[아이뉴스24 최은정 기자] 한국인터넷진흥원(KISA)은 행정안전부와 사물인터넷(IoT) 서비스의 개인정보 침해 가능성에 선제적으로 대응하고자 '자동처리 되는 개인정보 보호 가이드라인'을 발간했다고 19일 발표했다.
이번 가이드라인에는 IoT 기기 등으로 개인정보를 자동으로 처리할 시 단계별로 사업자가 고려해야 할 사항이 실제 사례 중심으로 담겼다. 특히 '프라이버시를 고려한 설계(Privacy by Design)' 개념이 처음으로 적용됐다.
프라이버시를 고려한 설계는 사생활 관련 침해가 발생한 이후가 아닌 이전 서비스 기획·설계 단계부터 대비하는 것을 의미한다.
가령 사용자가 가정용 CCTV를 스마트폰의 사회관계망서비스(SNS) 계정과 연결해 관리하는 서비스를 이용하다가 이를 해지했지만, 여전히 SNS 계정에 개인정보가 노출되는 사례가 발생할 가능성이 있다.
이에 대해 이번 가이드라인에서는 개인정보보호법 제21조에 따라 정보주체가 서비스를 해지할 경우 법령상 보존 의무가 없는 개인정보는 지체 없이 파기하도록 하고, 자동으로 개인정보를 수집하는 장치는 작동중지·장치제거 등 추가적으로 수집되지 않도록 설계해야 한다고 설명했다.
또 개인정보 자동처리시 단계별로 고려해야 할 사항으로 서비스 기획 단계에서 개인정보 수집 시 법적 준수사항 등을 확인하는 것이 포함된다. 설계단계에서 반드시 필요한 개인정보만 최소한으로 처리하고, 개인정보 처리단계별 적절한 안전조치를 적용하는 등의 조치가 필요하다.
서비스 출시 전 마지막 점검단계에서는 개인정보를 보호하기 위한 조치가 설계에 반영됐는지, 개인정보 침해 위험은 없는지를 확인해야 한다는 내용이 들어갔다.
권현준 KISA 개인정보보호본부장은 "보편화되고 있는 가정용 CCTV, 스마트TV 등 IoT 기기가 대량의 개인정보를 실시간으로 처리하는 만큼 개인정보 침해 가능성에 선제적으로 대비해야 한다"며 "이번 가이드라인이 IoT 서비스의 설계·기획 단계에서부터 사업자가 개인정보 보호를 고려하는데 도움이 되길 바란다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기