정보 프라이버시

최종 수정 2026.03.25

정보 프라이버시는 데이터 프라이버시 또는 데이터 보호라고도 하며, 데이터의 수집 및 유포, 기술, 프라이버시에 대한 공공의 기대, 맥락적 정보 규범, 그리고 이를 둘러싼 법적·정치적 문제 간의 관계를 의미한다.[^18]

다양한 유형의 개인정보가 프라이버시 우려의 대상이 되는 경우가 많다. 프라이버시 우려는 개인 식별 정보나 기타 민감한 정보가 디지털 형태든 그 외의 형태든 수집, 저장, 사용되고, 최종적으로 파기 또는 삭제되는 모든 곳에 존재한다. 부적절하거나 존재하지 않는 공개 통제가 프라이버시 문제의 근본 원인이 될 수 있다. 개인정보 처리방침 및 동적 동의를 포함한 정보에 입각한 동의 메커니즘은 데이터 주체에게 자신의 개인 식별 정보가 어떻게 사용되는지를 전달하는 데 중요하다.

역사

1890년, 법학자 Samuel D. Warren II와 Louis Brandeis는 "프라이버시권"이라는 논문을 발표하여 "홀로 있을 권리"를 설명하였으며, 이는 미국에서 프라이버시권을 확립하는 데 기여하였다.[^19] 그들의 지침은 개인정보 측면에서 프라이버시를 이해하는 방식의 토대를 마련하였고, 미국 프라이버시법의 발전에 영향을 미쳤다.

미국에서 1974년 프라이버시법은 정보 프라이버시 법률에 있어 중요한 성과였다. 이 법률은 연방 기관이 개인정보 및 데이터를 수집하는 방식을 규율하기 위한 공정 정보 관행 규약을 제정하였다. 정부의 불법적인 감시 활용과 관련된 워터게이트 및 코인텔프로 스캔들 이후, 이 프라이버시법은 정부에 대한 국민의 신뢰를 회복하는 데 기여할 목적으로 제정되었다.[^20] 이 법은 개인에게 자신에 관한 정보에 접근하고 자신의 정보가 어떻게 사용될 것인지를 알 수 있는 권리를 부여하였다.[^21][^22]

2000년대 초반 인터넷의 대중화로 인해 많은 기업과 단체가 사용자의 개인정보를 수집하기 시작하면서 새로운 프라이버시 문제가 제기되었다. Daniel Solove와 같은 학자들은 정보에 입각한 동의의 중요성을 설명하였다.[^23]

2018년, 페이스북-케임브리지 애널리티카 데이터 스캔들은 대중에게 새로운 프라이버시 위험을 알렸다. 케임브리지 애널리티카라는 컨설팅 회사가 8,500만 명 이상의 페이스북 사용자로부터 정보에 입각한 동의 없이 개인 사용자 데이터를 수집하였다.[^1] 수집된 데이터는 2016년 미국 대통령 선거 기간 동안 정치적으로 표적화된 광고를 지원하는 데 사용되었다.[^1] 이로 인해 미국 연방거래위원회는 페이스북에 50억 달러의 벌금을 부과하였다.[^24][^25] 케임브리지 애널리티카 스캔들은 유럽연합의 일반 데이터 보호 규정(GDPR)과 같은 새로운 법률 제정에 영향을 미쳤다.[^1]

정보 프라이버시의 유형

데이터 프라이버시 문제는 다음과 같은 광범위한 출처의 정보와 관련하여 발생할 수 있다:[^26]

의료 기록
형사 사법 수사 및 소송 절차
금융 기관 및 거래
유전 물질 등 생물학적 특성
거주지 및 지리적 기록
프라이버시 침해
위치 기반 서비스 및 지리적 위치 추적
영구 쿠키를 사용한 웹 서핑 행동 또는 사용자 선호도
학술 연구

금융

개인의 금융 거래 정보, 즉 자산 규모, 주식이나 펀드 보유 현황, 미상환 채무, 구매 내역 등은 민감할 수 있다. 범죄자가 개인의 계좌나 신용카드 번호와 같은 정보에 접근하면, 해당 개인은 사기나 신원 도용의 피해자가 될 수 있다. 개인의 구매 정보는 방문한 장소, 연락을 주고받는 사람, 사용한 제품, 활동과 습관, 또는 복용한 약물 등 그 사람의 이력에 대해 많은 것을 드러낼 수 있다. 경우에 따라 기업은 이러한 정보를 활용하여 개인의 취향에 맞춘 맞춤형 마케팅으로 개인을 타겟팅할 수 있으며, 해당 개인이 이를 승인할 수도 있고 그렇지 않을 수도 있다.[^2]

인터넷

인터넷에서 자신에 대해 공개하는 정보를 통제하고 누가 해당 정보에 접근할 수 있는지를 제어하는 능력이 점점 더 큰 관심사가 되고 있다. 이러한 우려에는 이메일이 동의 없이 제3자에 의해 저장되거나 열람될 수 있는지, 또는 제3자가 누군가가 방문한 웹사이트를 계속 추적할 수 있는지 등이 포함된다. 또 다른 우려는 방문하는 웹사이트가 사용자에 대한 개인 식별 정보를 수집, 저장, 그리고 잠재적으로 공유할 수 있는지 여부이다.

다양한 검색 엔진의 등장과 데이터 마이닝의 활용은 개인에 대한 데이터를 매우 쉽게 광범위한 출처에서 수집하고 결합할 수 있는 역량을 만들어냈다.[^27][^28][^29] 인공지능은 이러한 방대한 양의 수집된 데이터를 기반으로 개인과 집단에 대한 추론적 정보를 생성하는 것을 촉진하여 정보 경제를 변화시켰다. [^3] 미국 연방거래위원회(FTC)는 전자 시장에서 공정한 정보 관행에 관해 널리 받아들여지는 개념을 대표하는 일련의 지침, 즉 공정 정보 관행 원칙(Fair Information Practice Principles)을 제공하였다. 그러나 이 원칙들은 인공지능 기반 추론적 정보의 맥락에서는 불충분하다는 비판을 받아왔다. [^3]

인터넷에서 많은 사용자가 자신에 대한 많은 정보를 노출한다: 암호화되지 않은 이메일은 연결이 암호화되지 않은 경우(TLS 미적용) 이메일 서버 관리자가 읽을 수 있으며, 인터넷 서비스 제공업체 및 해당 연결의 네트워크 트래픽을 스니핑하는 기타 당사자도 그 내용을 알 수 있다. 이는 웹 브라우징, 인스턴트 메시징 등을 포함하여 인터넷에서 생성되는 모든 종류의 트래픽에 동일하게 적용된다. 지나치게 많은 개인 정보를 노출하지 않기 위해, 이메일을 암호화할 수 있으며 웹페이지 브라우징 및 기타 온라인 활동은 익명화 도구를 통해, 또는 믹스 네트워크라고 불리는 오픈 소스 분산 익명화 도구를 통해 익명으로 수행할 수 있다. Nym[^30]과 I2P[^31]는 잘 알려진 믹스 넷의 예이다.

소셜 미디어와 전자상거래 사이트의 이용이 더욱 빈번해지면서, 소비자 데이터를 탈취할 수 있는 잠재적 경로가 더 많아지고 있다. 기업은 소비자가 어떤 유형의 제품을 구매하길 좋아하는지 파악하고 타겟 광고를 활용하여 소비자가 원할 것이라고 생각되는 제품을 더 많이 구매하도록 유도할 수 있다. 그러나 때때로 이러한 유형의 데이터는 명시적 동의 없이 사용된다.[^32]

사용자들은 자신에 대해 수집되는 모든 개인 정보를 인식하지 못한다. 쿠키는 브라우징 데이터를 추적하고 위치 설정은 한 사람이 어디에 거주하는지 보여주며, 물리적으로 근처에 위치한 상점이나 제품을 표시할 수 있다.[^33] 이러한 정보가 결합되면 데이터가 안전하게 저장되지 않을 경우 사용자에게 큰 안전 및 프라이버시 문제가 될 수 있다.

캘리포니아 소비자 프라이버시법(CCPA)과 같은 법률을 통해 개인 데이터를 보호할 수 있으며, 해당 데이터를 사용하기 전에 명시적 동의를 요구할 수 있다.[^34] 전 세계적으로 많은 국가가 소비자를 보호하기 위해 유사한 조항을 시행하려 하고 있다.

이메일만이 프라이버시 우려가 있는 인터넷 콘텐츠는 아니다. 점점 더 많은 양의 정보가 온라인화되는 시대에, 소셜 네트워킹 사이트는 추가적인 프라이버시 문제를 제기한다. 사람들은 사진에 태그될 수 있고, 자신의 선택에 의해서든 또는 다른 사람에 의해 예기치 않게든 자신에 대한 귀중한 정보가 노출될 수 있는데, 이를 참여적 감시라고 한다. 위치에 관한 데이터도 실수로 공개될 수 있는데, 예를 들어 누군가가 배경에 가게가 있는 사진을 게시하는 경우이다. 온라인에 정보를 게시할 때는 주의를 기울여야 한다. 소셜 네트워크는 사용자가 비공개로 설정할 수 있는 것과 공개적으로 접근 가능한 상태로 유지되는 것에 있어 서로 다르다.[^4] 강력한 보안 설정이 갖춰져 있지 않고 공개 상태로 남아 있는 정보에 대한 세심한 주의가 없으면, 흩어져 있는 정보 조각들을 검색하고 수집하여 개인의 프로필을 구축할 수 있으며, 이는 사이버 스토킹[^5]이나 평판 훼손[^6]의 사례로 이어질 수 있다.

쿠키는 웹사이트에서 사용자의 인터넷으로부터 일부 정보를 검색할 수 있도록 하기 위해 사용되지만, 검색되는 데이터가 무엇인지는 대개 언급하지 않는다. 2018년, 일반 데이터 보호 규정(GDPR)은 웹사이트가 소비자에게 자사의 정보 프라이버시 관행을 눈에 띄게 공개하도록 강제하는 규정을 통과시켰으며, 이를 쿠키 고지라 한다. 이는 소비자에게 자신의 행동에 대해 웹사이트가 추적하는 것에 동의하는 정보를 선택할 수 있도록 하기 위해 발행되었지만, 그 효과에 대해서는 논란이 있다. 일부 웹사이트는 페이지에서 보이지 않는 곳에 쿠키 고지를 배치하거나 소비자에게 정보가 추적되고 있다는 사실만 알려줄 뿐 프라이버시 설정을 변경할 수 있도록 허용하지 않는 등의 기만적 관행에 관여할 수 있다. 인스타그램이나 페이스북과 같은 앱은 개인화된 앱 경험을 위해 사용자 데이터를 수집하지만, 다른 앱에서의 사용자 활동도 추적하여 사용자의 프라이버시와 데이터를 위태롭게 한다. 이러한 쿠키 고지가 얼마나 눈에 띄는지를 통제함으로써, 기업은 은밀하게 데이터를 수집할 수 있으며 소비자에 대해 더 큰 권력을 갖게 된다.

교육

2012년 영국에서 교육부 장관 마이클 고브는 국가 학생 데이터베이스를 "풍부한 데이터셋"이라 묘사하며, 민간 기업을 포함하여 더 개방적으로 접근할 수 있게 함으로써 그 가치를 "극대화"할 수 있다고 말했다.[^2] The Register의 켈리 파이브애시는 이것이 "시험 결과, 출석, 교사 평가, 심지어 특성까지 포함한 아동의 학교 생활"이 이용 가능해질 수 있음을 의미할 수 있다고 말했으며, 데이터가 정부에 의해 익명화된 후 전달되는 것이 아니라 제3자 기관이 자체적으로 모든 출판물의 익명화를 책임지게 될 것이라고 했다. 고브가 과거에는 거부되었지만 개선된 프라이버시 규정 하에서는 가능할 수 있다고 시사한 데이터 요청의 한 예는 "성적 착취에 대한 분석"이었다.[^2]

케이블 텔레비전

이것은 케이블 텔레비전에서 자신에 대해 공개하는 정보를 통제하고 누가 해당 정보에 접근할 수 있는지를 제어하는 능력을 설명한다. 예를 들어, 제3자가 누군가가 특정 시점에 시청한 IP TV 프로그램을 추적할 수 있다.

학술 연구

학계에서 기관생명윤리위원회(IRB)는 연구에서 인간 피험자의 프라이버시와 기밀성을 보장하기 위한 적절한 조치가 취해지도록 하는 기능을 수행한다.[^35]

데이터 유출과 프라이버시 위험

개인이나 집단이 소비자의 데이터를 탈취하는 것은 데이터 유출로 간주된다. 이는 정보 프라이버시에 대한 일반적인 위협이다. 여기에는 이름, 생년월일, 신용카드 정보, 사회보장번호 등의 정보가 포함된다.[^36]

이러한 유형의 데이터 유출은 기업이 데이터를 보호하고 암호화하기 위한 최신 또는 안전한 인프라를 갖추지 못했을 때 발생할 수 있다. 작은 틈새로도 외부인에게 데이터가 유출될 수 있다. 또한 내부 직원이 정보를 노출시켜 유출이 발생할 수도 있다는 점도 주목해야 한다.[^37] 기업들은 의심스러운 활동에 대한 교육과 다중 인증 시스템 사용에 시간을 투자하고 있다.

유럽에서는 연방 차원에서 정부가 기업에 적시에 유출 사실을 보고하도록 의무화하고 있다.[^38] 미국에서는 HIPAA가 유사한 방식으로 기능하며, 데이터가 노출되었을 때 환자에게 통보한다.[^39] 이러한 유형의 지침이 마련됨에 따라, 기업과 국가들은 개인정보를 보호하고 개인 데이터가 어떻게 사용될 수 있으며 사용되어야 하는지를 설명하기 위해 노력하고 있다.

정보 프라이버시를 둘러싼 법률은 전 세계적으로 정보를 보호하는 데 중요하다. 여기에는 데이터가 동의하에 수집되고 투명하게 사용되도록 보장하는 법률이 포함된다.[^40][^41]

유럽 대륙에서는 유럽연합 일반 데이터 보호 규정(GDPR)이라는 지침이 소비자 데이터를 사용하기 전에 모든 사람에게 동의를 구하도록 요구하며, 기업이 일반적으로 사용자로부터 수집해야 하는 데이터의 양을 제한하도록 하고 있다.[^42] 유럽연합 일반 데이터 보호 규정은 성과를 거두었으며, 다른 국가들도 이를 따르도록 촉진하였다. 예를 들어, 캘리포니아주와 캐나다는 유럽연합 일반 데이터 보호 규정의 자체 버전을 만들어 시행하기로 결정하였다. 캘리포니아는 캘리포니아 프라이버시 권리법(CPRA, 2020)을 제정하였고, 캐나다는 PIPEDA(캐나다 정부, 2021)를 제정하였으며, 두 지침 모두 소비자와 사용자의 데이터 및 프라이버시 권리를 우선시하는 유럽연합 일반 데이터 보호 규정을 모델로 삼았다.[^43][^44]

더 넓은 범위에서, 미국은 전체적으로 미국 내에서 운영되는 다양한 산업 분야와 기업의 데이터를 보호할 수 있는 포괄적인 프로그램을 만들기 위해 여전히 노력하고 있다. 그러나 각 조직에 대한 소규모 지침과 정책은 존재한다. 예를 들어, HIPAA 또는 건강보험 이전과 책임에 관한 법률은 의료 환자 데이터와 정보를 보호한다.[^45] 이는 다양한 유형의 기업으로부터 모든 사용자 데이터를 보호하는 국가 수준의 법률은 아니지만, 미국에는 조직 및 산업 수준의 보호 장치가 마련되어 있다.

인공지능과 프라이버시

인공지능은 데이터를 광범위하게 수집하기 때문에 정보 프라이버시 보호에 장애물로 볼 수 있다. 국제 프라이버시 전문가 협회에 따르면, 전 세계 소비자의 약 68%가 온라인 프라이버시에 대한 우려를 표명하며, 57%가 인공지능이 자신의 데이터에 위협이 될 수 있다는 데 동의한다.[^7] 이러한 우려는 웹에서 수집한 데이터로 학습하는 생성형 인공지능 도구가 더 널리 채택되면서 심화되었다.[^7]

인공지능 프라이버시 우려는 규제되지 않는 데이터 수집 방법, 불투명한 알고리즘, 데이터 잔존성과 관련될 수 있다.[^8] 알고리즘 불투명성이란 인공지능이 데이터와 출처를 정확히 어떻게 그리고 어디에서 얻는지 이해하지 못하는 것을 의미한다.[^8] 명확한 가시성의 부족은 자신의 정보가 어떻게 발견되고 사용되는지 이해하기 어렵게 만들 수 있다. 데이터 잔존성은 데이터가 동의 없이 온라인에 장기간 존재하는 것을 말한다.[^8]

현재 미국에는 데이터 수집 측면에서 인공지능을 규율하는 명시적인 연방법이 존재하지 않는다.[^9] 건강보험 이전과 책임에 관한 법률(HIPAA)과 그램-리치-블라일리법 같은 법률은 기업을 규제할 수 있지만 인공지능은 제외된다.[^9] 주 차원의 법률이 제정되고 있다. 미국 유타주는 2024년 3월에 인공지능 정책법을 통과시켰다.[^10] 백악관 과학기술정책실은 2022년에 "인공지능 권리장전을 위한 청사진"을 작성하였으며, 이는 데이터 프라이버시와 인공지능에 대한 프레임워크를 설명하고, 인공지능 시스템이 데이터를 사용하기 전에 사용자 동의를 수집하도록 하는 내용을 담았다.[^10]

많은 연구자들이 데이터 최소화 요건, 인공지능 감사, 인공지능 사용 시 데이터 수집 거부 옵션 부여 등 인공지능과 데이터 프라이버시를 다루기 위한 추가 프레임워크를 만들었다.[^8][^46]

위치 정보

모바일 기기의 위치 추적 기능이 발전함에 따라(위치 기반 서비스), 사용자 프라이버시와 관련된 문제가 발생하고 있다. 위치 데이터는 현재 수집되고 있는 가장 민감한 데이터 중 하나이다.[^11] 개인의 이동 경로만 알면 추론할 수 있는 잠재적으로 민감한 직업적, 개인적 정보 목록이 2009년 전자 프런티어 재단에 의해 발표되었다.[^47] 여기에는 경쟁사 영업팀의 이동, 특정 교회 출석, 모텔이나 낙태 클리닉에서의 개인 존재 등이 포함된다. de Montjoye 등이 수행한 최근 MIT 연구[^48][^49]에 따르면, 네 개의 시공간 데이터 포인트, 즉 대략적인 장소와 시간만으로 이동성 데이터베이스의 150만 명 중 95%를 고유하게 식별하기에 충분한 것으로 나타났다. 이 연구는 데이터셋의 해상도가 낮은 경우에도 이러한 제약이 유지된다는 것을 추가로 보여준다. 따라서 대략적이거나 흐릿한 데이터셋조차도 개인에게 거의 익명성을 제공하지 못한다.

의료 정보

사람들은 정보가 자신의 건강에 대해 드러낼 수 있는 내용의 기밀성과 민감성 때문에 자신의 의료 기록이 타인에게 공개되는 것을 원하지 않을 수 있다. 예를 들어, 보험 적용이나 고용에 영향을 미칠 수 있다는 우려가 있을 수 있다. 또는 자신에게 당혹감을 줄 수 있는 의료적 또는 심리적 상태나 치료에 대해 다른 사람들이 알게 되는 것을 원하지 않을 수 있다. 의료 데이터를 공개하면 개인 생활의 다른 세부 사항도 드러날 수 있다.[^50] 의료 프라이버시에는 세 가지 주요 범주가 있다: 정보적(개인정보에 대한 통제 정도), 물리적(타인에 대한 물리적 접근 불가 정도), 심리적(의사가 환자의 문화적 신념, 내면의 생각, 가치관, 감정, 종교적 관행을 존중하고 개인적 결정을 내릴 수 있도록 허용하는 정도) 프라이버시이다.[^51] 많은 문화와 국가에서 의사와 정신과 의사는 기밀 유지를 포함하는 의사-환자 관계의 기준을 가지고 있다. 일부 경우에는 의사-환자 특권이 법적으로 보호된다. 이러한 관행은 환자의 존엄성을 보호하고, 환자가 올바른 치료를 받기 위해 필요한 완전하고 정확한 정보를 자유롭게 공개할 수 있도록 보장하기 위해 마련되어 있다.[^52] 미국의 개인 건강 정보 프라이버시를 규율하는 법률에 대해서는 HIPAA와 HITECH법을 참조할 것. 호주의 법률은 1988년 호주 개인정보 보호법과 주별 건강 기록 법률이다.

아동 프라이버시

아동의 온라인 프라이버시는 여러 방면에서 법적 보호를 받고 있다. 미국에서는 1998년 아동 온라인 프라이버시 보호법이 13세 미만 아동의 개인정보 수집을 감시한다.[^12] 이 법은 웹사이트 운영자가 아동의 개인 데이터를 수집하기 전에 부모의 동의를 받아야 한다고 구체적으로 명시하고 있다.[^12]

1998년 아동 온라인 프라이버시 보호법은 아동을 대상으로 하거나 13세 미만 아동의 데이터를 수집하고 있음을 알고 있는 웹사이트, 앱 및 모든 인터넷 기반 기기에 적용된다.[^53] 이 법을 위반하면 연방거래위원회에 의해 집행되며 위반 건당 최대 43,792달러의 벌금이 부과될 수 있다.[^13] 또한 이 법을 집행하는 주 법무장관들도 있다.[^13]

연방거래위원회는 새로운 기술의 발전에 맞추어 아동 온라인 프라이버시 보호법을 지속적으로 업데이트하고 있다. 2013년에는 개인정보의 범주를 영구 식별자, 위치정보 데이터, 아동의 설명이 포함된 모든 미디어로 확대하는 개정이 이루어졌다.[^14] 연방거래위원회는 아동이 모바일 기기를 활용하는 새로운 기술을 감시하기 위해 2019년에도 아동 온라인 프라이버시 보호법에 대한 또 다른 검토를 시작하였다.[^14]

일부에서는 아동 온라인 프라이버시 보호법에 한계가 있다고 지적하였다. 현 시점에서 이 법은 아동이 부적절한 콘텐츠에 접근하거나 나이를 속이는 것을 방지하지 못한다.[^13] 더욱이 교육 기술과 관련하여 아동 온라인 프라이버시 보호법이 얼마나 포괄적인지에 대한 의구심도 제기되었다.[^13]

정치적 프라이버시

정치적 프라이버시는 고대의 투표 제도가 등장한 이래 우려의 대상이 되어 왔다. 비밀 투표는 정치적 견해가 투표자 본인 이외의 누구에게도 알려지지 않도록 보장하는 가장 간단하고 가장 널리 사용되는 수단이다—이는 현대 민주주의에서 거의 보편적이며 시민권의 기본적 권리로 간주된다. 사실 다른 프라이버시 권리가 존재하지 않는 경우에도 이러한 유형의 프라이버시는 매우 자주 존재한다. 디지털 투표기의 사용에 따른 여러 형태의 투표 사기나 프라이버시 침해가 가능하다.[^54]

합법성

일반적인 프라이버시 권리, 특히 데이터 프라이버시에 대한 법적 보호는 전 세계적으로 크게 다르다.[^55] 프라이버시 및 데이터 보호와 관련된 법률과 규정은 끊임없이 변화하고 있으며, 법률의 변경 사항을 파악하고 데이터 프라이버시 및 보안 규정 준수 여부를 지속적으로 재평가하는 것이 중요하게 여겨진다.[^56]

데이터 보호법

전 세계의 데이터 보호법은 디지털 시대에 개인정보를 보호하고 개인의 프라이버시를 지키는 것을 목표로 한다. 유럽연합의 일반 데이터 보호 규정(GDPR)은 동의, 투명성, 엄격한 처벌을 통한 강력한 책임성을 강조하며 높은 기준을 제시하고 있다. 많은 국가들이 유사한 원칙을 채택하여 조직이 효과적인 보안 조치를 시행하고, 사용자 권리를 존중하며, 침해 사실을 통지하도록 의무화하고 있다. 북미, 아시아, 오세아니아 등의 지역에서 데이터 보호 체계는 부문별 규정부터 포괄적인 입법까지 다양하다. 전 세계적으로 이러한 법률은 혁신과 프라이버시의 균형을 맞추어 개인 데이터가 적절하게 접근 가능하고 윤리적으로 관리되면서도 오용과 사이버 위협을 완화하도록 보장하고 있다.

국가별 당국

세이프 하버 프로그램

미국 상무부는 유럽위원회의 1995년 데이터 보호 지침(지침 95/46/EC)에 대응하여 국제 세이프 하버 프라이버시 원칙 인증 프로그램을 만들었다.[^57] 미국과 유럽연합 모두 개인의 정보 프라이버시를 보호하겠다고 공식적으로 밝히고 있지만, 미국이 개인정보에 대한 유럽연합의 보다 엄격한 법률 기준을 충족하지 못하면서 양측 간에 마찰이 발생했다. 세이프 하버 프로그램의 협상은 부분적으로 이 오랜 문제를 해결하기 위한 것이었다.[^58] 지침 95/46/EC는 제4장 제25조에서 개인 데이터는 유럽경제지역(EEA) 국가들로부터 적절한 프라이버시 보호를 제공하는 국가로만 이전될 수 있다고 선언하고 있다. 역사적으로 적절성을 확립하려면 지침 95/46/EU가 시행한 것과 대체로 동등한 국내법을 제정해야 했다. 이 포괄적 금지에 대한 예외가 있긴 하지만 — 예를 들어 EEA 밖의 국가에 대한 공개가 해당 개인의 동의하에 이루어지는 경우(제26조 제1항 (a)) — 실질적인 범위에서는 제한적이다. 결과적으로, 제25조는 유럽에서 미국으로 개인 데이터를 이전하는 조직에 법적 위험을 초래했다.

이 프로그램은 유럽연합과 미국 간의 승객 이름 기록(PNR) 정보 교환을 규율한다. 유럽연합 지침에 따르면, 개인 데이터는 해당 국가가 적절한 수준의 보호를 제공하는 경우에만 제3국으로 이전될 수 있다. 이 규칙에 대한 일부 예외가 규정되어 있는데, 예를 들어 관리자 자신이 수신자가 데이터 보호 규칙을 준수할 것임을 보증할 수 있는 경우이다.

유럽위원회는 일반적으로 "제29조 작업반"으로 알려진 "개인 데이터 처리와 관련한 개인 보호에 관한 작업반"을 설립했다. 이 작업반은 유럽연합 및 제3국의 보호 수준에 대해 자문을 제공한다.[^59]

작업반은 미국 대표들과 개인 데이터 보호에 대해 협상했으며, 세이프 하버 원칙이 그 결과물이었다. 이러한 승인에도 불구하고, 세이프 하버의 자체 평가 방식은 다수의 유럽 프라이버시 규제 기관과 평론가들 사이에서 여전히 논란이 되고 있다.[^60]

세이프 하버 프로그램은 이 문제를 다음과 같은 방식으로 해결한다: 미국의 모든 조직에 부과되는 포괄적인 법률 대신, 연방거래위원회(FTC)가 시행하는 자발적 프로그램이다. 이 프로그램에 등록하고 여러 기준에 대한 자체 준수 평가를 완료한 미국 조직은 제25조의 목적상 "적절한 것으로 간주"된다. 발신자가 제25조 또는 그에 상응하는 유럽연합 국내법을 위반하지 않으면서 EEA로부터 그러한 조직으로 개인정보를 전송할 수 있다. 세이프 하버는 2000년 7월 26일 유럽위원회에 의해 제25조 제6항의 목적상 개인 데이터에 대한 적절한 보호를 제공하는 것으로 승인되었다.[^61]

세이프 하버 하에서, 가입 조직은 유럽연합에서 발생한 개인 데이터가 미국 세이프 하버로 이전된 후 다시 제3국으로 이전되는 재이전 의무에 대한 준수를 신중하게 검토해야 한다. 많은 유럽연합 프라이버시 규제 기관이 권고하는 대안적 준수 방식인 "구속력 있는 기업 규칙"이 이 문제를 해결한다. 또한, 미국 세이프 하버로의 인사 데이터 이전과 관련하여 발생하는 모든 분쟁은 유럽연합 프라이버시 규제 기관 패널에서 심리되어야 한다.[^62]

2007년 7월, 미국과 유럽연합 간에 새로운 논쟁적인^17 승객 이름 기록 협정이 체결되었다.[^63] 그 직후, 부시 행정부는 국토안보부, 입출국 정보 시스템(ADIS), 그리고 자동 표적 시스템에 대해 1974년 프라이버시법의 적용을 면제했다.[^15]

2008년 2월, 유럽연합 내무위원회 위원장인 Jonathan Faull은 승객 이름 기록에 관한 미국의 양자 정책에 대해 불만을 제기했다.[^16] 미국은 2008년 2월 브뤼셀과 사전 협의 없이 비자 면제 프로그램의 대가로 체코 공화국과 양해각서(MOU)를 체결했다.^17 워싱턴과 브뤼셀 간의 긴장은 주로 미국의 낮은 수준의 데이터 보호에서 비롯되며, 특히 외국인이 1974년 미국 프라이버시법의 혜택을 받지 못하기 때문이다. 양자 양해각서 체결을 위해 접촉한 다른 국가로는 영국, 에스토니아, 독일, 그리스가 있다.[^64]

기술적 조치

프라이버시를 향상시키는 기술, 프라이버시 강화 기술, 그리고 프라이버시 소프트웨어 도구들이 존재한다. 시스템을 구축하고 업데이트하는 사람들은 프라이버시 바이 디자인과 프라이버시 엔지니어링 전략 및 기술을 활용할 수 있다. 예를 들어, 데이터를 읽을 수 없는 형식으로 변환함으로써 암호화는 무단 접근을 방지한다.

같이 보기

컴퓨터 과학 관련

관련 기관

해당 분야 연구자

더 읽을거리

- 외부 링크

국제

유럽

라틴 아메리카

라틴 아메리카 데이터 보호법 리뷰

북아메리카

학술지

참고 문헌

[^1]: visceral_dev_admin. 케임브리지 애널리티카 논란의 역사. (2023-03-16)

[^2]: Fiveash, Kelly. 쉿: 국가 학생 데이터베이스에 대해 들어보셨나요? 아마 못 들어보셨을 겁니다. (2012-11-08)

[^3]: Cofone, Ignacio. 프라이버시의 오류: 정보 경제에서의 피해와 권력. Cambridge University Press

[^4]: 인터넷: 일러스트 시리즈. Cengage Learning

[^5]: 사이버스토킹: 인터넷 시대의 괴롭힘과 가족을 보호하는 방법. Greenwood Publishing Group

[^6]: 프라이버시, 표현의 자유, 투명성: 디지털 시대의 새로운 경계 재정의. UNESCO

[^7]: International Association of Privacy Professionals. (2023). "프라이버시와 인공지능에 대한 소비자 관점." https://iapp.org/resources/article/consumer-perspectives-of-privacy-and-ai/

[^8]: RAND Corporation. (2024). "프라이버시법에 대한 인공지능의 영향." https://www.rand.org/pubs/research_reports/RRA3243-2.html

[^9]: Congressional Research Service. "생성형 인공지능과 데이터 프라이버시: 입문서." https://www.congress.gov/crs-product/R47569

[^10]: IBM. (2024). "AI 시대의 프라이버시 문제 탐구." https://www.ibm.com/think/insights/ai-privacy

[^11]: 2016년 위치 기반 서비스의 발전. Springer

[^12]: Federal Trade Commission. "아동 온라인 프라이버시 보호 규칙(COPPA)." https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa

[^13]: Electronic Privacy Information Center. "아동 프라이버시." https://epic.org/issues/data-protection/childrens-privacy/

[^14]: Federal Trade Commission. (2013). "개정된 아동 온라인 프라이버시 보호 규칙이 오늘부터 시행됩니다." https://www.ftc.gov/news-events/news/press-releases/2013/07/revised-childrens-online-priva

[^15]: [[Statewatch]], [http://www.statewatch.org/news/2007/sep/04eu-usa-pnr-exemptions.htm 미국, 개인정보 접근 면제를 위해 프라이버시 규칙 변경] 2007년 9월

[^16]: 브뤼셀, 미국의 새로운 보안 요구에 반발, European Observer. 또한 [http://www.statewatch.org/news/ Statewatch 뉴스레터] 2008년 2월 참조

[^18]: Michael, M. G.. 유버베일런스와 마이크로칩 이식의 사회적 함의: 신흥 기술. (2013년 9월 30일)

[^19]: Solove, Daniel J.. 프라이버시 분류 체계. (2006)

[^20]: 1974년 프라이버시법 개요 (2020년판) - 서론. (2020-10-14)

[^21]: 1974년 프라이버시법, 5 U.S.C. § 552a {{!

[^22]: Stuessy, Meghan M.. 1974년 프라이버시법: 의회를 위한 개요 및 쟁점. (2023-12-07)

[^23]: Solove, Daniel J.. 프라이버시 분류 체계. (2006)

[^24]: Zialcita, Paolo. 페이스북, 케임브리지 애널리티카 스캔들 관련 643,000달러 벌금 납부. (2019-10-30)

[^25]: Reynolds, Taylor. 페이스북/케임브리지 애널리티카: 프라이버시 교훈과 향후 방향. (2018-03-20)

[^26]: 프로그램 관리: 다수의 프로젝트를 성공적으로 관리하기.. Global India Pubns. (2009)

[^27]: Bergstein, Brian. 데이터 마이닝과 프라이버시에 대한 연구 탐구. (2006-06-18)

[^28]: Bergstein, Brian. 데이터 마이닝 사회에서 프라이버시 옹호자들의 우려. (2004-01-01)

[^29]: Swartz, Nikki. 미국, 구글 웹 데이터 요구

[^30]: Nym 믹스넷 백서

[^31]: I2P의 위협 모델 - I2P

[^32]: Federal Trade Commission. (2022). ''급변하는 시대의 소비자 프라이버시 보호.'' 출처: https://www.ftc.gov/reports

[^33]: Smith, A. (2023). ''추적, 쿠키, 디지털 프라이버시: 온라인 데이터 수집의 이해.'' Journal of Cyber Policy, 8(1), 45–61.

[^34]: California Legislative Information. (2020). ''캘리포니아 소비자 프라이버시법(CCPA)''. 출처: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV

[^35]: 기관생명윤리위원회 - 가이드북, 제4장 - 연구 설계 시 고려사항. (2017년 10월 5일)

[^36]: 2025년 데이터 유출 조사 보고서

[^37]: 2025년 데이터 유출 비용 {{!

[^38]: European Parliament. (2016). ''일반 데이터 보호 규정(GDPR), 규정(EU) 2016/679.''

[^39]: U.S. Department of Health and Human Services. (2021). ''건강 정보 프라이버시.'' 출처: https://www.hhs.gov/hipaa/index.html

[^40]: Organisation for Economic Co-operation and Development (OECD). (2013). ''OECD 프라이버시 프레임워크.'' 출처: https://www.oecd.org/sti/privacy-framework.htm

[^41]: United Nations. (2018). ''개인정보 보호 및 프라이버시 원칙.'' 출처: https://www.un.org/en/dataprivacy

[^42]: European Parliament. (2016). ''일반 데이터 보호 규정(GDPR), 규정(EU) 2016/679.''

[^43]: California Legislative Information. (2020). ''캘리포니아 소비자 프라이버시법(CCPA).'' 출처: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV

[^44]: Government of Canada. (2021). ''개인정보 보호 및 전자문서법(PIPEDA).'' 출처: https://www.priv.gc.ca/en/

[^45]: U.S. Department of Health and Human Services. (2021). ''건강 정보 프라이버시.'' 출처: https://www.hhs.gov/hipaa/index.html

[^46]: Stanford University Human-Centered Artificial Intelligence. "AI 시대의 프라이버시: 개인정보를 어떻게 보호할 것인가?" https://hai.stanford.edu/news/privacy-ai-era-how-do-we-protect-our-perso

[^47]: Blumberg, A. Eckersley, P.. 위치 프라이버시와 이를 영원히 잃지 않는 방법에 대하여.. EFF. (2009년 8월 3일)

[^48]: de Montjoye, Yves-Alexandre. 군중 속의 유일함: 인간 이동성의 프라이버시 한계. (2013년 3월 25일)

[^49]: Palmer, Jason. 모바일 위치 데이터, '익명성 위험 존재'. (2013년 3월 25일)

[^50]: Aurelia, Nicholas-Donald. 프라이버시 침해 발표가 주가에 미치는 경제적 영향: 종합적 실증 조사. (2017년 6월 1일)

[^51]: Serenko, Natalia. 환자의 프라이버시 인식과 의료 결과

[^52]: 환자가 18세 미만인 경우에도 비밀유지가 적용되는가, 아니면 의사가 이를 위반하고 부모에게 알려야 하는가? 15세 소녀가... - eNotes

[^53]: Texas Attorney General. "아동 온라인 프라이버시 보호법(COPPA)." https://www.texasattorneygeneral.gov/consumer-protection/file-consumer-complaint/consumer-privacy-rights/childrens-online-pr

[^54]: Zetter, Kim. 해킹 불가능한 투표기의 신화. (2018-02-21)

[^55]: Rakower, Lauren. 흐릿한 경계선: 구글 스트리트 뷰와 글로벌 프라이버시권 심층 분석. (2011)

[^56]: 미국의 데이터 보호법. Advocates for International Development. (2013년 8월)

[^57]: 개인정보 보호. [[European Commission]]

[^58]: Weiss and Archick, Martin A. and Kristin. 미국-EU 데이터 프라이버시: 세이프 하버에서 프라이버시 실드까지. (2016년 5월 19일)

[^59]: EPIC – 제29조 작업반

[^60]: SEC (2004) 1323: 세이프 하버 프라이버시 원칙 및 미국 상무부가 발행한 관련 자주 묻는 질문에 의해 제공되는 개인정보의 적절한 보호에 관한 위원회 결정 520/2000/EC의 이행. [[European Commission]]. (2004년 10월 20일)

[^61]: 2000/520/EC: 미국 상무부가 발행한 세이프 하버 프라이버시 원칙 및 관련 자주 묻는 질문에 의해 제공되는 보호의 적절성에 관한 유럽의회 및 이사회 지침 95/46/EC에 따른 2000년 7월 26일자 위원회 결정. (2000년 8월 25일)

[^62]: 세이프 하버 결정에 의해 예정된 유럽 데이터 보호 당국 패널에 관한 Q&A. [[European Commission]]

[^63]: 승객 이름 기록(PNR) 데이터의 처리 및 전송에 관한 새로운 EU-미국 PNR 협정 – CHALLENGE | 자유와 안보

[^64]: [[Statewatch]], 2008년 3월