오늘의 게시물은 데이터 개인 정보 보호에 대한 4개의 게시물 시리즈 중 세 번째입니다. 데이터 공급업체와 고객 모두가 규정 준수에 대한 막대한 투자를 통해 데이터 시장의 밝은 미래가 어떻게 보장하는지 다룹니다. 앞선 두 개의 포스팅을 놓치셨다면, 아래 링크를 통해 확인하시기 바랍니다:
개인정보보호 규정(GDPR)에 대해 알고 계십니까? 처음 들어 보셨다면 아래 기재된 내용을 꼭 한 번 읽어 보시기 바랍니다.
개인정보보호 규정(GDPR)은 개인 데이터에 대한 개인의 통제와 권리를 강화함으로써 이를 자유롭게 사용하고 있었던 기술 산업에 큰 변화를 가져왔습니다. 개인 데이터의 사용을 관리하는 이전의 법률과 규정이 존재했지만, 거의 모든 분야에서 테크 기업의 개인 데이터 판매 및 사용을 막는 데 전혀 도움이 되지 않았습니다. 개인정보보호 규정(GDPR)은 2016년 4월 14일에 적용되어 2018년 5월 25일에 법적으로 시행되었으며, 이를 준수하지 않을 경우 큰 처벌을 받게 됩니다. "Google, 영국항공, H&M 및 메리어트의 공통점은 무엇일까요? 이 기업들은 모두 개인 데이터와 관련된 개인정보보호 규정(GDPR) 위반으로 €10,000,000 이상의 벌금을 부과 받았습니다."
개인정보보호 규정(GDPR)은 영국, 터키, 모리셔스, 칠레, 일본, 브라질, 한국, 남아프리카, 아르헨티나 등을 포함한 많은 국가의 개인 정보 보호 규정법의 기준이 되었습니다. 미국의 여러 주에서도 (예를 들면, 캘리포니아 소비자 개인 정보 보호법[CCPA] 및 후속 법안인 2020년 캘리포니아 개인 정보 보호 권리법 등) GDPR을 기준으로 자체 개인 정보 보호 규정 법안을 통과시켰습니다.
대부분의 정보 보호법의 주요 원칙은 공정성과 투명성입니다. 데이터 제공자는 데이터가 수집되는 개인에게 해롭거나 예상이 불가능하거나, 오용 가능성이 있는 방식으로 데이터를 처리하면 안 됩니다. 투명성을 유지하기 위해서는 데이터 제공자가 데이터 처리 방식에 대해 공개적이고 정직하게 진행해야 하며, 처리 방식에 대해서도 당사자에게 알려야 합니다. 또한 개인정보보호 규정(GDPR) 및 기타 유사 법률에 따라 데이터를 수집할 수 있는 유효한 법적 근거도 필요합니다. (자세한 내용은 이 포스팅에서 확인하실 수 있습니다.)
개인 정보 보호법을 준수하기 위해 데이터 제공자는 데이터 자료 출처, 데이터 원칙과 법률을 확인해야 합니다. 이전 포스팅에서 설명한 바와 같이, 이는 데이터 제공자 수집 가능한 개인 데이터 뿐 아니라 다른 데이터 제공자(제3자 데이터 자료 출처)에서 받는 데이터에도 모두 적용됩니다.
일부 데이터 제공자는 패널이 동의 없이 사용자를 추적하다고 주장하지만 사실상 이는 터무니없는 주장입니다. 데이터 소스 자체가 나쁘거나, 안전하지 않거나, 부정확하거나, 규정을 위반하고 있는 것은 아니기 때문입니다. 데이터 제공자가 직접 수집하든 타사 제공자로부터 제공받든 상관없이 자사 제품에 사용 중인 모든 사용자 데이터가 해당 데이터 개인 정보 보호 법률 및 규정을 준수하는지 확인하는 것은 중요합니다. 제공자가 다른 데이터 제공자로부터 사용자 데이터를 구입하는 경우 데이터 브로커 컴플라이언스도 평가해야 합니다.
제품에 따라 센서타워는 자사 및 제3자 데이터 소스를 사용할 수 있습니다. 사용되는 데이터 소스와 상관없이 개인 정보 보호를 지키기 위해 새로운 데이터 출처(자사 또는 제3자)를 구현하기 전, 데이터 필요 여부와 데이터 수집 도출 여부를 평가합니다. 이런 경우, 개인 데이터 사용을 피할 수 있는 개인 정보 중심 접근 방법을 선택합니다. 그렇지 않은 경우, 위험을 줄이기 위해 수집된 개인 데이터를 최소화하고 식별하지 않습니다.
예를 들자면, 센서타워는 일부 인텔리전스 제품에 관련된 패널 기반 앱 시리즈를 관리하고 있습니다. 당사의 액티브 패널 기반 디지털 웰빙 앱인 StayFree 및 ActionDash(2020년 센서타워 인수)는 동급 앱 중 선두이며 안드로이드에서 사용할 수 있습니다. 차단 앱인 Mobile Data Usage, Luna, Adblock Mobile은 센서타워에서 개발했으며 안드로이드와 iOS에서 사용할 수 있습니다.
이 패널 앱들은 개인 사용자에게 센서타워의 데이터 수집 방법과 해당 데이터 권한에 대해 안내합니다. 또한 ActionDash 및 StayFree 사용자는 데이터 수집을 거부하더라도 앱 내의 모든 디지털 웰빙 기능을 무료 사용할 수 있으며 센서타워의 광고 차단 앱은 개인 정보 보호 기능을 사용하여 센서타워의 서버를 통해 광고 및 분석 관련 데이터만 전송합니다. 아래 그림과 같이, 센서타워에서 스플릿 터널링이라는 개발 방식은 광고 관련 도메인만 프록시할 수 있습니다.
또한 사용자는 사용되었던 인증서를 쉽게 비활성화 할 수 있으며, 광고 트래픽을 암호화하는 광고 네트워크에서는 차단 기능이 작동하지 않도록 제한될 수 있습니다. 이러한 접근 방식으로 광고와 분석 데이터만 처리할 수 있으며, 이는 처리되는 전체 데이터 중 10%에 불과합니다. 더욱 중요한 사항은 광고와 분석 데이터만 처리하여 "건강" 관련 혹은 "금융 데이터"와 같은 민감한 데이터는 포함하지 않습니다.
센서타워 패널을 통해 수신된 사용량과 광고 데이터는 수집 시점에 비식별화 됩니다. 센서타워의 개인 정보 보호 어프로치 방법으로는 IP 주소를 저장하지 않고 있으며, 패널 앱 설치와 연결 가능한 식별 넘버는 설치 시 생성되는 설치 식별 넘버(ID)로 처리됩니다. 이 정보는 사용자 기기에 로컬로 저장되며 사용자가 고객 서비스 이용할 때 추가 정보를 제공하지 않는 한 해당 기기 사용자를 구별해낼 수 없습니다. 사용자가 패널 앱을 제거하면 ID는 무효화되고 ID와 관련된 모든 데이터는 익명화 됩니다. 사용자가 앱을 재설치하면 새로운 ID가 임의로 생성되며 해당 ID는 앱이 제거되지 않은 경우에만 적용됩니다.
모든 패널 데이터는 익명화 되고 집계된 데이터입니다. 이 데이터가 통계 집계 모델에 입력되며, 이는 sensortower.com에서 제공하는 인사이트를(예: 광고 및 사용 인텔리전스 제품) 도출해냅니다.
센서타워가 제공하고 있는 Pathmatics Explorer 같은 제품은 제3자 패널 데이터와 같은 타사 데이터 소스를 약간 이용하고 있습니다. 센서타워 사용자 패널의 경우, 센서타워는 제3사 데이터 제공자가 개인 정보 보호 법률 및 컴플라이언스를 엄격하게 준수하도록 요구하고 있습니다. 데이터 제공자와 계약을 체결하기 전과 계약 체결 진행 시 센서타워는 옵트인 동의, 이용 약관, 개인 정보 보호 정책 및 기타 자료를 검토하여 이를 지속적으로 준수하도록 의무화하고 있습니다.
사용자 개인 정보 보호는 센서타워의 주요 업무입니다. 개인정보보호 규정(GDPR) 및 기타 최근 개인정보 보호법 제정 이전에도 센서타워는 개인 정보 보호 중심의 접근 방식으로 패널 앱을 신중하게 구축해왔습니다. 센서타워는 패널 앱을 개발할 때 각별한 주의를 기울이고 잠재적인 개인 정보 위법을 최소화하기 위해 노력해 왔으며, 앞으로도 전 세계 사용자들에게 개인 정보를 존중하는 혁신 도구를 제공할 것입니다.