번역오류는 policy 골뱅이 jinbo.net 으로 알려주세요.
제목 : 코비드-19의 감시 확산
원문제목 : Monitoring spread of COVID-19, EDPS Comments to DG Connect of the European Commission on the monitoring of COVID-19 spread
원문링크 : https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2020/03/20-03-25_edps_comments_concerning_covid-19_monitoring_of_spread_en.pdf
일시 : 2020년 3월 25일
작성 : Wojciech Rafał WIEWIÓROWSKI
친애하는 바이올라
코로나-19 발발의 감시 확산에 대한 EDPS의 자문을 요청하심에 감사드립니다. 이는 매우 중요하고 긴급한 문제입니다.
첫번째로, 현재 유럽에서 시행되고 있는 개인정보보호 규칙은 유행병과의 싸움에서 취해진 다양한 조치를 허용할 수 있을 만큼 충분히 유연하다는 것을 강조하고 싶습니다. 저는 일부 회원국에서 이런 데이터를 활용하여 코로나-19 발생의 확산을 추적할 목적으로 통신사와 논의 중인 것으로 알고 있습니다.
저는 가능한 한 효율적이고 효과적이며 적법적인 방법으로 비상사태를 처리할 수 있는 조정된 유럽적 접근법의 긴급한 확립에 대한 당신의 요청에 공감하며 지지 합니다. 지금은 유럽 차원에서 행동할 필요가 분명히 있습니다.
편지에 제공된 정보에 기초하여 보다 구체적인 데이터 모델이 없는 경우 아래 몇 가지 요소를 고려하시기 바랍니다.
– 데이터 익명화
편지로 보아 당신은 익명의 데이터만을 사용하여 내부 시장의 안전성을 확보하고 위기 대응을 조정하기 위한 목적으로 사람들의 움직임을 보여 주려는 의도가 분명해보입니다. 효과적으로 익명화된 데이터에는 개인정보보호 규칙이 적용되지 않습니다.
이와 동시에, 효과적인 익명화는 단순히 전화번호, IMEI 번호 같은 명확한 식별자를 제거하는 것보다 더 많은 것을 요구합니다. 당신의 편지에서도 언급했듯이 추가적인 안전장치를 제공하는 형식의 데이터 통합이 되어야 할 것입니다.
당신이 명시적으로 언급하는 EU 결정 1082/2013에 의해 설립된 의료 보장 위원회(Health Security Committee)가 이 경우 회원국과의 교류를 위한 관련 포럼이 될 것으로 알고 있습니다. 위원회는 데이터 모델이 이용자들의 이와 같은 분석 요구에 대응할 수 있도록 보장해야 합니다. 또한 위원회는 입수하고자 하는 데이터 집합을 명확히 정의하고 대중을 향한 투명성을 확보하여 가능한 오해를 방지해야 합니다. 이에 대한 정의가 되면 데이터 모델의 사본을 정보 차원에서 공유해 주시면 감사하겠습니다.
– 데이터 보안 및 열람
위에서 언급한 바와 같이, 위원회가 획득한 데이터가 익명인 경우, 해당 데이터는 개인정보보호 규칙이 적용되지 않습니다. 그럼에도 불구하고, 위원회 결정 2017/464에 따른 정보 보안 의무는 여전히 적용되므로, 정보를 처리하는 어느 위원회 직원이든 직원 규칙에 따라 기밀을 유지해야 합니다. 위원회가 정보처리를 제3자에게 의지하는 경우 이들 제3자는 동등한 보안 조치를 적용해야 하며, 엄격한 기밀 의무와 추가 사용 금지 의무를 준수해야 합니다.
또한 통신사로부터 데이터의 안전한 전송을 보장하기 위해 적절한 조치를 적용하는 것이 중요하다는 것을 강조하고 싶습니다. 더욱이 공간적 전염병학(spatial epidemiology), 개인정보보호, 데이터 과학 분야의 허가된 전문가로 데이터에 대한 접근을 제한하는 것이 바람직할 것입니다.
– 데이터 보관(Data retention)
또한 이동 기기로부터 수집한 정보를 현 긴급 상황이 끝나는 대로 삭제하는 방침은 매우 환영할만 합니다.
이러한 특수한 서비스들이 특정한 위기 때문에 도입되고 일시적인 성격이라는 것도 분명히 해야 합니다. EDPS는 그러한 개발에는 대개 비상사태가 사라졌을 때 이를 제거할 가능성이 포함되어 있지 않음을 강조합니다. 저는 그러한 해결책이 여전히 예외적인 것으로 인식되어야 한다는 점을 강조하고 싶습니다.
마지막으로, 만들어질 대책의 목적과 절차에 대해 국민에게 완전한 투명성이 중요하다는 점을 상기하고자 합니다. 또한 처리된 데이터가 실제로 익명화되었다는 보증을 제공하기 위해 전체 처리과정에 걸쳐 데이터 보호 책임자(DPO)를 참여시킬 것을 권유합니다.
최종적으로, 만약 위원회가 미래의 어느 시점에서든 예상한 처리 방식을 변경해야만 한다고 느낀다면, EDPS의 새로운 협의가 필요할 것이란 점을 강조하고자 합니다. EDPS는 계획에 대한 자문 뿐만 아니라 대중에게 중요한 가치를 가질 수 있는 제품이나 서비스를 개발하는 과정에 자원을 적극적으로 투입할 준비가 되어있습니다.
추가 질문이 있을 경우 언제든 연락주시기 바랍니다.
그럼 안녕히 계십시오.
Wojciech Rafał WIEWIÓROWSKI로 부터