[개인정보보호] Privacy 2020 백서에 반영된 개인정보침해 위험과 개인정보 강화기술 리뷰 (2020.02)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호] Privacy 2020 백서에 반영된 개인정보침해 위험과 개인정보 강화기술 리뷰 (2020.02) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : Privacy 2020 백서에 반영된 개인정보침해 위험과 개인정보 강화기술 리뷰

○ 발행일 : 2020년 02월

○ 주관부처 : 한국인터넷진흥원

---

[개요]

○ 배경

개인정보보호 전문 싱크탱크 조직인 FPF(Future of Privacy Forum)는 향후 10년 동안의 개인정보보호 문제 이해를 위한 백서(Privacy 2020 : 10 Privacy Risks and 10 Privacy Enhancing Technologies to Watch in the Next Decade)를 발간

• FPF는 개인정보보호 관련 정책, 시스템, 법률이 미치는 영향과 문제해결 방법에 대해 평가하고 새로운 디지털 제품 및 서비스를 위한 지침을 제공하기 위해서는 기업 임원들과 NGO 지도자, 정책 결정자 등이 주요 신기술에 대한 기본적인 이해를 갖출필요가 있음을 강조함
• 이를 위해 동 백서에서는 ① 복잡한 개인정보보호 문제를 야기할 수 있는 10가지 기술에 대해 설명한 후 ② 효과적인 데이터 관리 및 개인정보보호 환경 개선에 기여할 수 있는 10가지 개인정보보호 강화 기술(Privacy Enhancing Technologies, PET)에 대해 설명함
• FPF는 동 백서에 대한 후속 작업으로 Privacy Tech Alliance와 협업을 통해 개인정보보호를 위한 법률·기술·정책 도구 및 관련 시장에 보고서를 준비 중
• 본 보고서에서는 백서 자체에 대한 검토는 물론 추후 보고서 이해를 위한 토대를 제공하기 위해 PFP의 백서에 제시된 10가지 신기술과 PET에 대한 주요 내용 및 시사점을 정리

---

(배포용) 월간 FPF의 Privacy 2020 백서에 반영된 개인정보침해 위험과 개인정보강화기술 리뷰(2020.02).pdf

0.33MB

Privacy 2020 백서에 반영된 개인정보침해 위험과 개인정보 강화기술 리뷰 (2020.02)

---

[향후 10년간 주목해야 할 10가지 신기술과 개인정보보호 리스크]

○ 인간의 신체·건강·사회적 상호작용 관련 기술 분야의 혁신

(생체인식 스캐닝 : Biometric Scanning)

• (개념) 개인 식별 및 개인 속성에 대한 추론을 목적으로 기계학습 시스템 · 기술 · 알고리즘을 사용하여 개인의 고유한 생체적 특징을 수집
• (활용) 키보드와 화면에 의존하던 기존의 그래픽유저인터페이스(GUI) 단계를 넘어 사용자의 음성과 생체정보를 바탕으로 상호작용이 이루어지는 새로운 UI(User Interface) 단계로 전환
• 예컨대 음성인식, 얼굴인식, 동작 및 기타 신체 움직임에 대한 인식 생리적 변화와 잠재적 유전자 정보에 대한 인식 등이 해당
• (개인정보보호 이슈) 화면 또는 수동 입력장치가 없는 상태에서도 기존의 데이터 보호 및 개인정보보호 원칙을 적용할 수 있는 방법에 대한 평가가 필요
• (제언) 생체인식 스캐닝 기술을 구축 · 판매 · 배포하는 조직은 이 기술을 이용한 개인 식별 시 편향성 유발 가능성이 있음을 고려해야 하며, 생체인식 기반의 보안 시스템에서는 메이크업의 · 의상 · 각종 신체 부착용 기기에 의한 생체정보 위장(Biometric Camoulfage) 가능성을 경계할 것을 권고

○ RWE(Real World Evidence)

• (개념) 모바일 장치, 전자의무기록, 의료비 청구 자료, 기타 환자 생성 데이터를 바탕으로 의약품 또는 의료 장치의 안전성과 효과를 평가하는 것으로, 잠재적 효능(Benefit)과 위험성(RISK)에 대한 근거를 확보
• (활용) 미 FDA는 의약품 시판 후 안전성 및 이상반응에 대한 모니터링 및 규제 관련 결정 시 RWE를 활용하고 있으며, 제약회사들은 RWE를 통해 임상시험을 보완하는 등 전통적인 임상시험 결과와 RWE를 함께 활용하는 하이브리드 방식 확산
• (개인정보보호 이슈) 다양한 채널을 통해 RWE로 수집된 데이터 세트 중에는 HIPAA2(Health Insruance Portability and Accountability)에 의해 보호되지 않는 데이터가 포함될 수 있음
• (제언) HIPPA가 적용되지 않는 데이터도 함께 보호하고 이 같은 데이터가 정보주체에게 유리하게 사용될 수 있도록 규제 기구 및 조직은 법적 보호 장치 및 실행 가능한 약속을 제시하도록 권고

○ 사회적 신용 및 평판 점수 시스템(Social Credit and Reputation Scoring Systems)

• (개념) 소셜 미디어 및 웹 게시물을 통해 수집한 행동 데이터를 기반으로, 개인의 온라인 활동 상황과 속성 등에 대해 알고리즘을 통해 자동화된 방식으로 점수 또는 등급을 부여
• (활용) 분석 결과 및 점수를 기준으로 개인의 특성을 추론하여 특정 제품 및 서비스의 이용 범위와 가격 등을 설정하여 맞춤화된 추천 내용을 제시
• (개인정보보호 이슈) 다양한 서비스와 플랫폼을 포함한 광범위한 정보원(Sourece)을 통해 예상치 못했던 개인 데이터까지 광범위하게 수집될 수 있으며, 이로 인해 해당 개인 및 그와 계약을 체결하는 당사자 모두에게 개인정보보호 관련 문제가 발생할 수 있으므로 신중한 점검이 필요
• (제언) FCRA(Fair Credit Reporting Act)와 같은 전통적인 신용평가법규를 통해 새로운 개인 평가 시스템에 대한 감독이나 투명성 확보가 이루어지지 않는 경우, 이러한 시스템을 설계 및 배포하는 조직들은 공정성, 알고리즘의 투명성, 책임성과 같은 핵심 과제를 해결 요구에 직면할 것으로 전망

○ IoB(Internet of Bodies)와 BMI(Brain-Machine Interface)

• (개념) IoT가 인터넷에 연결된 다양한 기기들의 네트워크를 나타내는 것처럼, IoB는 의료 및 생체 측정 기기들의 네트워크를 나타내며, BMI(Brain-Machine Interface)는 사람들이 생각만으로 기기와 통신하고 제어할 수 있도록 하는 컴퓨터 인터페이스
• 예컨대 스마트워치와 같은 웨어러블 기기, 스마트 콘택트렌즈, 블루투스가 지원되는 스마트 알약, WiFi 연결이 되는 심박조율기(Pacemaker) 등이 대표적인 사례
• (활용) BMI를 통해 뇌졸증과 마비 환자들의 일상생활을 지원하고, 자율주행 차량에 뇌-차량 인터페이스(Brain-to-vehicle interfaces)를 적용할 수 있으며, 상업 영역에서는 fMRI, EEG, 시선추적기술, 얼굴인식 등을 활용한 일명 '뉴로 마케팅(neuro marketing)'을 도입하고, 유사한 특성과 가능성을 가진 개인들을 기준으로 시장 세그먼트를 새롭게 구분
• (개인정보보호 이슈) 악의적인 행위자가 생체 이식용 의료기기에 대한 해킹을 통해 뇌파나 생체 신호를 제어하고 환자의 반응 정보를 가로채는 '브레인 재킹(brain-jacking)' 등 심각한 개인정보 침해 및 보안 문제 발생
• IoB 장치에 의해 생성된 생체 데이터에 대한 접근권한, 해킹 위험 완화 방안, 기존의 법적 프레임워크 적용 방식, 기기의 취약점과 오작동 및 위반사항에 대한 책임 소재 등 법률 · 윤리 · 보안과 관련한 다양한 문제를 야기
• 취약점 · 오작동 · 위반사항에 대한 규제 가이드라인을 검토하는 경우, 관계 기관의 지침 내용이 구체적인 이용 맥락에 따라 달라질 수 있음
• (제언) 개인정보보호와 보안 문제를 넘어 윤리적 검토가 요구되며, IoB와 BMI를 통해 수집된 신경 기반의 개인정보와 데이터(neural information and data)를 보호하기 위한 표준과 지침이 필요

---

[목차]

Ⅰ. 개요

Ⅱ. 향후 10년간 주목해야 할 10가지 신기술과 개인정보보호 리스크

• (1) 인간의 신체 · 건강 · 사회적 상호작용 관련 기술 분야의 혁신
• (2) 사회적 생산기반 분야의 혁신
• (3) 컴퓨팅 분야의 혁신

Ⅲ. 향후 10년간 주목해야 할 10가지 개인정보보호 강화기술(PET) 및 트랜드

• (1) 첨단 암호화 기법(Advances in Cryptography)
• (2) 로컬 단위의 데이터 처리(Localization of Processing)
• (3) 인공지능 및 머신러닝의 발전

Ⅳ. 결론 및 시사점