 모으고 있기 때문이죠.
왜 그런 것까지 다 가져가려고 하는 거야?
메타가 단순 SNS회사가 아니기 때문이에요. 메타는 유저 개인정보를 광고주에게 판매한 광고(행동 기반 광고 시스템) 수익으로 돈을 벌어요. 유저들의 정보가 더 자세하고 많을수록 마케팅 성공 확률이 높아지기 때문에 광고주들은 더 디테일한 정보를 얻고 싶어 하고, 메타는 그 니즈에 맞춰 페이스북 안팎으로 정보를 싹싹 긁어갔죠.🤦♀️
철회했으니, 이제 다 해결된 거죠?
아니에요! 메타가 취소한 건 미동의 시 서비스 이용 중단일 뿐, 개인정보를 계속 가져가겠다는 건 동일해요. 지금까지 메타는 전 세계적으로 개인정보와 관련된 소송과 논란에 휩싸여오면서도 개인정보 수집을 멈추지 않았어요. 광고 수익으로 매 분기 30조 원 이상을 벌고 있는데, 쉽게 개인정보 수집을 포기하진 않을 거예요. |
|
|
고객 개인정보 6만 9천 원에 판매한 토스(toss), 위법 여부 논란
송금 수수료 무료의 시대를 연 토스가 고객의 개인정보를 보험 설계사에게 돈을 받고 판매한 사실이 드러나 논란이에요. 이슈에 대한 입장을 살펴보면:
- 이용자: 내 개인정보인데 왜 토스가 돈을 받아? 보험 상담받으려고 내 정보를 알려준 거지, 토스가 돈 벌라고 준 건 아니야.
- 토스: 보험 상담을 받고 싶다는 고객의 정보만 보험설계사들에게 제공한거야. 원칙을 지켜서 동의받았으니까 문제 없어.
정말 문제가 없는 거 맞아요?
- 토스는 2020년 8월부터 ‘토스보험파트너’를 통해 토스 유저와 보험 설계사를 연결해 주는 보험 상담 서비스를 운영해왔어요. 원래 무료이던 서비스가 유료로 전환되면서, 설계사가 서비스를 이용하기 위해 지불해야 했던 돈이 6만 9천 원이었던거죠.
- 유저는 정보를 제공하는 대신 무료로 전문가 상담을 받을 수 있고, 보험설계사는 편리하게 고객을 소개받을 수 있었던 거예요. 즉, 토스는 중개인처럼 보험 상담을 원하는 유저의 정보를 설계사에게 제공하고 수수료를 받았을 뿐인데, 매우 억울하다고.
합법이지만, 그럼에도 불구하고
개인정보의 제공이 유료로 이루어지고 있다는 점을 안내하지 않은 건 사실이에요. 법적으로는 유료로 제공된다는 점까지 안내할 필요는 없지만, 토스는 고객들의 의견을 반영해 이러한 점을 보완하겠다고 했어요. 고객의 정보는 안전하게 보호되어 제공되지만, 여전히 인식은 좋지 않은 게 사실이죠. 고객의 정보를 제3자에게 제공하는 것은 명백한 판매라는 입장과 업계에선 문제될 것이 없는 공공연한 일이라는 입장 차이를 명백히 보여주는 이슈였어요. |
|
|
스타트업에 부과된 역대 최대 과징금, 발란(BALLAN)
발란이 해킹으로 인한 고객 개인정보 유출건으로 개인정보보호위원회로부터 과징금과 과태료를 부과받았어요. 금액은 총 5억 2천7백만원으로, 지금까지 스타트업이 개인정보위로부터 부과받은 과징금 금액 중 가장 높다고.
털린 건 기업인데, 기업이 피해자 아닌가요
해킹당한 것도 억울한데, 과징금까지 내라고? 단순 해킹 때문에 과징금이 내려진 건 아니에요. 발란이 잘못한 점을 살펴보면 :
- 안전조치 미흡: 미사용 관리자 계정을 삭제하지 않았고(이 계정으로 해킹이 발생), 개인정보처리시스템에 접근하는 IP주소를 제한하지 않았어요.
- 재유출: 3월 해킹이 발생한 이후, 4월에 또다시 해킹이 발생했는데, 발란은 이 사실을 제대로 공지하지 않았어요.
- 잘못된 통지: 정보가 유출된 항목과 시점을 정확히 알려주지 않았어요.
- 소셜 로그인 기능 오류: 식별정보가 중복되어 다른 사람의 정보가 고스란히 유출됐어요.
시리즈C 투자 유치를 앞두고 악재가 계속되고 있는 발란은 과징금 처분을 엄중히 받아들이겠다는 입장이에요. |
|
|
개인정보위, 법무부 AI 식별・추적 사업 조사 결과 발표 ··· 논란은 여전히
법무부가 주관한, 출입국 심사에 사용될 'AI 식별추적 시스템' 개발 사업에서 개인정보 보호법을 위반했다는 논란이 있었는데요, 개인정보보호위원회가 조사 후 '위법하지 않다'고 발표했어요. AI 알고리즘 학습에 활용한 정보는 민감 정보임에도 별도로 동의를 받지 않았다는 주장에 대해, 출입국관리법에 근거를 둔 목적범위 내 이용에 해당한다고 본 거예요. 위탁계약을 체결하며 알려야 하는 정보를 공개하지 않은 것에 대해서만 과태료 100만 원을 부과한거죠. 그래서 ‘사실상 면죄부다’, ‘부실 조사다’라는 의견도 많아요. 감사원에서도 현재 조사 중이라 하니, 결과를 기다려봐야겠어요. |
|
|
스타트업을 겨냥한 해킹 공격 지속, 개인정보 유출 주의
- 브랜디: 해커가 AWS 관리자 접근 권한을 탈취해 639만 명의 개인정보가 유출되었어요.
- 골드스푼: 13만 명의 민감정보가 해킹된 후 해커로부터 합의금 요구 협박을 받기도 했어요.
- 밀리의 서재: 최근 3년 동안 2차례의 해킹 피해를 겪었어요.
- 2019년, 11만 7800명 개인정보 유출
- 2022년, 1만 3182명의 개인정보 유출
|
|
|
서울대병원, 81만 명 개인정보 유출
작년 6월, 서울대병원에서 개인정보가 유출된 사건을 수사하던 중, 개인정보 유출 피해자가 2만 명이 아니라 81만 명일 수 있다는 정황이 드러났어요. 이에 서울대병원은 해당 환자들에게 우편으로 안내문을 발송했다고 해요. (하지만 환자 개인 질병에 관한 민감한 정보가 유출되었는데 1년이 지나서야 안내되어, 너무 늦어버렸어요😥) 아직 경찰 수사가 진행 중이어서, 피해 범위는 더 커질 수도 있다고. |
|
|
개인정보 수집·이용 동의서, 처리방침 안내서 개정
개인정보보호위원회에서 동의서와 개인정보 처리방침 작성지침을 개정했어요. 주요 사항으로는 '중요한 내용은 강조 표기', '국외 이전·만 14세 미만 아동의 정보 처리·행태정보 등 별도의 조항으로 자세히 안내', '처리방침 변경 시에는 변경 전·후를 비교하여 공개' 등의 내용이 있어요.
지키긴 지켜야 하는데… 어떻게 해야 할지 모르겠다면? 👉 레터 하단의 서비스 소개글을 주목! |
|
|
한국-영국 GDPR 적정성 결정 합의
빠르면 올해 안에 영국 고객의 데이터를 국내에서 쉽게 활용할 수 있어요. 영국과의 개인정보보호 적정성 결정이 합의되었기 때문이랍니다. 영국에서 사업을 하려면 높은 비용과 긴 시간을 들여 승인을 받아야만 했는데, 이럴 필요가 없어진 거예요. EU GDPR 적정성 결정과는 다르게 금융데이터도 활용할 수 있어요!
|
|
|
한국, APEC CBPR 인증 제도 도입
우리나라가 CBPR 인증 제도를 도입함에 따라, 이제 개인정보보호에 대한 국제인증을 해외에서 받을 필요 없이 국내에서 편리하게 받을 수 있어요. 특히, 일본과 싱가포르는 CBPR 인증기업에 대해 별도의 조치 없이도 데이터 국외 이전을 허용하고 있어, 두 국가에서 사업 중이라면 인증받는 것을 추천드려요. 인증심사는 KISA에서 신청하실 수 있어요! |
|
|
개인정보위, 5개 분야 마이데이터 표준화 추진
어플 하나에서 여러 개 은행 계좌의 잔액을 편리하게 확인하고, 심지어 주식 현황까지 볼 수 있다?! 올해 1월 5일부터 시행된 마이데이터 사업 덕분인데요. 이러한 서비스를 다른 분야에도 확대하기 위해 개인정보보호위원회가 계획을 발표했어요. 먼저 표준화가 추진될 분야는 정보통신, 교육, 유통, 문화·여가, 국토·교통으로, 실생활과 밀접한 분야 5개예요. |
|
|
🌈 개인정보 처리방침 업데이트, 동의서 작성 때문에 고민하고 있다면? |
|
|
개인정보 수집 및 이용현황을 관리하는 것에서부터 동의서와 개인정보 처리방침 등 개인정보 필수 문서를 만드는 것을 도와주는, '플립' 서비스를 소개합니다. 회사에서 처리하는 개인정보 현황(수집·이용·제공·위탁)만 입력해두면, 처리방침과 동의서가 간편하게 생성됩니다👀 |
|
|
|
