국가정보_말레이시아

피해구제체계

1무슬림 프로(Muslim Pro)6)

가. 개요

온라인 미디어는 2011년 1월 vice.com은 무슬림 프로(Muslim Pro) 응용 프로그램이 이용자의 개인정보 판매 혐의가 있다고 보도했다. 개인정보보호감독기구(JPDP)는 2020년 11월 17일(화요일)에 이메일을 통해 Muslim Pro 애플리케이션의 개인정보보호책임자(DPO)에게 즉각적인 설명을 요청했다. Muslim Pro는 2020년 11월 20일 해명을 통해 대테러 목적으로 미군에 개인정보를 판매한 혐의를 전면 부인했다. 또한, Muslim Pro는 이전에 X-Mode에 제공한 정보가 개인정보가 아니며 Muslim Pro는 시행 중인 개인정보보호법과 개인정보보호규정에 따라 개인정보를 보호하기 위해 최선을 다하고 있다고 밝혔다. 현재까지 Muslim Pro 애플리케이션 사용자의 72%가 아직 등록되지 않은 사용자이며 이는 애플리케이션의 익명성을 높인다. 개인정보보호기구는 제공된 설명에 주목하고 Muslim Pro가 항상 이용자의 개인정보 보안을 항상 유지하고 부적절한 목적으로 오남용하지 않도록 해야 한다고 강조했다. 동시에 모든 개인정보 사용자는 2010년 개인정보보호법에 명시된 개인정보보호의 7개 원칙을 준수하도록 지속적으로 상기시켰다.

나. Vice.com 보도내용

무슬림들이 기도 시간을 알려주는 앱인 Salaat First(Prayer Times)에서 이용자들이 인지하지 못하고 세부적인 위치 정보를 기록하여 개인정보 브로커에게 판매하고 있었고, 개인정보 브로커는 위치 개인정보를 다른 고객에게 판매했다.  예배 장소 방문을 포함하여 무슬림의 하루 일과를 추적할 수 있는 민감한 정보가 개인정보를 구매하고 사용하는 사람들에 의해 남용될 우려가 있다.

안드로이드(Android)에서  천만 번 이상 다운로드 된 Salaat First에 대한 뉴스는 종교 앱을 사용하여 위치 개인정보를 수집할 뿐만 아니라 이러한 민감한 정보가 위치 개인정보 산업에서 쉽게 거래되며, 무슬림 중심 앱의 이용자는 사전 동의 없이 추적될 가능성이 높다. 이전에도 별도의 앱인 Muslim Pro가 계약자를 통해 미군에 제품을 판매하는 X-Mode Social이라는 회사에 이용자의 위치 개인정보를 판매하는 방법을  보고  했다.  무슬림 프로에 대한 기사 이후, 애플과 구글은 각각의 앱스토어에서  X-Mode를  금지시켰고 , 위치 기반 회사의 미래에 의문을 제기했다.  이번 조사는 이전에 보고되지 않은 다른 앱을 사용한 개인정보 전송을 기반으로 한다.

유출된 개인정보 자체에는 앱 사용자의 정확한 위도와 경도, 전화 모델, 운영 체제, IP 주소 및 타임스탬프가 포함되어 있다. 개인정보에는 사용자의 고유한 광고 ID도 포함되어 있다. Salaat First의 개발자인 Hicham Boushaba는 자신의 앱이 사용자의 위치 개인정보를 Predicio로 보냈음을 확인했다.  그는 2020년 3월 회사가 그에게 접근한 후 Predicio의 소프트웨어 개발 키트(SDK)(이 경우 위치 개인정보 수집을 위한 코드 번들)를 구현했다고 말했다.

2020년 8월의 정책 버전에 따르면  웹사이트에 있는 Salaat First의 개인정보보호 정책에는 Predicio가 언급되어 있다. 그러나 사용자가 처음 Salaat First를 다운로드하고 열 때 앱은 개인정보보호정책을 표시하지 않는다. 앱 자체에는  Google의 Play 스토어 정책을 위반하는  다른 곳의 개인정보보호정책 사본이나 링크가 포함되어 있지 않다 .

6) https://www.vice.com/en/article/xgz4n3/muslim-app-location-data-salaat-first

2ShopBack7)

가. 개요

2020년 9월 ShopBack Cashback SDN(이하 "ShopBack")과 관련된 개인정보 유출 사고가 발생하였다. 개인정보보호감독기구(JPDP)는 ShopBack 고객의 이름, 연락처, 성별, 생년월일, 은행 계좌번호 등 개인정보와 관련된 개인정보 유출 사건(2020년 9월 17일) 발견 후 지정한 대리인을 통해 개인정보 유출에 대한 신고를 접수했다(2020년 9월). 개인정보보호감독기구(JPDP)는 이 문제를 매우 심각하게 생각하며 말레이시아의 모든 개인정보 사용자에게 법률에 따라 규정된 대로 정보주체의 개인정보 보안을 항상 완전히 보호할 것을 요청한다.

나. ShopBack 조치내용

ShopBack은 조사 및 취해야 할 추가 조치를 제공하기 위해 특별 질문 및 답변(Q&A)을 제공하는 것 외에도 등록된 이메일 주소를 통해 고객에게 연락하기 시작할 것임을 알렸다. 개인정보보호국에게 ShopBack이 개인정보 유출 사건을 처리하기 위해 취한 완화 조치에 대해 통보했다.

ShopBack은 또한 취해진 모든 완화 조치가 이러한 개인정보 유출 사건이 계속되는 것을 완전히 억제할 수 있을 것이라고 확신했다. 동시에 부서는 관련된 말레이시아인의 실제 개인정보 규모를 포함하여 ShopBack으로부터 추가 피드백을 얻을 것이며, 개인정보보호법에 의거하여 개인정보보호감독기구(JPDP)와 모든 이해관계자와 긴밀히 협력하여 개인정보 유출 사고의 심각성을 평가할 것이라고 밝혔다.

7) https://www.pdp.gov.my/jpdpv2/assets/2020/09/27092020-SIARAN-MEDIA-JPDP-INSIDEN-KETIRISAN-DATA-PERIBADI-YANG-MELIBATKAN-PELANGGAN-SHOPBACK-CASHBACK-SDN.-BHD.-%E2%80%9CSHOPBACK%E2%80%9D.pdf