규정이 엄격해짐에 따라 앱 운영자는 개인정보 보호 준수의 핵심 사항을 어떻게 관리하나요?
편집자 주: 우리나라의 개인정보 보호 관련 법률 및 규정이 점점 개선되면서 앱에 대한 규제 당국의 감독도 점점 강화되고 있습니다. 앱 운영자는 항상 관련 법률 및 규정의 발전과 변경에 주의를 기울여야 하며, 앱의 개인정보 보호 준수 수준을 향상하고, 앱이 사용자의 권익을 보호하면서 사용자에게 더 나은 서비스를 제공할 수 있도록 해야 합니다. '인터넷 법률 리뷰'는 오늘 특별 전문가인 Liu Xinyu 변호사와 그의 팀이 작성한 기사를 게재하여 APP 운영자가 6가지 측면에서 개인 정보 보호 규정 준수의 핵심 사항을 통제할 수 있도록 제안했습니다. 2021년 12월 국가 컴퓨터 네트워크 응급 대응 기술 조정 센터와 중국 사이버 공간 보안 협회가 발표한 "앱의 개인 정보 불법 수집 및 사용에 대한 모니터링 및 분석 보고서"(이하 "보고서")에 따르면, 우리나라의 현재 주류 안드로이드 앱 스토어 중복을 제거한 후, 진열대에 있는 총 앱 수는 112만 개입니다. 애플리케이션 설치 몰의 정보 표시 인터페이스를 보면 여러 상위 앱이 100억 번 이상 설치되었음을 알 수 있습니다. 모바일 애플리케이션 앱은 사람들이 일상 생활에서 모바일 인터넷 서비스를 얻는 데 중요한 매체 중 하나가 되었음을 알 수 있습니다. 앱의 발전에 따라 다양한 앱에서 수집하는 개인정보의 규모가 점차 증가하고 이에 따른 개인정보 보안 위험도 점차 대두되고 있습니다. 중국 사이버공간관리국, 공업정보화부 등 각종 규제기관으로부터 법률 및 규정을 위반하여 개인정보를 수집하는 앱에 대한 통지가 속속 나오고 있으며, APP 운영자의 면담 등 규제조치도 잇따르고 있습니다. 관련 부서와 해당 앱을 선반에서 제거하면 잠재적인 부정적인 여론으로 인해 발생하는 문제를 처리해야 할 수도 있습니다. 따라서 앱 운영자는 앱 내 개인정보 보호에 더욱 세심한 주의를 기울일 필요가 있습니다. "중화인민공화국 개인정보 보호법"(이하 "개인정보 보호법")에 따라 "앱의 개인정보 불법 수집 및 이용 여부 확인 방법"(이하 "개인정보 보호법") '식별방법') 및 기타 관련 법령 및 규제기관이 앱 개인정보 보호 준수 업무를 수행하는 과정에서 발견한 주요 사항에 따라, 작성자는 앱 운영자에게 다음 사항을 준수할 것을 권고합니다. 앱이 합법적이고 규정을 준수하는지 확인하는 포인트입니다. 01 개인정보 처리행위를 개인정보주체에게 알리고 동의를 받도록 하고 있습니다. 「개인정보 보호법」 제17조는 개인정보를 처리하기에 앞서 개인정보를 진실하고 정확하며 완전하게 눈에 띄는 방법으로 알려야 한다고 규정하고 있습니다. 개인정보 처리자의 이름과 연락처, 처리하는 개인정보의 종류, 처리하는 개인정보의 처리기간 및 절차를 명확하고 이해하기 쉬운 언어로 알려줍니다. 이 법에서 규정한 권리 등을 행사합니다. 앱의 경우, 개인정보주체에게 고지할 의무는 일반적으로 개인정보 보호정책을 통해 이행됩니다. 실제로는 아직도 개인정보 보호 정책을 수립하지 않은 기업이 있습니다. '보고서'의 통계에 따르면 2021년 앱의 6.7%에 개인정보 보호정책이 없습니다. 우리나라의 주류 Android 앱 스토어에 있는 총 앱 수를 합치면 이러한 앱 운영자는 여전히 상당한 수준입니다. 이 문제를 수정합니다. 동시에, 개인정보 보호 정책이 수립되었다고 해서 모든 문제가 해결되는 것은 아닙니다. 실제로는 개인정보 보호 정책의 불규칙한 설정 문제도 규제 당국의 관심사입니다. 예를 들어, '개인정보 보호법' 제17조에서는 '개인정보처리자가 제1항에서 정한 사항을 개인정보 처리규정을 정하여 고지하는 경우에는 처리규정을 공개하고, 열람 및 저장이 용이하도록 하여야 한다'고 규정하고 있습니다. 따라서 앱 운영자는 개인정보 보호정책을 수립할 뿐만 아니라 공개하여 쉽게 접근할 수 있도록 해야 합니다. 특히 접근 장벽을 설치하지 않을 경우 위 규정을 위반할 수 있습니다. “접근 및 저장 용이성”에 대한 구체적인 기준에 대해서는 앱 운영자가 “판정 방법”의 관련 조항을 참조할 수 있습니다. "결정 방법"에 따라, 개인정보 보호정책에 접근하거나 열람하기 어려운 것을 방지하기 위해 앱 운영자는 최소한 두 가지 조치를 취해야 합니다. 첫째, 개인정보 주체가 앱의 메인 인터페이스에 들어간 후, 개인 정보 보호 정책에 접근하기에는 너무 많은 작업이 있어서는 안 됩니다. 둘째, 개인 정보 보호 정책의 텍스트가 너무 작거나, 너무 조밀하거나, 너무 연하거나, 불분명하거나, 중국어 간체 버전이 아니어야 합니다. 개인정보 보호정책을 제공해서는 안 됩니다. 앞서 언급한 형식적인 문제 외에도, 개인정보 보호 정책은 내용적인 측면에서도 개인정보 보호법 제17조의 요건을 충족해야 합니다. 명확하고 이해하기 쉬운 언어로”라고 요청합니다.
예를 들어, 실제로 많은 앱 운영자들은 수집하는 개인정보의 종류, 구체적인 이용방법, 목적 등을 별도의 관련관계 없이 분리하여 나열하고 있습니다. 이 방법은 “개인정보의 처리목적, 처리방법 및 처리하는 개인정보의 종류”를 동시에 설명하는 것으로 보입니다. 각 개인정보의 구체적인 용도를 파악합니다. 이러한 개인정보 보호 정책은 앞서 언급한 개인정보 보호법 조항을 위반할 위험이 있습니다. 개인정보주체에 대한 통지의무를 완료한 후, 또 다른 의무는 개인정보 처리에 관한 법적 근거를 확보하는 것입니다. 「개인정보 보호법」 제13조에서는 개인정보 처리에 관한 "본인의 동의를 받음" 등 7개 항목을 규정하고 있습니다. 정보. 정보의 법적 근거. 실제로는 다양한 앱에서 직접 개인정보주체의 동의를 받는 것이 가장 일반적인 법적 근거입니다. 즉, 개인정보주체가 해당 앱을 처음 사용할 때 팝업창을 통해 개인정보주체가 열람할 수 있도록 안내하는 것입니다. 개인정보보호정책에 동의하며 체크박스를 선택해 주셔야 합니다. 다만, 개인정보주체의 동의를 구하는 경우에는 기본 체크박스 동의, 동의 표시를 위한 로그인 등 암묵적인 방법을 사용하여 개인정보주체의 동의를 구하는 것은 지양하시기 바랍니다. , 귀하는 개인정보주체가 적극적인 의미 표현에 '동의'를 완료했는지 확인해야 합니다. 다만, 앱 운영자가 개인정보주체의 동의를 받기 어려운 경우가 있을 수 있으며, 이 경우 앱 운영자는 개인정보 보호법 제13조의 규정을 적용하는 것을 고려할 수 있습니다. 개인정보 계약 이행” 등의 법적 근거를 대신할 수 있습니다. 02 개인정보를 최소한의 필요성에 근거하여 처리합니다. 「개인정보 보호법」 제6조에서는 “개인정보는 처리 목적과 직접적으로 관련되는 명확하고 합리적인 목적을 위하여 최소한의 방법으로 처리되어야 한다”고 규정하고 있습니다. 개인정보의 수집은 처리 목적을 달성하기 위한 최소한의 범위로 제한되어야 하며, 개인정보를 과도하게 수집해서는 안 됩니다. 여기서의 범위는 수집되는 개인정보의 유형뿐만 아니라 수집 빈도, 처리 방법까지 포함된다는 점에 유의하시기 바랍니다. 구체적으로 최소 필요성은 두 가지 측면에서 주로 반영됩니다. 하나는 유형의 필요성입니다. 예를 들어, 날씨 예측 소프트웨어는 날씨 예측 목적을 달성하기 위해 사용자의 지리적 위치 정보를 수집하는 것이 필요합니다. 지역 기상 조건에 대한 목표 예측. 그러나 일기예보 소프트웨어(단일 일기예보 기능만 있음)가 사용자의 주소록 정보를 수집하는 경우에는 개인정보 보호법의 최소필요성 원칙을 명백히 준수하지 않습니다. 수집된 정보는 앱이 사용자에게 날씨 정보를 제공하는 기능에 영향을 미치지 않습니다. 정보 예측 서비스를 제공하는 경우 앱 운영자는 이러한 목적을 달성하기 위해 주소록 정보를 수집하는 역할을 설명할 수 없습니다. 두 번째는 필요성의 정도이다. 앞서 언급한 일기예보 소프트웨어를 예로 들면, 소프트웨어가 위치정보를 수집하는 것은 타당하지만 수집 빈도를 통제하지 않으면 불필요한 정보를 수집할 위험이 있다. 예를 들어, 사용자가 앱을 사용하는지 여부에 관계없이 앱은 백그라운드에서 사용자의 지리적 위치 정보를 수집하고 지속적으로 업데이트합니다. 이는 명백히 최소 필요성의 원칙을 위반하는 처리 행위입니다. 03 민감한 개인정보의 취급을 준수합니다. 「개인정보 보호법」 제28조에서는 "민감한 개인정보란 유출되거나 불법적으로 이용될 경우 자연인의 존엄성을 쉽게 침해하거나 침해받을 수 있는 개인정보를 말합니다."라고 규정하고 있습니다. 생체식별, 종교적 신념, 특정 신원, 의료 건강, 금융 계좌, 소재 및 기타 정보뿐만 아니라 14세 미만의 미성년자의 개인 정보를 포함하여 위험에 처할 수 있는 개인 및 재산의 안전 "예를 들어, 얼굴, 개인정보주체의 지문 등 정보는 개인정보 보호법에 따른 민감한 개인정보로 간주될 수 있습니다. 앱 운영자는 이 부분의 개인정보를 처리할 때 처리가 "특정 목적과 충분한 필요성"을 가지고 있는지 확인해야 하며, 일반 개인정보(비식별화, 암호화 등) 저장 등보다 더 엄격한 보호 조치를 취해야 합니다. ). 또한, "개인정보 보호법"의 규정에 따라 앱 운영자가 민감한 개인정보를 처리하는 경우에는 개인정보주체의 별도 동의를 받아야 한다는 점을 유의하시기 바랍니다. 실제로 일부 앱 운영자는 팝업창을 클릭하거나 별도의 민감한 개인정보 처리규정을 확인하여 개인정보주체에게 별도의 동의를 요구할 수 있습니다.
'개별 동의'도 '동의'의 한 형태이므로, 특정 상황에서 독립적인 동의를 얻는 것이 어렵거나 사용자 경험에 더 큰 영향을 미치는 경우, 앱 운영자는 '개인정보 보호법' 제13조의 활용을 고려할 수도 있습니다. " '별도의 동의를 받는 것'을 대신하는 기타 법적 근거가 제공됩니다. 04 개인정보보호법 제50조에서는 “개인정보처리자는 개인이 권리를 행사할 수 있는 편리한 접수 및 처리 메커니즘을 마련해야 하며, 개인의 권리행사 요구를 거부하는 경우에는 이를 이행하여야 한다”고 규정하고 있습니다. 권리가 있는 경우 이유를 설명해야 합니다." 현재 대부분의 앱은 이러한 메커니즘을 설정했으며 계정을 취소하는 방법도 공개할 예정입니다. 그러나 서류상의 시스템과 프로세스만으로는 앱 운영자가 법률 및 규정의 요구 사항을 완벽하게 준수한다고 보장할 수 없습니다. 시스템과 프로세스 자체가 "편리한"지, 실제로 구현 및 실행되는지 여부도 주목할 만한 규정 준수 문제입니다. 사법 관행에 있어서도 일부 법원에서는 개인정보 처리자가 개인 이용자의 권리 요청에 적시에 응답하지 않는 경우, 상대적으로 완전한 수락 및 처리 규칙을 마련했더라도 여전히 권리를 침해한 것으로 간주하지 않는다고 판단합니다. 개인정보 보호법 제50조에 따른 의무를 이행합니다. 예를 들어, 앱 운영자는 권리청구의 전제조건으로 개인정보주체의 신원에 대한 진위여부를 확인하고 있으나, 구체적인 확인방법이나 경로를 알리지 않거나, 청구접수를 위한 이메일 주소를 공개하고 있으나 확인하지 않는 경우 사용자가 요청한 내용을 적시에 처리하는 등 모든 사항은 법원이나 규제 당국에 의해 법적 의무를 이행하지 않은 것으로 간주될 수 있습니다. 개인정보주체가 누리는 다양한 권리 중, 개인정보 처리행위에 대해 알 권리는 매우 중요한 권리이며, 어느 정도 다른 권리 행사의 근거가 되기도 합니다. 규제 당국도 이를 매우 중요하게 여기고 있으며, 2022년 7월 상하이 통신국은 국내 단일 애플리케이션 시장에서 다운로드/설치 수가 500만 건을 넘는 'APP 애플리케이션(빠른 애플리케이션 및 소규모 애플리케이션 포함)'을 집중적으로 검사하기로 결정했습니다. 프로그램 등의 양식)'에서 확인해야 할 핵심 사항 중 하나는 앱이 '이중 목록'을 설정했는지 여부입니다. '더블리스트'는 2021년 11월 1일 산업정보기술부가 고시한 '정보통신서비스 인식개선 조치 시행에 관한 고시'에서 유래됐다. 해당 고시는 관련 기업이 '수집한 개인정보 목록'을 작성하도록 요구하고 있다. 및 "제3자 개인정보 공유 목록". 앱(내장된 제3자 소프트웨어 도구 개발 키트 SDK 포함)이 수집/공유하는 사용자 개인정보의 기본 정보를 간결하고 명확하게 나열한 "정보 목록" 제3자. 이에 따라 작성자는 앱 운영자가 "개인정보 보호법"에 규정된 고지의무를 이행하는 것 외에도 "더블 리스트"의 요구사항에 따라 관련 정보를 개인정보주체에게 표시해야 한다는 점을 이해합니다. 정보주체는 앱 운영자의 개인정보 처리 내용 및 적시적인 권리 주장을 이해할 수 있습니다. 05 SDK 데이터 준수에 주의하세요. SDK는 일반적으로 소프트웨어 개발 도구 키트인 Software Development Kit를 말합니다. 간단히 말해서 특정 유형의 응용 프로그램 소프트웨어 개발을 지원하는 관련 문서, 예제 및 도구 모음입니다. 앱의 경우 개발 효율성을 높이기 위해 제3자 서비스 제공업체가 개발자가 사용할 수 있는 도구 키트(예: SDK)에 서비스를 캡슐화하여 특정 기능을 개발할 수 있습니다. '판단방법'에는 '개인정보(제3자 위탁 또는 내장된 제3자 코드 및 플러그인 포함)의 수집 및 이용목적, 방법, 범위 등을 일일이 기재하지 아니한 앱'이라고 명시하고 있습니다. 이는 “개인정보의 명시적인 수집 및 이용목적, 방법, 범위”를 불법적으로 처리하는 행위로 간주되어 이에 상응하는 법적 책임을 져야 합니다. '모바일 인터넷 애플리케이션 내 개인정보의 보호 및 관리에 관한 경과규정(의견안)' 제8조에서는 '제3자 서비스를 이용하는 자는 관리규정을 마련하여 명칭, 기능, 개인정보 처리 내용을 명확히 표시해야 한다'고 명시하고 있습니다. 앱의 제3자 서비스 제공업체의 규정 등"에 명시되어 있습니다. 내용, 제3자 서비스 제공업체와 개인정보 처리 계약을 체결하여 양 당사자의 관련 권리와 의무를 명확히 하고 개인정보를 관리, 감독해야 합니다. 제3자 서비스 제공자의 정보 처리 활동 및 정보 보안 위험 앱 개발자 및 운영자가 감독 의무를 이행하지 않았습니다. "앱에 개인정보주체의 권익을 침해하는 SDK가 포함되어 있는 경우 앱 운영자는 처벌을 받을 수 있습니다. 부정적인 평판을 초래한다”고 영향을 미쳐 영업권에 손상을 입혔다. 규제 실무에서는 최근 산업정보기술부가 불법 SDK에 대해 여러 건의 고시를 한 것으로 보아 이 문제가 규제 당국의 관심사이기도 함을 알 수 있습니다.
따라서 SDK는 '양날의 검'과 같습니다. 앱 운영자의 권익을 보호하기 위해 저자는 앱 운영자가 앱이 연결하는 모든 SDK를 종합적으로 분류하고 목적, 방법을 식별할 것을 권장합니다. , 연결된 SDK가 개인정보를 수집 및 이용하는 목적을 개인정보 보호정책에 명시하여 언론에 노출되고 신고된 문제가 있는 SDK의 경우 해당 범위를 명확히 하고 동의를 받아야 합니다. 감독을 통해 귀하의 앱이 해당 SDK에 액세스할 수 있는 경우 문제의 심각도에 따라 시기적절한 조치가 취해질 것입니다. 해당 SDK를 제한 시간 내에 수정하고 사용을 중지해야 하며 기타 조치를 취해야 합니다. 06 어린이 개인정보 보호 앱 운영자의 어린이 개인정보 보호 의무도 최우선 사항입니다. '인터넷상의 아동 개인정보 보호에 관한 규정' 제8조에 따르면, "네트워크 사업자는 아동 개인정보 보호에 관한 특별한 규정과 이용약관을 마련하고, 아동 개인정보 보호를 전담할 담당자를 지정해야 합니다." 저자는 앱 운영자가 아동의 개인정보를 처리함에 있어 아동에 대한 별도의 개인정보 보호 규정 및 이용약관을 마련할 것을 권고하고 있습니다. 동시에, '개인정보 보호법' 제28조에서는 개인정보 보호법 제28조에 따라 만 14세 미만 미성년자의 정보는 민감한 개인정보이므로, 개인정보 처리자는 해당 개인정보를 처리하기 전에 개인정보주체로부터 별도의 동의를 받아야 하며, 아동의 개인정보 보호를 위해 보다 엄격한 보호조치를 취해야 합니다. 어린이의 개인 안전을 보장하고 어린이의 합법적인 권리와 이익을 보호합니다. 앱 운영 중에 앱 운영자, 특히 UGC(UserGeneratedContent) 유형의 앱 운영자는 일반적으로 사용자가 게시한 콘텐츠에 태그를 추가하여 특정 유형의 콘텐츠에 관심이 있을 수 있는 다른 사용자에게 추천합니다. 앱 운영에서는 매우 흔한 일이지만, 콘텐츠에 어린이가 관련된 경우 관련 위험, 특히 그러한 방법이 어린이의 개인 안전, 생활 평화 등에 잠재적인 위험을 초래할지 여부를 사전에 고려해야 한다는 점에 유의해야 합니다. 범죄자들이 아동 범죄를 저지르기 위해 개인정보를 이용하는 경우. 앱 내 아동 개인정보가 '외부' 범죄자에 의해 유출되는 것을 방지하는 것 외에도, 앱 운영자의 '내부' 직원도 규제 대상이 되어야 합니다. '인터넷상의 아동 개인정보 보호에 관한 규정' 제15조에서는 '네트워크 운영자는 직원에 대한 정보 접근권한을 엄격히 설정하고, 직원에 대한 최소한의 권한 부여를 원칙으로 하며, 아동의 개인정보 범위를 통제해야 한다'고 규정하고 있습니다. 아동의 개인정보에 대한 접근은 아동개인정보 보호책임자 또는 그 권한을 위임받은 관리자의 검토 및 승인을 받아야 하며, 접근상황을 기록하고, 아동의 개인정보가 불법 복제, 다운로드되지 않도록 기술적 대책을 강구하여야 합니다. 따라서 앱 운영자는 아동의 개인정보에 대한 접근 통제 시스템을 구축해야 할 뿐만 아니라, 불필요한 처리가 발생하지 않도록 관련 처리 행위를 승인하고 기록할 수 있는 '아동 개인정보 보호 담당자'를 설치하는 것도 필요합니다. 접근하고 어린이에게 발생할 수 있는 위험을 더욱 줄입니다. 위 내용은 우리나라의 개인정보 보호 관련 법률 및 규정이 점점 개선됨에 따라 규제 당국의 앱 감독도 점점 강화되고 있는 앱의 일부 준수사항을 저자가 간략하게 요약한 것입니다. 앱의 개인정보 보호 준수 수준을 향상시키기 위해 관련 법률 및 규정의 개발 및 변경에 주의를 기울이십시오. 이를 통해 앱은 사용자의 권익 보호를 전제로 사용자에게 더 나은 서비스를 제공할 수 있습니다.