[디지털데일리 이종현기자] 한국인터넷진흥원(KISA)은 행정안전부와 함께 대량의 개인정보를 자동 수집 및 활용하는 사물인터넷(IoT) 서비스의 개인정보 침해 가능성에 선제적으로 대응코자 ‘자동처리 되는 개인정보 보호 가이드라인’을 19일 발간했다.
이 가이드라인에는 IoT 기기 등으로 개인정보를 자동처리할 경우 개인정보 처리 단계별로 사업자가 고려해야 할 사항을 실제 사례 중심으로 서술했다. 특히 개인정보 침해 위협을 사전에 예측하고 대비하기 위해 서비스 기획 및 설계 단계부터 개인정보 보호를 고려하는 ‘프라이버시를 고려한 설계(Privacy by Design, PbD)’ 개념을 국내 처음으로 적용했다.
PbD는 프라이버시 관련 침해가 발생한 이후 조치를 취하는 것이 아니라 프라이버시 위협에 대비해 사전에 서비스 기획 및 설계 단계부터 예방하자는 의미다. 캐나다 온타리오주의 정보프라이버시 위원회(IPC)에서 7대 기본원칙을 제정하며 알려지기 시작했다.
음성 명령만으로 음악 재생, 날씨 안내 등의 서비스를 제공하는 인공지능(AI) 스피커 서비스는 음성 외 영상을 수집하는 경우 인식률이 높아질 수 있으나 사생활 침해 우려는 훨씬 커진다. 이에 음성 인식만으로도 서비스 제공이 가능하도록 불필요한 영상은 수집할 수 없게 카메라는 미설치하도록 조치하는 등의 내용이 가이드라인에 담겨 있다.
가이드라인은 10대 수칙을 기획단계, 설계단계, 점검단계로 제시했다. 기획단계에서는 ▲서비스에 꼭 필요한 개인정보인지 확인 ▲개인정보 수집 시 법적 준수사항 확인 등을 권고하고 있다.
또 설계단계에서는 ▲반드시 필요한 개인정보만 최소한으로 처리 ▲개인정보 처리단계별 적절한 안전조치 적용 ▲개인정보의 처리절차 및 방법을 투명하게 공개 ▲정보주체가 권리 행사를 쉽게 할 수 있도록 보장 ▲개인정보의 제3자 제공 및 위탁 시 정보주체에게 명확히 안내 ▲정보주체가 서비스 해지 시 개인정보 파기 및 추가 수집 방지 ▲사업 종료 시 정보주체의 권리 보장 방안 마련 등을 제시했다.
마지막 점검단계에서는 ▲개인정보를 보호하기 위한 조치가 설계에 반영됐는지, 개인정보 침해 위험은 없는지를 확인해야 한다.
권현준 KISA 개인정보보호본부장은 “보편화되고 있는 홈 폐쇄회로TV(CCTV), 스마트TV 등 IoT 기기가 대량의 개인정보를 실시간으로 처리하는 만큼 개인정보 침해 가능성에 선제적으로 대비해야 한다”며 “이번 가이드라인이 IoT 서비스의 설계·기획 단계에서부터 사업자가 개인정보 보호를 고려하는 데 도움이 되길 바란다”고 말했다.