개인정보보호위원회가 올해 조사업무 추진 방향을 발표했어요. 중점 점검 조사 분야를 따로 언급했지만, 사실상 대부분의 온라인 서비스가 타깃이 될 것으로 보여요. 좀 더 자세히 알아보자면👇
공공부문 주요 정보시스템
N번방, 신당역 살인사건부터 스토킹, 협박 문자 발송까지 공공기관에서 유출된 개인정보를 이용한 범죄가 끊이지 않았는데요. 이를 막기 위해 주민등록번호와 같은 민감정보를 다루는 1,515개를 시작으로 1만 개의 공공 시스템을 집중 점검한다고 해요. 개인정보를 볼 수 있는 권한을 엄격하게 나누고, 접속 기록을 잘 관리하고 있는지 등 기술적·관리적 안전조치를 잘 지키고 있는지 확인할 예정입니다.
다크패턴 등 온라인 서비스 7개 분야
•다크패턴: 다크패턴을 이용한 권리 침해 여부에 대해 생활과 밀접한 온라인 서비스 4대 분야 중 이용률이 높은 100개를 우선적으로 점검할 예정이에요.
•애드테크: 쿠키를 활용하여 행태정보를 수집해 맞춤형 광고에 활용하는 사업자들을 대상으로 점검에 들어가요. 쿠키는 그 자체만으로는 개인을 식별하기 어려워도, 다른 정보와 결합된다면 모든 온라인 활동 기록을 추적하고 식별할 수 있기 때문에 사용자의 동의 없이 함부로 활용해서는 안 되거든요.
•API 제공사업자: API 서비스의 개인정보 처리 과정을 점검할 예정으로, 통합계정·소셜로그인 서비스를 우선적으로 조사할 예정이라고 해요.
•비대면 플랫폼 서비스: 코로나19로 인해 비대면 서비스가 급증하였는데요. 회원가입 단계의 동의 절차와 안전조치 준수 여부에 대해 조사할 예정이에요. 의료, 교육, 화상회의 분야를 먼저 순차적으로 조사한다고 해요.
•슈퍼앱: 슈퍼앱은 하나의 앱에서 여러 서비스를 함께 제공하는 걸 말해요. (ex. 카카오, 토스) 다른 서비스로의 접근 및 전환이 쉽기 때문에(카카오톡 → 카카오페이), 개인정보 수집 동의 절차와 개인정보 최소 수집의 원칙을 잘 지키고 있는지 점검할 예정이에요.
•스마트 기기: 웨어러블 워치, AI 음성 인식 기기 등 스마트 기기를 통해서 행태정보 외에도 건강 정보와 같은 민감정보가 수집될 수 있어 사업자의 주의가 필요해요. 스마트 기기를 통해 처리되는 개인정보 현황을 파악할 예정이라고 합니다.
•대형 수탁사 및 솔루션 제공사업자: 개인정보 보호법 2차 개정안이 통과되면 법률을 위반한 수탁자의 처분도 가능해져요. 수탁 기업은 위탁받은 대량의 개인정보를 보유하고 있는 경우가 많아 관리가 중요하지만, 지금까지는 제재 규정이 없어 처벌이 어려웠어요. 개정안 통과를 앞두고 고객센터, 솔루션 제공 사업자 등 수탁 기업의 개인정보 관리 현황에 대해 본격 점검을 시작한다고 해요.
개인정보 보호 취약 분야
•아동 개인정보: 아동은 직접적으로 권리 행사가 어렵기 때문에 더욱 주의가 필요한데요. 14세 미만 아동을 대상으로 하는 서비스에 대해 법정대리인 동의 여부 등을 조사할 예정이에요.
•국외 이전: AWS나 GCP 같은 클라우드에 데이터 보관을 하고 계시나요? 사용하시는 리전이 한국인지, 해외인지 확인해 보세요. 해외 리전을 사용 중이라면, 추가적인 절차와 안전 관리가 필요하답니다. 이용자 수가 많은 앱들부터 순차적으로 조사에 들어갈 예정이라고 해요.
•국내 대리인: 작년 메타의 개인정보 처리방침 개정 강제 동의를 기억하시나요? 사실 조사 과정에서 메타 국내 대리인과의 연락이 되지 않아 개보위가 큰 어려움을 겪었었는데요. 페이퍼컴퍼니 지정 등 글로벌 사업자의 국내 대리인 운영 실태를 조사하겠다고 해요.