2025년 12월 17일에 열린 개인정보 정책 설명회에 다녀왔다.
그간 몇 번의 설명회에서 자리가 부족해 불편함을 많이 겪었던 터라 시작하기 50분 전에 도착해 자리를 잡았으나 이번 설명회에는 생각보다 많은 인원이 오진 않았고 끝날 때까지 비어있는 자리가 많이 있었다. 최초 계획되어 있던 '인사 말씀'이 생략되면서 평소보다는 차분한 분위기로 시작된 설명회였다.(설명회 발표자료)
o 설명회 주제 및 일정
1. 사전적정성 검토 사례 소개
'2020 해커 출신 변호사가 해부한 해킹판결'의 저자이신 전승재님이 발표해 주셨고 도움이 되었던 것은 Meta의 사례였다. 민망한 얘기지만 개인을 알아볼 수 없어도 다른 개인과 구분(같은지 다른지)할 수 있다면 개인정보에 해당할 수 있다는 해석을 해준적이 있다. 예전 개인정보 보호법 해설서에 아래와 같은 내용이 있었기 때문인데 해석을 해주는 입장에서도 이걸 이렇게 얘기해야 하는 것이 맞는 건지에 대한 많은 고민이 있었다.
| 이 법에 따른 개인정보는 개인을 ‘알아볼 수 있는’ 정보이어야 한다. 즉 특정한 개인을 ‘식별할 수 있는’ 정보가 개인정보에 해당한다. 여기에서 ‘식별’이란 특정 개인을 다른 사람과 구분하거나 구별할 수 있다는 의미이다. |
Meta의 사례는 식별과 구별이 다르다는 점을 명확히 해준다. (물론 구별을 통해 개인을 식별할 수 있는 과정까지 이어지지 않도록 비교 직후 즉시 삭제하긴 했지만)
2. 개인정보 국외이전 제도 현황과 향후 방향
11월 12일에 진행된 2025 글로벌 개인정보 보호 웨비나의 내용과 겹치는 내용이라 발표 자료에서 특이점은 없었고 Q&A 시간에 기국은 개인정보 보호에 관한 일반법이 없는데 동등성 인정 여부를 어떻게 검토할지?에 대한 날카로운 질문이 들어왔고 동등성 검토 기준을 참고해 진행할 예정이나(검토 기준에는 일반법 보유 여부가 없음) 아직 구체적으로 답변드릴 상황이 아니라는 말씀을 해주셨다.
3. 생성형 AI 개발·활용 개인정보 처리 안내서
안내서를 아직 읽어보지 않았기 때문에 익숙치 않은 내용들이 많았던 시간이었다. 규제 샌드박스는 혁신 서비스 개발에 원본 데이터 활용이 필요한 경우, 강화된 안전조치를 적용한다는 조건부로 허용이 된다는 말씀, 온디바이스 AI에서 서비스 제공자 서버로 정보를 전달하지 않더라도 개인정보 처리에 대한 동의가 필요한지에 대한 질문에 필요할 가능성이 있다는 말씀이 기억에 남는다.
10년 넘었기도 하고 이제는 폐지된 내용이지만, '앱 개발자를 위반 개인정보보호 안내서'의 아래 내용으로 내 지식 시계가 멈춰있는 것일까? 이용자가 통제할 수 있는 영역 내에서만 처리한다면 굳이 동의를 받을 필요는 없지 않을까 생각해 본다.
| 이용자의 개인정보가 서비스 제공자에게 전송ㆍ수집되는 경우에는 개인정보보호 관련 법률을 준수 해야 하며, 개인정보의 전송∙수집 없이 스마트 기기내에서만 처리되는 경우에는 적용범위에서 제외될 수 있다. |
4. 가명정보 제도·운영 혁신방안
개인정보보호위원회에서 유일하게 활용을 고민하는 부서라는 소개와 함께 발표를 시작해 주셨다. ㅎㅎ
개인정보 특화 풀타임 석박사 과정이 신설될 예정이라는 말씀이 있었고 의견 수렴 중인 개정본 가명정보 처리 가이드라인에 대한 내용 중에 가명처리 활성화를 위해 서류 양식의 수를 절반 이상 줄였다는 내용이 기억에 남는다.
5. 개인정보의 안전성 확보조치 기준 개정사항
개인정보의 안전성 확보조치 기준 개정사항이라기 보다는 개인정보의 안전성 확보조치 기준 및 안내서 개정사항이라는 주제가 더 어울리는 발표였고 임팩트 있는 문서인 만큼 대한민국의 개인정보보호 담당자들에게 어떤 영향을 끼칠지를 고민하고 개정하고 계신다는 느낌을 강하게 받은 발표였다. (감사하지만 그렇게까지 고민하지 않으셔도 됩니다. 너무 힘드실 것 같아요.)
평소 Bcrypt를 사용해도 되는지 질문을 많이 받으셨고 이에 대한 생각을 잠깐 말씀해 주셨는데 요약해보면, "해외의 공신력있는 문서에서 Bcrypt가 안전하다는 언급을 본적이 없다. 사용한다고 처벌을 받지는 않겠지만 ISMS 인증심사에서 공격(?)을 받을 수 있기 때문에 대응논리를 갖춰라!"였다.
규제기관의 안내서에 구체적인 기준을 담으면 설득에 활용하려는 니즈는 충족시킬 수 있어도 창의성을 떨어뜨릴 수 있다는 말씀으로 평소 생각하시는 바를 잘 요약해 주셔서 감사히 들었다.
'교육 및 세미나 참석' 카테고리의 다른 글
| 2025년 가명정보 전문가 풀 활동 사례 공유 워크샵 참석 후기 (0) | 2025.11.29 |
|---|---|
| 2025 가명정보 전문가 풀 보수교육 후기 (1) | 2025.09.21 |
| 정보보호제품 성능평가자 양성교육 후기 (1) | 2025.09.19 |
| 개인정보 처리 통합 안내서 설명회 참석 후기 (5) | 2025.08.09 |
| 2025 사이버보안전문단 테크니컬 세미나 참석 후기 (0) | 2025.06.21 |
