본문으로 이동

정보 프라이버시

위키백과, 우리 모두의 백과사전.
(데이터 프라이버시에서 넘어옴)
비슷한 이름의 데이터 보안에 관해서는 해당 문서를 참고하십시오.

정보 프라이버시(information privacy)는 자료의 수집 및 보급, 테크놀로지, 공공의 프라이버시 기대, 맥락적 무결성, 그리고 이들을 둘러싼 법적정치적 문제 간의 관계를 말한다.[1] 이것은 또한 데이터 프라이버시[2] 또는 데이터 보호로도 알려져 있다.

역사 및 진화

[편집]

정보 프라이버시의 개념은 1890년으로 거슬러 올라간다. 법학자 사무엘 워렌과 루이 브랜다이스는 프라이버시를 권리로 확립하려는 "홀로 남겨질 권리"를 설명하는 논문을 발표했다.[3] 그들의 지침은 개인 데이터를 기준으로 프라이버시를 이해하는 방법에 대한 기반을 마련했다.

미국에서는 1974년 프라이버시법(Privacy Act of 1974)이 정보 프라이버시 법률의 성과를 나타냈다. 이 법은 연방 기관이 개인 정보와 데이터를 수집하는 방식을 규율하기 위해 공정 정보 관행 강령(Code of Fair Information Practice)을 제정했다. 이 법은 주로 COINTELPRO와 같은 불법 정부 감시를 강조한 워터게이트 사무실 건물에서의 스캔들 이후에 제정되었다.[4] 이 법은 개인이 자신에 대한 정보에 접근하고 자신의 정보가 어떻게 사용될지 알 권리를 갖도록 허용했다.[5][6]

2000년대 초 인터넷의 인기가 시작되면서 많은 기업과 조직이 사용자의 개인 데이터를 수집하기 시작하여 다양한 프라이버시 문제가 제기되었다. 다니엘 솔로브(Daniel Solove)와 같은 학자들은 사전동의의 중요성을 설명했다.[7]

2018년, 페이스북-케임브리지 애널리티카 스캔들은 대중에게 새로운 프라이버시 위험을 초래했다. 케임브리지 애널리티카(Cambridge Analytica)라는 컨설팅 회사는 8,500만 명이 넘는 페이스북 사용자로부터 사전동의 없이 개인 사용자 데이터를 수집했다.[8] 수집된 데이터는 2016년 미국 대통령 선거 기간 동안 정치적으로 표적화된 광고를 지원하는 데 사용되었다.[8] 이로 인해 연방거래위원회는 페이스북에 50억 달러의 벌금을 부과했다.[9][10] 케임브리지 애널리티카 스캔들은 일반 데이터 보호 규칙과 같은 새로운 법률을 만들었다.[8]

정보 유형

[편집]

다양한 유형의 개인정보가 종종 프라이버시 문제에 속한다.

케이블 텔레비전

[편집]

이것은 케이블 텔레비전을 통해 자신에 대해 어떤 정보를 공개하고 누가 그 정보에 접근할 수 있는지를 통제하는 능력을 설명한다. 예를 들어, 제3자는 특정 시간에 누군가가 시청한 IPTV 프로그램을 추적할 수 있다. "시청률 조사를 위해 방송 스트림에 추가 정보를 넣을 필요가 없으며, 시청자나 청취자의 집에 추가 장치를 설치할 필요가 없으며, 그들의 협력 없이도 IPTV 네트워크에서 시청률을 실시간으로 자동으로 수행할 수 있다."[11]

교육

[편집]

2012년 영국에서 교육부 장관 마이클 고브국가 학생 데이터베이스를 "풍부한 데이터셋"으로 묘사했으며, 이는 민간 기업을 포함하여 더 개방적으로 접근 가능하게 함으로써 그 가치를 "극대화"할 수 있다고 말했다. 더 레지스터의 켈리 파이베시는 이는 "시험 결과, 출석, 교사 평가, 심지어 특성 등을 포함하는 아동의 학교 생활"이 제공될 수 있으며, 데이터가 정부에 의해 익명화되기 전에 제3자 조직이 자체적으로 모든 출판물의 익명화를 담당할 수 있음을 의미할 수 있다고 말했다. 고브가 과거에 거부되었지만 개선된 프라이버시 규정 하에서는 가능할 수 있다고 언급한 데이터 요청의 예로는 "성적 착취에 대한 분석"이 있었다.[12]

금융

[편집]

자산 금액, 주식 또는 펀드 보유 포지션, 미결제 부채, 구매 내역 등 개인의 금융 거래에 대한 정보는 민감할 수 있다. 범죄자가 개인의 계좌나 신용카드 번호와 같은 정보에 접근하면 해당 개인은 사기 (법률) 또는 신원 도용의 피해자가 될 수 있다. 개인의 구매 내역에 대한 정보는 방문했던 장소, 연락했던 사람, 사용했던 제품, 활동 및 습관, 사용했던 약물 등 그 사람의 역사에 대해 많은 것을 드러낼 수 있다. 어떤 경우에는 기업이 이 정보를 사용하여 개인의 개인적 선호도에 맞춰진 타겟 광고를 통해 개인을 대상으로 삼을 수 있으며, 이는 해당 개인이 승인하지 않을 수도 있다.[12]

정보 기술

[편집]

다양한 프라이버시 규칙을 가진 이기종 정보 시스템이 상호 연결되고 정보가 공유됨에 따라, 점점 더 많은 프라이버시 정책 규칙(및 법률)을 조정, 시행 및 모니터링하기 위해 정책 어플라이언스가 필요할 것이다. 상업 IT 시스템에서 프라이버시 보호를 다루는 기술에는 통신과 시행이라는 두 가지 범주가 있다.

정책 통신
  • P3P – 플랫폼 프라이버시 선호도. P3P는 프라이버시 관행을 전달하고 개인의 선호도와 비교하는 표준이다.
정책 시행
  • XACML – 확장 가능 접근 제어 마크업 언어(Extensible Access Control Markup Language)와 그 프라이버시 프로필은 소프트웨어 시스템이 기업 IT 시스템에서 정책을 시행하는 데 사용할 수 있는 기계 판독 가능한 언어로 프라이버시 정책을 표현하기 위한 표준이다.
  • EPAL – 기업 프라이버시 인증 언어(Enterprise Privacy Authorization Language)는 XACML과 매우 유사하지만 아직 표준은 아니다.
  • WS-Privacy – "웹 서비스 프라이버시"는 웹 서비스에서 프라이버시 정책을 전달하기 위한 사양이다. 예를 들어, 웹 서비스 메시지의 SOAP 봉투에 프라이버시 정책 정보가 어떻게 포함될 수 있는지 지정할 수 있다.
개별화를 통한 프라이버시 개선

컴퓨터 프라이버시는 개별화를 통해 개선될 수 있다. 현재 보안 메시지는 "평균 사용자", 즉 모든 사람에게 동일한 메시지로 설계된다. 연구자들은 사용자의 개인차 및 성격 특성에 따라 맞춤 제작된 개별화된 메시지와 보안 "넛지"가 각 개인의 컴퓨터 보안 및 프라이버시 준수를 더욱 개선하는 데 사용될 수 있다고 가정했다.[13]

데이터 암호화를 통한 프라이버시 개선

데이터를 읽을 수 없는 형식으로 변환함으로써 암호화는 무단 접근을 방지한다. 현재 일반적인 암호화 기술에는 AES와 RSA가 있다. 데이터 암호화를 사용하여 암호 해독 키를 가진 사용자만 데이터에 접근할 수 있도록 한다.[14]

인터넷

[편집]

자신에 대해 인터넷상에서 드러내는 정보와 그 정보에 누가 접근할 수 있는지를 통제하는 능력은 점점 더 중요해지고 있다. 이러한 우려에는 전자우편이 동의 없이 제3자에 의해 저장되거나 읽힐 수 있는지, 또는 제3자가 누군가가 방문한 웹사이트를 계속 추적할 수 있는지 여부가 포함된다. 또 다른 우려는 방문하는 웹사이트가 사용자에 대한 개인 식별 정보를 수집, 저장하고 잠재적으로 공유할 수 있는지 여부이다.

다양한 웹 검색 엔진의 등장과 데이터 마이닝의 사용은 다양한 출처에서 개인에 대한 데이터를 매우 쉽게 수집하고 결합할 수 있는 능력을 만들었다.[15][16][17] AI는 그렇게 엄청난 양의 수집된 데이터를 기반으로 개인 및 그룹에 대한 추론적 정보를 생성하는 것을 용이하게 하여 정보 경제를 변화시켰다.[18] 연방거래위원회는 전자 시장에서 공정한 정보 관행에 관한 널리 받아들여지는 개념을 나타내는 지침 집합인 공정 정보 관행 원칙을 제공했다. 그러나 이들은 AI 기반 추론 정보의 맥락에서 불충분하다는 비판을 받았다.[18]

인터넷에서 많은 사용자는 자신에 대한 많은 정보를 제공한다. 암호화되지 않은 전자우편은 연결이 암호화되지 않은 경우(TLS(Transport Layer Security) 없음) 전자우편 서버의 관리자가 읽을 수 있으며, 인터넷 서비스 제공자 및 해당 연결의 네트워크 트래픽을 스니핑하는 다른 당사자도 내용을 알 수 있다. 이는 웹 브라우징, 인스턴트 메신저, 기타를 포함하여 인터넷에서 생성되는 모든 종류의 트래픽에 적용된다. 너무 많은 개인 정보를 제공하지 않기 위해 전자우편은 암호화될 수 있으며, 웹페이지 탐색 및 기타 온라인 활동은 익명화 도구 또는 오픈 소스 분산 익명화 도구인 믹스넷을 통해 익명으로 수행될 수 있다. Nym[19]I2P[20]는 잘 알려진 믹스넷의 예이다.

소셜 미디어 및 전자 상거래 사이트가 더 자주 사용되면서 소비자 데이터를 훔칠 수 있는 잠재적인 허점이 더 많이 생겼다. 기업은 소비자가 어떤 유형의 제품을 구매하는 것을 좋아하는지 확인하고 타겟 광고를 사용하여 사람들이 더 많은 품목을 구매하도록 유도할 수 있다. 그러나 때로는 이러한 유형의 데이터가 명시적인 동의 없이 사용되기도 한다.[21]

사용자들은 자신에 대해 수집되는 모든 개인 정보를 알지 못한다. 쿠키는 브라우징 데이터를 추적하고 위치 설정은 개인이 어디에 기반을 두었는지 보여주며, 주변에 있는 상점이나 제품을 보여줄 수 있다.[22] 이러한 정보가 안전하게 저장되지 않으면 사용자에게 큰 안전 및 프라이버시 문제가 될 수 있다.

캘리포니아 소비자 프라이버시법(CCPA)과 같은 법률을 통해 사람들의 데이터는 보호될 수 있으며, 해당 데이터를 사용하기 전에 명시적인 동의를 요청받는다.[23] 전 세계적으로 많은 국가들이 소비자를 보호하기 위해 유사한 조항을 시행하려고 노력하고 있다.

전자우편만이 프라이버시 문제가 있는 인터넷 콘텐츠는 아니다. 점점 더 많은 정보가 온라인에 있는 시대에, 소셜 네트워킹 사이트는 추가적인 프라이버시 문제를 제기한다. 사람들은 사진에 태그되거나 자신의 선택에 의해 또는 타인에 의해 예기치 않게 중요한 정보가 노출될 수 있으며, 이를 참여형 감시라고 한다. 위치에 대한 데이터도 실수로 게시될 수 있다. 예를 들어, 누군가가 상점을 배경으로 사진을 게시할 때 그렇다. 온라인에 정보를 게시할 때는 주의를 기울여야 한다. 소셜 네트워크는 사용자가 무엇을 비공개로 설정할 수 있고 무엇이 공개적으로 접근 가능한지에 따라 다르다.[24] 강력한 보안 설정이 없고 공개적으로 남아 있는 것에 대한 신중한 주의가 없으면, 검색 및 이질적인 정보 조각 수집을 통해 프로필이 작성될 수 있으며, 이는 사이버스토킹[25] 또는 명예 훼손[26] 사례로 이어질 수 있다.

쿠키는 웹사이트에서 사용자가 웹사이트가 사용자의 인터넷에서 일부 정보를 검색하도록 허용할 수 있도록 사용되지만, 일반적으로 검색되는 데이터가 무엇인지는 언급하지 않는다.[27] 2018년, 일반 데이터 보호 규칙(GDPR)은 웹사이트가 소비자에게 정보 프라이버시 관행을 명확하게 공개하도록 강제하는 규정, 즉 쿠키 고지(cookie notices)를 통과시켰다.[27] 이는 소비자에게 웹사이트가 행동에 대한 어떤 정보를 추적하도록 동의할 것인지 선택할 권한을 주기 위해 발행되었으나, 그 효과는 논란의 여지가 있다.[27] 일부 웹사이트는 쿠키 고지를 페이지의 보이지 않는 곳에 배치하거나, 정보 추적 사실만 알리고 프라이버시 설정을 변경할 수 없게 하는 등 기만적인 관행을 사용할 수 있다.[27] 인스타그램과 페이스북과 같은 앱은 맞춤형 앱 경험을 위해 사용자 데이터를 수집하지만, 다른 앱에서의 사용자 활동을 추적하여 사용자의 프라이버시와 데이터를 위태롭게 한다. 이러한 쿠키 고지의 가시성을 통제함으로써 기업은 은밀하게 데이터를 수집하여 소비자에게 더 많은 권한을 행사할 수 있다.[27]

데이터 유출 및 프라이버시 위험

[편집]

개인 또는 집단이 소비자의 데이터를 훔치는 것을 데이터 유출이라고 한다. 이는 정보 프라이버시에 대한 일반적인 위협이다. 여기에는 이름, 생년월일, 신용카드 정보, 사회보장번호와 같은 정보가 포함된다.[28]

이러한 유형의 데이터 유출은 기업이 데이터를 보호하고 암호화하기 위한 최신 또는 안전한 인프라를 갖추지 못할 때 발생할 수 있다. 작은 틈새가 외부인으로부터 데이터가 유출될 수 있도록 만들 수 있다. 내부 직원도 정보를 노출하여 유출이 발생할 수 있다는 점에 유의해야 한다.[29] 기업들은 의심스러운 활동에 대해 교육하고 다중 요소 인증 시스템을 사용하는 데 시간을 투자하고 있다.

유럽 연방 차원에서 정부는 이제 기업들에게 적시에 유출 사실을 보고하도록 의무화하고 있다.[30] 미국에서는 HIPAA가 유사한 방식으로 작동하며 데이터가 노출되었을 때 환자에게 통지한다.[31] 이러한 유형의 지침을 통해 기업과 국가는 개인 정보를 보호하고 개인 데이터가 어떻게 사용될 수 있고 사용되어야 하는지를 설명하기 위해 노력하고 있다.

정보 프라이버시를 둘러싼 법률은 전 세계적으로 정보를 보호하는 데 중요하다. 여기에는 동의 하에 데이터가 수집되고 투명하게 사용되도록 보장하는 법률이 포함된다.[32][33]

유럽 대륙에서는 일반 데이터 보호 규칙이라는 지침이 소비자 데이터를 사용하기 전에 동의를 요청하고 기업이 사용자로부터 수집해야 하는 데이터의 양을 일반적으로 제한하도록 요구한다.[34] 일반 데이터 보호 규칙은 성공을 거두었으며, 다른 국가들도 이를 따르도록 촉구했다. 예를 들어, 캘리포니아주와 캐나다일반 데이터 보호 규칙의 자체 버전을 만들고 구현하기로 결정했다. 캘리포니아는 캘리포니아 프라이버시 권리법(CPRA, 2020)을 만들었고 캐나다는 PIPEDA(캐나다 정부, 2021)를 만들었으며, 둘 다 소비자 및 사용자 데이터와 프라이버시 권리를 최우선으로 하는 일반 데이터 보호 규칙에 따라 지침을 모델링했다.[35][36]

더 넓게 보면, 미국은 여전히 미국에서 운영되는 많은 직업 및 기업 부문 내에서 데이터를 보호할 수 있는 포괄적인 프로그램을 만드는 데 노력하고 있다. 그러나 각 조직에는 더 작은 지침과 정책이 있다. 예를 들어, HIPAA(Health Insurance Portability and Accountability Act) 또는 건강 보험 이동성 및 책임법은 의료 환자 데이터 및 정보를 보호한다.[37] 이는 다른 유형의 기업에서 모든 사용자 데이터를 보호하는 국가적 수준은 아니지만, 미국에는 조직 및 산업 수준의 보호 장치가 만들어져 있다.

인공지능과 프라이버시

[편집]

인공지능은 데이터를 광범위하게 수집하기 때문에 정보 프라이버시를 보호하는 데 방해가 될 수 있다. 국제 프라이버시 전문가 협회에 따르면, 전 세계 소비자의 약 68%가 온라인 프라이버시에 대한 우려를 표명하며, 57%는 AI가 데이터에 위협이 될 수 있다는 데 동의한다.[38] 웹에서 스크랩된 데이터로부터 학습하는 생성형 AI 도구가 더욱 널리 채택되면서 이러한 우려는 더욱 심화되었다.[38]

AI 프라이버시 문제는 규제되지 않은 데이터 수집 방법, 불투명한 알고리즘, 데이터 지속성과 관련될 수 있다.[39] 알고리즘 불투명성은 AI가 데이터와 소스를 정확히 어디서 어떻게 얻는지 이해하지 못한다는 것을 의미한다.[39] 명확한 가시성이 부족하면 누군가가 자신의 정보가 어떻게 발견되고 사용되는지 이해하기 어려울 수 있다. 데이터 지속성은 동의 없이도 온라인에 장기간 존재하는 데이터를 의미한다.[39]

현재 미국에는 데이터 수집 측면에서 AI를 규율하는 명시적인 연방 법률이 없다.[40] 건강 보험 이동성 및 책임법(HIPAA) 및 그램 리치 블라일리 법과 같은 법률은 기업을 규제할 수 있지만 AI는 제외한다.[40] 주 의회에서 법률이 제정되고 있다. 미국 유타주는 2024년 3월에 인공지능 정책법을 통과시켰다.[41] 백악관 과학기술정책실은 2022년에 "AI 권리장전 청사진"을 만들었는데, 이는 데이터 프라이버시 및 AI에 대한 프레임워크와 AI 시스템이 데이터를 사용하기 전에 사용자 동의를 받도록 설명했다.[41]

많은 연구자들은 데이터 최소화 요구 사항, AI 감사, AI 사용 시 데이터 수집을 거부할 수 있는 옵션 제공을 포함하여 AI 및 데이터 프라이버시를 다루기 위한 추가 프레임워크를 만들었다.[39][42]

위치정보

[편집]

모바일 기기의 위치 추적 기능이 발전함에 따라(위치 기반 서비스), 사용자 프라이버시 관련 문제가 발생한다. 위치 데이터는 현재 수집되는 데이터 중 가장 민감한 데이터에 속한다.[43] 전자 프런티어 재단은 2009년에 개인의 이동 추적만을 알고 있을 때 추론될 수 있는 잠재적으로 민감한 전문 및 개인 정보 목록을 발표했다.[44] 여기에는 경쟁사 영업팀의 이동, 특정 교회 참석 또는 개인의 모텔이나 낙태 클리닉 존재가 포함된다. 드 몽조이 등 MIT의 최근 연구[45][46]는 대략적인 위치와 시간이라는 4개의 시공간 지점만으로도 이동성 데이터베이스에 있는 150만 명의 사람 중 95%를 고유하게 식별하기에 충분하다는 것을 보여주었다. 이 연구는 또한 이러한 제약이 데이터셋의 해상도가 낮을 때도 유지된다는 것을 보여준다. 따라서 심지어 거친 또는 흐릿한 데이터셋도 개인에게 거의 익명성을 제공하지 않는다.

의료

[편집]

사람들은 의료 기록이 건강에 대해 밝힐 수 있는 정보의 기밀성과 민감성 때문에 다른 사람에게 공개되는 것을 원하지 않을 수 있다. 예를 들어, 보험 가입이나 고용에 영향을 미칠까 봐 걱정할 수도 있다. 또는 어떤 의료 또는 심리적 상태나 치료에 대해 다른 사람이 알면 당혹스러움을 느낄까 봐 그럴 수도 있다. 의료 데이터를 공개하는 것은 개인 생활에 대한 다른 세부 정보도 드러낼 수 있다.[47] 의료 프라이버시에는 세 가지 주요 범주가 있다: 정보적 프라이버시(개인 정보에 대한 통제 정도), 물리적 프라이버시(타인에게 물리적으로 접근할 수 없는 정도), 심리적 프라이버시(의사가 환자의 문화적 신념, 내면의 생각, 가치, 감정, 종교적 관행을 존중하고 개인적인 결정을 내리도록 허용하는 정도).[48] 많은 문화와 국가의 의사와 정신과 의사는 의사-환자 관계에 대한 기준을 가지고 있으며, 여기에는 기밀 유지도 포함된다. 어떤 경우에는 의사-환자 특권이 법적으로 보호된다. 이러한 관행은 환자의 존엄성을 보호하고, 환자가 정확한 치료를 받는 데 필요한 완전하고 정확한 정보를 자유롭게 밝힐 수 있도록 보장하기 위해 마련되었다.[49] 미국의 개인 건강 정보 프라이버시를 규율하는 법률을 보려면 HIPAAHITECH Act를 참조하라. 오스트레일리아 법은 Privacy Act 1988 Australia와 주 기반 건강 기록 법률이다.

어린이 프라이버시

[편집]

어린이의 온라인 프라이버시는 여러 면에서 법적 보호를 받는다. 미국에서는 1998년 아동 온라인 프라이버시 보호법(Children's Online Privacy Protection Act of 1998)이 13세 미만 아동의 개인 정보 수집을 모니터링한다.[50] 이 법은 특히 웹사이트 운영자가 아동의 개인 데이터를 수집하기 전에 부모의 동의를 받아야 한다고 명시하고 있다.[50]

1998년 아동 온라인 프라이버시 보호법은 어린이를 대상으로 하거나 13세 미만 어린이로부터 데이터를 수집한다는 사실을 알고 있는 웹사이트, 앱, 모든 인터넷 기반 기기에 적용된다.[51] 이 법을 위반하면 연방거래위원회에 의해 위반당 최대 43,792달러의 벌금이 부과될 수 있다.[52] 또한, 이 법을 시행하는 주 법무장관도 있다.[52]

연방거래위원회는 새로운 기술의 발전에 맞춰 아동 온라인 프라이버시 보호법을 지속적으로 업데이트해왔다. 2013년에는 지속적인 식별자, 위치 정보, 아동의 묘사가 포함된 모든 미디어를 포함하도록 개인 정보 범주를 확장하는 개정이 이루어졌다.[53] 연방거래위원회는 2019년에도 아동들이 모바일 기기를 활용함에 따라 새로운 기술을 모니터링하기 위해 아동 온라인 프라이버시 보호법에 대한 또 다른 검토를 시작했다.[53]

일부는 아동 온라인 프라이버시 보호법에 한계가 있다고 지적했다. 이 법은 현재 아동이 부적절한 콘텐츠에 접근하거나 나이를 속이는 것을 막지 못한다.[52] 또한, 교육 기술과 관련하여 아동 온라인 프라이버시 보호법의 포괄성에 대한 몇 가지 의구심이 제기되었다.[52]

정치

[편집]

정치적 프라이버시는 고대부터 투표 제도가 출현한 이래로 우려 사항이었다. 비밀 선거는 유권자 외에는 누구도 정치적 견해를 알 수 없도록 보장하는 가장 간단하고 가장 널리 퍼진 조치이다. 이는 현대 민주주의에서 거의 보편적이며 시민의 기본권으로 간주된다. 사실, 다른 프라이버시 권리가 존재하지 않는 곳에서도 이러한 유형의 프라이버시는 매우 자주 존재한다. 디지털 투표기를 사용할 경우 몇 가지 형태의 투표 사기 또는 프라이버시 침해가 가능하다.[54]

합법성

[편집]

일반적으로 프라이버시 권리, 특히 데이터 프라이버시의 법적 보호는 전 세계적으로 크게 다르다.[55]

프라이버시 및 데이터 보호 관련 법규는 끊임없이 변화하고 있으므로, 법률 변경 사항을 숙지하고 데이터 프라이버시 및 보안 규정 준수 여부를 지속적으로 재평가하는 것이 중요하다고 여겨진다.[56] 학계에서는 기관 감사 위원회가 연구에서 인간 대상의 프라이버시와 기밀성을 모두 보장하기 위한 적절한 조치가 취해지도록 보장하는 기능을 한다.[57]

프라이버시 문제는 개인 식별 정보 또는 기타 민감한 정보디지털 데이터 형태로든 다른 형태로든 수집, 저장, 사용 및 최종적으로 파기 또는 삭제되는 모든 곳에 존재한다. 부적절하거나 존재하지 않는 공개 제어는 프라이버시 문제의 근본 원인이 될 수 있다. 사전동의 메커니즘(동적 동의 포함)은 데이터 주체에게 개인 식별 정보의 다양한 사용 방법을 전달하는 데 중요하다. 데이터 프라이버시 문제는 다음과 같은 광범위한 출처의 정보에 대한 응답으로 발생할 수 있다.[58]

데이터 보호 법률

[편집]

전 세계의 데이터 보호 법률은 디지털 시대에 개인 정보를 보호하고 개인 프라이버시를 보장하는 것을 목표로 한다. 일반 데이터 보호 규칙은 동의, 투명성, 강력한 책임 의식을 강조하며 엄격한 처벌을 부과함으로써 높은 기준을 제시한다. 많은 국가들이 유사한 원칙을 채택하여 조직이 효과적인 보안 조치를 구현하고, 사용자 권리를 존중하며, 유출 사실을 통지하도록 의무화한다. 북미, 아시아, 오세아니아와 같은 지역에서는 데이터 보호 프레임워크가 부문별 규정부터 포괄적인 법률까지 다양하다. 전 세계적으로 이러한 법률은 혁신과 프라이버시의 균형을 유지하며, 개인 데이터가 적절하게 접근되고 윤리적으로 관리되며 오용 및 사이버 위협을 완화하도록 보장한다.

국가별 기관

[편집]
 정보 위원국가 데이터 보호 기관 문서를 참고하십시오.

세이프 하버 프로그램

[편집]

미국 상무부유럽 연합 집행위원회1995년 데이터 보호 지침(Directive 95/46/EC)에 대응하여 국제 세이프 하버 프라이버시 원칙 인증 프로그램을 만들었다.[59] 미국유럽 연합 모두 개인의 정보 프라이버시를 지지한다고 공식적으로 밝혔지만, 미국은 EU의 엄격한 개인 데이터 법률 기준을 충족하지 못하여 양측 간에 마찰을 일으켰다. 세이프 하버 프로그램의 협상은 이러한 오랜 문제를 해결하기 위한 부분이었다.[60] 지침 95/46/EC는 제4장 제25조에서 유럽 경제 지역 국가에서 개인 정보를 적절한 프라이버시 보호를 제공하는 국가로만 전송할 수 있다고 명시한다. 역사적으로 적절성을 확립하려면 지침 95/46/EU에서 구현된 것과 광범위하게 동등한 국가 법률을 만들어야 했다. 이 일반적인 금지 사항에 대한 예외가 있지만(예: 관련 개인의 동의가 있는 경우 EEA 외부 국가로 공개하는 경우(제26조(1)(a))), 이는 실질적인 범위가 제한적이다. 결과적으로 제25조는 유럽에서 미국으로 개인 정보를 전송하는 조직에 법적 위험을 초래했다.

이 프로그램은 EU와 미국 간의 승객 이름 기록 정보 교환을 규제한다. EU 지침에 따르면, 개인 데이터는 해당 국가가 적절한 수준의 보호를 제공하는 경우에만 제3국으로 전송될 수 있다. 이 규칙에 대한 몇 가지 예외가 제공되는데, 예를 들어 관리자가 수신자가 데이터 보호 규칙을 준수할 것임을 보장할 수 있는 경우이다.

유럽 연합 집행위원회는 "개인 데이터 처리에 관한 개인 보호 실무 그룹"을 설립했으며, 일반적으로 "제29조 실무 그룹"으로 알려져 있다. 이 실무 그룹은 유럽 연합 및 제3국의 보호 수준에 대한 조언을 제공한다.[61]

실무 그룹은 미국 대표자들과 개인 정보 보호에 대해 협상했으며, 그 결과가 세이프 하버 원칙이었다. 이러한 승인에도 불구하고 세이프 하버의 자가 평가 접근 방식은 여러 유럽 프라이버시 규제 기관 및 논평자들에게 논란의 여지가 있다.[62]

세이프 하버 프로그램은 이 문제를 다음과 같이 다룬다. 미국의 모든 조직에 부과되는 포괄적인 법률이 아니라, 연방거래위원회가 시행하는 자발적인 프로그램이다. 이 프로그램에 등록하고 여러 표준에 대한 자체 평가를 마친 미국 조직은 제25조 목적상 "적절하다고 간주"된다. 유럽 경제 지역에서 이러한 조직으로 개인 정보를 보낼 경우 발송자는 제25조 또는 이에 상응하는 EU 국내법을 위반하지 않는다. 세이프 하버는 제25조(6)의 목적상 개인 정보에 대한 적절한 보호를 제공하는 것으로 유럽 연합 집행위원회에 의해 2000년 7월 26일 승인되었다.[63]

세이프 하버 하에서, 채택된 조직들은 EU에서 발생한 개인 정보미국 세이프 하버로 전송된 후 제3국으로 다시 전송될 때의 추가 전송 의무 준수를 신중하게 고려해야 한다. 많은 EU 프라이버시 규제 기관이 권장하는 "구속적 기업 규칙"의 대안적인 준수 접근 방식은 이 문제를 해결한다. 또한, 인사 데이터의 미국 세이프 하버 전송과 관련하여 발생하는 모든 분쟁은 EU 프라이버시 규제 기관의 패널에서 심리되어야 한다.[64]

2007년 7월, 미국과 EU 사이에 새로운, 논란이 많은[65] 승객 이름 기록 협정이 체결되었다.[66] 그 직후 조지 W. 부시 행정부국토안보부출입국 정보 시스템(ADIS)과 자동 목표 시스템을 1974년 프라이버시법에서 면제했다.[67]

2008년 2월, EU 집행위원회 내무부장 조나단 폴(Jonathan Faull)은 미국의 PNR에 대한 양자 정책에 대해 불평했다.[68] 미국은 2008년 2월 체코와 비자 면제 제도 교환에 관한 양해각서(MOU)를 체결했는데, 브뤼셀과 사전에 협의하지 않았다.[65] 워싱턴과 브뤼셀 간의 갈등은 주로 미국의 데이터 보호 수준이 낮기 때문이며, 특히 외국인은 1974년 미국 프라이버시법의 혜택을 받지 못하기 때문이다. 양자 양해각서를 위해 접촉한 다른 국가로는 영국, 에스토니아, 독일, 그리스 등이 있다.[69]

같이 보기

[편집]
컴퓨터 과학 분야
기관
해당 분야 학자

각주

[편집]
  1. Uberveillance and the social implications of microchip implants : emerging technologies. Michael, M. G., Michael, Katina, 1976-. Hershey, PA. 2013년 9월 30일. ISBN 978-1466645820. OCLC 843857020.
  2. Ian Austen (2011년 6월 22일). Canadian Inquiry Finds Privacy Issues in Sale of Used Products at Staples. 뉴욕 타임스. 2019년 5월 14일에 확인함.
  3. Solove, D.J. (2006). "A taxonomy of privacy." University of Pennsylvania Law Review, 154(3), 477-560. https://doi.org/10.2307/40041279
  4. U.S. Department of Justice, Office of Privacy and Civil Liberties. (2020). "Overview of the Privacy Act of 1974, 2020 Edition." https://www.justice.gov/opcl/overview-privacy-act-1974-2020-edition
  5. Bureau of Justice Assistance. "PrivacyAct of 1974, 5 U.S.C. 552a." https://bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/1279
  6. Congressional Research Service. "The Privacy Act of 1974: Overview and Issues for Congress." https://www.congress.gov/crs-product/R47863
  7. Solove, D.J. (2006)."A taxonomy of privacy." University of Pennsylvania Law Review, 154(3), 477–560. https://doi.org/10.2307/40041279
  8. 1 2 3 Bipartisan Policy Center. (2023). History of the Cambridge Analytica Controversy." https://bipartisanpolicy.org/article/cambridge-analytica-controversy/
  9. NPR. (2019). "Facebook Pays $643,000 Fine For Role In Cambridge Analytica Scandal." https://www.npr.org/2019/10/30/774749376/facebook-pays-643-000-fine-for-role-in-cambridge-analytica-scandal
  10. MIT Internet Policy Research Initiative. (2018). "Facebook/Cambridge Analytica: Privacy Lessons and a Way Forward." https://internetpolicy.mit.edu/blog-2018-fb-cambridgeanalytica/
  11. System for Gathering TV Audience Rating in Real Time in Internet Protocol Television Network and Method Thereof. FreePatentsOnline.com. 2010년 1월 14일. 2011년 6월 7일에 확인함.
  12. 1 2 Fiveash, Kelly (2012년 11월 8일). Psst: Heard the one about the National Pupil Database? Thought not. 더 레지스터. 2012년 12월 12일에 확인함.
  13. The Myth of the Average User: Improving Privacy and Security Systems through Individualization (NSPW '15) | BLUES. blues.cs.berkeley.edu. 2015년 8월 26일. 2016년 3월 11일에 확인함.
  14. Amenu, Edwin Xorsenyo; Rajagopal, Sridaran (2024), Rajagopal, Sridaran; Popat, Kalpesh; Meva, Divyakant; Bajeja, Sunil (편집), Optimizing the Security and Privacy of Cloud Data Communication; Hybridizing Cryptography and Steganography Using Triple Key of AES, RSA and LSB with Deceptive QR Code Technique: A Novel Approach (영어), Advancements in Smart Computing and Information Security (Cham: Springer Nature Switzerland) 2039, 291–306쪽, doi:10.1007/978-3-031-59100-6_21, ISBN 978-3-031-59099-3, 2024년 11월 14일에 확인함
  15. Bergstein, Brian (2006년 6월 18일). Research explores data mining, privacy. USA Today. 2010년 5월 5일에 확인함.
  16. Bergstein, Brian (2004년 1월 1일). In this data-mining society, privacy advocates shudder. Seattle Post-Intelligencer.
  17. Swartz, Nikki (2006). U.S. Demands Google Web Data. Information Management Journal. 2014년 12월 19일에 원본 문서에서 보존된 문서. Vol. 40 Issue 3, p. 18
  18. 1 2 Cofone, Ignacio (2023). The Privacy Fallacy: Harm and Power in the Information Economy. New York: Cambridge University Press. ISBN 9781108995443.
  19. Nym Mixnet Whitepaper (PDF).
  20. I2P's Threat Model - I2P. 2025년 5월 7일에 확인함.
  21. Federal Trade Commission. (2022). Protecting Consumer Privacy in an Era of Rapid Change. Retrieved from https://www.ftc.gov/reports
  22. Smith, A. (2023). Tracking, cookies, and digital privacy: Understanding online data collection. Journal of Cyber Policy, 8(1), 45–61.
  23. California Legislative Information. (2020). California Consumer Privacy Act (CCPA). Retrieved from https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV
  24. Schneider, G.; Evans, J.; Pinard, K.T. (2008). The Internet: Illustrated Series. Cengage Learning. 156쪽. ISBN 9781423999386. 2018년 5월 9일에 확인함.
  25. Bocij, P. (2004). Cyberstalking: Harassment in the Internet Age and How to Protect Your Family. Greenwood Publishing Group. 268쪽. ISBN 9780275981181.
  26. Cannataci, J.A.; Zhao, B.; Vives, G.T. 외 (2016). Privacy, free expression and transparency: Redefining their new boundaries in the digital age. UNESCO. 26쪽. ISBN 9789231001888. 2018년 5월 9일에 확인함.
  27. 1 2 3 4 5 Bornschein, R.; Schmidt, L.; Maier, E.; Bone, S. A.; Pappalardo, J. K.; Fitzgerald, M. P. (April 2020). The Effect of Consumers' Perceived Power and Risk in Digital Information Privacy: The Example of Cookie Notices (영어). Journal of Public Policy & Marketing 39. 135–154쪽. doi:10.1177/0743915620902143. ISSN 0743-9156. S2CID 213860986.
  28. Verizon. (2023). Data Breach Investigations Report (DBIR). Retrieved from https://www.verizon.com/business/resources/reports/dbir/
  29. IBM Security. (2022). Cost of a Data Breach Report 2022. Retrieved from https://www.ibm.com/security/data-breach
  30. European Parliament. (2016). General Data Protection Regulation (GDPR), Regulation (EU) 2016/679.
  31. U.S. Department of Health and Human Services. (2021). Health Information Privacy. Retrieved from https://www.hhs.gov/hipaa/index.html
  32. Organisation for Economic Co-operation and1 Development (OECD). (2013). The OECD Privacy Framework. Retrieved from https://www.oecd.org/sti/privacy-framework.htm
  33. United Nations. (2018). Personal Data Protection and Privacy Principles. Retrieved from https://www.un.org/en/dataprivacy
  34. European Parliament. (2016). General Data Protection Regulation (GDPR), Regulation (EU) 2016/679.
  35. California Legislative Information. (2020). California Consumer Privacy Act (CCPA). Retrieved from https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV
  36. Government of Canada. (2021). Personal Information Protection and Electronic Documents Act (PIPEDA). Retrieved from https://www.priv.gc.ca/en/
  37. U.S. Department of Health and Human Services. (2021). Health Information Privacy. Retrieved from https://www.hhs.gov/hipaa/index.html
  38. 1 2 International Association of Privacy Professionals. (2023). "Consumer Perspectives of Privacy and Artificial Intelligence." https://iapp.org/resources/article/consumer-perspectives-of-privacy-and-ai/
  39. 1 2 3 4 RAND Corporation. (2024). "Artificial Intelligence Impacts on Privacy Law." https://www.rand.org/pubs/research_reports/RRA3243-2.html
  40. 1 2 Congressional Research Service. "Generative Artificial Intelligence and Data Privacy: A Primer." https://www.congress.gov/crs-product/R47569
  41. 1 2 IBM. (2024). "Exploring Privacy Issues in the Age of AI." https://www.ibm.com/think/insights/ai-privacy
  42. Stanford University Human-Centered Artificial Intelligence. "Privacy in an AI Era: How Do We Protect Our Personal Information?" https://hai.stanford.edu/news/privacy-ai-era-how-do-we-protect-our-personal-information
  43. Ataei, M.; Kray, C. (2016). Ephemerality Is the New Black: A Novel Perspective on Location Data Management and Location Privacy in LBS. Progress in Location-Based Services 2016. Springer. 357–374쪽. ISBN 9783319472898. 2018년 5월 9일에 확인함.
  44. Blumberg, A. Eckersley, P. (2009년 8월 3일). On locational privacy and how to avoid losing it forever.. EFF.
  45. de Montjoye, Yves-Alexandre; César A. Hidalgo; Michel Verleysen; Vincent D. Blondel (2013년 3월 25일). Unique in the Crowd: The privacy bounds of human mobility. Scientific Reports 3. 1376쪽. Bibcode:2013NatSR...3.1376D. doi:10.1038/srep01376. PMC 3607247. PMID 23524645.
  46. Palmer, Jason (2013년 3월 25일). Mobile location data 'present anonymity risk'. BBC News. 2013년 4월 12일에 확인함.
  47. Aurelia, Nicholas-Donald; Francisco, Matus, Jesus; SeungEui, Ryu; M, Mahmood, Adam (2017년 6월 1일). The Economic Effect of Privacy Breach Announcements on Stocks: A Comprehensive Empirical Investigation. Amcis 2011 Proceedings - All Submissions.
  48. Serenko, Natalia; Lida Fan (2013). Patients' Perceptions of Privacy and Their Outcomes in Healthcare (PDF). International Journal of Behavioural and Healthcare Research 4. 101–122쪽. doi:10.1504/IJBHR.2013.057359.
  49. If a patient is below the age of 18-years does confidentiality still works or should doctor breach and inform the parents?15years girl went for... - eNotes. eNotes. 2011년 12월 2일에 원본 문서에서 보존된 문서. 2008년 5월 29일에 확인함.
  50. 1 2 Federal Trade Commission. "Children's Online Privacy Protection Rule (COPPA)." https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa
  51. Texas Attorney General. "Children's Online Privacy Protection Act (COPPA)." https://www.texasattorneygeneral.gov/consumer-protection/file-consumer-complaint/consumer-privacy-rights/childrens-online-privacy-protection-act
  52. 1 2 3 4 Electronic Privacy Information Center. "Children's Privacy." https://epic.org/issues/data-protection/childrens-privacy/
  53. 1 2 Federal Trade Commission. (2013). "Revised Children's Online Privacy Protection Rule Goes Into Effect Today." https://www.ftc.gov/news-events/news/press-releases/2013/07/revised-childrens-online-privacy-protection-rule-goes-effect-today
  54. Zetter, Kim (2018년 2월 21일). The Myth of the Hacker-Proof Voting Machine (미국 영어). The New York Times. ISSN 0362-4331. 2019년 4월 3일에 확인함.
  55. Rakower, Lauren (2011). Blurred Line: Zooming in on Google Street View and the Global Right to Privacy. brooklynworks.brooklaw.edu. 2017년 10월 5일에 원본 문서에서 보존된 문서.
  56. Robert Hasty, Dr Trevor W. Nagel and Mariam Subjally. Data Protection Law in the USA (PDF). Advocates for International Development. August 2013. 2015년 9월 25일에 원본 문서 (PDF)에서 보존된 문서. 2013년 10월 14일에 확인함.
  57. Institutional Review Board - Guidebook, CHAPTER IV - CONSIDERATIONS OF RESEARCH DESIGN. www.hhs.gov. 2017년 10월 5일. 2017년 10월 5일에 확인함.
  58. Programme Management Managing Multiple Projects Successfully.. Mittal, Prashant. Global India Pubns. 2009. ISBN 978-9380228204. OCLC 464584332.
  59. Protection of personal data. 유럽 연합 집행위원회. 2006년 6월 16일에 원본 문서에서 보존된 문서.
  60. Weiss and Archick, Martin A. and Kristin (2016년 5월 19일). U.S.-EU Data Privacy: From Safe Harbor to Privacy Shield (PDF). Congressional Research Service.
  61. EPIC – Article 29 Working Party (영어). epic.org. 2021년 8월 15일에 원본 문서에서 보존된 문서. 2021년 3월 20일에 확인함.
  62. SEC (2004) 1323: The implementation of Commission Decision 520/2000/EC on the adequate protection of personal data provided by the Safe Harbour privacy Principles and related Frequently Asked Questions issued by the US Department of Commerce (PDF). 유럽 연합 집행위원회. 2004년 10월 20일. 2006년 7월 24일에 원본 문서 (PDF)에서 보존된 문서.
  63. 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce. 유럽 연합 관보, L 시리즈. 2000년 8월 25일. 7–47쪽 유럽 의회 법률 정보 시스템 경유.
  64. Q&A on the European Data Protection Authorities Panel foreseen by the Safe Harbour Decision (PDF). 유럽 연합 집행위원회. 2006년 7월 24일에 원본 문서 (PDF)에서 보존된 문서.
  65. 1 2 A divided Europe wants to protect its personal data wanted by the US 보관됨 2011-05-22 - 웨이백 머신, 뤼 89, 2008년 3월 4일 (영어)
  66. New EU-US PNR Agreement on the processing and transfer of Passenger Name Record (PNR) data – CHALLENGE | Liberty & Security. libertysecurity.org. 2012년 1월 12일에 원본 문서에서 보존된 문서. 2022년 1월 11일에 확인함.
  67. Statewatch, US changes the privacy rules to exemption access to personal data September 2007
  68. Brussels attacks new US security demands 보관됨 2009-02-11 - 웨이백 머신, European Observer. See also Statewatch newsletter February 2008
  69. Statewatch, March 2008

더 읽어보기

[편집]

외부 링크

[편집]
국제
유럽
라틴 아메리카
북미
저널
원본 주소 "https://ko.wikipedia.org/w/index.php?title=정보_프라이버시&oldid=41439074"