공공정책 위키(Public Policy Wiki)에 오신 것을 환영합니다
웨어러블 디바이스 보안정책: 두 판 사이의 차이
둘러보기로 이동
검색으로 이동
잔글편집 요약 없음 |
잔글편집 요약 없음 |
||
| 48번째 줄: | 48번째 줄: | ||
== 개인정보 보호를 위한 법적 규제와 정책 == | == 개인정보 보호를 위한 법적 규제와 정책 == | ||
=== 개인정보 보호법 ( | === 개인정보 보호법 === | ||
==== 제1장 총칙 ==== | |||
===== '''제1조(목적)''' ===== | |||
* 이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. | |||
===== '''제2조(정의)''' ===== | |||
* 이 법에서 사용하는 용어의 뜻은 다음과 같다. | |||
* “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. | |||
** 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 | |||
** 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다. | |||
** 다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다) | |||
* “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다. | |||
* “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다. | |||
* “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. | |||
* “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. | |||
* "개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. | |||
* “공공기관”이란 다음 각 목의 기관을 말한다. | |||
** 가.국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체 | |||
** 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 | |||
* “고정형 영상정보처리기기”란 일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다. | |||
** “이동형 영상정보처리기기”란 사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착 또는 거치(据置)하여 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다. | |||
* “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다. | |||
=== 정보통신망법 === | === 정보통신망법 === | ||
==== '''제1장 총칙''' ==== | |||
===== '''제1조(목적)''' ===== | |||
* 이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다. | |||
===== '''제2조(정의)''' ===== | |||
* 이 법에서 사용하는 용어의 뜻은 다음과 같다. | |||
* “정보통신망”이란 「전기통신사업법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다. | |||
* “정보통신서비스”란 「전기통신사업법」 제2조제6호에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다. | |||
* “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다. | |||
* “이용자”란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다. | |||
* “전자문서”란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것을 말한다. | |||
* 삭제 <2020. 2. 4.> | |||
* “침해사고”란 다음 각 목의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다. | |||
** 가. 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법 | |||
** 나. 정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하는 방법 | |||
* 삭제 <2015. 6. 22.> | |||
* “게시판”이란 그 명칭과 관계없이 정보통신망을 이용하여 일반에게 공개할 목적으로 부호ㆍ문자ㆍ음성ㆍ음향ㆍ화상ㆍ동영상 등의 정보를 이용자가 게재할 수 있는 컴퓨터 프로그램이나 기술적 장치를 말한다. | |||
* “통신과금서비스”란 정보통신서비스로서 다음 각 목의 업무를 말한다. | |||
** 가. 타인이 판매ㆍ제공하는 재화 또는 용역(이하 “재화등”이라 한다)의 대가를 자신이 제공하는 전기통신역무의 요금과 함께 청구ㆍ징수하는 업무 | |||
** 나. 타인이 판매ㆍ제공하는 재화등의 대가가 가목의 업무를 제공하는 자의 전기통신역무의 요금과 함께 청구ㆍ징수되도록 거래정보를 전자적으로 송수신하는 것 또는 그 대가의 정산을 대행하거나 매개하는 업무 | |||
* “통신과금서비스제공자”란 제53조에 따라 등록을 하고 통신과금서비스를 제공하는 자를 말한다. | |||
* “통신과금서비스이용자”란 통신과금서비스제공자로부터 통신과금서비스를 이용하여 재화등을 구입ㆍ이용하는 자를 말한다. | |||
* “전자적 전송매체”란 정보통신망을 통하여 부호ㆍ문자ㆍ음성ㆍ화상 또는 영상 등을 수신자에게 전자문서 등의 전자적 형태로 전송하는 매체를 말한다. | |||
* 이 법에서 사용하는 용어의 뜻은 제1항에서 정하는 것 외에는 「지능정보화 기본법」에서 정하는 바에 따른다. | |||
=== 개인정보 자기결정권 === | === 개인정보 자기결정권 === | ||
| 64번째 줄: | 120번째 줄: | ||
* 이와 같은 개인정보 자기결정권을 보호하는 핵심적인 수단은 '''informed consent(고지된 동의)'''<ref>‘사전동의’ 또는 ‘고지에 입각한 동의’로써 한 사람에게 의료행위를 하기 전에 허락을 구하는 프로세스를 의미하며, 개인정보 도메인에서 개인정보를 수집하기 전에 개인정보 수집 목적 및 처리절차 등을 알리는 것을 의미</ref>를 기초로 한 개인정보 동의로부터 출발된다. | * 이와 같은 개인정보 자기결정권을 보호하는 핵심적인 수단은 '''informed consent(고지된 동의)'''<ref>‘사전동의’ 또는 ‘고지에 입각한 동의’로써 한 사람에게 의료행위를 하기 전에 허락을 구하는 프로세스를 의미하며, 개인정보 도메인에서 개인정보를 수집하기 전에 개인정보 수집 목적 및 처리절차 등을 알리는 것을 의미</ref>를 기초로 한 개인정보 동의로부터 출발된다. | ||
* 동의를 통해 정보 주체자(data subject)의 자기결정이 표출되기 때문에 개인정보 자기결정권이 실현 되려면 개인정보의 수집·이용 또는 제3자 제공에서 정보 주체자의 자발적 동의가 전제되어야 한다.<ref>권영준 2016</ref><br /> | * 동의를 통해 정보 주체자(data subject)의 자기결정이 표출되기 때문에 개인정보 자기결정권이 실현 되려면 개인정보의 수집·이용 또는 제3자 제공에서 정보 주체자의 자발적 동의가 전제되어야 한다.<ref>권영준 2016</ref><br /> | ||
== 추진 사항 == | |||
== 공공기관에서의 웨어러블 디바이스 사용 지침 == | == 공공기관에서의 웨어러블 디바이스 사용 지침 == | ||
=== 웨어러블 콜 개인정보처리방침 === | === KT 웨어러블 콜 === | ||
* 웨어러블 기기(이하 웨어러블) 와 스마트폰(이하 모단말)을 함께 이용하는 이용자가 단말 이용 상황에 따라 두 지정 단말에서 모단말과 웨어러블 기기의 착신전환을 간단하게 설정할 수 있고, 원넘버 서비스 가입 시 웨어러블에서 모단말 번호로 발신할 수 있는 기능을 설정 할 수 있도록 하는 어플이다. | |||
* 이러한 웨어러블 콜은 다음과 같은 개인정보처리방침을 따른다. | |||
=== 웨어러블 콜 개인정보처리방침<ref>웨어러블 콜 개인정보 처리방침 (olleh.com)</ref> === | |||
==== 제1조 총칙 ==== | |||
#개인정보란 생존하는 개인에 관한 정보로서 생년월일, 성별 등에 의하여 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향, 영상 및 생체 특성 등에 관한 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함)를 말한다. | |||
#웨어러블 콜은 사용자의 개인정보를 중요시하며, 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』과 개인정보 보호 관련 각종 법규를 준수하고 있다. | |||
#웨어러블 콜은 개인정보처리방침을 통하여 사용자의 개인정보가 어떠한 용도와 방식으로 이용되고 있으며, 개인정보보호를 위해 어떠한 조치가 취해지고 있는지 알려준다. | |||
#웨어러블 콜의 개인정보처리방침은 관련 법령 및 내부 운영 방침의 변경에 따라 개정될 수 있다. 개인정보처리방침이 개정되는 경우에는 시행일자 등을 부여하여 개정된 내용을 지체 없이 공지한다. | |||
#영업의 전부 또는 일부를 양도하거나 합병 등으로 개인정보를 이전하는 경우 서면 전자우편 등을 통하여 사용자에게 개별적으로 통지하고, 웨어러블 콜의 과실 없이 사용자의 연락처를 알 수 없는 경우에 해당하여 서면, 전자우편 등으로 통지할 수 없는 경우에는 어플의 첫 화면에서 식별할 수 있도록 표기하여 30일 이상 그 사실을 공지한다. 단, 천재지변 등 정당한 사유로 홈페이지 게시가 곤란한 경우에는 2곳 이상의 중앙일간지(사용자의 대부분이 특정 지역에 거주하는 경우에는 그 지역을 보급구역으로 하는 일간지로 할 수 있습니다.)에 1회 이상 공고하는 것으로 갈음한다. | |||
==== '''제2조 개인정보의 수집항목 및 수집/이용 목적''' ==== | |||
# 웨어러블 콜은 서비스 제공 등을 위하여 필요한 범위에서 최소한의 개인정보만을 수집합니다. | |||
# 사상, 신념, 가족 및 친인척관계, 학력(學歷)ㆍ병력(病歷), 기타 사회활동 경력 등 고객님의 권리ㆍ이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보는 수집하지 않는다. 다만, 사용자가 수집에 동의하거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우에는 필요한 범위에서 최소한으로 위 개인정보를 수집할 수 있다. | |||
# 웨어러블 콜이 수집하는 개인정보 항목과 수집/이용하는 목적은 다음과 같다. | |||
{| class="wikitable sortable" | |||
|+다음 정보는 가입 당시 정보뿐만 아니라 정보 수정으로 변경된 정보를 포함한다. | |||
!수집/이용 목적 | |||
!개인정보 항목 | |||
|- | |||
|웨어러블 콜 서비스 제공 | |||
|이용자의 휴대전화번호 | |||
|} | |||
# 웨어러블 콜은 아래의 경우에 한하여 사용자의 동의 없이 사용자의 개인정보를 수집ㆍ이용할 수 있다. 가. 사용자와의 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우 나. 서비스의 제공에 따른 요금정산을 위하여 필요한 경우 다. 관련 법령에 특별한 규정이 있는 경우 | |||
# 회사는 단말기 접근 권한을 허용 받았어도 허용된 권한 관련 모든 정보가 즉시 수집(전송)되는 것은 아니며, 개인정보 수집 이용 동의를 받은 범위 내에서, 사용자 단말기 정보에 접근 후에 수집(전송)한다. | |||
==== 제3조 개인정보 이용 및 보유기간 ==== | |||
* 휴대 전화번호는 실시간으로 서버의 정보와 체크 후 바로 삭제되어 별도 저장되지 않는다. | |||
==== 제4조 개인정보의 기술적, 관리적 보호 ==== | |||
웨어러블 콜은 사용자의 개인정보가 분실, 도난, 유출, 위조ㆍ변조 또는 훼손되지 않도록 안전성 확보를 위하여 다음과 같은 기술적ㆍ관리적 대책을 마련하고 있다. | |||
===== [기술적 보호대책] ===== | |||
1. 백신 소프트웨어를 이용하여 컴퓨터바이러스 등에 의한 피해를 방지하기 위한 조치를 취하고 있다. 백신 소프트웨어는 주기적으로 업데이트되며 갑작스런 바이러스가 출현할 경우 백신이 나오는 즉시 이를 도입, 적용함으로써 개인정보가 침해되는 것을 방지하고 있다. | |||
2. 사용자의 개인정보에 대한 불법적인 접근을 차단하기 위해, 외부로부터 접근이 통제된 구역에 시스템을 설치하고, 침입을 차단하는 장치를 이용하고 있으며, 아울러 침입탐지시스템을 설치하여 24시간 침입을 감시하고 있다. | |||
===== [관리적 보호대책] ===== | |||
1. 웨어러블 콜은 사용자의 개인정보를 안전하게 처리하기 위한 내부관리 계획을 마련하여 소속 직원이 이를 숙지하고 준수하도록 하고 있다. | |||
2. 웨어러블 콜은 사용자의 개인정보를 처리할 수 있는 자를 최소한으로 제한하고 접근 권한을 관리하며, 새로운 보안 기술 습득 및 개인정보보호 의무 등에 관해 정기적인 사내 교육과 외부 위탁교육을 통하여 법규 및 정책을 준수할 수 있도록 하고 있습니다. 사용자의 개인정보를 처리하는 자는 다음과 같습니다. | |||
가. 사용자를 직ㆍ간접적으로 상대하여 마케팅 업무를 수행하는 자 | |||
나. 개인정보보호책임자 및 개인정보보호담당자 등 개인정보 보호 업무를 담당하는 자 | |||
다. 기타 업무상 개인정보의 처리가 불가피한 자 | |||
3. 전 임직원이 정보보호서약서에 서명하게 함으로써 직원에 의한 정보(개인정보 포함)유출을 사전에 방지하고, 수시로 개인정보보호 의무를 상기시키며 준수 여부를 감사하기 위한 내부 절차를 마련하여 시행하고 있다. | |||
4. 개인정보 처리자의 업무 인수인계는 보안이 유지된 상태에서 철저하게 이루어지도록 하여, 입사 및 퇴사 후 개인정보 침해사고에 대한 책임을 명확하게 규정하고 있다. | |||
5. 전산실 및 자료보관실 등을 통제구역으로 설정하여 출입을 통제한다. | |||
6. 웨어러블 콜은 고객님 개인의 실수나 기본적인 인터넷의 위험성 때문에 일어나는 일들에 대해 책임을 지지 않는다. | |||
== 웨어러블 디바이스 보안 기술 및 해결 방안 == | == 웨어러블 디바이스 보안 기술 및 해결 방안 == | ||
2024년 6월 16일 (일) 22:53 판
웨어러블 디바이스란?
- 웨어러블 디바이스는 ‘착용하는 전자기기’로 단순히 전자기기를 사용자의 몸에 착용하는 것이 아니라, 사용자 신체의 가장 가까운 위치에서 사용자와 소통할 수 있는 전자기기를 의미한다.[1] 이 기기는 일반적으로 센서, 통신 장치, 데이터 처리 기능을 갖추고 있어, 사용자의 신체 활동, 생체 정보, 위치 정보 등을 실시간으로 모니터링하고 데이터를 수집한다.
웨어러블 디바이스의 장점
- 주변 환경에 대한 상세 정보나 개인의 신체 변화를 끊이지 않고 지속적으로 수집하여 실시간으로 대응할 수 있다.[1]
- 개인의 생체정보 수집을 통해 적시에 효과적인 예방과 치료를 제공할 수 있는 “맞춤의료”와 비효율적으로 의료비의 지출을 줄일 수 있는 효과에 대한 장점이 있다.[2]
- 자신의 생활습관을 평상시에 체크할 수 있고, 심장질환이나 당뇨질환 등 급사(急死)를 예방할 수 있다.[3]
웨어러블 디바이스의 종류 및 예시
휴대형 디바이스
- 스마트 워치: Apple에서 출시한 시계형 웨어러블 디바이스(스마트 워치)인 Apple Watch. 헬스케어, 피트니스 추적, 통신 기능 등을 제공한다.
스마트 워치인 Apple Watch - 스마트 안경
부착형 디바이스
- 스마트 콘택트 렌즈: 스위스 벤처기업 Sensimed는 안압의 변화를 통해 녹내장을 진단하고 진행을 늦추는 Triggerfish 렌즈를 개발하였다.
- 부착형 밴드: Corventis의 NUVANT MCT(Mobile Cardiac Telemetry)는 무선센서가 내장된 1회용 밴드 형태의 기기로, 심장부위에 부착해 심전도, 심박동수를 수집하여 모니터링 센터로 전송한다.
센서가 내장된 1회용 밴드, NUVANT MCT
웨어러블 디바이스의 개인정보 수집
- 웨어러블 디바이스는 사용자의 동의를 얻은 후 건강 데이터를 수집하여 사용자의 건강상태를 분석할 수 있다.
- 사용자의 건강 데이터는 개인 데이터로 저장되며, 데이터만으로 사람을 식별할 수도 있다.
웨어러블 디바이스 개인정보 수집기[4]
- 자동으로 개인의 건강데이터를 수집할 수 있는 저작물이다.
- 건강데이터를 제공하는 API에서 Oauth 2.0 방식으로 인증한 후 사용자의 데이터를 제공한다.
- 이 프로그램의 주요 기능은 인증 서버에서 인증 모듈과의 연동을 통해 사용자들의 건강 데이터를 수집해 저장한다.
- 저장된 건강 데이터들은 추후에 분석을 통해 건강 및 활동의 데이터를 추출할 수 있으며, 더 나아가 사용자의 삶의 패턴을 파악하는데 사용될 수 있다.
- 수집된 건강 데이터는 3종류(걸음 수, 수면량, 심박수)로 이루어져 있으며, 각각의 데이터들은 건강의 지표로 삼을 수 있다.
- 또한, 2개 이상의 데이터를 조합해서 새로운 데이터를 분석할 수 있다.
웨어러블 디바이스의 보안 위협과 취약점
- 손목 착용형 웨어러블 디바이스 내 위치 정보 또는 quantified self[5] 같은 건강 정보, 의료 정보 등의 데이터를 추적하고 네트워크를 통해 공유함으로써 프라이버시 이슈가 발생한다.
- 정보 주체자(data subject)[6]가 데이터 수집이나 공유에 대해서 모르고 있어 정보의 비대칭성 및 정보 투명성 문제로 확대될 가능성이 크다.
- 위치 정보 등에 대한 노출로 인한 정보의 오남용은 개인에 대한 스토킹, 물리적 폭력, 절도 등 각종 범죄의 빌미를 제공하게 된다.
- 웨어러블 디바이스와 연동된 스마트폰 앱을 통해 실시간으로 데이터가 클라우드에 저장되고 있어 비인가된 조직이나 단체 등이 이용할지도 모른다는 불안감이 증대될 수 있다.[7]
- 웨어러블의 특징인 항상성으로 인해 내 위치 정보가 실시간으로 데이터에 저장되고 모니터링 될 수 있어 관리자들에 의한 직원들의 감시가 쉬워질 수 있다는 우려가 제기되고 있다.[8]
- 웨어러블 디바이스에 저장되는 모든 데이터에 대한 해킹과 보안 문제, 헬스케어에 대한 의료권 침해 문제, 사물과 사람, 사물과 사물 통신에 대한 컴퓨팅으로 인한 한정된 통신 자원 문제 등을 갖고 있다.[9]
개인정보 보호를 위한 법적 규제와 정책
개인정보 보호법
제1장 총칙
제1조(목적)
- 이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.
제2조(정의)
- 이 법에서 사용하는 용어의 뜻은 다음과 같다.
- “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
- 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
- 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
- 다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
- “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
- “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
- “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
- “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
- "개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
- “공공기관”이란 다음 각 목의 기관을 말한다.
- 가.국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
- 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
- “고정형 영상정보처리기기”란 일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
- “이동형 영상정보처리기기”란 사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착 또는 거치(据置)하여 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
- “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.
정보통신망법
제1장 총칙
제1조(목적)
- 이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.
제2조(정의)
- 이 법에서 사용하는 용어의 뜻은 다음과 같다.
- “정보통신망”이란 「전기통신사업법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다.
- “정보통신서비스”란 「전기통신사업법」 제2조제6호에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
- “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
- “이용자”란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
- “전자문서”란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것을 말한다.
- 삭제 <2020. 2. 4.>
- “침해사고”란 다음 각 목의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.
- 가. 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법
- 나. 정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하는 방법
- 삭제 <2015. 6. 22.>
- “게시판”이란 그 명칭과 관계없이 정보통신망을 이용하여 일반에게 공개할 목적으로 부호ㆍ문자ㆍ음성ㆍ음향ㆍ화상ㆍ동영상 등의 정보를 이용자가 게재할 수 있는 컴퓨터 프로그램이나 기술적 장치를 말한다.
- “통신과금서비스”란 정보통신서비스로서 다음 각 목의 업무를 말한다.
- 가. 타인이 판매ㆍ제공하는 재화 또는 용역(이하 “재화등”이라 한다)의 대가를 자신이 제공하는 전기통신역무의 요금과 함께 청구ㆍ징수하는 업무
- 나. 타인이 판매ㆍ제공하는 재화등의 대가가 가목의 업무를 제공하는 자의 전기통신역무의 요금과 함께 청구ㆍ징수되도록 거래정보를 전자적으로 송수신하는 것 또는 그 대가의 정산을 대행하거나 매개하는 업무
- “통신과금서비스제공자”란 제53조에 따라 등록을 하고 통신과금서비스를 제공하는 자를 말한다.
- “통신과금서비스이용자”란 통신과금서비스제공자로부터 통신과금서비스를 이용하여 재화등을 구입ㆍ이용하는 자를 말한다.
- “전자적 전송매체”란 정보통신망을 통하여 부호ㆍ문자ㆍ음성ㆍ화상 또는 영상 등을 수신자에게 전자문서 등의 전자적 형태로 전송하는 매체를 말한다.
- 이 법에서 사용하는 용어의 뜻은 제1항에서 정하는 것 외에는 「지능정보화 기본법」에서 정하는 바에 따른다.
개인정보 자기결정권
- 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다.
- 이는 자신의 개인정보가 수집, 이용, 제공, 삭제되는 과정을 알고 이에 대해 동의하거나 거부할 수 있는 권리이다.
- 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 독립한 기본권이다.
- 주관적 공권으로서 개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단, 삭제 등을 요구함으로써 자신에 관한 정보에 통제할 수 있는 권리로서 이를 보장하기 위하여 개인정보보호법은 정보주체에게 동의권, 개인정보의 열람청구권, 개인정보 정정청구권과 삭제·차단청구권, 개인정보의 처리정지 요구권, 손해배상청구권 등을 규정하고 있다.
웨어러블 디바이스에의 적용
- 개인의 사생활 보호를 중심으로 제기되었던 프라이버시 권리는 사이버 공간 상의 정보 프라이버시[10] 침해와 그에 대한 개인의 자기정보에 대한 결정권 혹은 통제권 논의로 무게중심이 옮겨지고 있다.[11]
- 이와 같은 개인정보 자기결정권을 보호하는 핵심적인 수단은 informed consent(고지된 동의)[12]를 기초로 한 개인정보 동의로부터 출발된다.
- 동의를 통해 정보 주체자(data subject)의 자기결정이 표출되기 때문에 개인정보 자기결정권이 실현 되려면 개인정보의 수집·이용 또는 제3자 제공에서 정보 주체자의 자발적 동의가 전제되어야 한다.[13]
추진 사항
공공기관에서의 웨어러블 디바이스 사용 지침
KT 웨어러블 콜
- 웨어러블 기기(이하 웨어러블) 와 스마트폰(이하 모단말)을 함께 이용하는 이용자가 단말 이용 상황에 따라 두 지정 단말에서 모단말과 웨어러블 기기의 착신전환을 간단하게 설정할 수 있고, 원넘버 서비스 가입 시 웨어러블에서 모단말 번호로 발신할 수 있는 기능을 설정 할 수 있도록 하는 어플이다.
- 이러한 웨어러블 콜은 다음과 같은 개인정보처리방침을 따른다.
웨어러블 콜 개인정보처리방침[14]
제1조 총칙
- 개인정보란 생존하는 개인에 관한 정보로서 생년월일, 성별 등에 의하여 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향, 영상 및 생체 특성 등에 관한 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함)를 말한다.
- 웨어러블 콜은 사용자의 개인정보를 중요시하며, 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』과 개인정보 보호 관련 각종 법규를 준수하고 있다.
- 웨어러블 콜은 개인정보처리방침을 통하여 사용자의 개인정보가 어떠한 용도와 방식으로 이용되고 있으며, 개인정보보호를 위해 어떠한 조치가 취해지고 있는지 알려준다.
- 웨어러블 콜의 개인정보처리방침은 관련 법령 및 내부 운영 방침의 변경에 따라 개정될 수 있다. 개인정보처리방침이 개정되는 경우에는 시행일자 등을 부여하여 개정된 내용을 지체 없이 공지한다.
- 영업의 전부 또는 일부를 양도하거나 합병 등으로 개인정보를 이전하는 경우 서면 전자우편 등을 통하여 사용자에게 개별적으로 통지하고, 웨어러블 콜의 과실 없이 사용자의 연락처를 알 수 없는 경우에 해당하여 서면, 전자우편 등으로 통지할 수 없는 경우에는 어플의 첫 화면에서 식별할 수 있도록 표기하여 30일 이상 그 사실을 공지한다. 단, 천재지변 등 정당한 사유로 홈페이지 게시가 곤란한 경우에는 2곳 이상의 중앙일간지(사용자의 대부분이 특정 지역에 거주하는 경우에는 그 지역을 보급구역으로 하는 일간지로 할 수 있습니다.)에 1회 이상 공고하는 것으로 갈음한다.
제2조 개인정보의 수집항목 및 수집/이용 목적
- 웨어러블 콜은 서비스 제공 등을 위하여 필요한 범위에서 최소한의 개인정보만을 수집합니다.
- 사상, 신념, 가족 및 친인척관계, 학력(學歷)ㆍ병력(病歷), 기타 사회활동 경력 등 고객님의 권리ㆍ이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보는 수집하지 않는다. 다만, 사용자가 수집에 동의하거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우에는 필요한 범위에서 최소한으로 위 개인정보를 수집할 수 있다.
- 웨어러블 콜이 수집하는 개인정보 항목과 수집/이용하는 목적은 다음과 같다.
| 수집/이용 목적 | 개인정보 항목 |
|---|---|
| 웨어러블 콜 서비스 제공 | 이용자의 휴대전화번호 |
- 웨어러블 콜은 아래의 경우에 한하여 사용자의 동의 없이 사용자의 개인정보를 수집ㆍ이용할 수 있다. 가. 사용자와의 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우 나. 서비스의 제공에 따른 요금정산을 위하여 필요한 경우 다. 관련 법령에 특별한 규정이 있는 경우
- 회사는 단말기 접근 권한을 허용 받았어도 허용된 권한 관련 모든 정보가 즉시 수집(전송)되는 것은 아니며, 개인정보 수집 이용 동의를 받은 범위 내에서, 사용자 단말기 정보에 접근 후에 수집(전송)한다.
제3조 개인정보 이용 및 보유기간
- 휴대 전화번호는 실시간으로 서버의 정보와 체크 후 바로 삭제되어 별도 저장되지 않는다.
제4조 개인정보의 기술적, 관리적 보호
웨어러블 콜은 사용자의 개인정보가 분실, 도난, 유출, 위조ㆍ변조 또는 훼손되지 않도록 안전성 확보를 위하여 다음과 같은 기술적ㆍ관리적 대책을 마련하고 있다.
[기술적 보호대책]
1. 백신 소프트웨어를 이용하여 컴퓨터바이러스 등에 의한 피해를 방지하기 위한 조치를 취하고 있다. 백신 소프트웨어는 주기적으로 업데이트되며 갑작스런 바이러스가 출현할 경우 백신이 나오는 즉시 이를 도입, 적용함으로써 개인정보가 침해되는 것을 방지하고 있다.
2. 사용자의 개인정보에 대한 불법적인 접근을 차단하기 위해, 외부로부터 접근이 통제된 구역에 시스템을 설치하고, 침입을 차단하는 장치를 이용하고 있으며, 아울러 침입탐지시스템을 설치하여 24시간 침입을 감시하고 있다.
[관리적 보호대책]
1. 웨어러블 콜은 사용자의 개인정보를 안전하게 처리하기 위한 내부관리 계획을 마련하여 소속 직원이 이를 숙지하고 준수하도록 하고 있다.
2. 웨어러블 콜은 사용자의 개인정보를 처리할 수 있는 자를 최소한으로 제한하고 접근 권한을 관리하며, 새로운 보안 기술 습득 및 개인정보보호 의무 등에 관해 정기적인 사내 교육과 외부 위탁교육을 통하여 법규 및 정책을 준수할 수 있도록 하고 있습니다. 사용자의 개인정보를 처리하는 자는 다음과 같습니다.
가. 사용자를 직ㆍ간접적으로 상대하여 마케팅 업무를 수행하는 자
나. 개인정보보호책임자 및 개인정보보호담당자 등 개인정보 보호 업무를 담당하는 자
다. 기타 업무상 개인정보의 처리가 불가피한 자
3. 전 임직원이 정보보호서약서에 서명하게 함으로써 직원에 의한 정보(개인정보 포함)유출을 사전에 방지하고, 수시로 개인정보보호 의무를 상기시키며 준수 여부를 감사하기 위한 내부 절차를 마련하여 시행하고 있다.
4. 개인정보 처리자의 업무 인수인계는 보안이 유지된 상태에서 철저하게 이루어지도록 하여, 입사 및 퇴사 후 개인정보 침해사고에 대한 책임을 명확하게 규정하고 있다.
5. 전산실 및 자료보관실 등을 통제구역으로 설정하여 출입을 통제한다.
6. 웨어러블 콜은 고객님 개인의 실수나 기본적인 인터넷의 위험성 때문에 일어나는 일들에 대해 책임을 지지 않는다.
웨어러블 디바이스 보안 기술 및 해결 방안
웨어러블 MPEG 국제표준기술
- 웨어러블 MPEG 국제표준기술은 사용자, 웨어러블 기기, 신호처리엔진 간의 정보교환을 표준화하는 기술이다.
- 이 기술은 웨어러블 기기의 종류를 정의하고, 기기 간에 필요한 멀티미디어 정보를 목록화하며, 정보의 내용과 표현 방법을 표준화한다.
- 이는 웨어러블 디바이스에서 데이터의 안전한 교환을 위한 기초를 제공할 수 있다.
- 표준화된 데이터 교환 프로토콜은 전송 중 데이터의 암호화를 통해 보안성을 강화할 수 있다.
- 사용자 인증 및 접근 통제 메커니즘을 표준화하여 불법 접근을 방지할 수 있다.
- 웨어러블 기기에서 수집되는 개인정보의 보호를 강화하여 사용자의 프라이버시를 보장한다.
생체 인증 기술로 웨어러블 보호하기
각주
- ↑ 1.0 1.1 웨어러블 스마트 디바이스 표준화 홈페이지 (wearablestandards.com)
- ↑ 정혜실, “헬스케어 웨어러블 디바이스의 동향과 전망”, 『보건산업브리프』제115권(2014.3.3.), 한국보건산업 진흥원, 3-4면.
- ↑ 권오민. (2016). ICT 융합 제품의 입법개선방안 연구 : 헬스케어 웨어러블 디바이스를 중심으로. 단국대학교 대학원 석사학위논문, 14-15면
- ↑ 한국저작권위원회, 웨어러블디바이스 개인정보 수집기
- ↑ 센서가 내장된 스마트폰이나 착용형 컴퓨터(wearable computer)와 같은 기기에서 수집․분 석된 자신의 라이프 로그(life log)정보를 통해 건강을 관리하는 것
- ↑ 정보가 처리되고 있는 개인으로서 개인정보를 data controller에 제공하지만 개인정보에 대한 자기결정권을 갖고 있는 주체를 말함. data controller는 data subject로부터 개인정보 수집, 저장,이용,삭제의 권한을 갖고 있는 조직을 의미 (Swire and Bermann 2007)
- ↑ 김진동. (2016). 손목 착용형 웨어러블 장치 사용자의 개인정보 제공 의도에 영향을 미치는 요인. 연세대학교 정보대학원, 3-4면
- ↑ Motti et al. 2014
- ↑ 주정봉, 한상국 2014
- ↑ personal information의 수집 및 처리를 통제하는 규칙을 수립하는 것과 관련된 것으로 financial information, medical information, government records, 인터넷상의 어떤 개인 의 행동들과 관련된 기록들을 의미 (Banisar and Davies 1999)
- ↑ 노동일,정환 2010
- ↑ ‘사전동의’ 또는 ‘고지에 입각한 동의’로써 한 사람에게 의료행위를 하기 전에 허락을 구하는 프로세스를 의미하며, 개인정보 도메인에서 개인정보를 수집하기 전에 개인정보 수집 목적 및 처리절차 등을 알리는 것을 의미
- ↑ 권영준 2016
- ↑ 웨어러블 콜 개인정보 처리방침 (olleh.com)