Cambridge Analytica의 Facebook 사용자 데이터 오용은 전 세계 수백만 명의 주목을 받았습니다. 그것은 사람들로 하여금 그 어느 때보다 데이터 프라이버시 및 데이터 보호의 중요성을 깨닫게 했습니다. 사람들이 데이터 개인 정보 보호 및 보안에 대한 조사가 증가하는 것에 대해 많은 관심을 갖게 되면서. 조직이 고객의 개인 데이터를 저장, 처리, 분석 및 사용하는 방식에 대한 문제를 감지하고 고객 데이터 보호에 관한 엄격한 새 규칙을 결정하는 GDPR이라는 강력한 규정을 만든 유럽 연합에 큰 감사를 드립니다.
따라서 이 규정은 무엇을 명시하고 있는지 이 기사에서 알아보겠습니다.
GDPR이란 무엇입니까?
GDPR 또는 일반 데이터 보호 규정은 EU 시민의 데이터를 보유하거나 처리하는 모든 회사에 영향을 미칠 수 있는 유럽 연합 법률입니다. 기업이 EU 회원국 내에서 거래하는 동안 EU 시민의 개인 데이터를 보호하기 위한 규정을 마련하기 위한 것입니다.
데이터 문제는 지난 몇 달 동안 주요 뉴스였습니다. 주요 기술 거물은 열악한 데이터 관리 및 보안으로 인해 비난을 받았습니다. GDPR은 기업이 합리적인 방식으로 시민의 개인 데이터를 관리하고 처리하도록 합니다. 따라서 데이터 사용 방식이 대중의 기대와 개인 정보 보호에 부합하는지 확인합니다. 이 법에 따라 조직은 절대적으로 필요한 데이터만 보유하고 처리해야 합니다.
GDPR은 다음을 포함하여 데이터 개인 정보를 보호하는 것을 목표로 합니다.
이름, 주소, ID 번호, 연락처 등의 기본 정보
- 생체 인식 데이터
- 인종/민족 데이터
- 정치적 의견
- 위치, IP 주소, 쿠키 데이터 등과 같은 웹 데이터
GDPR은 2018년 5월 25일에 시행되지만 아이디어는 2년 전인 2016년 4월에 시작되었습니다.
GDPR에 따르면 개인 데이터는 다음과 같아야 합니다.
- 공정하고 투명한 방식으로 처리되므로 고객은 자신의 데이터가 어떻게 사용되거나 사용될 것인지 잘 알고 있어야 합니다.
- 구체적이고 합법적인 목적으로만 녹음되었습니다.
- 정확하게 유지되고 업데이트되어야 하며 필요한 경우에만 사용해야 합니다.
- 데이터 보호를 보장하는 방식으로 준비 및 처리합니다.
추가 읽기: 온라인에서 보안을 강화하는 5가지 다큐멘터리
GDPR이 필요한 이유는 무엇입니까?
GDPR 초안을 작성하는 이유는 데이터 개인 정보 보호 및 데이터 보호법을 준수하려는 유럽 연합의 바람입니다. 사람들의 데이터가 특히 Amazon, Facebook, Google, Twitter와 같은 플랫폼에서 사용되는 방식처럼, 이러한 거대 기술 기업이 사용자 정보를 판매하는 한 사용자를 ADware로 묶습니다. 그러한 방대한 권한을 부여하는 것의 위험한 결과는 2016년 미국 대통령 선거에 영향을 미치기 위해 수백만 개의 프로필이 수집된 Cambridge Analytica 사례에서 명확하게 설명되었습니다.
다음 이유는 인터넷 및 클라우드에서 이러한 플랫폼이 대중의 개인 데이터를 사용 및 남용하는 것을 허용하는 데이터 문제를 수정하는 것입니다.
이 규정의 적용을 받는 회사 유형은 무엇입니까?
- EU 국가 내에서 EU 시민 데이터를 저장하거나 제어하는 모든 회사
- 회사가 EU 경계에 있지 않더라도, 회사에 유럽 고객이 있고 어떤 방식으로든 데이터를 저장하는 경우에도 마찬가지입니다. 해당 특정 회사는 GDPR에서도 실행 가능합니다.
- 직원이 250명 이상인 회사입니다.
- 회원이 250명 미만이지만 데이터 처리 시스템이 데이터 주체에 영향을 미치거나 유럽 거주자에 대한 민감한 정보를 포함하고 있습니다.
이는 기본적으로 거의 모든 기업이 기업 목표 및 규정 중 가장 최우선 순위인 GDPR을 고려해야 함을 의미합니다.
조직에 GDPR은 무엇을 의미합니까?
EU 시민의 데이터를 보유하고 사용하는 모든 조직은 회사가 어디에 있든 관계없이 이 법에 따른 새로운 규칙을 준수해야 합니다. 지금까지 기업들은 다양한 수단을 통해 데이터를 축적해왔습니다. 그러나 이것은 당분간 중단됩니다. 온라인 행동을 추적하여 사용자 데이터를 사용하는 모든 조직은 사용자 친화적인 언어로 고객의 동의를 얻어야 하며 제한된 기간 동안 이 데이터 집합을 사용할 수 있습니다.
평신도에게 그것은 무엇을 의미합니까?
조직이 사용자의 개인 정보를 찾기 전에 사용자의 동의를 받아야 하기 때문입니다. 사용자는 경고 및 동의 요청을 자주 접하게 됩니다. 공동 노력이므로 사용자도 한 번 이상 이용 약관을 검토하는 것이 좋습니다.
기업이 구현해야 하는 변경 사항은 무엇입니까?
일반 데이터 보호 규정의 도래로 인해 기업은 개인의 동의하에 개인 데이터를 저장 및 처리하기 위해 다양한 접근 방식을 채택해야 합니다.
- 모든 민감한 데이터를 안전하게 저장할 수 있는 장소가 있는지 확인하십시오. 데이터가 정확하고 기밀인지 확인합니다. 필요할 때마다 사용 가능하며 잘 암호화되어 백업됩니다.
- 공급업체도 GDPR을 준수한다는 사실을 기억하십시오. 데이터 처리에 사용하는 모든 서비스 제공업체는 GDPR 표준을 준수해야 합니다.
- 정보 침해 사고가 발생하면 72시간 이내에 신고해야 합니다. 데이터 침해를 빠르게 감지하고 대응할 수 있는 터치 프로세스만 있으면 됩니다.
- 사람들이 자신의 데이터 개인 정보 보호 권리에 대해 더 많이 인식하게 됨에 따라 많은 쿼리가 발생하므로 업데이트하십시오. 그들은 귀하가 어떻게 데이터를 보유하고 사용하는지 문의할 가능성이 높으므로 귀하는 이러한 요청을 매우 수용해야 합니다.
- 이해 상충 없이 PII를 보호할 수 있는 DPO를 지정해야 합니다. 조직에 따라 정규직으로 DPO를 고용할 필요는 없습니다. 컨설턴트 역할을 하고 필요할 때 일할 수 있는 가상 DPO를 고용할 수도 있습니다.
- GDPR 요구 사항에 맞게 수정 및 업데이트된 데이터 보호 계획을 만들어야 합니다.
- 중소 기업은 다른 기업보다 GDPR의 영향을 크게 받을 수 있습니다. GDPR 요구 사항을 충족할 적절한 리소스가 없을 수 있습니다. 외부 리소스, 고문 및 기술 전문가가 프로세스를 통해 내부 중단을 최소화하는 데 큰 도움이 될 수 있습니다.
- GDPR은 완전한 투명성을 요구합니다. 따라서 사용자는 언제든지 데이터 삭제를 요청할 수 있습니다(즉, 잊혀질 권리). 데이터를 수정하고 형식적인 구조에 따라 데이터를 제어할 수도 있습니다. 그리고 데이터 침해가 발생할 경우 최대한 빨리 알려야 합니다.
추가 읽기: 7가지 트렌드 더 많은 사이버 공격 유도
기술이 기업이 GDPR을 준수하는 데 어떻게 도움이 됩니까?
GDPR이 도래하면 기업은 데이터가 침해되지 않도록 보호하고 위험 관리 및 규정 준수에 리소스를 투입해야 합니다. 귀사가 EU에 속하지 않더라도 GDPR은 귀사가 해당 데이터를 처리하는 경우 EU 시민의 모든 데이터를 다루며 규정을 준수해야 합니다. 처리 및 처리되는 데이터의 양이 너무 많기 때문에 이 규정은 역사상 가장 비싼 규정 중 하나로 보고됩니다. 기업이 규정 준수를 위해 GDPR 법률에 따라 정책 및 절차를 명확하게 정의하고 충족하는 것이 필수적입니다. 따라서 조직은 이 법률이 시행되기 전에 양말을 벗어야 합니다. 그렇지 않으면 전 세계 수익을 기준으로 4%의 잠재적인 벌금 또는 2천만 유로(둘 중 더 큰 금액)가 부과됩니다.
다음은 기업이 GDPR 요구를 충족하는 데 도움이 될 수 있는 몇 가지 훌륭한 기술입니다.
데이터 관리 및 보안
회사의 데이터를 보호한다는 것은 무단 액세스를 제한하는 것을 의미합니다. 데이터는 위치가 공개되어 있어도 침해되기 쉬우므로 침입자를 침해하지 않도록 차단하는 것은 데이터가 저장되는 위치를 보호하는 것입니다. 데이터를 보호하기 위해서는 특정 알고리즘으로 암호화하여 데이터 유출에 대한 벽을 구축해야 합니다. 클라우드 컴퓨팅을 채택한 이후로 조직은 데이터가 물리적 손상이 없는 상태로 잘 보호되어 저장된다는 생각에 안주할 수 있습니다. 암호화된 데이터는 데이터를 읽고, 편집하고, 관리하기 위해 암호 해독 키를 제공해야 하므로 데이터 보호 담당자가 계속 감시할 필요가 없습니다. 보안 매체 외에도 조직은 정보 감사를 유지하여 데이터가 어디서 왔는지, 데이터베이스에 얼마나 오래 지속되었는지, 데이터가 공유되어 더 나은 데이터 관리가 필요한지 등의 데이터 트랜잭션을 모니터링해야 합니다.
블록체인
지난 몇 년 동안 가장 새로운 기술 중 하나이며 확실히 자체적으로 많은 힘을 보유하고 있으며 시간이 지남에 따라 그 가치가 입증되었습니다. 블록체인은 암호화로 암호화된 상태로 유지되는 분산 원장에 데이터를 저장할 수 있도록 합니다. 분산 원장에 데이터를 저장한다는 것은 사이버 공격의 경우 "증인" 역할을 하는 다양한 지리적 위치와 사람들 간에 데이터를 분산시키는 것을 의미합니다. 이 원장에 저장된 데이터는 변경할 수 없습니다. 즉, 편집하거나 삭제할 수 없습니다. 배포된 모든 복사본이 동시에 공격되어야 하므로 공격 성공 확률을 거의 0으로 완화합니다.
API 지원 플랫폼
모든 조직은 콘텐츠 획득에 대한 동의를 수집하고 사용자에게 데이터 액세스 규정을 알리는 규칙을 채택하기 위해 API 관리 아키텍처에 집중해야 합니다. 개발자가 조직과 기술을 연결하는 데 필요한 시간을 줄여주기 때문에 더 빠르고 저렴한 플랫폼입니다.
GDPR이 기술 산업에 어떤 영향을 미칠까요?
기술 산업에 따르면 GDPR은 "역사상 가장 재앙적인 규정 준수 문제"입니다. GDPR은 모두 사용자 데이터 수집 및 사용 시스템을 변경하도록 설정되어 있습니다. 다양한 기술 회사는 GDPR 준수를 준비하기 위해 도전에 직면할 것입니다. 최근 사용자 정보를 조작해온 모든 회사의 주요 과제는 사용자의 모든 "개인 데이터"를 문서화하는 것입니다. "개인 데이터"로 분류되는 모든 항목을 설명하는 특정 지침이 있습니다. 회사는 데이터를 다운로드 가능한 형식으로 넘겨주거나 요청 시 삭제해야 합니다. 이 전체 절차에는 전혀 저렴하지 않은 회사에서 더 많은 직원을 고용해야 합니다. 클라우드 컴퓨팅 회사는 사용자가 전체 데이터의 삭제를 요청할 수 있기 때문에 최악의 타격을 입을 것입니다. 이는 클라우드 스토리지가 다른 회사를 대신하여 데이터를 호스트하고 저장하는 데 문제가 될 수 있기 때문입니다.
데이터 개인 정보 보호 규정 준수에 대한 준비가 되어 있다고 보고한 회사는 소수에 불과합니다.
GDPR 및 소셜 미디어
사진 공유 플랫폼 "Instagram"을 소유한 Facebook은 사용자가 사진, 비디오 및 메시지가 포함된 개인 데이터를 다운로드하는 데 도움이 되는 도구를 곧 출시할 예정입니다. EU GDPR을 준비하면서 이 도구는 사용자가 Instagram과 공유하는 정보를 찾는 데 도움이 됩니다. 보고서에 따르면 Instagram 대변인은 "우리는 새로운 데이터 이식성 도구를 구축 중입니다. 사진, 동영상, 메시지를 포함하여 Instagram에서 공유한 내용의 사본을 곧 다운로드할 수 있습니다.”
GDPR은 고객에게 데이터 삭제를 요구하거나 향후 데이터 수집을 거부할 수 있는 권리를 부여하는 것을 목표로 하고 있습니다. 도구, 기능에 대한 자세한 내용은 곧 제공될 것입니다. 하지만 지금은 Instagram과 공유한 내용을 다운로드하고 내보낼 수 있습니다.
또한 읽어보기:사이버 보안이 개선되고 있습니까 아니면 악화되고 있습니까?
기대:
조직에 대한 메시지는 민감한 정보 또는 데이터가 저장된 위치, 이에 대한 액세스 권한이 있는 사용자 및 액세스 권한이 있어야 하는 사용자와 같은 데이터베이스를 인식하는 것입니다. 그러나 이는 중요한 문제가 될 것입니다.
모든 중간 규모 및 대규모 조직은 2018년 5월까지 GDPR을 준수할 준비가 되어 있어야 합니다. 또한 GDPR은 조직이 보안 기능을 업그레이드할 수 있는 좋은 기회를 제공합니다. 지금까지는 데이터를 자산으로 취급하고 규정 없이 마이닝했기 때문에 다양한 비즈니스 조직의 사고 방식이 다를 수 있지만 지금부터 이러한 조직은 축적된 데이터와 데이터 흐름에 대해 훨씬 더 세분화해야 할 것입니다.