이전 포스트에서 개인정보 보호 준수 여부가 기업의 데이터전략에 얼마나 중요하게 영향을 끼치는지에 대해 알아보았습니다. 특히 은행이나 투자사의 경우 투자 시 독창적이고 시기적절한 통찰력을 확보하기 위한 대체 데이터 활용에 있어서 법규의 준수 여부가 사업에 미치는 영향이 더 크다고 볼 수 있습니다. 대체 데이터의 니즈를 충족시키기 위해 지난 십 년간 "대체 데이터 업계"라는 개념이 생겨났습니다. 비전통적인 데이터 소스를 활용해 앞서 언급된 독창적이고 시기적절한 통찰력을 창출하였고 이는 금융 회사들의 투자 결정을 위해 사용되었습니다. 몇몇 대중화된 대체 데이터의 활용한 사례는 위성사진을 활용한 상점의 주차장 만원 여부 확인 또는 자동차 생산업체의 생산 및 판매 차량 수 추적 등이 있습니다. 변동 데이터를 활용한 소비자 대상 서비스의 성과 예측 시스템도 대체 데이터를 활용한 사례입니다.
하지만 이러한 대체 데이터 소스는 금융사가 준수해야 하는 엄격한 보안 및 개인 정보 보호 법률, 규정 등을 따라야 합니다. 금융사가 비공개정보(Material Non Public Information, MNPI: 회사의 공식적인 자료는 아니지만 주가에 영향을 줄 수 있는 정보)를 사용하여 투자하는 것을 엄격히 금지하고 있습니다. 비공개정보를 활용해 공공 기업의 주식이나 유사 증원을 거래하는 행위가 안보법을 위반하는 것이며, 이와 같은 법률 위반에 따른 민·형사상의 엄한 처벌을 받을 수 있습니다. SEC(미국 증권 거래 위원회)는 대체 데이터 제공자와 대체 데이터 사용에 대한 구체적인 법률을 가지고 있습니다. 이는 금융사로 하여금 해당 서비스 제공자들이 연방 보안법을 잘 준수하고 있는지 각 서비스 제공자의 데이터 보안 준수 프로그램을 검토할 것을 요구하고 있습니다. 더 나아가 해당 서비스 제공자들이 기업의 각종 정책과 절차를 따르고 있는지 확인하도록 합니다.
센서타워는 금융사에 대체 데이터를 제공하는 것이 번거롭다는 것을 알고 있습니다. 이를 최소화하기 위해 데이터 소스 및 데이터 방법론과 관련된 주요 사항을 정리하였습니다. 하기 내용은 모바일 앱의 범위에서 금융 기업들이 관련 업무를 수행하는 과정에서 연관되어 있는 서비스 제공자들에 대해 확인을 거쳐야 하는 사항들입니다.
모바일 데이터 제공자는 주로 자사 데이터 소스 또는 제 3자 데이터 소스로부터 데이터를 제공 받습니다. 자사 데이터 소스는 해당 제공자가 직접 수집한 정보를 말하며 제 3자 데이터 소스는 제공자가 제 3의 업체로부터 전달 받은 정보를 의미합니다. 자사 및 제 3자 데이터 소스를 각각 점검하는 방식은 상이할 수 있습니다.
자사 데이터 소스를 사용하는 경우, 데이터 공급업체가 직접 수집을 수행하므로 데이터 보안 규정 프로그램은 다음 사항을 확인해야 합니다:
수집 되는 데이터가 개인정보, 금융 정보, 건강, 기밀 및 기타 민감한 정보가 포함되어 있는지 확인해야 합니다.
수집된 데이터가 관련 개인 정보 보호법이 규정한 개인식별정보를 포함하고 있는지 확인해야 합니다. 만약 포함되어 있다면, 해당 정보가 사용자의 동의 및 개인 정보 보호법에 따르는 지 살펴야 합니다. 또한 개인식별정보의 그 어느 부분도 데이터 제공자의 서비스에 포함되어 제공되면 안됩니다.
수집된 데이터가 잠재적 비공개정보와 같은 기밀 정보를 포함하고 있는지 확인해야 합니다. 만약 포함한다면, 해당 기밀 정보의 포함 사유와 본질을 파악해야 하며 해당 정보는 절대 데이터 제공자의 서비스에 포함되어서는 안 됩니다.
수집된 데이터가 민감한 정보를 포함하고 있는지 확인해야 하며, 만약 포함하는 경우 데이터 제공자가 해당 정보와 관련된 모든 법률을 준수하고 있는지 검토해야 합니다.
더 나아가 자사 데이터의 수집 방식 또한 평가해야 합니다. 예를 들어 만약 데이터 제공자가 타 사이트에서 정보를 수집하는 경우, 데이터 보안 준수 프로그램을 이행하는 기업은 해당 데이터 제공자의 데이터 수집 행위 관련 법률 준수 여부에 대해 의문을 가져야 합니다. 반면에 데이터 제공자가 자체 앱 기반 유저 패널을 보유하고 있다면 유저 패널을 구성하고 있는 앱을 비롯해 데이터 제공자의 데이터 보호 관행을 점검해야 합니다.
패널을 구성하는 앱은 구글 플레이나 애플 앱 스토어와 같은 주요 앱 스토어를 통해 제공되기 때문에 그 기능이 매우 중요합니다. 해당 앱에 의해 수집된 데이터는 개발자 가이드라인 및 해당 스토어의 조항들을 준수해야 합니다.
수집되는 개인 데이터가 해당 앱의 기능성과 연관 되어있는지 확인하는 것 또한 중요한데, 이는 개인 정보가 수집되는 기반이 개인정보보호 규정 (GDPR) 제5항과 같은 개인 정보 보호법 내 데이터 최소화와 관련된 조항의 준수 여부를 확인하여 해당 정보가 관련 절차에 한하여 제한적으로 사용되고 있는지 검토할 수 있기 때문입니다. 이와 유사한 맥락으로 데이터 제공자의 비식별화 기법 사용 또한 매우 중요하며, 이는 사용자 추적을 어렵게 하여 사용자를 보호하고, 개인 정보 보유 위험을 감소시켜 데이터 제공자를 보호하기도 하며 더 나아가 개인정보보호 규정 제6항(4)(e)에 명시된 바와 같이 데이터 제공자의 유연한 데이터 활용을 허용하기도 합니다.
센서타워는 모든 모바일 분석 회사들보다 높은 기준을 설정하며 사업에 필수적인 정보를 제공하는 과정에서 자사의 패널 이용자들의 개인 정보를 보호하기 위해 전념하고 있습니다. 다음 주제에서는 센서타워 자체 유저 패널과 안정성에 대해 더 자세히 설명하도록 하겠습니다.
데이터 보호 준수 프로그램은 공급업체가 사용하는 데이터 소스를 기반으로 모바일 앱 인사이트를 제공함에 있어 데이터 사용 방식을 평가할 필요가 있습니다. 사용 중인 데이터 과학 모델의 특성, 데이터 소스의 무결성 등이 여기에 포함됩니다.
주요 질문 다음과 같습니다:
데이터 제공자가 제3자 개인정보(PII)를 포함하지 않기 위해 어떤 방식으로 개인정보를 익명화 시키고 데이터를 통합시키는지 확인해야합니다.
데이터 과학 모델 사용 여부, 작동 방식 및 통계 방식 혹은 집계 방식 여부 등의 확인이 필요합니다.
데이터 제공자가 서비스한 데이터 중 데이터 모델에 의해 생성된 인사이트를 구성하는 것은 무엇이며, 데이터 소스에서 미러링된 데이터는 무엇인지, 그리고.
데이터 제공자의 인사이트 또는 기타 정보에서 모두 제3자 기밀 정보 또는 비공개정보(MNPI)가 제공되지 않고 있는지 확인을 해야합니다.
데이터 제공자는 두 데이터 소스에 대한 접근을 엄격하게 제어하고 모니터링하여 어느 쪽도 변조되지 않도록 인사이트를 생성해야 합니다. 따라서 제3자 기밀 정보, 비공개정보, 개인정보 또는 기타 관련 정보가 누출되지 않도록 보장해야 합니다.
그와 더불어 데이터 운용 관행, 비지니스 연속성 및 재해 시 데이터 복구 등과 같은 기타 보안 조치에 관하여 확인을 한다면 데이터 제공자의 표현이 사실인지 확인할 수 있습니다. 특히 AppAnnie(현재 Data.ai)가 기밀 정보를 사용하고 데이터를 의도적으로 왜곡 한 정황을 SEC(미국 증권거래위원회)가 밝힌 이 후로 데이터 가공 및 데이터 보호 준수가 더더욱 중요해졌습니다.
센서타워는 대체 데이터를 포함하여 모든 분야에서 보안 인증 제품을 제공하도록 노력을 기울이고 있습니다. 관련된 질문들은 언제든지 답변해드리겠습니다. 계정 관리자에게 연락하고 싶으시면sales@sensortower.com로 이메일을 보내주시기 바랍니다.
센서타워와 마찬가지로 대체 데이터 시장의 많은 데이터 제공자는 금융사를 비롯한 다양한 고객이 자사 제품을 안전하게 신뢰할 수 있도록 데이터 보호 준수에 오랫동안 집중해 왔습니다. 강화된 규제 표준 때문에 금융 고객사는 종종 회사의 관행과 제공된 데이터의 품질 및 유용성에 대해 정밀한 조사를 시행합니다. 저희를 더 나은 모습으로 성장할 수 있도록 격려해주시는 고객사와 소속된 금융 산업 업계에게 감사드립니다.
데이터 제공자 중 일부가 심각한 오류를 범하는 충격적인 뉴스가 있었습니다. 하지만 저희의 경험으로 미루어 볼 때 대부분의 업체들은 진지하고 성실하게 데이터 보안을 준수하는 제공자와 구매자로 구성되어 있습니다. 저희를 포함한 여느 데이터 제공사들은 더이상 데이터 세상이 초기 단계에 있지 않다는 걸 잘 인지하고 있으며 날마다 최선으로 성장함을 추구하고 있습니다.