2024년 데이터 개인정보 보호 현황
게시 됨: 2023-09-11마케팅은 상대적으로 간단한 직업이었습니다. 쉽지도 단순하지도 않지만 역할의 경계가 어느 정도 명확해졌습니다. 이는 특히 통신에 적용되었습니다. 온라인과 디지털이 등장하기 전에는 커뮤니케이션 채널이 상대적으로 적었습니다. 최근 수십 년 동안, 특히 지난 5~10년 동안 특히 데이터 개인 정보 보호 분야에서 마케팅 전문가가 사용할 수 있는 옵션이 급속히 확장되었습니다.
2018년 5월 25일 EU의 일반 데이터 보호 규정(GDPR)이 도입된 것은 여러 면에서 이러한 기술 확장에 대한 대응이었습니다. 유럽의 국회의원들은 시민의 데이터를 보호할 일련의 원칙을 제공하려고 노력했습니다. 이후 GDPR은 전 세계 다른 지역이 데이터 규제에 대한 자체 접근 방식을 고려하도록 하는 분위기를 조성했습니다.
우리 회사 내에서 개인 데이터를 가장 많이 사용하는 사용자 중 하나로서 데이터 보호 모범 사례를 확실히 이해하는 것이 마케팅 담당자의 의무입니다. 특히 기본을 바로 잡아야 합니다. 이 짧은 기사에서는 마케팅 리더와 팀이 지금 염두에 두어야 할 몇 가지 주요 영역을 식별하겠습니다.
전문가 팁 : DMI 팟캐스트에서 Steven Roberts의 데이터 보호 101에 대한 내용을 들어보세요.
“투명성은 GDPR을 뒷받침하는 핵심 원칙입니다. 개인 데이터를 처리하는 AI 도구를 사용하는 마케팅 담당자는 이 데이터가 어떻게 사용되는지 명확하고 간단한 용어로 설명할 수 있어야 합니다. " 스티븐 로버츠
빠르게 변화하는 개인 정보 보호 생태계
GDPR은 중국, 싱가포르, 남아프리카와 같은 국가에서 새로운 법률을 포함하여 전 세계적으로 수많은 유사한 법률을 촉발시켰습니다.
캘리포니아 소비자 개인정보 보호법(CCPA)은 미국 의 다양한 지방 및 주 법률 중에서 가장 잘 알려져 있습니다. 이는 더욱 복잡한 국제 데이터 개인 정보 보호 생태계에 기여했습니다.
영국 에서는 영국 정부가 현재 개발 중인 새로운 데이터 법안(2023년 9월 기준)을 통해 영국 GDPR 개정을 고려하고 있습니다. 영국과 거래하는 기업은 특히 EU와 영국* 간의 적정성 결정에 영향을 미치는 경우 이러한 상황을 면밀히 모니터링해야 합니다.
유럽 에서는 다수의 인접 EU 법안이 도입되는 과정에 있습니다. 여기에는 다음이 포함됩니다.
- 디지털 시장법
- 디지털 서비스법
- AI 규정. 후자는 ChatGPT와 같은 AI 기술의 범위와 사용이 급속히 확장되는 시기에 특히 시급합니다.
더 이상 목적에 적합하지 않다고 널리 인식되는 현재 ePrivacy 지침을 점검하기 위한 논의도 진행 중입니다. 이 모든 법안은 유럽 연합 내에서 활동하는 마케터의 데이터 처리 활동에 영향을 미칠 가능성이 있습니다.
데이터 보호는 처음부터 포함되어야 합니다.
Chiefmartech.com에 따르면 11,000개 이상의 마케팅 기술 플랫폼이 있습니다. 해마다 성장하는 수치. 이러한 기술 중 다수는 개인 데이터를 사용하여 다양한 소비자 대상에게 보다 효과적으로 접근하고 타겟팅합니다.
새로운 플랫폼이나 개인 데이터 사용과 관련된 새로운 전략을 고려하는 마케팅 담당자는 처음부터 데이터 개인정보 보호를 고려해야 합니다. 여기서는 GDPR의 설계 및 기본 데이터 보호 원칙이 핵심입니다. 이 원칙을 준수하는 가장 좋은 방법 중 하나는 DPIA(데이터 보호 영향 평가)를 수행하는 것입니다.
여기에는 2단계 프로세스가 포함됩니다. 먼저, 사전 DPIA가 수행되어 프로젝트가 심각한 개인 정보 보호 위험을 초래할 가능성이 있는지 평가하기 위해 일련의 높은 수준의 질문을 받습니다. 그러한 위험이 확인되면 전체 DPIA를 완료해야 합니다. 이 시점에서 주요 이해관계자와의 협의를 포함하여 프로젝트에 대한 자세한 분석이 이루어집니다. 이러한 접근 방식을 사용하면 개인 정보 보호 위험이 너무 높은 경우 프로젝트를 재조정하거나 위험 수준을 낮추기 위한 완화 조치를 채택할 수 있습니다.
마케팅 담당자의 예로는 새로운 자사 데이터 전략 도입이나 CRM 플랫폼 도입 등이 있습니다. 개인 데이터를 활용할 수 있는 모든 새로운 마케팅 도구에는 DPIA가 적용되어야 하는 것이 일반적으로 모범 사례로 간주됩니다.
AI 및 데이터 개인 정보 보호
인공지능(AI) 플랫폼은 자동화된 웹사이트 챗봇과 같은 활동을 강화하면서 마케터들 사이에서 점점 더 인기를 얻고 있습니다. ChatGPT 및 기타 대규모 언어 모델(LLM)의 도입은 마케팅 담당자가 생산성을 높일 수 있는 상당한 잠재력을 제공합니다. 예를 들어 콘텐츠 마케팅 전략의 일환으로 블로그와 기사를 생성합니다.
이러한 기술을 고려하는 마케팅 담당자는 데이터 보호 위험을 인지하고 있어야 합니다. 투명성은 GDPR을 뒷받침하는 핵심 원칙입니다. 개인 데이터를 처리하는 AI 도구를 사용하는 마케팅 담당자는 이 데이터가 어떻게 사용되는지 명확하고 간단한 용어로 설명할 수 있어야 합니다. AI 기술로 데이터가 어떻게 처리되고 있는지 정확히 파악하는 것이 쉽지 않은 경우가 많기 때문에 이는 상당한 과제입니다.
또한 GDPR 제22조는 개인에게 법적 영향을 미칠 수 있는 자동화된 결정에 반대할 권리를 부여합니다. 예를 들어 '사람의 개입 없이 온라인 신용 신청을 자동으로 거부하거나 전자 채용 관행을 수행하는 것'이 있습니다. 이러한 경우 의사결정 과정의 일부로 인간의 개입을 얻을 권리가 있습니다.
AI 사용으로 인해 발생하는 잠재적인 데이터 보호 문제를 강조하면서 Google은 아일랜드 데이터 보호 위원회(DPC)의 개입에 따라 새로운 AI 챗봇인 Bard의 도입을 연기해야 했습니다. 위원회는 기술 대기업이 EU 시민의 개인 정보 보호 권리가 어떻게 보호되는지에 대한 추가 정보를 제공해야 한다고 밝혔습니다. 이후 Google은 DPC가 '다양한 변경 사항, 특히 투명성 향상 및 사용자 제어 변경 사항'이라고 설명한 바에 따라 EU에서 Bard를 출시했습니다.
“데이터 규정 준수는 지속적인 여정입니다. 기본을 바로 잡는 것이 최우선입니다. " 스티븐 로버츠
벌금 및 소비자 인식 증가
마케팅 담당자로서 우리는 소비자의 목소리를 대변하며 회사의 브랜드와 명성을 보호할 책임이 있습니다. 소비자는 자신의 데이터 보호 권리에 대해 더 큰 인식을 가지고 있습니다. 이 중 대부분은 막대한 벌금을 부과하는 홍보에 의해 주도되고 있습니다.
법률 회사 DLA Piper에 따르면 EU 감독 당국은 2022년 1월 28일부터 12개월 동안 16억 유로의 벌금을 부과했습니다. 이러한 추세는 2023년에도 계속되었으며, 특히 아일랜드 DPC가 EU 사용자 이전에 대해 Meta에 대해 12억 유로의 벌금을 부과한 것이 가장 두드러졌습니다. 적절한 데이터 보호 메커니즘을 갖추지 않은 채 미국에 개인 데이터를 제공합니다.
2023년 4월, 영국 정보위원회(ICO)는 아동 데이터 오용과 관련된 위반에 대해 TikTok에 1,270만 파운드의 벌금을 부과했습니다.
한편 미국에서는 몬타나와 같은 주 차원에서 TikTok을 금지하려는 시도와 FTC의 눈에 띄게 더 강경한 새 지도부가 고객을 동의 없이 Prime에 등록한 Amazon을 고소하는 등 데이터 개인 정보 보호에 대해 더 많은 정치적 입장을 보였습니다. 아일랜드에서는 정부 및 주 기관 직원이 공식 기기에서 TikTok 앱을 제거해야 합니다. 영국 및 네덜란드와 같은 관할권에도 제한이 도입되었습니다.
AdTech 및 행동 광고가 DPC 및 기타 감독 당국의 집행 우선순위였지만 경제의 여러 부문에 걸쳐 기업에 대해 벌금이 부과되었다는 점은 주목할 가치가 있습니다. 비록 우리가 기술 회사에서 본 눈에 띄는 수준은 아니지만 말입니다.
국제 데이터 전송
국제 데이터 전송은 유럽 연합 외부로 개인 데이터를 전송하려는 기업에게 심각한 골치 아픈 문제를 야기했습니다. 이는 최근 몇 년 동안 상당한 변화를 목격한 데이터 개인 정보 보호의 측면입니다. 2020년 7월, 유럽사법재판소는 EU와 미국 간 데이터 전송에 대한 기존 개인정보 보호 협정이 유효하지 않다고 판결했습니다. Schrems II 로 알려진 해당 결정 이후 두 관할권에서는 GDPR을 준수하는 대체 메커니즘을 모색해 왔습니다.
새로운 데이터 개인 정보 보호 프레임워크는 7월 초 유럽 연합에서 승인되었습니다. 환영받는 일이지만, 이것이 두 전임 사례의 경우와 마찬가지로 개인 정보 보호 옹호자들로부터 유사한 도전을 받게 될지는 아직 두고 볼 일입니다. 그 사이에 기업은 표준 계약 조항(SCC라고도 함)*** 사용과 같은 대체 접근 방식을 찾아야 했습니다.
영국과 거래하는 기업의 경우, 영국 정부는 기업에 대한 현행 규정을 덜 부담스럽게 만들겠다는 야망으로 영국 GDPR의 특정 측면을 간소화하겠다는 의도를 밝혔습니다****.
데이터 개인 정보 보호에 대한 최신 정보를 얻는 방법
많은 마케터들은 이러한 변화 속도를 따라잡기 위해 애쓰고 있습니다. 특히 대규모 다국적 기업의 팀과 동일한 리소스에 접근할 수 없는 중소기업의 마케터들은 더욱 그렇습니다.
데이터 규정 준수는 지속적인 여정이라는 점을 상기할 가치가 있습니다. 기본을 바로 잡는 것이 최우선입니다. 이를 염두에 두고 회사 내 효과적인 데이터 개인 정보 보호 문화의 일부로서 다음과 같은 여러 측면이 중요합니다.
1. 훈련이 중요하다
신규 직원과 기존 직원 모두를 대상으로 교육이 정기적이고 지속적으로 이루어져야 합니다. 현재 많은 마케팅 역할에서 우리가 목격하고 있는 이탈 수준과 일반적인 규정 준수 영역의 개발 속도를 고려할 때 이는 특히 중요합니다. 일부 전문가들은 모든 데이터 유출의 90%가 사람의 실수로 인해 발생한다고 추정합니다. 이러한 위험을 상쇄하려면 교육이 필수적입니다.
2. GDPR의 6가지 법적 근거와 7가지 핵심 원칙을 숙지하세요.
지난 5년 동안 우리가 목격한 침해 사고 중 다수는 기업이 다음 질문을 고려했다면 줄어들거나 제거될 수 있었습니다.
- 첫째, 이 개인 데이터를 처리하는 명확한 법적 근거가 있습니까?
- 둘째, 처리가 GDPR 원칙에 따라 이루어지나요?
3. 위에서부터 톤을 설정하세요
모든 기업은 고위 경영진의 리더십을 따릅니다. 이사회와 경영진은 조직 전체의 강력한 데이터 개인정보 보호 문화를 말과 행동을 통해 공개적으로 지지하고 지지하는 모습을 보여야 합니다.
4. 세부 기록 및 프로세스 마련
책임은 GDPR의 가장 중요한 원칙 중 하나입니다. 규정 30조는 효과적인 개인정보 보호 문화의 일환으로 정확한 기록 보관을 요구합니다. 또한 기업은 주체 액세스 요청 및 데이터 위반 보고와 같은 측면에 대해 명확한 프로세스를 사전에 마련함으로써 상당한 생산성 및 효율성 이점을 얻을 수 있습니다.
5. 아동 및 특수 범주 데이터에 대한 더 높은 규정 준수 요구 사항을 이해합니다.
마케팅 담당자는 미성년자 데이터 및 GDPR에 따라 식별된 다양한 특수 범주 데이터와 관련된 추가 규정 준수 요구 사항을 염두에 두어야 합니다.
결론
데이터 보호는 최근 몇 년 동안 빠르게 발전했습니다. 2018년 GDPR이 도입되면서 소비자 인식이 높아지고 이를 준수하지 않는 기업에 대한 처벌도 높아졌습니다. 이는 또한 중국, 싱가포르, 남아프리카공화국과 같은 국가에서 국제적으로 유사한 법안의 물결을 불러일으키는 촉매제가 되었습니다. 이러한 변화의 속도와 그에 따른 복잡성 증가로 인해 마케팅 담당자와 기업이 효과적인 데이터 보호 문화를 구축하는 것이 중요해졌습니다.
AI와 같은 새로운 데이터 집약적 기술은 이러한 요구 사항을 더욱 강화할 뿐입니다. 규정의 핵심 측면에 대한 정기적인 교육, 명확한 프로세스 및 기록 유지, 조직 최고위층의 지원을 통해 기본 사항을 올바르게 준수하는 데 중점을 두어 마케팅 담당자와 해당 팀은 규정을 준수할 수 있는 좋은 위치에 있습니다.
노트
* 2021년에 합의된 EU의 적정성 결정은 본질적으로 영국이 EU와 유사한 데이터 보호 환경을 운영하고 있음을 명시합니다. 이 결정은 4년 후에 재검토될 예정이며, 영국이 현재 시행 중인 데이터 보호 수준에서 벗어난 것으로 간주될 경우 위태로워질 수 있습니다.
** 비고 71, GDPR
*** 계약에 통합되면 SCC는 GDPR 데이터 전송 의무를 준수할 수 있습니다.
**** 데이터 보호 및 디지털 정보(2호) 법안.