1. 네이버 개인정보보호 리포트
- 네이버는 2012년부터 개인정보 보호 활동을 엮어 '네이버 개인정보보호 리포트' 발행 [1]
> 2015년부터 '이용자 프라이버시 보호'에 대한 전문 연구 수행결과를 모아 'Privacy Whitepaper' 발행
| 구분 | 목차 | 주요 내용 |
| 2023 개인정보보호 리포트 |
환경의 변화 | ① 개정 개인정보보호법 시행 ② 생성형 AI의 대중화 및 인공지능 규제 움직임 ③ 네이버 대화형 AI 서비스 및 생성형 AI 검색 서비스 신규 출시 ④ 데이터센터 오픈 |
| 네이버 개인정보 보호 주요 활동 및 이슈 |
① 변화 대응 - 국내 개보법 개정 대응 : 법 개정에 따른 영향 검토 및 관련 내용 내부 전파 > 개정에 따른 개인정보보호 체계 정비 및 방향성 검토 > 사내 임직원 교육 및 공지 진행 - CLOVA X 서비스 출시 점검 : 인공지능 도입 전 점검표 기반 사전 점검 진행 > 서비스 기획 및 설계 과정에서 개인정보 영향평가 진행 > 인공지능 개인정보보호 자율점검표 기반 개인정보보호 이슈 검토 ② 투명성 강화 - 아동, 청소년 개인정보 보호 강화 : 아동 개인정보 보호 투명성 강화 목적 > 아동을 위한 개인정보 보호 교육 영상 제작 > 아동용 개인정보 처리방침 제작 > 네이버 프라이버시센터 '아동 개인정보보호' 메뉴 신설 - 모바일 애플리케이션 프라이버시 보호 현황 공개 : 이용자 최신 정보 분기별 공개 > 이용자 신뢰 및 투명성 강화 ③ 인식 강화 - 정보보호의 달 릴레이 교육 실시 : 이용자 및 종소상공인 등 대상 교육 실시 > 소상공인 대상 개인정보 보호 교육 / NAVER PER 제도 / EU GDPR 교육 - 네이버 임직원 대상 개인정보보호 교육 실시 : 개인정보 보호 중요성 강조 ④ 보호 활동 - 네이버 개인정보보호 위원회 제9기 위촉 : 개인정보보호 최고 전문가들로 구성 > 위촉 및 활동 결과 공개 - 네이버 1784 사옥 개인정보 처리 현황 확인 : 신기술 도입에 따른 개인정보 보호 이슈 대응 |
2. Privacy Whitepaper
2.1 자동화된 결정 규정의 해석과 바람직한 운영 및 개선방안
- 자동화된 결정: 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하여 이루어지는 결정 (개보법)
- 프로파일링: 자연인의 개인적인 특정 측면을 평가하기 위하여 행해지는 모든 형태의 자동화된 개인정보 처리 (GDPR)
> 인간의 존엄성, 프라이버시와 자유, 민주주의, 공정성 문제
> 문제를 어떻게 해결할 것인가: 개보법제, 차별금지법제, 인공지능 규제 법제, 행정 법제
> 여러 상황, 맥락 등에 따라 다양한 한계가 존재
- 자동화된 결정에 대한 대응권 규정의 해석 비교
> 거부권의 요건 강화
> 거부권의 법적 성격이 정보주체의 권리임을 명확히 함 등
| 구분 | 법제 | 주요내용 |
| 거부권 | GDPR | - 자동화된 결정의 적용을 받지 않을 권리(제22조 제1항) > 요건: 자동화된 처리에만 기초한 결정이며, 정보주체에게 법적 효력을 초래하거나 유사하게 중대한 영향을 미칠 것 > 예외: 계약 체결 또는 이행, 법규제, 명시적 동의 |
| 개정 개인정보보호법 |
- 권리의 창설 > 요건: 자동화된 결정이 존재하며, 정보주체의 권리 또는 의무에 중대한 영향 끼침 > 예외: 계약 체결 또는 이행, 법규제, 명시적 동의 > 문제점: 거부와 설명요구의 효과를 함께 규정하여 불명확함. |
|
| 설명요구권 | GDPR | > 요건 : 제22조의 자동화된 결정 / 본인에 관한 법적 효과를 초래하거나 이와 유사하게 본인에게 중대한 영향 미쳐야 함 |
| 개정 개인정보보호법 |
> 자동화된 결정에 대한 대응권에 속하는 별도의 권리 > 요건: 정보주체에 대한 자동화된 결정의 존재 (정보주체의 권리 또는 의무에 중대한 영향 요건 누락) |
- 개선방안
| 구분 | 주요내용 |
| 명확성의 제고 | - 거부권 행사의 효과를 명확히 규정 - 개인정보처리자의 면책 사유로서의 정당한 사유를 구체화 - ‘정보주체의 권리 또는 의무에 중대한 영향을 미칠 것’을 요건으로 함으로써 설명요구권의 요건을 강화 등 |
| 절차적ㆍ수단적 규제로서의 특성 고려 | - 과도한 제재가 가해지지 않도록 운용 |
| 상황과 맥락의 고려 | - 공적 영역과 사적 영역의 차이 - 당사자들의 이익형량을 고려 |
| 기술적 한계의 고려 | - 설명이 사회관념상 기술적으로 불가능한 경우 위법하다고 할 수 없음 - 블랙박스(black box) 문제: 인공지능에 의한 판단이나 결정의 근거나 과정에 대한 적절한 설명이 없는 상태 - 상충관계의 문제 - 공정성 지표의 문제 |
| 자율적 접근과 후견적 접근의 조화 | - 자율적 접근방식의 채택이 보다 합리적 - 후견적 접근방식에 의한 보완 - 자율규제의 활용 |
2.2 개인정보의 제3자 제공을 둘러싼 몇 가지 쟁점에 대하여
- 개인정보보호법의 제3자 제공에 관한 규정
> 수집, 이용에 관한 제15조, 제3자 제공에 관한 제17조
> 목적 외 이용 및 목적 외 제공에 관한 제18조가 병렬적으로 나열되어 혼란 유발
> 체적으로 ‘처리’에 관한 규정으로 통합 or 법 제17조와 제18조를 통합하는 방안 고려 필요
- 제3자 제공 관련 해외 법제 개요
| 구분 | 주요 내용 |
| 일본 | - 동의를 받지 않은 경우에는 개인데이터를 제3자 제공할 수 없음을 원칙으로 규정 - 우리나라의 경우보다 동의 없이 제3자 제공을 할 수 있는 경우가 훨씬 완화 - 제3자 제공을 위한 고지 사항이 다소 포괄적으로 설정되어 있으며, 동의의 방식도 포괄적으로 인정 - 동의 원칙을 완화한 대신 사업자의 기록 보존 의무를 명시 - Opt-put 사업자 제도를 두어 개인정보 보호위원회에 신고하고 일정한 사항을 공개한 경우에는 동의 없이 제3자 제공이 가능 - 그 외 제3자 제외 간주 조항을 두어 위탁, 합병, 공동 이용의 경우 제3자 제공의 원칙들이 적용되지 않도록 함 |
| GDPR | - 제3자 제공에 대하여 처리에 포함하여 수집과 함께 포괄적으로 규정 - 원칙은 고지와 그에 따른 동의이며,그 이외의 다른 적법 처리 근거들이 병렬적으로 제시 - 위탁의 경우 컨트롤러와 프로세서 간에 일정한 사항을 포함하는 서면 계약을 체결할 것을 요구 - 공동 컨트롤러 사이에는 계약과 그 계약 내용의 공개를 통하여 공동 컨트롤러 간의 개인정보 이전에 대하여 동의 등 적법 처리근거 없이 공동 컨트롤러로서 처리가 가능 |
- 개인정보보호법상 관련 규정 검토
| 구분 | 주요 내용 |
| 제3자 제공 관련 규정에 대한 검토 | - 제공은 개인정보의 지배권과 관리권을 이전한다는 의미로 표준 개인정보지침은 개인정보의 접근권한 부여, 공유, 공동 이용상태를 초래하는 행위를 모두 포함 |
| 제3자 제공과 위탁의 구분 | - 정보주체와의 관계에서 ‘책임’을 누가 지는 것으로 하였는가를 기준으로 하여야 한다는 책임기준설이 제시 |
| 공동 이용에 따른 처리에 대하여 별도 입법의 필요성 | - 공동 이용: 업무-이익기준설의 관점에서 복수의 개인정보처리자 간에 공동의 목적과 이익을 위하여 개인정보를 처리하는 경우를 의미 - GDPR ‘공동 컨트롤러(Joint Controllers)’ 개념, 일본 공동 이용제도 등 - 공동 이용제도에 대하여 국내 법상 논의는 활발하지 않음 |
3. 기타
- 경제성, 예측 가능성에 비추어 현재 제시된 법률의 내용 보강 필요
- 개인정보 활용을 위한 법제에 비해 시장에서 데이터 활용에 대한 활성화가 이루어지지 않음
> 여러 규제(EU AI Act 등)가 개보법에 포함되며 활용이 제약될 수 있음
- 제3자 제공, 공동 이용 등의 모호성의 명확화
> 계약 사항 이행을 위해 필요한 부분들이 별도 규정되어 있음
> 계약 사항 이행 목적임에도 재동의 필요
> 공동 이용시 책임소재 명확화 필요
> 제3자 제공 관련 최초 이관자의 의도 파악이 중요
- 현재 동의 받는 방식의 습관화와 개인정보 보호의 관련성 고려 필요
- 알고리즘 통제자와 개인정보처리자의 불일치 문제의 해결 필요
- 개인정보처리자의 재량이나 판단 기준에 대해 해설서에 충분한 반영 필요
- 권리 행사의 예외가 되는 정당한 사유에 대한 구체화
※ 부족한 내용은 참고사이트 확인 바랍니다.
4. 참고
[1] https://privacy.naver.com/protection_activity/personal_information_report?menu=protection_activity_report_personal_information
[2] https://privacy.naver.com/protection_activity/privacy_white_paper?menu=protection_activity_report_privacy_whitepaper
'대외활동' 카테고리의 다른 글
| RSAC2024 글로벌보안트렌드 (0) | 2024.06.13 |
|---|---|
| 2024 상반기 침해사고 정보공유 세미나 (0) | 2024.06.11 |
| 소프트웨이브 2023 (0) | 2023.11.30 |
| 제로트러스트 가이드라인과 성공적 구현 방안 (0) | 2023.10.12 |
| 제7회 금융보안원 논문공모전 (0) | 2023.09.01 |