케냐 법원, 월드코인의 데이터 수집 위법 판결
케냐의 고등법원은 월드코인이 수집한 생체 데이터가 국가의 데이터 보호법을 위반했다고 판결했습니다. 법원은 월드코인에게 7일 이내에 모든 생체 데이터를 영구적으로 삭제할 것을 명령했습니다.
- 케냐 데이터 보호법은 2019년에 제정된 데이터 보호법으로, 개인 정보의 수집, 저장 및 사용에 대한 엄격한 규제를 포함하고 있습니다. 이 법은 개인의 프라이버시를 보호하기 위해 유럽연합의 GDPR(일반 데이터 보호 규정)을 모델로 삼았습니다.
- 데이터 유출 피해자의 권리를 보장하는 조치를 법적으로 마련하고 있으며, 위반 시 높은 벌금 부과가 가능하여 외국 기업의 주의를 요합니다. 월드코인의 경우 이러한 법적 요구 사항을 소홀히 했다는 것이 주된 문제로 지적되었습니다.
데이터 보호 영향 평가 누락
케냐 언론에 따르면, 월드코인은 필수적인 데이터 보호 영향 평가를 수행하지 않아 법적 요건을 위반한 것으로 드러났습니다. 데이터 보호 커미셔너 사무소(ODPC)는 월드코인의 불법적인 데이터 수집을 중단시키기 위해 법원에 소송을 제기했습니다.
- 데이터 보호 영향 평가(DPIA)는 개인정보 처리와 관련된 잠재적 위험을 분석하는 과정으로, 모든 신규 데이터 처리 과정에 대해 사전적으로 수행해야 합니다.
- DPIA는 특히 민감한 생체 정보나 대규모 데이터 수집에 대해 중요한 역할을 하며, 관련 규제를 준수하지 않을 경우 막대한 비용 벌금과 법적 제재를 받을 수 있습니다.
법원, 데이터 삭제 및 처리 중단 명령
케냐 법원은 월드코인이 수집한 데이터를 삭제하고 추가적인 데이터 처리를 중단할 것을 명령했습니다. 데이터 삭제 과정은 ODPC가 감독할 예정입니다. 월드코인은 2023년 4월 케냐에서 생체 안구 스캔을 기반으로 한 블록체인 아이덴티티 프로젝트를 시작했으나, 8월부터 안구 스캔을 본격화했습니다.
- ODPC는 케냐의 개인 정보를 보호하는 주무 부처로, 이 기관은 개인정보의 남용을 막기 위해 강력한 권한을 행사합니다. 데이터 삭제 프로세스의 정확성과 투명성을 확인하기 위해 ODPC의 감독이 필수적입니다.
- 월드코인의 케냐 내 활동은 처음에 혁신적인 디지털 아이덴티티 솔루션으로 주목받았지만, 생체 데이터 처리 방식의 투명성 부족으로 인해 공식적인 반발을 초래했습니다.
월드코인, 데이터 관리 논란
월드코인은 케냐 진출 이전부터 사용자 데이터 관리 방식에 대해 논란이 있었습니다. 일부 엔지니어들은 월드코인이 사용자 데이터에 대한 무단 접근을 허용했다고 주장하며 데이터 남용에 대한 우려를 제기했습니다. 월드코인은 안구 스캔 데이터가 읽을 수 없는 형식으로 저장되며, 암호화 해시로 변환 후 삭제된다고 주장했습니다.
- 암호화 해시는 데이터를 해시 값으로 변환하여 원본 데이터를 알아볼 수 없게 하는 기술이지만, 해킹 등의 보안 사고로 인해 데이터가 유출될 경우 한계가 존재합니다.
- 월드코인의 데이터 관리 논란은 데이터 프라이버시와 보안의 중요성을 다시 한번 강조하며, 기업이 기술적인 보안 조치를 강화해야 한다는 점을 부각시켰습니다.
법적 문제와 면허 철회
당시 ICT 장관 엘리우드 오왈로는 월드코인이 합법적으로 운영되고 있다고 밝혔으나, 이후 국회의원들이 회사가 데이터 보호법의 허점을 이용했다고 주장하면서 면허가 철회되었습니다. 월드코인은 법적 문제를 해결하고 데이터 관리의 투명성을 높여야 할 필요가 있습니다.
- 케냐 정부는 월드코인의 사례를 통해 국가 안보와 프라이버시 보호를 균형 있게 관리하려고 노력하고 있으며, 이 사건은 다른 기술 기업들에게도 중요한 선례가 될 것입니다.
- 면허 철회는 월드코인의 사업 전개에 큰 제약을 가져올 수 있으며, 이로 인해 케냐 내 관련 프로젝트는 중단될 가능성도 높아졌습니다. 향후 기업이 데이터 프라이버시 문제에 더욱 민감하게 대응할 필요성이 강조됩니다.
출처 : 원문 보러가기
