• 6th APB Forum, 2018 Fall

    Personal Data Protection in AI & Big Data Analytics Era

  • Data Privacy and Protection

    The National Privacy Commission (NPC) in the Philippines is currently enacting a piece of legislation called the Data Privacy Act. Rather than the actual legislation itself, the competency and actions of stakeholders after the law goes into effect is much more important. First, the regulator must have the following four requirements: (1) clear goals, (2) adequate financial resources, (3) transparent communication networks, and (4) sufficient understanding of each sector. Based on these capacities, the regulator may apply the law strictly or loosely, however, it is most important that they develop their strengths. Moreover, the capacity required of the general manager after the legislation takes effect is the proper mobilization of funds and deep insight in the whole process. Hence, the five key processes that a general manager must perform are: (1) appointing a data protection officer, (2) implementing a privacy impact assessment, (3) financing privacy management policies, (4) enforcing technical security measures, and (5) continuing to finance evaluative reporting

    New PDPA (Personal Data Protection Act) in Thailand

    Due to globalization, the scope of utilizing personal information is not limited to mere geographical borders. In other words, licensed personal information readily given up for convenience can now be accessed across the world. With the expanding scope of application, however, adverse effects are also mass-produced. Therefore, we need international regulations in order to solve this problem. Specifically, a blueprint is needed to create rules and guidelines regarding privacy protection when the data subject’s personal information is extended and accessible to the data controller and processor. In order to achieve this, the data controller should inform the data subject immediately and without falsification, and relevant measures should be enacted uniformly so that the personal information can be effectively protected.

    Dealing with Personal Data Breaches: The Singapore Approach

    Entering the Fourth Industrial Revolution, data (or information) has become the core of the digital world and economy. Hence, Singapore also recognizes data protection as a key issue. Although one must consider the corporations that profit from data collection, it is more important to understand that personal information exists beyond national borders and that the digital world transcends such boundaries. Therefore, Singapore’s countermeasures against data leakage can be explained on two levels: the international and domestic aspect. On the international level, cooperation beyond national boundaries is a paramount countermeasure to leakage incidents. Therefore, Singapore strives toward this international collaboration by participating in APEC’s Cross-Border Privacy Rules System through our Personal Data Protection Commission. On a legal level, as well, Singapore cooperates with foreign governmental bodies based on the 2012 Personal Data Protection Act. Not only do we share data and provide aid, but we also request for foreign aid as well. This is particularly useful should a criminal offence occur. On a domestic level, the PDPC has the right to investigate according to the 2012 Personal Data Protection Act Section 50. Moreover, Singapore has addressed cyberattack countermeasures through the newly enacted 2018 Cybersecurity Act. With the Cyber Security Agency of Singapore protecting important data infrastructure, this will further play a role in sharing cyber-security information between regulatory agencies during a cyberattack. Although not reporting a data leakage is not yet a criminal offense, the PDPC is currently undergoing discussion to implement a mandatory reporting system. The standard of such a mandate will depend on how harmful the data leak is to the client, or how large the damage. This is so that the PDPC can more effectively monitor the market for massive leakage accidents. Particularly after the 2018 scandal in Singapore—the largest information leak in the country’s history which affected 1.5 million citizens—the need for a more active response against cyberattacks has piqued. To summarize Singapore’s cybersecurity strategies: first, we should establish a responsive infrastructure; second, create a secure cyberspace; third, develop a thriving cybersecurity ecosystem through strengthening international partnerships.

    Data Privacy-Trends and Challenges in GCC

    As information becomes increasingly accessible, the risk of exposing one’s private information has given rise to the importance of data privacy. Recent topics related to data privacy can be summarized as follows. First, when identifying the individual, use as many data points as possible. Second, the trend set by the General Data Protection Regulation (GDPR) classifies the traditional definition of data into Personal Identifiable Information (PII). Third, not all information is equal, and recognition of varying degrees of the data’s ripple effect should determine its level of importance. Fourth, regulatory authorities are increasingly sharing technology codes in order to understand organizational behavior on privacy protection. In this context, the role of the regulator is extremely significant. The regulator role can be divided into three classes: the data subject(provides the fundamental personal information), the data controller(collects the data), and the data processor(receives and processes the information from the data controller). Therefore, the data controller, rather than allow the data subject to take benefits, simply takes the data subject’s consent and transfers the information and responsibility to the data processor. Within this process especially, one must be wary of preventing security issues. Moreover, it is necessary to discuss the changes as well as the pros and cons when blockchain technology is applied to the above-mentioned classes of regulators.

    International Data Protection Now and Next

    2018 was a meaningful year in which the PyeongChang Winter Olympics, the inter-Korean summit, and the Korea-U.S. summit were all held. In the field of data protection, 2018 was also the year the EU’s GDPR took effect. In a short period of time, the GDPR has had significant global influence. For example, Brazil enacted its first data protection legislation in August 2018, and India and the Philippines followed suit by drafting legislation in mid-2018. Korea also established a new law regarding the protection of intellectual property. Although much of the Korean press frightened domestic companies by raising concerns that the GDPR would be a burdensome penalty, this fear arose because of the emphasis on the sense of crisis rather than correct understanding of what the GDPR entailed. Therefore, in order to provide more information regarding the GDPR, KISA has conducted workshops for companies as well as published a GDPR guidebook. Delegates from Germany, Belgium, France, Hungary, Australia, and other nations also attended the workshops to discuss appropriate measures regarding the GDPR. In addition, KISA is working with corporations, government organizations, and various government departments to prepare for a successful implementation of the GDPR. In particular, video conferences and offline meetings are continuously held with the EU in order to discuss ways to maximize the decision making capabilities of the network legislation.

    The Ideal and Reality of Data Portability

    Can we claim the right to our personal data transference while playing online games? In the gaming industry, personal information is generally divided into regulation, account information, and game information. Regarding one’s account information, it is common for the game company to request the user’s email or SNS account. For game information, as well, users frequently purchase in-game items with money transferred from their bank accounts. This gives rise to several questions: how much are account information and game information controlled and transferred? To whom does the power reside in and to what extent? Such issues related to data portability bring forth other aspects of consideration: 1) restricting the recipient’s access of an individual’s personal information; 2) standardizing clear protocol about the data transference service or the overall system and public space; 3) the business entity that has acquired the right to move the data controls itself or set mandates. Likewise, further discussion on data portability policies in order to clarify the scope and authority of these areas is needed.

    The Ideal and Reality of Data Portability in Korea’s Digital Ecosystem

    When viewing data portability with a focus on user protection, several concerns arise. If download my data is allowed to become a method for data transference, this will induce a series of privacy related issues. Moreover, it may lead to problems regarding exploitation of data or creation of data garbage dumps. Such massive quantities of leftover data can also impact search engines of portal services. For example, the data processing cost and time may increase sharply, or it may become more burdensome to classify search results. Given these difficulties, it would be advantageous to create a platform to manage data and data portability. In particular, enabling platforms to track data movement or allow users to compare different services will be beneficial to data portability as well.

    Data Portability and Data Sovereignty

    Consumer data sovereignty is the consumer’s sole right as a data subject to control data, as well as generate, save, store, circulate, and utilize it. Portals and e-commerce corporations, such as Google and Amazon, are already setting up data transference platforms and awareness on automatic or manual data portability and management has been increasing. However, the dangers following data portability still exist, and four aspects must be considered. First, that data selection is increasingly limited by existing barriers and technologies in the market. Second, that it is difficult to identify how much data sovereignty is damaged. Third, that data control is decreasing (excessive replication of data, etc.). Fourth, that continual regression occurs due to consumer exclusion (consumers neglect privacy invasions, etc.). For these reasons, rather than rush into implementing the GDPR, structuring a stable ecosystem on data usage and portability, as well as developing the necessary technology, is needed.

    은 “개인정보 보호법(이하 개인정보보호법)”  웹사이트 운영을 위해 준수해야 할 관련 법령의 개인정보 보호 규정을 준수하고 있으며, 이를 바탕으로 정보주체의 권익보호를 위해 최선을 다하고 있습니다.
    의 개인정보 처리방침은 다음과 같은 내용을 담고 있습니다.
    제1조 (개인정보의 수집 항목 및 방법)
    가. 개인정보 수집 항목
    - 필수정보 : 성명, 소속 기관, 부서명, 직위(직책), 휴대전화, 이메일주소
    나. 수집방법 : 온라인 사전 등록 신청서 작성
    제2조 (개인정보의 처리 목적)
    가.  운영
    ‘바른ICT연구소’ 행사 참가 안내, 참가 신청 확인 및 출입증 발급, 참가 확인증 발급 등  운영에 관련한 목적으로 개인정보를 처리합니다.
    나. 민원처리
    개인정보 열람, 개인정보 정정·삭제, 개인정보 처리정지 요구, 개인정보 유출사고 신고 등 개인정보와 관련된 민원처리를 목적으로 개인정보를 처리합니다.
    제3조 (개인정보의 처리 및 보유 기간)
    은 관련 법령에서 명시하고 있는 개인정보 보유ㆍ이용기간 또는 정보주체로부터 동의 받은 개인정보 보유ㆍ이용기간 내에서 개인정보를 처리ㆍ보유합니다. 각각의 개인정보 처리 및 보유 기간은 다음과 같습니다.
    가. 참가자 정보 : 참가일로부터 3년
    나. 개인정보 열람 등 요구 처리 사용자 정보 : 개인정보 열람 등 요구 접수시부터 3년
    다. 유출사고 신고 처리 사용자 정보 : 유출신고 접수 시부터 3년
    제4조 (개인정보의 제3자 제공)
    은 원칙적으로 참가신청자의 개인정보를 제3자에게 제공하지 않습니다.
    제5조 (개인정보처리 위탁)
    ① 은 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.
    가. 위탁받는 자 (수탁자) : ㈜이인벤션
    - 주소 : 서울시 구로구 디지털로33길 50, 301(구로동, 벽산디지털밸리 7차)
    - 전화 : 02-2630-8777
    - 근무시간 : 09:00 - 18:00
    - 위탁하는 업무의 내용 : 시스템 운영 및 유지보수, 데이터 추출 및 가공
    나. 위탁받는 자 (수탁자) : ㈜온오프믹스
    - 주소 : 서울시 서초구 신반포로 45길 22 은양빌딩 5층
    - 전화 : 02-6080-5579
    - 근무시간 : 09:00 - 18:00
    - 위탁하는 업무의 내용 : 참가자 등록 처리를 위한 데이터 추출 및 가공
    ② 은 위탁계약 시 개인정보 보호 관련 법규의 준수, 개인정보에 관한 3자 제공 금지 및 책임부담 등을 명확히 규정하여 계약내용을 보관하고 있으며, 업체 변경 시 공지사항 및 개인정보 처리방침을 통해 고지하겠습니다.
    제6조(정보주체의 권리ㆍ의무 및 행사방법)
    ① 정보주체는 에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.
    가. 개인정보 열람요구
    나. 오류 등이 있을 경우 정정 요구
    다. 삭제요구
    라. 처리정지 요구
    ② 제1항에 따른 권리 행사는 에 대해 서면, 전화, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있으며 은 이에 대해 지체 없이 조치하겠습니다.
    ③ 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는 은 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.
    ④ 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 개인정보 보호법 시행규칙 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.
    ⑤ 정보주체는 개인정보 보호법 등 관계법령을 위반하여 가 처리하고 있는 정보주체 본인이나 타인의 개인정보 및 사생활을 침해하여서는 안 됩니다.
    ⑥ 정보주체의 열람, 정정, 삭제, 처리정지 요구 거절 시 불복을 위한 이의제기 절차는 다음과 같습니다.
    ▶ 불복 사유
    - 정보공개 청구에 대한 의 열람거절
    - 정보공개 청구에 대한 의 일부열람
    - 정보공개 청구일로부터 20일 이내에 가 공개 여부를 통지 하지 않은 경우
    ▶ 처리 절차
    - 이의신청 : 열람여부의 결정 통지를 받은 날 또는 열람거절의 결정이 있는 것으로 보는 날부터 “30일” 이내 제기
    - 행정심판 : 처분이 있음을 안 날로부터 “90일” 이내 제기(처분이 있은 날로부터 180일을 경과하면 제기 불가
    - 행정소송 : 처분이 있음을 안 날로부터 “90일” 이내(처분이 있은 날로부터 1년을 경과하면 제기 불가).
    제7조(개인정보의 파기)
    ① 는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.
    ② 정보주체로부터 동의 받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관 장소를 달리하여 보존합니다.
    ③ 개인정보 파기의 절차 및 방법은 다음과 같습니다.
    가. 파기절차
    은 파기 사유가 발생한 개인정보를 선정하고, 의 개인정보 보호책임자의 승인을 받아 개인정보를 파기합니다.
    나. 파기방법
    는 전자적 파일 형태로 기록ㆍ저장된 개인정보는 기록을 재생할 수 없도록 로우레밸포멧(Low Level Format) 등의 방법을 이용하여 파기하며, 종이 문서에 기록ㆍ저장된 개인정보는 분쇄기로 분쇄하거나 소각하여 파기합니다.
    제8조(개인정보의 안전성 확보조치)
    는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
    ① 관리적 조치 : 내부관리계획 수립ㆍ시행, 정기적 직원 교육 등
    ② 기술적 조치 : 개인정보처리시스템 등의 접근권한 관리, 접근통제시스템 설치, 보안프로그램 설치
    ③ 물리적 조치 : 자료보관실 등의 접근통제
    제9조(개인정보 보호책임자)
    ① 는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
    ▶ 개인정보보호 책임자
    성명 : 김범수
    직책 : 연구소장
    연락처 : 02-2123-6694 / barunict@barunict.kr
    ② 정보주체께서는 에 참여하시면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 및 담당부서로 문의하실 수 있습니다. 은 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.
    제10조(개인정보 열람청구)
    정보주체는 개인정보 보호법 제35조에 따른 개인정보의 열람 청구를 아래의 사무국에 할 수 있습니다. 는 정보주체의 개인정보 열람청구가 신속하게 처리되도록 노력하겠습니다.
    ▶ 개인정보 열람청구 접수ㆍ처리 사무국
    부서명 : 바른ICT연구소
    연락처 : 02-2123-6694 / barunict@barunict.kr
    제11조(권익침해 구제방법)
    정보주체는 아래의 기관에 대해 개인정보 침해에 대한 피해구제, 상담 등을 문의하실 수 있습니다.
    - 아래의 기관은 과는 별개의 기관으로서, 의 자체적인 개인정보 불만처리, 피해구제 결과에 만족하지 못하시거나 보다 자세한 도움이 필요하시면 문의하여 주시기 바랍니다.
    ▶ 개인정보보호 종합지원 포털 (행정자치부 운영)
    - 소관업무 : 개인정보 침해사실 신고, 상담 신청, 자료제공
    - 홈페이지 : www.privacy.go.kr
    - 전화 : 02-2100-3394
    ▶ 개인정보 침해신고센터 (한국인터넷진흥원 운영)
    - 소관업무 : 개인정보 침해사실 신고, 상담 신청
    - 홈페이지 : privacy.kisa.or.kr
    - 전화 : (국번없이) 118
    - 주소 : (58324) 전남 나주시 진흥길 9(빛가람동 301-2) 3층 개인정보침해 신고센터
    ▶ 개인정보 분쟁조정위원회
    - 소관업무 : 개인정보 분쟁조정신청, 집단분쟁조정 (민사적 해결)
    - 홈페이지 : www.kopico.go.kr
    - 전화 : 1833-6972
    - 주소 : (03171) 서울특별시 종로구 세종대로 209 정부서울청사 4층
    ▶ 경찰청 사이버안전국
    - 소관업무 : 개인정보 침해 관련 형사사건 문의 및 신고
    - 홈페이지 : cyberbureau.police.go.kr
    - 전화 : (사이버범죄) 02-393-9112
    (경찰청 대표) 1566-0112
    제12조(개인정보 처리방침 신설)
    이 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경내용의 추가, 삭제 및 정정이 있는 경우에는 가능한 변경사항의 시행 7일 전부터 공지사항을 통하여 고지할 것입니다.
    - 공고일자 : 2018년 4월 19일
    - 시행일자 : 2018년 4월 19일