개인정보 감독기구, IoT 데이터를 개인정보로 규정

개인정보 감독기구, IoT 데이터를 개인정보로 규정

네트워크로 연결된 디바이스에서 생성되어 전송, 처리되는 데이터를 개인정보보호 법률에 의해 규제되어야 한다는 주장이 제기되었다. 개인정보 감독기구들은 사물인터넷(IoT, Internet of Things)에 연결되는 디바이스에서 생성되는 데이터가 개인정보로 인식되고 이에 따른 적절한 규제조치가 뒤따라야 한다고 합의했다. 

모리셔스(Mauritius)에서 개최된 제36차 국제 프라이버시 컨퍼런스에서 국가 개인정보 감독기구들은 센서로부터 생성된 데이터는 그 양이나 질적인 측면, 그리고 그 민감성 면에서 매우 방대하고 중요하며, 이러한 데이터는 대부분 개인으로부터 생성된 정보라고 지적했다. 

식별 가능성을 고려한다면, 빅데이터 보안은 이미 큰 이슈라고 감독기구는 밝혔다. 따라서 IoT 디바이스로부터 생성되는 빅데이터는 더욱 큰 문제를 야기할 수 있다고 주장했다. 이러한 데이터들은 반드시 개인 데이터로 규정되어 이에 따른 규제사항을 준수해야 한다고 지적했다. 

유럽과 아시아 태평양의 개인정보 규제 감독기관들은 컨퍼런스에서 IoT 비즈니스는 네트워크로 연결된 디바이스에서 수집한 데이터를 데이터 보호 법률에 규율을 받아야 한다고 주장했다. 

데이터 보호법률 전문가인 Pinsent Masons社의 마크 다우트리히(Marc Dautlich)는 IoT 디바이스로부터 생성되는 모든 데이터들이 개인정보라고 가정하는 것은 지나친 단순화이며, 데이터 통제자(data controller)들에게 너무 많은 짐을 지우는 것이 될 수도 있다고 말했다. 

가장 나은 접근방법은 IoT 디바이스에서 생성되는 데이터 분석을 통해 조직의 프라이버시 보호 전략의 근간으로 활용하는 것이라고 그는 주장했다. 

개인정보보호 감독기구들은 공동선언에서 수집되는 데이터와 데이터 수집 목적, 그리고 얼마나 관련 데이터를 보유하는지에 대해 투명해야 한다고 지적했다. 데이터 처리는 데이터 수집 당시부터 시작되며, 모든 보호 수단은 애초 초기 단계부터 시작되어야 한다고 주장했다. 

감독기구들은 선언문에서 데이터 보호와 소비자 프라이버시를 처음부터 보장하는 기술 개발을 촉진해야 하며, 프라이버시 디자인(Privacy by design)과 디폴트 설정을 통한 보안강화 등이 보편화되어 확산될 필요가 있다고 지적했다. 이 점은 혁신 기술을 확산시키는데 주안점이 되어야 한다고 주장했다. 

감독기구들은 또한 엔드 투 엔드(end-to-end) 데이터 암호화에 대해 강조했는데, 이는 만일 로컬 프로세싱이 데이터 보안 위협을 감소시키지 못할 경우를 대비한 것이다. 

개인정보 감독기구의 이러한 결의는 유럽연합의 데이터 보호 규제기관이 IoT 제조업체로 하여금 개인 정보를 사용할 경우 이에 대해 새로운 방법으로 동의를 얻도록 한 결정에 뒤이은 것이다. 

원문출처 : http://www.cbronline.com/news/security/iot-data-deemed-personal-by-data-watchdogs-4415062

출처 KISTI 미리안 『글로벌동향브리핑』