이러한 이유로 미국 연방거래위원회(FTC)는 사물인터넷(IoT)에 관한 연구를 수행하고 이제 '연결된 세계에서의 개인정보 보호 및 보안'보고서를 발표했습니다. 이제 모든 유형의 제조업체들은 자사 기기에 개인정보 보호 및 보안 기능을 설계하는 데 유용한 지침을 확보하게 되었습니다.
FTC는 최초로 IoT의 막대한 잠재적 이점을 인식했습니다:
의료 분야에서는 연결된 의료 기기를 통해 중증 질환을 가진 소비자가 의사와 협력하여 질병을 관리할 수 있습니다. 가정에서는 스마트 계량기를 통해 에너지 공급업체가 소비자의 에너지 사용량을 분석하고 가전제품의 문제를 파악하며 소비자가 에너지 사용에 더 주의를 기울일 수 있도록 합니다. 도로에서는 차량 센서가 운전자에게 위험한 도로 상황을 알릴 수 있으며, 소프트웨어 업데이트가 무선으로 이루어져 소비자가 대리점을 방문할 필요가 없어집니다. (pp i-ii).
그러나 보고서의 초점은 위험성에 맞춰져 있었다: "(1) 개인정보의 무단 접근 및 오용 가능성; (2) 다른 시스템에 대한 공격 촉진; (3) 개인 안전에 대한 위험 창출." (p. ii). 추가적인 위험으로는 장기간에 걸쳐 개인정보, 위치, 활동, 신체 상태 등을 수집함으로써 기업(그리고 잠재적으로 해커)이 소비자의 삶에 대한 매우 상세한 "프로필"을 구축할 수 있다는 점이 포함됩니다. 문제는 기업이 이러한 데이터를 신용, 보험, 고용 결정에 활용할 수 있다는 점입니다.
이 보고서는 IoT와 관련된 네 가지 주요 문제—보안, 데이터 최소화, 고지 및 선택권, 법규—를 논의합니다. 기업들에게 기기뿐만 아니라 전반적인 개인정보 보호 및 보안과 관련하여 FTC의 기준과 기대치에 대한 추가적인 통찰력을 제공합니다. 따라서 본 보고서는 FTC 기준을 준수하고 개인정보 보호 및 보안에 대한 모범 사례를 채택하기 위한 로드맵으로 활용될 수 있습니다.
보안
FTC는 특정 기기에 대한 합리적인 보안 수준은 수집되는 데이터의 양과 민감도, 보안 취약점 해결 비용 등 여러 요인에 따라 달라진다고 지적했습니다. FTC는 다음과 같은 모범 사례를 권고했습니다:
- 보안은 사후 고려사항이 아닌 초기 단계부터 장치에 내재화해야 합니다. 이를 위해 (1) 개인정보 또는 보안 위험 평가를 수행하고, (2) 수집 및 보유하는 데이터를 최소화하며, (3) 제품 출시 전 보안 조치를 테스트해야 합니다.
- 직원들에게 우수한 보안 관행에 대해 교육하고, 보안 문제가 조직 내 책임 최고위층에서 처리되도록 보장하십시오.
- 합리적인 보안 수준을 유지할 수 있는 서비스 제공업체를 선정하고, 해당 업체에 대한 적절한 감독을 수행하십시오.
민감한 정보 보호를 위해 다층 방어 접근법을 구현하고, 여러 계층(사용자, 장치, 데이터 등)에 걸쳐 보안 조치를 적용하십시오. - 소비자의 기기, 데이터 또는 네트워크에 대한 무단 접근을 제한하기 위한 접근 제어 조치를 구현합니다.
- 제품의 전체 수명 주기 동안 모니터링하고, 가능한 범위 내에서 알려진 취약점에 대한 패치를 적용하십시오.
데이터 최소화
데이터 최소화는 합법적인 사업 목적에 합리적으로 필요한 범위 내에서 데이터 수집 및 보유를 제한하고, 더 이상 필요하지 않을 경우 이를 폐기하는 개념을 의미합니다. FTC는 데이터, 데이터 수집의 이점, 빅데이터 분석과 데이터 최소화 사이의 내재적 갈등을 인정합니다. 그럼에도 불구하고 FTC는 데이터 최소화의 두 가지 동인을 지적했습니다.
첫째, 대량의 데이터 저장은 조직 내외부의 해커들에게 더 매력적인 표적이 되므로, 데이터 부정 사용으로 인한 소비자 피해 위험을 증가시킵니다. 둘째, 기업이 대량의 데이터를 수집·보유할 경우, 해당 데이터를 소비자의 합리적 기대와 다른 방식으로 활용할 가능성이 높아집니다. 빅데이터 분석의 이점과 데이터 최소화 원칙 간의 상충 관계를 인식한 FTC의 권고안은 기업에 다음과 같은 유연한 접근 방식을 제시합니다: (1) 개인정보를 전혀 수집하지 않기; (2) 제품 또는 서비스에 필요한 유형의 데이터만 수집하기; (3) 민감도가 낮은 데이터만 수집하기; 또는 (4) 수집한 데이터를 비식별화하기. 기업이 이러한 대안 중 어느 것도 목표를 충족시키지 못한다고 판단할 경우, 추가적이고 예상치 못한 범주의 데이터 수집에 대해 소비자의 동의(통지 및 선택)를 구할 수 있습니다.
공지 및 선택
통지와 선택권은 소비자 개인정보 보호의 핵심이며, 사용자 인터페이스가 있는 컴퓨터가 아닌 사물을 통해 통지와 선택권을 제공하는 데 내재된 어려움에도 불구하고 사물인터넷(IoT)에서도 계속해서 중요할 것입니다. 그러나 연방거래위원회(FTC)는 모든 데이터 수집에 선택권이 필요한 것은 아니라는 점을 인정합니다. 거래의 맥락이나 기업과 소비자 간의 관계(예: 구매한 제품 및 서비스를 제공한 경우, 해당 기업으로부터 다양한 유형의 마케팅 커뮤니케이션을 수신 중인 경우)와 부합하는 관행에 따라 소비자 데이터를 수집 및 활용하기 전에 선택권을 부여할 필요는 없습니다.
고지 및 선택이 요구되거나 사용되는 경우, 옵션에는 동영상 튜토리얼 개발, 기기에 QR 코드 부착, 판매 시점, 설정 마법사 내 또는 개인정보 대시보드에서의 선택 제공 등이 포함됩니다. 개인정보 선택 사항은 명확하고 눈에 띄어야 하며, 장황한 문서나 법적 표준 조항 속에 묻혀서는 안 됩니다.
일부 기업들은 FTC에 '사용 제한'을 고지 및 선택의 보완 수단 또는 대체 수단으로 채택할 것을 촉구했다. 사용 기반 접근법에서는 입법자, 규제 기관, 자율 규제 기구 또는 개별 기업이 특정 소비자 데이터의 '허용되는' 사용과 '허용되지 않는' 사용을 설정함으로써 고지 및 선택의 필요성을 최소화하거나 회피한다. FTC는 "사용 기반 제한이 법률, 규정 또는 널리 채택된 행동 강령에 포괄적으로 명시되어 있지 않아, 어떤 추가 사용이 유익하거나 유해한지 누가 결정할 것인지 불분명하다"고 지적하며 사용 제한에만 의존하지 않기로 결정했습니다. 또한 사용 제한만으로는 방대한 데이터 수집 및 보유로 인한 위험을 해결하지 못합니다. 마지막으로, 순수한 사용 기반 접근법은 건강 정보, 성적 지향 및 선호도, 아동 정보 등과 같은 민감한 정보 수집에 대한 소비자들의 우려와 일관되지 않을 것입니다.
입법
마지막으로, FTC는 입법이라는 민감한 주제를 논의하며 현 단계에서 사물인터넷(IoT) 전용 입법은 시기상조라고 결론지었습니다. 오히려 특정 산업을 대상으로 개인정보 보호 및 보안에 민감한 관행 채택을 장려하기 위한 자율규제 프로그램 개발이 보다 실행 가능한 접근법입니다. 그럼에도 불구하고 FTC는 의회가 강력한 유연성을 갖춘 기술 중립적 연방 법률을 제정해 현행 데이터 보안 집행 수단을 강화하고 보안 침해 시 소비자에게 알릴 것을 촉구하는 노력을 완전히 포기하지는 않았다. ( 이번 달 초 보도한 바와 같이 백악관은 바로 그러한 법률을 제안한 상태다.)
연방거래위원회(FTC)는 보안 위험이 개인정보뿐만 아니라 기기 기능 자체에서도 발생한다고 지적했다. 심박조율기가 제대로 보호되지 않으면 건강이 위협받을 뿐만 아니라, 해커에 의한 오작동으로 착용자가 심각한 피해를 입을 수 있다. 차량 도어가 열리거나 스마트카 제어권이 탈취될 수 있습니다. 이에 따라 FTC는 사물인터넷(IoT) 전용이 아닌 포괄적인 개인정보 보호 및 보안 법안 제정을 권고했습니다.
기업에 미치는 영향
FTC 보고서는 모든 제조업체에 중요한 지침을 제공합니다. 센서의 현재 및 미래 발전으로 사실상 모든 물체가 정보를 수집하여 인터넷을 통해 전 세계 어디로든 전송할 수 있습니다. 실제로 센서는 시각, 청각, 후각, 촉각, 그리고 (그렇습니다, 심지어) 미각까지오감 모두로부터 정보를 수집할 수 있습니다. 이 보고서는 제조업체가 연결된 제품을 개발하고 개인정보 보호 및 보안 관련 법률, 규정, 표준을 준수할 때의 로드맵을 제시합니다.
이 보고서는 제조업체뿐만 아니라 모든 기업에 유용합니다. 보안, 데이터 최소화, 고지 및 선택권, 개인정보 보호 및 보안 법규에 대한 상세한 논의를 제시함으로써, FTC는 개인정보 보호 및 보안 규정 준수에 대한 기대치와 기준에 대한 귀중한 통찰력을 제공합니다.
법률 뉴스 알림은 고객과 동료들에게 영향을 미치는 시급한 문제나 업계 동향에 관한 최신 정보를 지속적으로 제공하기 위한 당사의 노력의 일환입니다. 본 업데이트에 대한 문의사항이 있거나 해당 주제에 대해 추가 논의가 필요하신 경우, 담당 폴리 변호사 또는 아래 연락처로 문의해 주시기 바랍니다:
챈리 T. 하웰
파트너
플로리다주 잭슨빌
904.359.8745
[email protected]
제임스 칼리바스
파트너
캘리포니아주 로스앤젤레스
213.972.4542
[email protected]
마이클 R. 오버리
파트너
캘리포니아주 로스앤젤레스
213.972.4533
[email protected]
스티븐 M. 밀렌도르프
어소시에이트
샌디에이고, 캘리포니아
858.847.6737
[email protected]
