[2024-09-10]키위 데이터를 거대 소셜 미디어 기업에 넘긴 국세청에 대한 우려 커져

7:00am

한 전문가는 키위들이 정부 기관이 자신의 정보를 공유하는 방식을 더 잘 통제할 수 있어야 한다고 말하면서 국세청의 소셜 미디어 플랫폼과의 데이터 공유 관행에 대한 개인정보 보호 우려가 커지고 있습니다.

수십만 명의 키위들의 개인 정보는 내국세청(IRD)의 광고 타겟팅을 개선하기 위해 Facebook과 Google과 같은 플랫폼에 전달되어 왔습니다. 국세청은 오랫동안 이러한 관행에 개인정보 익명화가 포함된다고 주장해 왔습니다.

그러나 IRD 대변인은 미국과 유럽 규제 당국이 정보가 여전히 사람들의 신원과 연결될 수 있다는 경고를 보낸 후 이 프로세스를 사용하는 것이 “여전히 안전한지” 검토하고 있다고 말했습니다.

이 기관은 우려에도 불구하고 구글, 메타 소유의 페이스북과 인스타그램, 링크드인 등의 관행을 검토하는 동안 사람들의 정보를 온라인 플랫폼과 계속 공유할 것이라고 1News에 말했습니다.

RNZ는 어제 이 관행에 대한 우려를 처음 보도했습니다.

2016년에 수행된 '간단한 개인정보 보호 분석'
데이터 개인정보 보호법 연구원인 켄트 뉴먼은 IRD가 사람들이 기술 플랫폼과 공유되는 정보를 거부할 수 있는 자체 메커니즘이 없다는 점이 우려된다고 말했습니다.

직접 공유된 세부 정보에는 사람들의 이름, 이메일 주소, 전화번호, 생년월일, 지리 정보 및 성별의 '해시' 버전이 포함됩니다. 하지만 여기에는 광고 자체에서 수집할 수 있는 정보는 포함되지 않았습니다.

뉴먼은 이렇게 말합니다: “사람들은 정부가 자신의 정보를 보호해 주기를 기대하지, 자신의 의사에 반해 글로벌 광고주에게 정보를 공개하지 않기를 기대하지 않습니다.”

문서에 따르면 8년 전 맞춤 잠재고객 목록 기능에 대한 '간단한 개인정보 분석'이 작성되었으며, 관계자들은 이 기능을 전반적으로 중간 정도의 위험으로 평가했습니다. 지난 6월, 1News는 IRD에 해당 관행에 대해 수행한 모든 개인정보 영향 평가를 제공하도록 요청했습니다.

IRD는 이 데이터의 사용으로 “특정 메시지가 포함된 광고를 볼 필요가 있는 고객만 타겟팅하여 세수를 징수하고 지불을 분산시킬 수 있었다”고 주장했습니다.

정보를 '해시'한다는 것은 무엇을 의미하나요?
해싱은 식별자를 무작위 코드로 변환하는 일종의 암호화 보안 방법으로, 직접적으로 되돌릴 수 없습니다.

예를 들어, 국세청은 소득세를 납부해야 하는 사람들의 전화번호를 가져와 '해싱' 프로세스를 통해 해당 정보를 뒤섞은 문자열로 변환할 수 있습니다.

이렇게 해싱된 전화번호 목록은 Facebook과 안전하게 공유되며, Facebook은 자체적으로 보유하고 있는 사용자 전화번호 해싱 목록과 비교합니다. 두 목록 사이에 일치하는 해시가 있으면 Facebook은 사용자에게 (일치하는 해시 전화번호와 연결된) 국세청의 세금 납부 계획 설정에 관한 광고를 표시했습니다.

다른 예로는 기업, 가족을 위한 근로 세액 공제를 신청한 납세자, 학자금 대출 부채가 있는 사람들을 표적으로 삼은 사례도 있었습니다.

이 관행은 기관의 온라인 개인정보 보호정책에 공개되었습니다.

뉴먼은 해싱은 플랫폼과 정보를 공유한 적이 없는 사람들과의 매칭을 배제하기 때문에 아무것도 하지 않는 것보다는 낫지만, 명시적인 동의 없이 데이터를 공유하는 것은 여전히 “잘못된 일”이며 사람들이 Meta와 같은 회사를 불신하는 상황에서는 문제가 있다고 말했습니다.

그는 민간 기업과 달리 대중은 IRD 사용을 거부할 수 없다고 말했습니다.

“나이키를 믿지 못하면 아디다스를 사죠. IRD를 신뢰하지 못하면 내 정보를 제공할 수밖에 없기 때문에 사람들은 이러한 정부 서비스를 이용할 수밖에 없습니다."라고 뉴먼은 말합니다.

“사용자들을 대상으로 개인정보 보호에 대한 설문조사를 하면 대중은 개인정보 테이크아웃을 원합니다. 온라인에 접속할 때 자신의 데이터가 공유되거나 부적절하게 사용되지 않기를 원합니다.”

IRD는 개인정보 보호법에 따른 개인 정보 보호 의무를 완전히 준수했다고 밝혔지만, 뉴먼은 이러한 행위가 모범 사례와는 거리가 멀었다고 주장했습니다.

“일치하는 사람들을 위해 그들의 관심사와 개인 정보를 공개하고 있습니다.”

광고의 '프로파일링' 가능성 '불안'
오클랜드 대학교의 게한 구나세카라 부교수는 IRD의 관행에 대해 알게 되어 “불안하다”고 말하면서도 대중의 충격에 놀랐다고 말했습니다.

“사람들은 IRD가 사용자의 정보를 판매하거나 거래하는 것으로 오해할 수 있습니다. 하지만 그런 일은 일어나지 않습니다."라고 그는 말했습니다.

“더 미묘한 위험은 이러한 광고 서비스를 통해 기업들이 사용자에 대한 프로필을 만들 수 있다는 점입니다.”

소셜 미디어 기업은 수집한 데이터로 사용자의 프로필을 만든 다음 이 프로필을 사용하여 광고를 더 잘 타겟팅할 수 있습니다.

그러나 IRD는 해싱 프로세스가 완료되면 플랫폼과 공유한 정보가 삭제되는 것에 “만족한다”고 말했습니다.

구나세카라는 개인정보 보호 위원회가 개인정보 보호법과 관련된 잠재적인 문제를 조사할 것으로 예상했습니다.

“그들은 불만을 제기할 때까지 기다릴 필요가 없습니다. 개인정보 보호법에 위배되는 것이 있다고 생각되면 조사할 수 있는 충분한 권한이 있습니다.”

그러나 그는 온라인 프라이버시를 감시하는 보다 전문화된 감시자가 필요하다고 제안하면서 최근 연립정부의 공공부문 일자리 감축에 따라 정부의 최고 개인정보보호 책임자 역할이 없어졌다고 덧붙였습니다.

“개인정보보호위원회에서는 다양한 문제를 다루기 때문에 이러한 종류의 매우 어려운 고도의 기술적 문제를 살펴볼 수 있는 디지털 규제 기관이 필요할 수 있습니다.”

국세청, 관행 검토
국세청 대변인은 소셜 플랫폼에서 맞춤 대상자 기능을 어떻게 사용했는지 검토하고 있다고 1News에 말했습니다.

“각 소셜 미디어 플랫폼에는 반드시 준수해야 하는 자체 개인정보 보호 원칙이 있습니다. 이러한 개인정보 보호 원칙은 고객 정보가 보호되고 의도된 목적으로만 사용되도록 보장하기 위해 IRD에서 검토했습니다."라고 성명서에서 밝혔습니다.

옵트아웃에 대한 우려에 대해서는 소셜 플랫폼과 해시된 버전의 데이터 공유를 원하지 않는 “고객을 식별할 수 있는 능력이 없다”고 주장했습니다.

지난주 국세청은 광고 타겟팅을 위한 정보 공유를 거부하려는 납세자들과 연락을 취하려는 1News의 요청을 거부하면서 사용자가 “메타를 통해 직접 광고 기본 설정을 업데이트”하기 때문에 정보를 보유하고 있지 않다고 말했습니다.

또한 이러한 관행에 대한 불만도 접수되지 않았다고 밝혔습니다.

대변인은 이렇게 말했습니다: “IRD는 광고 수신을 거부하고자 하는 고객을 식별할 수 있는 능력이 없습니다. 그러나 고객은 사용하는 소셜 플랫폼에서 광고 기본 설정을 편집하여 특정 광고가 표시되지 않도록 선택할 수 있습니다.

“IRD는 소셜 미디어 플랫폼에서 공개적으로 이용 가능한 정보에만 액세스할 수 있습니다.

IRD는 지속적으로 프로세스를 검토하여 안전한지 확인하고 있습니다."라고 말합니다.

“미국 연방거래위원회와 유럽 데이터 보호 감독관의 이러한 문의와 의견에 따라 해싱이 여전히 안전한지 확인하기 위해 해싱 사용에 대한 추가 검토를 시작했습니다.”

어제 개인정보보호 감독관에게 의견을 구하기 위해 연락을 취했습니다.

 

https://www.1news.co.nz/2024/09/10/concerns-mount-over-ird-handing-kiwis-data-to-social-media-giants/

Concerns mount over IRD handing Kiwis' data to social media giants