Home > 전체기사

[개인정보보호 연차보고서 톺아보기-31] 해외동향-아시아: 싱가포르·호주

  |  입력 : 2020-12-03 13:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
싱가포르와 호주의 2019년 개인정보보호 관련 법규 제정 및 정책 추진현황

2020 개인정보보호 연차보고서에서는 아시아의 개인정보보호 동향도 소개하고 있다. 아시아 중 △싱가포르 △호주의 개인정보보호 동향을 살펴본다.

[이미지=utoimage]


싱가포르
1. 스마트 네이션 전략
싱가포르는 2014년 ‘스마트 국가 이니셔티브(Smart Nation Initiative)’ 출범을 발표하고, 2025년까지 세계 최초의 스마트 국가 건설과 국제 경쟁력 선점을 위한 네트워크화된 정보화 능력 확충 의지를 밝힌 바 있다. 2019년 1월 싱가포르 개인정보보호위원회(Personal Data Protection Commission, 이하 PDPC)는 인공지능의 책임 있는 채택을 촉진하기 위해 ‘모델 인공지능 거버넌스 프레임워크(Model Artificial Intelligence Governance Framework)’를 발표했다. 이 프레임워크는 인공지능 솔루션 배포 시 윤리적 원칙과 거버넌스를 구현할 수 있도록 쉽고 상세하며 실질적인 가이드라인을 제공하는 것을 목표로 하고, 조직들은 자발적으로 모델 프레임워크를 채택할 수 있도록 돼 있다. 또한, 부문별 인공지능 거버넌스 프레임워크를 개발할 수 있는 기반이 되기도 한다.

2019년 6월에는 통신미디어개발청(IMDA, Infocomm Media Development Authority)과 PDPC는 기업 간 데이터 공유를 용이하게 하기 위해 신뢰 가능한 데이터 공유 프레임워크(Trusted Data Sharing Framework)를 개발해 발표했다. 이 프레임워크는 공통의 ‘데이터 공유 언어’를 제공하고, 데이터 공유 파트너 간의 신뢰 구축을 위한 광범위한 고려사항에 대한 체계적인 접근 방식을 제안함으로써 조직이 일련의 기본 관행을 수립하도록 도와 AI 생태계 구축에 기여하는 것을 목표로 한다. 또한, 2019년 10월에는 스마트 네이션 및 디지털정보국(SNDGO, Smart Nation and Digital Government Office) 산하에 국가인공지능국(NAIO, National Artificial Intelligence Office)을 설립해 인공지능 연구를 상업화하고 산업계와 정부를 연결해 디지털 국가로의 발전을 도모하고 있다.

2. APEC CBPR/PRP 인증심사 기관 승인
싱가포르는 2018년 3월 APEC(Asia-Pacific Economic Cooperation) CBPR(Cross Border Privacy Rules)·PRP(Privacy Recognition for Processors) 시스템 동시 가입에 성공했고, 2019년 7월 17일 정보통신미디어개발청을 인증기관(Accountability agent)으로 지정했음을 발표했다. 인증기관은 참여 기업의 프라이버시 정책과 활동이 CBPR의 요건을 준수하는지 확인하고 인증하는 역할을 담당한다. 싱가포르는 미국 TRUSTe, 일본 JIPDEC에 이어 세 번째로 인증심사 기관으로 승인을 받았다. 이로써 싱가포르 기업은 국경을 넘어 다른 인증된 기관으로 책임 있는 데이터 전송에 대해 APEC CBPR 및 PRP 시스템 하에서 인증을 받을 수 있게 됐다. 싱가포르는 자국의 DPTM 표준을 CBPR·PRP 시스템에 맞춰 DPTM을 받은 기업들이 동시에 APEC CBPR 시스템의 인증을 얻을 수 있도록 하고, 특히 중소기업의 관심을 유도하기 위한 인센티브·홍보 전략을 마련 중이다.

3. 개인정보보호 책임 가이드라인 발표
PDPC는 개인정보보호법에 따라 책임 원칙을 명확히 하기 위해 조직 차원의 자원 활용 개요와 사례를 내용으로 하는 ‘개인정보보호 책임 가이드라인(Guide to Accountability under the PDPA)’을 발표했다. 책임의 원칙이란 조직의 소유 또는 통제 차원에서 개인정보에 대한 책임을 이행하는 것을 의미해 조직은 개인정보보호법을 준수하고 이를 입증해야 한다. 조직은 ①데이터 보호 정책 개발 및 시행 ②관련 정책의 홍보 및 직원 간의 소통 ③개인정보보호법 준수를 위한 관행과 절차 시행에 대한 책임이 있으며, 그 외에도 정책별·담당인력별·프로세스별 책임사항을 고려해야 한다. 개인정보보호 인증을 통해 개인정보보호법에 따른 책임을 다하고 있음을 입증할 수 있는데, 관련 인증으로는 APEC CBPR·PRP 시스템에 따른 인증 등이 있다.

4. 데이터 침해 관리에 대한 가이드(Guide to Managing Data Breaches 2.0)
2019년 5월 22일 PDPC는 데이터 침해 관리 계획과 데이터 침해 대응 단계에 대한 상세한 지침을 제공하는 데이터 침해 관리에 대한 가이드(Guide to Managing Data Breaches 2.0)를 발표했다. 2015년에 발표된 이전 버전 가이드의 데이터 침해 관리에 대한 모범 사례는 유지하고, 데이터 침해의 신고 여부·시기·방법 등에 대한 상세 내용이 추가됐다. 1단계(Contain, 통제)→2단계(Assess, 평가)→3단계(Report, 신고)→4단계(Evaluate, 평가) 등 4단계로 구성된 데이터 위반 관리 절차를 각 단계의 앞 글자를 딴 ‘CARE’로 명명했다. 개인정보보호법에는 아직 데이터 위반 통지가 의무 사항은 아니지만 향후 이를 의무화하겠다는 의사를 PDPC가 거듭 밝혀 왔다는 점을 참고할 필요가 있다.

5. NRIC 가이드라인 시행
2018년 7월 싱가포르 최대 의료기관 ‘싱헬스(SingHealth, Singapore Health Services)’에서 데이터 유출 사고가 발생했다. IHiS(Integrated Health Information Systems)의 데이터베이스 관리자들이 싱헬스 데이터베이스에서 비정상적인 활동을 감지한 결과, 환자의 이름·주소·성별·인종·생년월일·NRIC번호(National Registration Identity Card, 국민등록번호카드) 등 150만명의 개인정보가 유출됐다. 리센룽 총리와 장관들을 포함한 16만명의 의약품 처방 정보도 포함되는 등 싱가포르에서 발생한 해킹 사고 중에 최대 규모로 국민 4명당 1명의 데이터가 유출된 셈이었다. 이후 2019년 1월에는 HIV 바이러스 보균자 1만4,000명, 3월에는 헌혈자 80만명의 개인정보 유출 사고가 발생했다.

잇따른 개인정보 유출 사고 이후 PDPC는 NRIC에 관한 가이드라인(Advisory Guidelines on the Personal Data Protection Act for NRIC and Other National Identification Numbers)을 업데이트해 2019년 9월 1일부터 시행했다. NRIC는 우리나라 주민등록증과 유사한 영구적이며 변경 불가한 개인식별번호로, 부주의하게 사용하면 유출 위험성이 큰 정보다. 병원 진료, 호텔 체크인, 통신상품 가입, 사립학교 입학, 취직 등 법적으로 근거가 있는 경우를 제외하고는 NRIC 번호 또는 사본을 취득, 사용, 공개하는 것을 원칙적으로 금지했다. 해당 규제는 NRIC뿐만 아니라 출생증명번호(Birth Certificate Numbers), 외국인등록번호(FIN, Foreign Identification Number), 노동허가번호(Work Permit Number), 여권번호 등에도 동일하게 적용했다. 이를 준수하지 않고 NRIC 번호를 오용하거나 소홀히 관리할 경우, 최대 100만싱가포르달러의 벌금을 부과할 수 있다.

[이미지=utoimage]


호주
1. 디지털 플랫폼 조사 및 이행 방안 발표
호주 경쟁 규제 및 소비자 위원회(Australian Competition and Consumer Commission, 이하 ACCC)는 2019년 7월 26일 ‘디지털 플랫폼 조사 최종 보고서’를 발표했다. 2017년 10월 통과된 미디어법 개혁안의 추진 방안 중 하나로, 구글·페이스북과 같은 글로벌 플랫폼 사업자가 미디어와 광고 시장의 경쟁 상태에 미치는 영향에 대해 18개월 동안 조사를 진행했으며 그 결과를 바탕으로 23개의 권고안을 제시했다. 결과보고서에는 소비자 보호 및 개인정보보호법과 관련된 광범위한 개혁안이 포함돼 있는데, 개인정보보호와 관련한 사항은 ‘7장. 디지털 플랫폼과 소비자(Digital Platforms and Consumers)’에서 확인할 수 있다. 호주 정부는 ACCC가 제안한 권고안을 이해 관계자들에게 이 보고서의 내용을 전달해 12주 동안 공공 협의를 진행한 후 2019년 12월 12일에 ‘디지털 시대의 규제’라는 제목으로 디지털 플랫폼 조사에 대한 정부의 답변과 이행안을 발표했다. 호주 정부는 발표에서 더 나아가 ACCC 내부에 디지털 플랫폼과 관련한 별도의 전용 기구를 설립해 디지털 플랫폼 시장에서의 경쟁 및 소비자 보호 현황을 지속해서 점검할 예정이다.

2. 개인정보보호법 개정안 발표
2019년 3월 24일 호주 연방정부는 개인정보보호법의 중요 개정 사항을 발표했다. 법무부 장관은 “기존 개인정보보호법에 따른 보호와 처벌이 소셜미디어와 온라인 플랫폼의 폭발적 확산에 제대로 대응하지 못해 국민의 기대에 미치지 못하고 있다. 이들 기업의 관행에 대해 제재와 강제 집행을 명시하고 사용자에게 더 세부적인 정보를 요구하고 수집한 정보를 활용 공개하는 과정에서 투명성을 높이게 될 것이라고 기대하고 있다”고 말했다. 이 법의 적용을 받는 모든 기업이 개인정보보호법을 지키지 않아 심각하거나 반복적인 침해(Breach)가 발생한 경우의 처벌이 강화됐다. 또한, 개인정보를 거래하는 소셜미디어와 온라인 플랫폼에 대한 새로운 규약을 제정해 데이터 공유를 보다 투명하게 하도록 하고 개인정보를 수집·사용·공개할 때는 사용자의 명시적 동의를 얻도록 할 것이며, 사용자의 요청을 받으면 해당 개인정보를 비공개로 돌리거나 사용을 중단하고 아동을 비롯한 사회적 약자의 개인정보를 보호하는 별도 규정도 추가될 예정이다. 개정 사항은 ACCC의 디지털 플랫폼 조사 최종 보고서보다 먼저 발표됐다. 다만 최종 보고서 공개 이후 이를 반영해 2019년 하반기에 개인정보보호법 개정 초안이 발표될 것으로 예상했으나 진행되지 않았다.

3. 건강 프라이버시 가이드라인 발표
호주 개인정보보호 감독기구인 호주정보위원회(Office of Australian Information Commissioner, 이하 OAIC)는 2019년 9월 6일 건강 관련 개인정보보호를 위한 종합안내서로서 ‘건강 프라이버시 가이드라인(Guide to Health Privacy)’을 발표했다. 보건의료 영역이 개인정보 침해 신고 비중이 가장 높고 개인정보보호에 취약한 분야라, 환자의 건강 관련 개인정보를 더 효과적으로 보호하기 위해 개인정보보호법의 적용을 받은 모든 보건의료 서비스 제공자들에게 적용되는 가이드라인을 개발해 공개한 것이다. 이 가이드라인은 OAIC가 의료 서비스 기관 등의 개인 건강 정보보호 문제를 진지하고 심각하게 받아들이고 있음을 시사한다. 가이드에는 보건의료 서비스 부문에서 개인정보보호 의무를 적용하고 시행하는 방법에 대한 구체적인 정보와 함께 보건의료 서비스 제공자가 개인정보보호를 위해 수행해야 할 Action Plan 8단계를 제시하고 있다. 보건의료 서비스를 위한 Action Plan 8단계는 △개인정보 관리 계획 개발 및 구현 △개인정보 관리에 대한 명확한 책임 소재 확립 △처리하는 개인정보 유형에 대한 문서화된 기록 생성 △개인정보 의무에 대한 이해와 프로세스 구현 △개인정보 의무에 대한 직원 교육 △개인정보보호 정책 수립 △보유한 정보 보호 △데이터 침해에 대한 대응 계획 개발이다.

4. ID 스캔 이용 가이드라인 발표
OAIC는 2019년 5월 29일 호주 개인정보보호 원칙에 의거해 ID 스캔 이용 가이드라인(ID Scanner)을 공개했다. ID 스캔이란 비즈니스 주체가 신원 증명 문서의 전자 사본을 얻는 것을 의미하는 것으로, 개인정보보호법에서는 호주 개인정보보호원칙(APPs, Australian Privacy Principles)에 부합하는 경우 ID 스캔을 통한 신원 정보 수집을 허용한다. ID 스캔 이용 가이드라인은 ID 스캔을 수행하는 조직 또는 기관이 호주 개인정보보호법 적용을 받는 경우 ID 스캔을 통한 개인정보 수집 시 APPs를 준수할 수 있도록 돕는다. ID 스캔은 거짓 신원을 판별하는 데 효과적인 수단으로, 출입 통제와 보안 관리의 효율성을 높일 수 있다는 점에서 유용성을 인정받고 있으나 개인정보 침해·감시·차별을 야기할 수 있다는 우려가 심화되고 있다. 이에 OAIC의 ID 스캔 이용 가이드라인 역시 이러한 점을 고려해 개인정보보호의 맥락에서 ID 스캔 기술을 적법하게 활용하기 위한 조언과 지침을 제공한 것이다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)