개인 식별 가능 정보

링크 추가
위키백과, 우리 모두의 백과사전.

개인 식별 가능 정보의 수집은 법적 및 불법 애플리케이션 모두에 대해 개인을 식별하는 데 사용할 수 있는 공공 및 민간 개인 데이터를 수집하는 관행이다. PII 소유주들은 흔히 PII 수집을 협박과 사생활 침해로 본다. 한편, 정보기술 기업, 정부, 조직과 같은 기업들은 소비자 쇼핑 행태, 정치적 선호도, 개인적 관심사에 대한 데이터 분석을 위해 PII를 이용한다.[1]

새로운 정보 기술의 발달로 PII는 이전보다 접속과 공유가 쉬워졌다. 스마트폰과 소셜 미디어의 사용은 PII 수집의 광범위한 사용에 기여했다. PII는 언제 어디서나 수집된다. 개인 데이터의 보급은 PII 수집을 뜨거운 논쟁거리로 만든다.[2]

케임브리지 분석가와 같은 데이터 수집 회사들이 페이스북에서 8천7백만 명의 사용자들을 대상으로 한 최근 불법적인 PII 수집은 프라이버시 침해에 대한 우려가 커지고 있으며 보다 포괄적인 데이터 보호 법을 다시 요구하고 있다. Equifax, Target, Yahoo, Home Depot 및 미국 인사관리국의 주요 보안 위반은 수백만 명의 미국인의 개인 및 금융 정보에 영향을 미쳤으며, 기업 및 정부 기관의 PII 데이터 보호와 정보 보안 강화에 대한 요구도 있었다.[3]

정의[편집]

PII 수집에 대한 정확한 정의는 없다. 미국 국립표준기술원(NIST)에 따르면 PII는 다음과 같이 정의된다.

  1. 이름, 사회 보장 번호, 생년월일과 장소, 어머니의 처녀 이름 또는 생체 기록과 같은 개인의 신원을 구별하거나 추적하는 데 사용할 수 있는 정보 및
  2. 의료, 교육, 재정 및 고용 정보와 같이 개인과 연결되거나 연결 가능한 기타 정보.

PII 수집은 이 데이터를 수집, 조직, 조작, 분석, 교환 또는 공유하는 모든 활동이다.

수집가[편집]

정부[편집]

정부는 공공연히 PII를 수집하여 사회 서비스의 개선 및 법적 의무 이행과 같은 사회적 및 법적 편익을 확대한다.[4][5]

PII 수집은 민주적이거나 권위주의적인 것과 같은 한 나라의 정부 원형에 따라 다른 방법으로 행해진다. 그럼에도 불구하고, 국가들은 아래의 예에서 입증된 바와 같이 PII 수집과 유사한 목표를 공유한다.[6]

미국[편집]

미국에서는 지원 신청, 재산 등록, 세금 신고, 선택적 서비스 등록, 운전면허 신청, 정부 고용, 전문 면허증, 기타 자발적이고 의무적인 정보 제출을 통해 PII가 수집된다. PII는 정부, 부서, 기관, 비정부기구 및 대중 사이에 저장, 접근 및 공유된다.[7] 예를 들어, 잠재적 주택 구매자는 부동산 중개업자의 면허 여부를 조회할 수 있다. 정부는 또한 범죄 예방과 국가 안보를 위해 PII를 수집한다. 많은 프로그램들이 미국 대중들 사이에서 크게 논란이 되고 있다. 예를 들어, 국가안전보위부(NSA)는 많은 사람들로부터 잠재적인 위협을 밝혀내기 위해 전화, 이메일, 소셜 미디어 상호작용을 포함한 PII를 수집하고 분석한다.[8]

중국[편집]

중국 정부는 빅데이터를 거버넌스 전략의 일부로 만들었다. 목표는 디지털 기술의 사용을 통해 보다 효율적이고 투명한 정부다. 정부는 지구상에서 기술적으로 가장 발전된 감시 네트워크 중 하나인 "스카이넷(Skynet)"을 구현했다. 이 시스템은 얼굴 인식을 포함한 인공지능을 채택한다. 전국의 거의 모든 공공 공간을 커버하기 위해 2천만 대의 카메라가 설치되었다.[9] 중국의 PII 보호는 민간 기업 및 단체에 의한 수집을 다룬다. PII의 수집, 수집, 분석에 대한 정부의 관여를 제한하는 것에 대한 논의나 제안이 없었다.[10]

핀란드[편집]

서구 민주주의 체제에서도 PII 수집에는 서로 다른 제약이 있다. 유럽 연합의 국가들은 미국보다 PII 수집에 대해 더 엄격한 규정을 채택하고 있다.[11] 비슷하게, 핀란드의 개인 데이터 처리는 포괄적인 규정과 법률에 따라 보호되었다. 1999년의 개인정보보호법은 1995년의 유럽 연합 데이터 보호 명령과 함께 국가 프라이버시 규제의 주요였다. 핀란드에서 제정된 그 밖의 데이터 규정으로는 전자통신의 프라이버시 보호에 관한 법률, 직장생활에서의 프라이버시 보호에 관한 법률, 정부 활동의 개방성에 관한 법률 등이 있다. 개인정보보호법은 2018년 5월부터 시행되는 유럽연합(EU) 일반데이터보호규제(GDPR)로 대체됐다. 핀란드 병원이 개인정보를 보호하지 못했다는 유럽인권재판소의 판결이 나온 후 최근 몇 년 동안 개인정보 보호규정의 시행이 더욱 엄격해졌다.[12]

회사들[편집]

인터넷과 모바일 기술의 급속한 성장과 발전으로, 민간 기업들은 이전보다 더 빠르고 효과적으로 개인 데이터를 수집할 수 있게 되었다. 회사들은 사용자가 신규 계정을 등록할 때 프로필 정보를 저장하고, 사용자의 위치를 추적하며, 사용자의 로컬 저장소를 추적하며, 쿠키와 기타 익명 식별자를 사용하여 PII를 수집한다.[13]

정보 브로커로도 알려진 데이터 브로커는 개인 데이터의 수집, 변환, 포장 및 판매의 주요 딜러다.[14] 그들은 이러한 자원으로부터 PII를 수집한다: 1) 정부 문서와 기록, 예를 들어 등록 정보, 범죄 기록. 2) 공개 가능한 출처: 소셜 미디어, 블로그, 인터넷 웹사이트 포함. 예를 들어, 페이스북 사용자들은 종종 그들의 개인 정보를 온라인에 올리고 그들이 선호하는 링크를 공유한다. 사이트에서는 필요에 따라 사용자의 실체로 등록해야 하므로, 데이터 브로커가 개인의 성격과 선호도를 저장하고 분석할 수 있는 기회를 제공한다.[15] 3) 사용자가 자신의 개인 프로필에 기꺼이 또는 때로는 자신도 모르게 액세스할 수 있는 승인된 회사, 기업 또는 서비스. 마찬가지로, 온라인 사용자들은 종종 웹사이트에 계정을 등록하기 위해 PII를 제공하도록 요청 받는다. 그런 다음, 웹 사이트는 사용자에게 매번 비밀번호를 입력할 필요가 없고 개인 광고에 더 효과적이 되는 등 데이터 수집과 데이터 저장의 이점에 대해 알려준다. 그러나 이러한 승인 기업들은 수집되어 데이터 브로커에게 저장되는 PII를 판매할 것이며 대부분 사용자의 지식이나 동의 없이 판매할 것이다.[16] Facebook과 Cambridge Analytica 데이터 위반이 그 예다. 케임브리지 분석가는 페이스북의 "연락"과 장소와 같은 잠재적 유권자의 활동에서 성격 특성을 추적했고, 이 개인 정보를 투표 행태를 예측하는 데 사용했다. 케임브리지 분석가는 8천 7백만 명 이상의 사용자 PII를 취득했다. 약 27만 명만이 학술적 사용에 동의하는 반면, 다른 모든 사용자의 PII는 캠브리지 분석가에 의해 불법적으로 수집된다.[17][18]

해커들[편집]

해커는 PII 데이터를 불법으로 수집하는 개인이나 단체다. 주로 금전적 이익에 의해 추진되지만 때로는 북한 해커에 의한 소니 해킹 등 정치적 이해관계가 얽혀 있다. 북한 해커들은 김정은 북한 노동당 제1비서의 암살 사건을 소재로 한 영화 '인터뷰' 개봉에 대한 보복으로 소니픽처스를 타깃으로 삼았다. 이 사건으로 소니 직원의 사회보장번호와 급여정보, 의료기록 등이 공개됐다.[19] 해커들은 스파이웨어, 바이러스, 백도어, 사회공학 또는 기타 방법을 사용하여 개인, 기업, 정부 및 기타 조직으로부터 PII 데이터를 훔치고 수집한다. 예를 들어, 세계에서 가장 큰 신용 회사 중 하나인 Equifax는 그것의 보안이 해커들에 의해 손상되었고 수백만 명의 미국인들을 위한 PII가 도둑맞았다.[20]

관련법[편집]

PII 수집은 종종 사생활 침해와 관련이 있고 종종 사생활 옹호자들에 의해 반대된다. 미국이나 유럽연합(EU)과 같은 민주당 국가들은 PII 수집을 금지하는 프라이버시 법을 더 발전시켰다. 유럽 연합의 법률은 개인 데이터의 보다 포괄적이고 균일한 보호를 제공한다. 미국에서는 부문별로 연방 데이터 보호법이 접근하고 있다.[21] 권위주의 국가는 시민에 대한 PII 수집 보호가 부족한 경우가 많다. 예를 들어, 중국 시민들은 민간 기업에 대한 입법적 보호를 즐기지만, 정부의 위반으로부터는 아무런 보호도 받지 못한다.[22]

유럽연합[편집]

  • 일반 데이터 보호 규정 - 규정(EU) 2016/679

GDPR은 2018년 5월 25일부터 시행되며, 모든 부문과 산업에 걸쳐 일관된 포괄적인 프라이버시 보호를 제공한다. 이 규정은 유럽연합 국가의 모든 기업과 정부 기관에 적용된다. 그것은 또한 유럽에서 서비스를 제공하는 모든 외국 기업들과 단체들을 규제한다. GDPR을 위반하고 준수하지 않을 경우 사업체의 전 세계 연간 매출의 4%에 해당하는 벌금이 부과될 수 있다. GDPR은 기업과 정부 기관이 데이터 처리에 대한 동의를 얻고, 수집된 데이터를 익명화하며, 데이터 침해에 대한 신속한 통지, 국경을 통한 안전한 데이터 전송 처리, 데이터 보호 책임자의 임명 등을 요구한다.[23]

미국[편집]

  • 연방무역위원회법

연방거래위원회법(FTC) 제5조는 기업이 수집된 PII 데이터를 안전하게 보호하기 위해 사용된다.[24] 미국의 한 회사는 개인정보 보호정책을 의무화하지 않지만, 회사가 개인정보 보호정책을 공개하면 이를 준수할 의무가 있다. 이 회사는 또한 사용자들이 탈퇴할 수 있는 기회를 제공하지 않고는 데이터 수집 정책을 소급적으로 변경할 수 없다. 공정위는 사회보장번호, 신용카드번호, 은행계좌번호 등 고객의 PII 데이터를 보호하지 못한 데 대해 라이프록에 1억달러의 과징금을 부과하고 2010년 연방법원명령 조건을 위반했다.[25]

공정위는 또한 행동 광고 프린시페를 사용하여 웹사이트 운영자들에게 데이터 수집 관행, 활동 추적, 옵트아웃 메커니즘에 관한 지침과 제안을 제공한다. 웹사이트 운영자는 사회보장번호, 금융자료, 건강정보, 미성년자 자료 등 민감한 PII 자료가 수집되어 이용되기 전에 명확한 동의를 얻어야 한다. 행동 광고 원칙은 또한 수집된 개인 데이터와 제한된 데이터 보존 기간을 보호하기 위한 합리적인 보안이 요구되지만, 합법적인 사업 또는 법 집행의 필요성을 충족시키기 위해 필요한 한. 이 원칙은 또한 자율규제적이며, 모든 이해 당사자들에 의한 더 많은 토론과 더 많은 발전을 장려하기 위한 것이다.[26]

  • 금융서비스 근대화법
  • 건강보험 휴대성 및 책임에 관한 법률
  • 공정신용신고법
  • 비취약적 포르노 및 마케팅법 제정에 관한 연구
  • 전자 통신 개인 정보 보호법

PII 수집에 관한 염려[편집]

PII 수집은 일반적으로 개인 정보 보호 위반으로 간주된다. PII 수집이 개인과 집단의 분류를 허용해 개인과 집단의 자유를 차별하고 상실하는 것이 주요 관심사다.[27] 그 밖의 인식된 위험으로는 (1) 금전적 위험은 잠재적인 재정적 손실과 관련된 위험, (2) 사회적 위험은 개인의 자존감, 명성 및 다른 사람의 인식에 대한 위협과 관련된 위험, (3) 신체적 위험은 신체적 상해와 관련된 위험, (4) 심리적 위험은 불안, 고통 및 / 또는 자기 이미지와의 충돌과 같은 잠재적 인 부정적인 감정과 관련된 위험이다 "[28]

2018년 Gallup 여론조사에 따르면 페이스북 사용자의 개인 정보가 케임브리지 분석가와 동의 없이 공유되었다는 사실이 밝혀진 후 더 많은 사람들이 사생활 침해와 데이터 수집에 대해 우려하고 있다. 조사 결과 2011년 30%에 비해 페이스북 이용자 중 43%가 '매우 우려'하는 것으로 나타났고, 구글 사용자도 비슷한 반응을 보였다.[29] 이용자가 로그인하지 않거나 서비스를 이용하지 않아도 개인 데이터가 수집되고 있다는 우려도 높아지고 있다. 이 데이터는 맞춤형 광고 서비스를 통해 사용자를 대상으로 수집된다.[30] 무단 데이터 수집 및 사용에 대한 우려로 인해 많은 사용자가 Facebook 사용을 중단하거나 다른 소셜 미디어 플랫폼으로 이동하지 않게 되었으며, 사용자들이 데이터 수집을 완전히 중단할 수 있는 능력을 포함하여 정부로부터 광범위한 개인 정보 보호 규제에 대한 요구가 증가하고 있다.[31]

각주[편집]

  1. Taylor, Rebecca (2017년 9월 26일). “China installs 20million cameras in 'world's most advanced surveillance system'. 《mirror》. 
  2. ZENG, JINGHAN (November 2016). “China's date with big data: will it strengthen or threaten authoritarian rule?”. 《International Affairs》 92 (6): 1443–1462. doi:10.1111/1468-2346.12750. 
  3. Bennett, Colin J. (November 2016). “Voter databases, micro-targeting, and data protection law: can political parties campaign in Europe as they do in North America?”. 《International Data Privacy Law》 6 (4): 261–275. doi:10.1093/idpl/ipw021. 
  4. Mikkonen, Tomi (2014년 4월 1일). “Perceptions of controllers on EU data protection reform: A Finnish perspective”. 《Computer Law & Security Review》 (영어) 30 (2): 190–195. doi:10.1016/j.clsr.2014.01.011. ISSN 0267-3649. 
  5. “Transacting in data: tax, privacy, and the new economy: Start Your Search!”. 《Eds.b.ebscohost.com》 (영어). [깨진 링크(과거 내용 찾기)]
  6. “Pursuing consumer empowerment in the age of big data: A comprehensive regul...: Start Your Search!”. 《Eds.b.ebscohost.com》 (영어). [깨진 링크(과거 내용 찾기)]
  7. “Privacy considerations of online behavioural tracking”. 《European Union Agency for Network and Information Security》. 
  8. Eugene E., Hutchinson. “Keeping Your Personal Information Personal: Trouble for the Modern Consumer”. 《Hofstra Law Review》 43 (4). [깨진 링크(과거 내용 찾기)]
  9. Taylor, Rebecca (2017년 9월 26일). “China installs 20million cameras in 'world's most advanced surveillance system'. 《mirror》. 
  10. ZENG, JINGHAN (November 2016). “China's date with big data: will it strengthen or threaten authoritarian rule?”. 《International Affairs》 92 (6): 1443–1462. doi:10.1111/1468-2346.12750. 
  11. Bennett, Colin J. (November 2016). “Voter databases, micro-targeting, and data protection law: can political parties campaign in Europe as they do in North America?”. 《International Data Privacy Law》 6 (4): 261–275. doi:10.1093/idpl/ipw021. 
  12. Mikkonen, Tomi (2014년 4월 1일). “Perceptions of controllers on EU data protection reform: A Finnish perspective”. 《Computer Law & Security Review》 (영어) 30 (2): 190–195. doi:10.1016/j.clsr.2014.01.011. ISSN 0267-3649. 
  13. “Transacting in data: tax, privacy, and the new economy: Start Your Search!”. 《Eds.b.ebscohost.com》 (영어). [깨진 링크(과거 내용 찾기)]
  14. “Pursuing consumer empowerment in the age of big data: A comprehensive regul...: Start Your Search!”. 《Eds.b.ebscohost.com》 (영어). [깨진 링크(과거 내용 찾기)]
  15. “Privacy considerations of online behavioural tracking”. 《European Union Agency for Network and Information Security》. 
  16. Eugene E., Hutchinson. “Keeping Your Personal Information Personal: Trouble for the Modern Consumer”. 《Hofstra Law Review》 43 (4). [깨진 링크(과거 내용 찾기)]
  17. Solon, Olivia (2018년 4월 4일). “Facebook says Cambridge Analytica may have gained 37m more users' data”. 《the Guardian》 (영어). 
  18. González, Roberto J. (2017년 6월 1일). “Hacking the citizenry?: Personality profiling, 'big data' and the election of Donald Trump”. 《Anthropology Today》 (영어) 33 (3): 9–12. doi:10.1111/1467-8322.12348. ISSN 1467-8322. 
  19. “North Korea and the Sony Hack: Exporting Instability Through Cyberspace.: Start Your Search!”. 《Eds.b.ebscohost.com》 (영어). [깨진 링크(과거 내용 찾기)]
  20. “Cybersecurity, insurance execs see opportunity in Equifax data breach: Start Your Search!”. 《Eds.b.ebscohost.com》 (영어). [깨진 링크(과거 내용 찾기)]
  21. “A Comparison Between US and EU Data Protection Legislation for Law Enforcement Purposes - Think Tank”. 《www.europarl.europa.eu》 (영어). 
  22. ZENG, JINGHAN (November 2016). “China's date with big data: will it strengthen or threaten authoritarian rule?”. 《International Affairs》 (영어) 92 (6): 1443–1462. doi:10.1111/1468-2346.12750. 
  23. “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance)” (영어). 2016년 5월 4일. 
  24. “Privacy & Data Security Update (2016)”. 《Federal Trade Commission》 (영어). 2017년 1월 18일. 
  25. “LifeLock to Pay $100 Million to Consumers to Settle FTC Charges it Violated 2010 Order”. 《Federal Trade Commission》 (영어). 2015년 12월 17일. 
  26. “Online Behavioral Advertising: Moving the Discussion Forward to Possible Self-Regulatory Principles: Statement of the Bureau of Consumer Protection Proposing Governing Principles For Online Behavioral Advertising and Requesting Comment”. 《Federal Trade Commission》 (영어). 2014년 1월 16일. 2021년 2월 9일에 원본 문서에서 보존된 문서. 2020년 12월 13일에 확인함. 
  27. “Not without my consent: preserving individual liberty, in light of the comp...: Start Your Search!”. 《Eds.b.ebscohost.com》 (영어). [깨진 링크(과거 내용 찾기)]
  28. Milne, George R.; Pettinico, George; Hajjat, Fatima M.; Markos, Ereni (March 2017). “Information Sensitivity Typology: Mapping the Degree and Type of Risk Consumers Perceive in Personal Data Sharing”. 《Journal of Consumer Affairs》 51 (1): 133–161. doi:10.1111/joca.12111. 
  29. Inc., Gallup. “Facebook Users' Privacy Concerns Up Since 2011”. 《Gallup.com》 (미국 영어). 
  30. Velasco, Carl (2018년 4월 17일). “Here's How Facebook Collects Your Data Even When You Never Use It”. 《Tech Times》 (영어). 
  31. “The Spotlight's on Facebook, but Google Is Also in the Privacy Hot Seat”. 《NDTV Gadgets360.com》 (영어). 
원본 주소 "https://ko.wikipedia.org/w/index.php?title=개인_식별_가능_정보&oldid=35650255"