사례 돋보기
개인정보 보호 실천 사례

개별 소비자에게 데이터와 인공지능(AI)을 기반으로 한 맞춤형 서비스는 일상이 되었고, 기업은 축적된 소비자 데이터를 기반으로 ‘타겟팅’ 전략과 ‘초개인화’ 기술을 활용하고 있다. 이에 따라 개인정보 수집, 이용 및 유출에 관한 규제도 강화되어 기업의 개인정보 보호와 규범 준수가 더욱 중요해지고 있다. 예를 들면 정부는 개인정보보호법에 생체정보에 대한 사항을 포함하는 개정을 추진하고 있으며, 미국에서는 ‘생물 보안법(Biosecure Act)’제정이 추진되고 있다.

반면, 지난해 개인정보보호법 위반으로 기업과 기관으로부터 걷은 과태료와 과징금이 1천 218억 원을 넘었다. 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 해외 기업(구글)은 692억원 까지도 과징급을 부과받은 바 있다.

이번 보고서 리뷰에서는 개인정보 및 데이터의 보안이 중요한 산업의 국내외 기업이 개인정보 보호를 위해 어떤 활동을 하고 있는지 살펴보고자 한다.

1. 네이버

네이버는 한국의 ICT기업으로서 개인정보 보호를 위해 인공지능(AI)과 클라우드 기술을 도입한 시스템을 운영하고 사이버 보안 관련 투자를 지속하는 등 관련 기술을 개선하고 있다. 네이버는 2015년부터 매년 개인정보 보호, 프라이버시 분야를 주제로 학계와 연구계의 전문 연구결과를 담은 프라이버시 백서를 발간해오고 있다. 개인정보 보호 투명성을 강화하기 위해 회사의 개인정보 보호 활동을 정리한 '네이버 개인정보보호 리포트'도 매년 발간한다.

2023년에는 중점적인 관리가 필요한 지속가능성 토픽 식별 및 대응 전략 수립을 위해 중대성 평가를 실시하여 ‘개인정보 보호 및 프라이버시 보장’, ‘구성원 조직문화 개선’을 신규 중요 토픽으로 선정하였다. 이러한 중대성 평가 결과에 기반해 네이버 ESG 7대 전략 및 경영진 KPI를 책정한다.

또한 개인정보를 보호하고 프라이버시 보장을 위해 네이버 환경과 문화에 맞는 ‘네이버 개인정보보호 원칙’ 제정하였으며 별도의 ‘네이버 프라이버시센터’ 웹페이지를 통해 네이버 서비스 전반에 적용되는 개인정보 보호 원칙과 각 서비스 운영 정책을 외부에 투명하게 공개하고 있다. 개인정보 유출 사고 발생을 대비하여 피해방지 및 최소화와 신속하게 대응하기 위한 ‘개인정보 유출 대응 가이드’도 마련하고 있다.

네이버는 기업윤리 차원에서도 개인정보 보호에 주의를 기울이고 있다. 네이버는 공동체가 가져야 할 책임, 구성원 간 이해상충 예방 및 상호 존중을 위한 회사의 기준 등을 기업윤리규범 ‘Integrity Code’를 통해 규정하였으며 매년 관계사를 비롯한 전 구성원에게 준수서약을 필수로 받고 있다. ‘Integrity Code’는 건강한 조직문화, 업무 투명성, 외부 커뮤니케이션, 정보보호, 파트너십 5가지에 대한 내용을 담고 있다. 정보 보호 영역에서 규정하고 있는 내용 중 법적의무와 회사철칙을 중심으로 자세한 내용을 살펴보면 아래의 표와 같다.

<네이버 Integrity code-정보 보호 code>

모든 임직원은 개인정보 보호 십계명을 준수합니다. (법적의무)
  • 정보 주체의 개인정보 및 프라이버시 보호가 회사의 중요 경영 요소에 해당함을 인식하고 보호활동에 적극 참여합니다.
  • 개인정보를 처리하기 위한 권한은 업무 목적으로 주어진 것이므로 해당 목적을 벗어나는 방식으로 활용하지 않습니다. (회사철칙)
  • 업무 과정에서 알게 되었거나 취득한 개인정보를 업무 목적 외로 제3자에게 공개, 공유, 제공, 누설 침해하지 않습니다. (회사철칙)
  • 정보주체의 동의 등 적법한 처리 근거 없이 개인정보를 열람, 출력 등 처리하지 않습니다.
  • 정보 주체의 개인정보 열람, 정정, 파기 등 권리 요청에 적극 대응합니다.
  • 회사의 개인정보 보호 관련 규정을 준수하여 개인정보를 안전하게 처리합니다.
  • 회사의 개인정보 보호 관련 교육에 적극 참여하고 개인정보 보호 규정을 숙지하며 신규 제정되었거나 개정된 규정을 항상 확인합니다.
  • 수집 및 이용 목적이 달성된 개인정보는 지체없이, 복구나 재생 불가능한 방식으로 파기합니다.
  • 개인정보 침해나 유출이 확인되거나 예상되는 경우 신속, 정확하게 보고합니다.
  • 임직원, 파트너 등 서비스 이용자 외의 개인정보도 서비스 이용자 개인정보와 동일한 방식으로 처리하고 보호합니다.
고객의 개인정보와 데이터를 안전하게 보호합니다. (법적의무)
  • 고객의 개인정보와 데이터는 적법한 동의 절차에 따라 꼭 필요한 항목에 대해서만 수집합니다.
  • 고객의 개인정보와 데이터는 동의 받은 목적 범위 내에서만 이용하고, 이용이 끝나면 파기합니다.
  • 수집한 고객의 개인정보 및 데이터는 외부뿐 아니라 회사 내부에도 임의로 공개하거나 공유하지 않으며 필요시에는 반드시 개인정보 보호 부서의 사전 승인을 받습니다.
  • 고객의 개인정보와 데이터를 취급하는 개인정보 취급자 권한을 신청하는 경우 업무에 필요한 최소 권한을 부여받아야 하며, 개인정보 취급 시스템 접근 권한은 오로지 업무 목적으로만 활용해야 합니다. (회사철칙)
  • 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 않도록 회사 정보보호 정책에 따라 접근통제, 권한 관리, 암호화 등의 기술적, 관리적 보호 조치를 준수합니다.
  • 담당하고 있는 업무에서 개인정보 유출 사고가 발생하거나 의심되는 경우 지체 없이 정보보호 부서에 알립니다.
승인받지 않은 회사의 정보는 유출하지 않습니다.
  • 기 공시된 자료, 오픈소스 등 이미 외부로 오픈되었거나 승인받은 경우를 제외한 모든 회사의 정보는 외부로 유출하지 않아야 합니다. (회사철칙)
  • 회사의 대외비/기밀/극비 정보는 가족, 친구, 퇴사한 동료 등 지인에게도 유출하지 않아야 하며, 업무 종료 또는 퇴사 이후에도 무단으로 제3자에게 유출하지 않습니다. (회사철칙)
  • 타사의 대외비 정보도 보호하여 부당한 방법으로 취득하거나 활용하지 않습니다.
  • 업무상 획득한 정보는 업무 목적 내에서만 사용하고 오남용하지 않습니다. (회사철칙)
업무와 관련한 공식 커뮤니케이션은 회사에서 제공한 도구(이메일, 메신저 등)를 사용합니다.
입사 시점부터 퇴사 시까지 정보 보안에 주의해야 합니다.

[출처: 네이버 Integrity code(2024.9)]

AI의 윤리와 안정성을 위해 AI에 대한 사회적 요구와 전문가 의견, 기업철학을 반영하여 개인정보 보호 항목이 포함된 'AI 윤리 준칙'을 발표했으며, 이를 바탕으로 개발·운영시 발생 가능한 윤리적 이슈를 점검하고 대응하는 체계인 'AI 개인정보 보호 자율점검표'를 마련하여 AI 서비스에 대한 관리 및 감독 등 개인정보 및 프라이버시 보호 현황 점검 다각도로 실시한다.

또한 네이버는 이용자를 대상으로 2016년부터 국내 기업 중 최초로 프라이버시 강화 보상 제도(PER: Privacy Enhancement Reward)를 수립 및 운영하고 있다. 이는 네이버 서비스와 관련된 프라이버시 보호에 대한 전반적인 개선 사항에 대한 의견 수렴 및 사례 보상 제도이다. 2023년 총 접수 건수는 204건(보상건수: 82건)으로 2021년부터 2023년까지 접수 및 보상 건수는 2년 연속 2배 이상으로 증가했다. 의견은 네이버 담당자의 검토 및 관계 부서 승인을 거쳐 서비스에 반영된다.

2. 애플(Apple)

애플(Apple)은 미국의 글로벌 컴퓨터 및 전자기기 제조업체로 개인정보 보호 분야의 선두주자로 꼽히기도 한다. 애플은 기업의 주요 가치로 손쉬운 사용, 교육, 환경, 협력업체에 대한 책임 외에도 개인정보 보호를 내세운다. 또한 업 윤리강령(Business Conduct: The way we do business(2024.2))에서도 고객 및 제3자 정보 항목을 통해 고객과 비즈니스 파트너 및 제3자가 업무과정에서 애플에 제공한 모든 기밀정보를 보호하고 유지할 책임이 있음을 명시한다.

애플은 제품과 서비스 설계 시 핵심 개인정보 보호 원칙 4가지를 중점에 두고 사용자의 개인정보를 보호하도록 한다. 이 원칙은 사용자가 원하는 대로 데이터를 안전하게 공유하고, 사용자가 이해하고 제어할 수 있는 방식으로 데이터를 공유하는 것을 목표로 한다. 4가지 원칙의 내용은 다음과 같다.

<Apple의 개인정보 보호 원칙>

데이터 최소화 서비스를 제공하는 데 필요한 최소한의 데이터만 수집합니다.
온디바이스(on-device)1) 처리 사용자 개인정보를 보호하고 데이터 수집을 최소화하기 위해, 가능하면 Apple 서버로 데이터를 전송하는 대신 기기에서 데이터를 처리합니다.
사용자 투명성 및 제어 사용자가 어떤 데이터가 공유되고 어떻게 사용되는지 알고 이를 제어할 수 있는지 확인합니다.
보안 하드웨어와 소프트웨어가 함께 데이터를 안전하게 보호합니다.

[출처: 애플(Apple) 당신의 데이터는 어떤 하루를 보내는가, (2021.4)
https://www.apple.com/kr/privacy/docs/A_Day_in_the_Life_of_Your_Data.pdf]

한편 애플은 홈페이지에 개인정보 보호 백서 ’당신의 데이터는 어떤 하루를 보내는가(2021.4)’를 게재한다.

<’당신의 데이터는 어떤 하루를 보내는가’ 내용 발췌>

[출처: 애플(Apple) 당신의 데이터는 어떤 하루를 보내는가, (2021.4)
https://www.apple.com/kr/privacy/docs/A_Day_in_the_Life_of_Your_Data.pdf]

이 백서는 하루동안 고객의 어느 개인정보가 어떤 방식으로 수집될 수 있는 지 설명하고 애플의 개인정보 원칙과 기기 및 고객이 개인정보 보호를 위해 자사 제품 기기 및 애플리케이션의 설정 방법에 대한 이해를 돕는다.

이와 함께 애플은 2021년 4월부터 ‘앱 추적 투명성(ATT, App Tracking Transparency)’ 정책을 시행하여 사용자가 자신의 개인정보를 제어할 수 있는 권한을 부여하기도 했다. 이는 기존과 다른 ‘옵트인(opt-in)’ 방식을 도입한 것으로 단말 사용자가 앱 사용을 시작할 때 해당 앱의 개인정보 추적을 허용할 것인지의 여부를 묻고 동의하거나 거부할 수 있도록 한다.

애플은 투명한 개인정보 이용을 위해 ‘개인정보 취급 개요표’나 ‘투명성 보고서’도 홈페이지에 게시하고 있다. 개인정보 취급 개요표는 다양한 앱의 개인정보 취급에 대해 안내하고 있으며, 투명성 보고서는 정부의 요청에 따라 애플이 제공한 개인정보의 내역을 국가별로 제공한다.

또한 사용자는 ‘앱 개인정보 보호 리포트’를 통해 특정 앱이 자신의 개인정보를 어떻게 사용하는지 확인할 수 있다. 해당 리포트는 앱의 개인정보 접근 여부 및 빈도수를 보여주며, 기기에만 저장되어 사용자가 원할 때 삭제도 가능하다.

<애플(Apple) 개인정보 취급 개요표>

[출처: 애플(Apple) 홈페이지-개인정보 취급 개요표
https://www.apple.com/kr/privacy/labels/]

  • 수집된 데이터를 사용자 기기 내에서 처리하는 방식

참고