Skip to main content
QUICK REVIEW

[논문 리뷰] Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights?

Dominik Herrmann, Jens Lindemann|arXiv (Cornell University)|2016. 02. 04.
Privacy, Security, and Data Protection참고 문헌 10인용 수 28
한 줄 요약

이 사례 기반 연구는 독일의 앱 공급업체 및 웹사이트 운영자가 EU 개인정보 보호 권리—특히 개인 데이터에 대한 접근 권리와 삭제 요청 권리—를 준수하는지 여부를 조사한다. 은밀한 요청을 통해 연구자들은 데이터 접근 요청의 43%만 만족스럽게 이행되었고, 삭제 요청의 52–57%가 완전한 계정 삭제로 이어졌으며, 웹사이트 운영자 중 약 20%는 사회공학 기법에 취약하여, GDPR 및 이전의 개인정보 보호법에 따라 법적 의무가 있음에도 불구하고 광범위한 비준수 현상이 존재하는 것으로 나타났다.

ABSTRACT

EU Directive 95/46/EC and the upcoming EU General Data Protection Regulation grant Europeans the right of access to data pertaining to them. Consumers can approach their service providers to obtain all personal data stored and processed there. Furthermore, they can demand erasure (or correction) of their data. We conducted an undercover field study to determine whether these rights can be exerted in practice. We assessed the behaviour of the vendors of 150 smartphone apps and 120 websites that are popular in Germany. Our deletion requests were fulfilled in 52 to 57% of the cases and less than half of the data provision requests were answered satisfactorily. Further, we observed instances of carelessness: About 20% of website owners would have disclosed our personal data to impostors. The results indicate that exerting privacy rights that have been introduced two decades ago is still a frustrating endeavour most of the time.

연구 동기 및 목표

  • 소비자가 실질적으로 개인 데이터에 접근할 수 있는 권리와 삭제 권리의 실질적 효과를 평가하기 위해.
  • 독일의 앱 공급업체 및 웹사이트 운영자가 지침 95/46/EC 및 예정된 GDPR에 따라 법적 개인정보 보호 의무를 이행하는지 평가하기 위해.
  • 데이터 통제자가 제3자로부터의 요청에 대해 개인 데이터를 적절한 주의를 기울여 처리하는지 조사하기 위해.
  • 데이터 처리 관행의 체계적 결함, 특히 사회공학 공격에 취약한 점을 규명하기 위해.

제안 방법

  • 150개의 인기 있는 독일 스마트폰 앱과 120개의 인기 있는 웹사이트에 테스트 계정을 생성하여 은밀한 현장 조사 수행.
  • 이메일을 통해 공식적인 데이터 접근 요청을 제출하고, 응답이 없으면 일주일 후에 삭제 요청을 추가로 제출.
  • 일부 웹사이트 조사에서, 다른 이메일 주소를 사용한 가짜 요청자를 통해 사회공학 기법을 적용하여 공급업체가 데이터를 유출할지 테스트.
  • 응답을 수집하고 분석하여 데이터 접근 및 삭제 권리 준수 여부 평가.
  • 응답을 준수, 비준수, 모호한 것으로 분류하기 위해 정성적 및 정량적 분석 기법 적용.
  • 직접 데이터베이스 내용을 검증할 수 없어, 삭제 여부를 판단하기 위해 추론 기법 사용.

실험 결과

연구 질문

  • RQ1독일의 앱 공급업체는 사용자의 개인 데이터 접근 요청에 얼마나 준수하는가?
  • RQ2스마트폰 앱과 웹사이트에서 개인 데이터 삭제 요청은 얼마나 효과적인가?
  • RQ3데이터 통제자는 데이터 접근 또는 삭제 요청을 처리할 때 사회공학 공격에 취약한가?
  • RQ4합리적인 기간 내에 공식적인 데이터 접근 요청에 적절히 응답하지 못하는 데이터 통제자의 비율은 얼마인가?
  • RQ5법적 및 기술적 장벽은 EU 개인정보 보호법 하에서 데이터 주체 권리의 실질적 행사에 어떤 영향을 미치는가?

주요 결과

  • 앱 및 웹사이트 공급업체에 제출한 데이터 접근 요청 중 43%만 만족스럽게 이행되어 접근 권리 준수에 광범위한 비준수 현상이 존재함을 시사한다.
  • 삭제 요청의 52%에서 57%가 완전한 계정 삭제로 이어져, 데이터 접근 요청보다 삭제 요청이 더 잘 이행되고 있음을 나타낸다.
  • 약 20%의 웹사이트 운영자가 다른 이메일 주소를 사용한 가짜 요청자에게도 개인 데이터를 유출할 가능성이 있었으며, 사회공학 공격에 대한 심각한 취약성이 드러났다.
  • 많은 수의 공급업체가 일주일 이내 첫 번째 요청에 응답하지 못해 효율성 부족과 절차적 준비 부족을 보였다.
  • 일부 공급업체는 규제 요건으로 인해 데이터를 삭제할 수 없다고 주장했고, 다른 일부는 흔적도 없다고 잘못 주장하여 데이터 거버넌스 수준이 낮음을 시사한다.
  • 연구는 GDPR 및 국가 개인정보 보호법에 법적 근거가 있음에도 불구하고, 데이터 주체 권리 행사가 여전히 곤경스럽고 일관성 없는 과정임을 부각시킨다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.