진화하는 위협: 브라질의 개인 데이터 보호 현황

[이매진]

진화하는 위협: 브라질의 개인 데이터 보호 현황

https://www.aljazeera.com/economy/2023/8/25/evolving-threats-the-state-of-personal-data-protection-in-brazil

Evolving threats: The state of personal data protection in Brazil

현지 데이터 보호 규정이 5년의 이정표에 도달함에 따라 더 많은 리소스와 통합 접근 방식에 대한 필요성이 지속됩니다.

데이터 위반에 대한 상당한 처벌로 인해 기업은 브라질의 사이버 보안에 더 많은 투자를 하게 되었습니다. [파일: Nacho Doce/Reuters]

안젤리카  마리

게시일: 2023년 8월 25일2023년 8월 25일

상파울루에서 은퇴한 공무원 Celio Vikas는 지난 1월 전화상으로 은행 직원인 척 가장한 사기꾼이 자신의 비밀번호를 거의 알아낼 뻔했던 특히 끔찍한 사건을 회상합니다. Vikas는 지시에 따라 ATM에서 자격 증명을 변경하기 위해 집 밖으로 뛰쳐나갔지만 사기꾼에게 새 PIN을 공개하기 전에 통화가 끊어졌습니다.

Vikas는 운이 좋았지만 최근 몇 년 동안 일련의 개인 정보 유출이 브라질을 뒤흔들면서 데이터 보호가 시민들의 점점 더 복잡한 관심사가 되었습니다.

계속 읽으세요4개 항목 목록4개 중 1개 목록모스크바 법원, WSJ 기자 Evan Gershkovich에 대한 재판 전 구금 연장4개 중 2개 목록예브게니 프리고진을 죽인 것으로 추정되는 추락한 비행기에는 누가 있었습니까?4개 중 3개 목록퇴임하는 대통령은 BRICS 초대는 아르헨티나에게 '큰 기회'라고 말했습니다4개 중 4개 목록리버풀의 모하메드 살라, 사우디 클럽 알 이티하드와 '계약에 동의'목록 끝

Vikas는 "범죄자들이 내 개인 데이터를 가지고 있다는 것을 알고 있으며 이는 나를 매우 취약하게 만듭니다. 마치 내 신원이 박탈된 것과 같습니다."라고 Vikas는 말했습니다. Vikas는 추가 노출을 두려워하여 온라인 거래를 아예 피합니다.

그는 혼자가 아닙니다. 정보 사회 발전을 위한 지역 연구 센터에서 2022년에 발표한 연구에 따르면 브라질인의 42%가 온라인 쇼핑 시 자신의 데이터에 대해 "매우 우려"하고 있는 것으로 나타났습니다.

브라질의 개인 데이터 보호 규정이 5주년을 맞이하면서, 규칙 시행을 맡은 당국은 브라질의 데이터 개인 정보 보호 문화 개발을 포함하여 개인과 기업 모두가 직면하고 있는 증가하는 데이터 문제를 해결하기 위해 추가 자원과 더 많은 협력을 요청했습니다. 사이버 보안 위험과 인공 지능으로 인한 개인 정보 보호 위협을 해결합니다.

일반 데이터 보호법(LGPD)이 제정된 지 2년 후인 2020년에 출범한 브라질 국가 데이터 보호 당국(ANPD)은 현재까지 법률 준수를 보장하기 위해 29개의 공식 감독 프로세스를 수행했으며 최근 첫 번째 제재를 발표했습니다. : 후보자 자료를 배포하기 위해 선거 캠페인용 WhatsApp 연락처 목록을 제공한 Telekall Infoservice에 대해 14,400레알(2,870달러)의 벌금 및 경고.

운영 시작 이후 당국은 분석을 위한 데이터 침해 및 유출을 포함하여 630건 이상의 보안 사고 보고서를 접수했으며, 내부 고발자와 청원으로부터 2,300건 이상의 요청을 받았습니다.

ANPD의 회장인 Waldemar Gonçalves는 법 제정 5주년 기념 행사에서 개회 연설에서 "우리가 그렇게 작은 팀을 가지고 있다는 점을 고려하면 이 숫자는 의미가 있습니다"라고 말했습니다.

제한된 자원으로 인해 당국의 예산은 2023년 3,600만 레알(740만 달러)이며 내년에는 36% 감소할 예정입니다. ANPD는 데이터 보호 인식을 제고하기 위한 교육 자료 제작, 표준 채택 촉진과 같은 분야에 주력해 왔습니다. 개인 데이터에 대한 개인의 통제력을 강화하고 다른 공공 부문 기관과의 협력을 강화하기 위한 서비스 및 제품.

Gonçalves에 따르면 ANPD의 현재 직원 수가 150명인 상황에서 2억 명이 넘는 인구의 데이터 보호 문제를 처리하는 것은 어려운 일입니다.

알자지라에 가입하세요미주 지역 뉴스레터

미국 정치, 캐나다의 다문화주의, 남미의 지정학적 부상 등 중요한 이야기를 전해 드립니다.

가입하기

가입하시면 당사의 개인정보 보호정책 에 동의하시는 것입니다.

“영국의 인구는 7천만 명이고 데이터 보호 기관의 직원은 [1044]명입니다.”라고 그는 비교하여 지적했습니다.

이러한 장애에도 불구하고 브라질 데이터 보호 당국의 다음 단계는 국경 간 데이터 보호를 보장하고 개인 정보를 보호하면서 글로벌 비즈니스를 촉진하는 것을 목표로 하는 국제 데이터 전송 표준에 대한 공개 협의입니다.

데이터 유출 및 처벌

브라질의 데이터 보호 규정은 5년 동안 시행되었지만 발효된 지 3년이 채 되지 않았습니다. 그럼에도 불구하고 대중과 기업이 이러한 규칙을 인식하는 방식에는 눈에 띄는 변화가 있다고 ANPD의 Nairane Farias Rabelo 이사는 Al Jazeera와의 인터뷰에서 말했습니다. “사람들은 자신의 권리에 대해 점점 더 인식하고 있는 반면, 기업과 공공 기관은 경쟁, 평판 또는 이를 무시한 데 따른 끔찍한 결과의 영향을 받아 점차 개인 정보 보호에 더 많은 투자를 하고 있습니다.”라고 그녀는 말했습니다.

이미 수많은 브라질인의 데이터가 유출됐다. [파일: Amanda Perobelli/Reuters]

지금까지 브라질 역사상 가장 큰 유출 사건은 2020년에 공개되었으며, 보건부 웹사이트의 소스 코드에 보관된 약하게 인코딩된 자격 증명으로 인해 이름, 주소, 전화번호를 포함한 2억 4,300만 명의 브라질인 개인 데이터가 노출되었습니다.

Rabelo는 ANPD가 사건에 대한 더 자세한 내용과 유출로 인한 영향을 조사하여 올해 초기 결론을 내려야 한다고 말했습니다.

사이버 보안과 데이터 개인정보 보호는 동전의 양면이라고 Rabelo는 말했습니다. “다양한 기업과 공유하는 경우가 많은 대규모 데이터베이스에는 적절한 보호가 필요합니다. 이를 보장하지 못하면 보안이 손상되고 개인의 권리가 침해되는 결과가 직접적으로 발생합니다. 본질적으로 정보 보안을 구현하지 않으면 데이터를 진정으로 보호할 수 없습니다.”라고 그녀는 지적했습니다.

이미 수많은 브라질인의 데이터가 유출된 점을 고려하면 ANPD가 단지 그림자를 쫓고 있는 것은 아닌지 의문이다.

데이터 보호 및 디지털법 전문 변호사인 Renato Opice Blum은 수많은 데이터 침해 사건이 지속적인 보호 노력의 중요성을 부정하는 것은 아니라고 말했습니다. “[브라질의 사이버 보안 상황]은 이상적이지 않지만 데이터 보호 규정이 없다면 상황은 더욱 악화될 것입니다.”라고 그는 말했습니다.

사이버 보안 회사인 Palo Alto Networks의 브라질 국가 관리자인 Marcos Oliveira는 전반적으로 법적, 기술적, 문화적, 경제적 요인의 혼합이 브라질의 사이버 보안과 데이터 보호 간의 교차점에 변화를 주도하고 있다고 말했습니다.

그는 "위반에 대해 상당한 처벌을 가하는 LGPD와 같은 강력한 데이터 보호법의 엄격한 집행으로 인해 기업은 벌금과 평판 손상을 피하기 위해 사이버 보안에 더 많은 투자를 하게 되었습니다"라고 덧붙였습니다.

컨설팅 회사 PwC에 따르면 브라질의 예상 사이버 보안 투자는 2023년 83억 레알(17억 달러)로 설정되어 있으며 2026년에는 108억 레알(22억 달러)에 이를 수 있다고 합니다. LGPD 위반 벌금은 회사 수익의 최대 2%에 달할 수 있으며 한도는 5천만 레알(1천만 달러)이므로 이러한 예측은 규정 준수의 관련성을 보여줍니다.

변호사 Opice Blum은 규정을 준수하지 않는 기업에 처벌을 가하는 능력이 브라질의 데이터 보호 분야에 변화를 가져오는 데 매우 중요할 것이라고 말했습니다. “ANPD가 더 많은 제재를 시작하면 사람들에 대한 보호가 강화되고 비즈니스 측면에서는 규정 준수가 강화될 것입니다.”라고 그는 예측했습니다.

Rabelo는 특히 민간 기업의 경우 데이터 유출의 "출처를 식별하는 데 어려움"이 있기 때문에 말처럼 쉽지 않다고 말했습니다. ANPD의 직원 부족은 도움이 되지 않았습니다.

'내 데이터를 팔았습니다'

ANPD의 또 다른 과제로는 브라질 기업에서 일하는 개인이 개인의 동의 없이 개인 정보를 공유하여 이익을 얻는 데이터 판매 산업이 있습니다.

일부 브라질인들은 이러한 광범위한 관행으로부터 자신을 보호하기 위해 자신만의 방법을 개발했습니다.

“[어떤 기업이] 내 데이터를 판매했는지는 알 수 없지만 특정 웹사이트에 허위 이름과 특정 이메일 주소를 제공했기 때문에 그런 일이 발생한 것은 확실합니다. 그 후 가짜 이름을 사용한다는 소식을 들어본 적도 없는 기업으로부터 접근을 받기 시작했습니다.”라고 시스템 분석가인 Bruno Magri는 말했습니다.

불법 데이터 시장에 대처하려면 법적으로 정당한 경우에만 데이터 공유가 이루어지도록 보장해야 한다고 ANPD의 Rabelo는 말했습니다. 데이터 보호가 국가 전략의 일부로 간주될 때 이 문제는 더욱 효과적으로 해결될 것입니다. “연방과 주를 비롯한 다양한 정부 기관 간의 협력이 필수적입니다.”라고 그녀는 말했습니다.

데이터 보호 영역에서 브라질의 주요 성과 중 하나는 데이터 보호를 기본 권리로 인식하여 이를 헌법상 보장하게 된 것입니다. 또한, ANPD를 특별한 독재 체제로 전환하는 것, 즉 ANPD가 자체적인 기술, 의사 결정, 행정 및 재정적 자율성을 갖는 것을 의미하는 것은 또 다른 중추적인 단계였습니다.

그러나 ANPD가 일반 시민과 다소 분리되어 있다는 인식의 변화를 포함하여 당국이 잠재력을 최대한 발휘하기 위해서는 대통령령과 같은 추가 개발이 여전히 필요합니다.

시스템 분석가인 Magri는 "나는 내 직업 때문에 [디지털 권리에 대한] 인식 수준이 더 높습니다."라고 말했습니다. “그래도 취약하고 이에 대한 지식이 부족한 사람들은 말할 것도 없고 내 데이터 개인정보가 침해된 경우 어떻게 해야 할지 정확히 알지 못할 것입니다.”

출처 : 알자지라

---