Akamai Diversity

Akamai 블로그

정보 보호 규제와 고객 Identity 관리

안녕하세요,

본 게시물은  Akamai 본사 Blog에 올라와 있는 글을 읽고 내용 추가하여 다시 포스팅하는 것임을 알려드립니다. 최초 게시자 John Lawlor는 Akamai에서 Senior CIAM Solution Engineer로 재직 중이며, 영문 본문은 본 링크를 통해 확인 가능합니다.

최근 GDPR이나 CCPA 보다는 덜 언급되었지만 글로벌 사업자들이 반드시 고려해야 할 여러 국제 데이터 보호법 중 대한민국 개인정보 보호법(Personal Information Protection Act-PIPA)과 정보통신망법(Network Act)에 관하여 적어보려 합니다. 그러기 위해서는 최근 언급이 잦은 데이터 3법을 집어봐야겠습니다.

 

데이터 3법이란?

대한민국 개인정보 보호법(PIPA)과 정보통신망법 (Network Act), 그리고 신용정보 법(Credit Information Act)으로 가명 정보, 즉 특정인을 알아볼 수 없는 정보를 통계, 과학적 연구, 공익적 기록 보존을 목적으로 활용 가능케 한 것이 핵심입니다. 이는 앞으로의 4차 산업 혁명 시대에 맞추어 AI, IoT 등에 활용될 데이터를 위한 근간이 되는 내용이기도 합니다.


Screen Shot 2020-03-10 at 3.06.09 PM.png



한국의 개인 정보 보호법에 대하여

대한민국의 개인정보 보호법은 "개인 정보 처리자",즉, "공공기관, 법인, 단체 및 개인 등에 적용되며, 이런 폭넓은 범위에서 한국의 모든 사업, 한국 시민들과의 비즈니스에 직접적인 영향을 미칩니다. PIPA는 개인 정보가 무엇인지, 어떻게 처리되고 있는지, 동의가 필요한 시기 및 데이터 주체의 법적 권리를 설명합니다. 그로 하여금 대중을 보호하고, 법을 집행하며, 그에 따른 벌금을 부과하기 위한 기구 역시 설명하고 있습니다. GDPR과 유사하지만, 차이도 존재합니다.

 

GDPR과 대한민국 개인정보 보호법의 차이

  1. GDPR은 EU내에 사업장이 없더라도 EU내의 거주하는 사람의 개인정보를 처리하는 사업자에게도 법이 적용됩니다. 하지만 한국의 PIPA에는 해외 사업자에 대한 명시적 규정이 없습니다.
  2. PIPA에서는 사업주 또는 대표자, 임원 등이 개인정보 보호 책임자로 지정될 수 있지만, GDPR에서는 개인정보보호 책임자의 자격으로 전문 지식과 업무 수행능력을 명시하고 있습니다.
  3. PIPA는 공공 부문에만 개인정보 영향평가를 의무화하고 있으나, GDPR의 경우, 특정 요건 하에 민간영역에서도 영향평가를 해야 합니다.
  4. GDPR은 개인정보를 다른 서비스에 재사용할 수 있도록 이동을 요구할 수 있으나, PIPA에는 별도 규정이 없습니다.
  5. 이외에도 세세한 차이들이 많이 보이네요. 자세한 내용은 KISA 사이트에서 확인해주시기 바랍니다.

Screen Shot 2020-03-10 at 3.13.42 PM.png<사진 출처 : Pexels>


데이터 유출에 대한 처벌

PIPA 처벌은 데이터 유출이 발생했을 때 부과 및 징수되는 벌금에 중점을 둡니다. 정보통신망법의 추가로 정부는 적절한 동의 없이 국제적으로 전송된 데이터에 대해 벌금을 부과 할 수 있습니다. 승인되지 않은 해외 데이터 전송으로 발생한 수익의 최대 3%가 될 수 있으며, 이 경우,  형사 기소될 수도 있습니다. 이러한 처벌은 GDPR (EU 일반 데이터 보호 규정) 또는 CCPA와 같은 규정과 관련된 처벌과 실질적으로 유사합니다.

GDPR: 영향평가 등의 기술조치 미비로 인해 발생한 것으로 판단될 경우, 천만 유로 또는 전 세계 연간 매출의 2% 중 높은 금액

GDPR: 주요 조항을 준수하지 못하였을 경우, 2천만 유로 또는 전 세계 연간 매출의 4% 중 높은 금액

국내에는 개인정보보호법 (제34조의2)정보통신망법 (제64조의3)의 기준으로 과징금을 부과할 수 있습니다.

개인정보보호법: 행정안전부장관은 개인 정보처리자가 처리하는 주민등록번호가 분실, 도난, 유출, 위조, 변조 또는 훼손된 경우, 5억 원 이하의 과징금을 부과, 징수

정보통신망법: 방송통신위원회는 다음 각호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신 서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과

이는 앞서 언급한 GDPR의 천만 유로 나 연간 매출의 2% 중 높은 금액은 개인정보 보호법과 유사하며, 2천만 유로나 연간매출 4% 중 높은 금액은 정보통신망법의 매출액의 100분의 3 이하 과징금과 비슷하다고 볼 수 있습니다.

Screen Shot 2020-03-10 at 3.20.24 PM.png



Identity 관리에 대한 제시

디지털 Identity는 모든 기업의 디지털 혁신 중심에 있습니다. 고객 ID와 연결된 프로필 데이터의 가치는 급격히 증가하고 있고 여러 기업의 중요한 성공 요소가 되었습니다. 소비자 행동과 구매로 이어지는 행동 패턴을 이해하고 예측하는 것이 매우 중요한데, 그만큼 글로벌 규제는 강력하며, 기업 입장에서 전 세계의 다양한 규제를 충족시키기란 정말 힘든 숙제입니다.

Screen Shot 2020-03-10 at 3.30.00 PM.png

Akamai는 Janrain 인수로 CIAM 시장의 leader로 자리매김하였습니다.  전 세계의 글로벌 브랜드와 협력하여 고객 데이터의 사일로 제거, 고객 경험 개인화 등등 비즈니스 목표를 충족하기 위해 글로벌 데이터 개인정보 보호 규정을 준수하는 CIAM ( 고객 ID 및 액세스 관리 ) 시스템을 통해 구현했습니다.

PIPA 및 정보통신망법과 같은 지역 데이터 개인 정보 보호 규정을 준수하거나 막대한 벌금, 형사 기소 및 소비자 불신의 위험을 감수하기 위해 많은 기업이 마케팅 및 데이터 관리 관행을 재조정해야 한다는 것을 우리는 경험을 통해 이미 알고 있습니다. CIAM은 많은 브랜드가 데이터 주체 권한의 대부분을 수행하기 어렵게 만드는 데이터 사일로를 제거하기 위해 선택하는 솔루션입니다.  특히 Akamai 의 CIAM인 AIC(Akamai Identity Cloud)을 통해 기업은 세분화 된 사용자 동의 관리, 가명 정보 프로파일링을 위한 범위별 액세스를 보다 쉽게 ​​구현하고 개인 정보를 검토, 수정 또는 삭제하기 위해 사용자, 즉 데이터 주체의 요구에 빠르게 응답 할 수 있게 해줍니다.

Screen Shot 2020-03-10 at 3.30.19 PM.png

글로벌 데이터 개인정보 보호 규정 및 CIAM에 대해 Akamai 백서 "Identity 규정 준수: GDPR과 CCPA를 넘어서"가 도움이 되시길 바라며,

아카마이의 Identity Cloud에 대해 더 자세히 알아보시려면 korea-marketing@akamai.com으로 연락 부탁드립니다.



Reference: