ݺߣ

ݺߣShare a Scribd company logo

Profiling

David Lee
David Lee

GDPR에서의 Profiling 개념을 설명하기 위한 문서

Law
1 of 19
Downloaded 28 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Profiling, Automated Processing ofPersonalData &BigData 2016.11 NAVER 개인정보보호 이진규 Leader 이 문서는 나눔글꼴로 작성되었습니다. 설치하기 not for public distribution or review
1. Big Data & Profiling (1) – (2) 2. Big Data Players 3. Definition of Profiling (1) – (2) 4. Profiling & Monitoring 5. Two Sides of the Same Coin 6. Examples 7. Cases (1) – (5) 8. Potential Privacy Risks of Profiling 9. Profiling & Users’ Right (1) – (2) 10. End 목차
Big Data & Profiling (1) 1 / 16 Target Market - Families Niche - Families with Kids Single Person - Personal details  Volume: scale of data  Variety: different forms of data  Velocity: analysis of streaming data  Veracity: uncertainty of data
2 / 16 + 연간 소득 + 거주 지역 + 학력 + 직업 + 정치 성향 + 건강 상태 + 관심사 + 선호 브랜드 2014: $45,000 2015: $56,000 2016: $70,000 (estimate) 2014: Pittsburgh, PA 2015: Pittsburgh, PA 2016: Philadelphia, PA 1999: BA, UCLA 2004: MS, Penn State 2008: MS, MIT + + + 2008: Junior Analyst, P&G 2012: DB Specialist, Google 2016: Senior Analyst, Google 1998: Voted Democrat 2003: Voted Democrat 2008: No Record 2014: Pneumonia 2015: Decayed Teeth 2016: none Data Analysis / Science Academic Achievements Samsung Smartphones CAR: Honda CLOTHES: AE ELECTRONICS: SAMSUNG + + + + name s_name job age siblings car hobby referer shopping News recent buy m_status Burnn William tech 37 2 Civic reading xyz.com 3 NBC Clothes_ae Divorced Big Data & Profiling (2) - ProfileofaCustomer(Example)
Big Data Players 3 / 16 Source: Future of Privacy Forum (https://fpf.org/wp-content/uploads/2009/11/data.gif) But what about the businesses that provide services for consumer-facing companies? The partners and third-parties that operate behind the scenes? Typically they’re ISPs, cloud services or even content-delivery networks (CDNs), through which 45 percent of the internet’s traffic passes. They kept the Olympic games streaming fast and uninterrupted. They’re handling billions of transactions for e-commerce sites. What many people don’t realize is that these third-parties could also be tracking and selling their online behaviors as data. “You might be surprised to learn who’s collecting your data (‘16. 10. 1. TechCrunch)” - WithaDemo(Ghostery,Panopticlick)
Definition of Profiling (1) 4 / 16  Psychological Profiling  Victimology Profiling  Criminal Profiling (Offender Profiling)  Racial Profiling  Data Profiling  Digital Profiling  Behavioral Profiling  Geographic Profiling  Gender Profiling  Forensic Profiling  Sexual Orientation Profiling  DNA Profiling  Consumer Profiling  Audience Profiling . . .
Definition of Profiling (2) 5 / 16 Profiling means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; GDPR Article 4 – Definition (4) ‘프로파일링’이란 자연인과 관련되는 일정한 개인적인 측면을 평가하 기 위하여, 특히 그 자연인의 업무성취, 경제적 상황, 건강, 개인적인 선호, 관심, 신뢰성, 행동, 위치나 이동에 관한 측면을 분석하거나 예 측하기 위하여 그들 정보를 이용하는 것을 포함하는 개인정보의 자동 화된 처리의 형태를 의미한다. (EU 개인정보보호법 (함인선, 2016)) Keywords ① any form of - 형태와 무관 ② automated processing of personal data - “개인정보”의 “자동화” 처리 - “excludes human intervention” ③ to evaluate certain personal aspects - 평가 목적의 존재 ④ (in particular) analyse or predict - 특히, 분석이나 예측을 중심으로
Profiling & Monitoring 6 / 16 In order to determine whether a processing activity can be considered to ‘monitor the behaviour’ of data subjects, it should be ascertained whether individuals are tracked on the internet with data processing techniques which consist of profiling an individual, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes. Recital 21 of GDPR 처리 행위가 정보주체에 대한 ‘행위 감시(behaviour monitoring)’로 인정될 수 있는지 결정하기 위해서는 개인에 대한 프로파일링에 해당 하는 개인정보 처리 기법(techniques)에 의해 개인이 인터넷에서 추 적되는지 여부가 확인되어야 하는데, 이는 특히 개인의 성향, 행위, 태 도에 대한 예측이나 분석 또는 개인에 관한 결정을 내리기 위한 것이 어야 한다. (역, Presenter) Keywords ① data subjects - 정보주체의 식별 ② tracked on the internet - 인터넷에서의 추적 ③ techniques consisting of profiling - 프로파일링 기법의 사용 ④ (particularly) to take decisions, analyse, or predict - 특히, 결정, 분석, 예측 목적으로
Best Practice for prosperity of online business models based on direct marketing 7 / 16 Two sides of the same coin Potential Risk to personal data protection resulting in discrimination against natural person “Facial-Recognition Software Might Have a Racial Bias Problem” (racial profiling) April 7, 2016. The Atlantic Europe for D.S.M. vs. Innovative U.S. Tech Giants
프로파일링 적용 사례 (실제 또는 잠재) Behavioral Advertising  이용자 온라인 행태 분석에 따 른 맞춤형(타게팅) 광고 제공 - Cookie, Login, Fingerprinting, etc. Credit Risk Analysis  개인 자산 및 투자 계획 기반 - 일시불 또는 할부 구매 결정  기업 또는 공공의 평가 - 대출, 사회보장(복지) 결정 Insurance Risk Analysis  보장 제공 여부 및 계약 조건 - 개인 risk factor & 유사집단 비교  보험 사기 분석 E-Recruitment  자동화된 채용 결정 - 연봉, 부서, 고용기간, fringe benefit 프로파일링은 기업 또는 공공 모두에 유용한 도구로 사용될 수 있으며, 특히 다음과 같은 영역에서 주목 받고 있음 8 / 16 Examples
9 / 16 Cases (1) 자동화된 투자 결정 1) 투자 관련 개인정보&선호정보 수집 - 개인정보: 식별, 서비스 이용 필요정보 - 선호정보: 투자성격, 종목 카테고리, 거래시 간, 국내/해외, 현물/채권 등 2) 투자 - 사전에 수집된 개인정보 및 선호정보에 기반 하여 개인별 투자 - 사전에 수집된 정보를 유사 투자군에 대입하 여 단체 투자
10 / 16 Cases (2) 자동화된 노출 결정 세계적 전자상거래 사이트인 Amazon.com은 모든 회원마다 상이한 화 면을 Home Page에 노출하는 자동화된 결정을 수행. 다음과 같은 개인정보 및 선 호정보에 기반 - 개인정보, Referer, 장바구니에 담긴 상품, 기존 구매내역, 기존 구매상품을 구매한 다른 이용자들이 구매한 상품, 기존 동일 상품군 구 매에 지불한 액수, (생필품) 동일 상품의 전회 구매시기, AD Network 제공정보 등
11/ 16 Google reCAPTCHA - 기존의 ‘CAPTCHA’는 ‘방문하는 네가 bot이 아닌 것을 증명해라’인데, Google의 reCAPTCHA는 ‘방문하는 네가 사람인 것을 증명해라’ - invisible textarea(Javascript bot 거름용도)를 비롯, usertime on page, bots IPs, referer, # of requests, mouse movement 등 다 양한 정보에 기반 Source: How does Google’s No CAPTCHA reCAPTCHA work? (http://qnimate.com/how-does-googles-no-captcha-recaptcha-work/) Cases (3) - AskYourself:Isthisprofiling&automateddecision?(Example)
12 / 16 Source: 98 personal data points that Facebook uses to target ads to you (’16. 8. 19. The Washington Post) 98 personal data points that Facebook uses to target ads to you 1. Location 2. Age 3. Generation 4. Gender 5. Language 6. Education level 7. Field of study 8. School 9. Ethnic affinity 10. Income and net worth 11. Home ownership and type 12. Home value 13. Property size 14. Square footage of home 15. Year home was built 16. Household composition 17. Users who have an anniversary within 30 days 18. Users who are away from family or hometown 19. Users who are friends with someone who has an anniversary, is ne moved, or has an upcoming birthday 20. Users in long-distance relationships 21. Users in new relationships 22. Users who have new jobs 23. Users who are newly engaged 24. Users who are newly married 25. Users who have recently moved 26. Users who have birthdays soon 27. Parents 28. Expectant parents 29. Mothers, divided by “type” (soccer, trendy, etc.) 30. Users who are likely to engage in politics 31. Conservatives and liberals 32. Relationship status 33. Employer 34. Industry 35. Job title 36. Office type 37. Interests 38. Users who own motorcycles 39. Users who plan to buy a car (and what kind/brand of car, and how 40. Users who bought auto parts or accessories recently 41. Users who are likely to need auto parts or services 42. Style and brand of car you drive 43. Year car was bought 44. Age of car 45. How much money user is likely to spend on next car 46. Where user is likely to buy next car 47. How many employees your company has 48. Users who own small businesses Cases (4) - Facebookanditsautomatedprocessingofad-targeting
13 / 16 visited Cookie Local Storage HTTP Header Referer . . . Logged-in User N.Logged-in User Analytics P_ID Att_01 Att_02 Att_03 Att_04 Att_05 Att_06 Att_07 … T_ID Att_01’ Att_02’ Att_03’ Att_04’ Att_05’ Att_06’ Att_07’ … Multi-Device Tracking Deterministic Probabilistic Impression Cases (5) - VirtualCaseOverview
Potential Privacy Risks of Profiling 14 / 16 The current EU and Benelux data protection framework was largely developed in the nineties of the previous century. At that time, big data and profiling techniques were still in their infancy. Since then, rapid technological developments have increased both the potential applications of Big Data and Profiling, but also the potential (privacy) risks involved with the use of such techniques, as for example 1. the use of incorrect and/or outdated information for profiling; - 부정확한 또는 더 이상 유효하지 않은 정보의 사용 2. stigmatisation and/or discrimination of certain (groups of) people; - 특정 사람(단체)들에 대한 낙인 또는 차별 3. limitation of freedom of information and choice: for instance, if websites only show information which the individual is expected to be interested in based on profiling, the individual may not be provided with other information he/she would consider interesting or helpful; - 정보와 선택의 자유 제한 4. excessive processing of personal data, which would be contrary to the principle of data minimisation; and - 개인정보 최소화 원칙에 반한 과도한 개인정보의 처리 5. processing of personal data for other purposes than for which they were collected. - 수집 목적 외의 개인정보 처리 Source: GDPR – Big Data and Profiling (http://www.loyensloeff.com/en-us/news-events/news/gdpr-big-data-and-profiling, 2016)
Profiling & Users’ Right (1) 15 / 16 The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. GDPR Article 22 1. 정보주체에 대해 법적 효과 또는 이와 유사한 수준의 중대한 효과를 창출하는 오로지 자동화된 개인정보의 처리(프로파일링을 포함)에 기 반한 결정의 대상이 되지 않을 권리를 보유하고 있다. (역, Presenter) Keywords ① decision - 자동화된 처리결과에 따른 특정 행동의 발 생(결과)을 의미. 단순 분석은 제외 ② solely - 비자동 처리 및 human intervention (X) ③ legal effects or a similar significant effects - 불분명, 단 GDPR Recitals에서는 신용카 드 발급신청, 온라인 채용심사 거절 등의 예 시  계약, 채용 포함 포괄적 개념 유추
Profiling & Users’ Right (2) 16 / 16 2. Paragraph 1 shall not apply if the decision: (a) is necessary for entering into, or performance of, a contract between the data subject and a data controller; (b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; or (c) is based on the data subject's explicit consent. GDPR Article 22 2. (a) 계약의 성립 또는 이행을 위해 필요한 경우, (b) 정보주체의 권리, 자유, 합법적 이익을 보호하기 위해 필요한 조치 로서 개인정보처리자가에 적용되는 법에 의해 승인되는 경우, (c) 정보주체의 명시적 동의를 받은 경우. (역, Presenter) Keywords ① shall not apply if - 일정 조건하에서의 면제(exemptions for profiling)를 규정 ② contract - 개인정보처리자와 정보주체간의 계약의 이행 등을 위한 경우로 한정 ③ explicit consent - 정보주체의 명확한 동의에 기반한 경우  Profiling 거부는 절대적 권리가 아님
감사합니다 이 문서는 나눔글꼴로 작성되었습니다. 설치하기

More Related Content

What's hot (20)

PDF
[법무법인 민후] 빅데이터 실현을 위한 개인정보법령 개선방안(개인정보 비식별조치 가이드라인 포함)
MINWHO Law Group
PDF
[법무법인 민후] EU GDPR(유럽 일반개인정보보호규정)의 해설과 우리 기업의 법률적 대응방안(전 조문 주석 포함)
MINWHO Law Group
PDF
[법무법인 민후] 제4차 산업혁명과 데이터 법정책
MINWHO Law Group
PDF
개인정보 비식별화 이해-김동한(공유)-2017-6-15
Donghan Kim
PDF
개인정보 비식별화 기술 동향 및 전망
Donghan Kim
PDF
[법무법인 민후] 자율주행자동차 관련 개인정보 및 위치정보 법률적 쟁점 검토
MINWHO Law Group
PDF
Gdpr basic lecture
재림 이
PDF
[법무법인 민후 | 김경환 변호사] 공공기관에서의 개인정보보호
MINWHO Law Group
PDF
[법무법인 민후 | 김경환 변호사] 빅데이터산업과 개인정보보호
MINWHO Law Group
PDF
[법무법인 민후 l 김경환 변호사] 금융기관에서의 개인정보보호
MINWHO Law Group
PDF
[법무법인 민후 | 김경환 변호사] 기업의 국외진출과 Privacy Policy
MINWHO Law Group
PDF
[법무법인 민후] GDPR과 정보주체의 권리
MINWHO Law Group
PDF
[법무법인 민후] 빅데이터의 법적 규제와 실현방안_신기술 경영과 법 컨퍼런스
MINWHO Law Group
PDF
[법무법인 민후] 마이데이타 활성화를 위한 법제도 개선 방향
MINWHO Law Group
PDF
[법무법인 민후] 기기의 고유식별자 등을 이용한 정보처리의 법적 이슈
MINWHO Law Group
PDF
[법무법인 민후] 비식별조치 가이드라인의 문제점과 비식별처리의 개선방향
MINWHO Law Group
PDF
[법무법인 민후] 데이터3법 시행상 쟁점과 개선방향
MINWHO Law Group
PDF
[법무법인 민후 l 김경환변호사] 사물인터넷(IoT)시대의 개인정보보호와 정보보안
MINWHO Law Group
PDF
20150605 iot 시대 개인정보복지국가 제언 구태언
TEK & LAW, LLP
PDF
[법무법인 민후] 캘리포니아주 개인정보보호법(CCPA)의 주요내용과 시사점
MINWHO Law Group
[법무법인 민후] 빅데이터 실현을 위한 개인정보법령 개선방안(개인정보 비식별조치 가이드라인 포함)
MINWHO Law Group
[법무법인 민후] EU GDPR(유럽 일반개인정보보호규정)의 해설과 우리 기업의 법률적 대응방안(전 조문 주석 포함)
MINWHO Law Group
[법무법인 민후] 제4차 산업혁명과 데이터 법정책
MINWHO Law Group
개인정보 비식별화 이해-김동한(공유)-2017-6-15
Donghan Kim
개인정보 비식별화 기술 동향 및 전망
Donghan Kim
[법무법인 민후] 자율주행자동차 관련 개인정보 및 위치정보 법률적 쟁점 검토
MINWHO Law Group
Gdpr basic lecture
재림 이
[법무법인 민후 | 김경환 변호사] 공공기관에서의 개인정보보호
MINWHO Law Group
[법무법인 민후 | 김경환 변호사] 빅데이터산업과 개인정보보호
MINWHO Law Group
[법무법인 민후 l 김경환 변호사] 금융기관에서의 개인정보보호
MINWHO Law Group
[법무법인 민후 | 김경환 변호사] 기업의 국외진출과 Privacy Policy
MINWHO Law Group
[법무법인 민후] GDPR과 정보주체의 권리
MINWHO Law Group
[법무법인 민후] 빅데이터의 법적 규제와 실현방안_신기술 경영과 법 컨퍼런스
MINWHO Law Group
[법무법인 민후] 마이데이타 활성화를 위한 법제도 개선 방향
MINWHO Law Group
[법무법인 민후] 기기의 고유식별자 등을 이용한 정보처리의 법적 이슈
MINWHO Law Group
[법무법인 민후] 비식별조치 가이드라인의 문제점과 비식별처리의 개선방향
MINWHO Law Group
[법무법인 민후] 데이터3법 시행상 쟁점과 개선방향
MINWHO Law Group
[법무법인 민후 l 김경환변호사] 사물인터넷(IoT)시대의 개인정보보호와 정보보안
MINWHO Law Group
20150605 iot 시대 개인정보복지국가 제언 구태언
TEK & LAW, LLP
[법무법인 민후] 캘리포니아주 개인정보보호법(CCPA)의 주요내용과 시사점
MINWHO Law Group

Similar to Profiling (20)

PDF
개인정보 세미나(190522) - Session 5 황혜진 변호사
법무법인 디라이트 / D'LIGHT Law Group
PDF
Personal 빅데이터 주요 이슈 및 기술적 대응 방안
메가트렌드랩 megatrendlab
PDF
개인정보 세미나(190522) - Session 2 한혜선 변호사
법무법인 디라이트 / D'LIGHT Law Group
PPTX
빅데이터와 프라이버시 강장묵 130619_ver1
JM code group
PDF
230330_스타트업의 개인정보 활용과 보호_구태언 v2.pdf
TEK & LAW, LLP
PDF
금융권의 빅데이터 활용과 이슈 점검
메가트렌드랩 megatrendlab
PDF
금융업권의 빅데이터 활용과 개인정보 보호
메가트렌드랩 megatrendlab
PDF
개인정보 보호와 빅데이터기술의 산업화
메가트렌드랩 megatrendlab
PDF
170705 개인정보보호위원회 빅데이터 개인정보의 안전한 활용 법제도개선 토론_ᄀ...
TEK & LAW, LLP
PDF
[테크앤로] 세계소비자의날 토론 개인정보보호 패러다임의 변화 170315_구태언
TEK & LAW, LLP
PDF
Customized Big Data Report 소개(minds lab) v1.0_full
Taejoon Yoo
PDF
[Partner TechForum] 고객을 360도로 이해하고 수익으로 연결하는 글로벌 선도 금융 기업들의 데이터 플랫폼 활용 사례
Amazon Web Services Korea
PPTX
빅데이터 활용사례 by GoldenWired INC.
Byounghee Kim
PDF
[2016 데이터 그랜드 컨퍼런스] 1 3. bk3(엔코아)데이터그랜드컨퍼런스 4차산업혁명의 핵심-데이터경제-엔코아
K data
PDF
모빌리티 산업에서의 개인정보보호 이슈 : 모빌리티 세미나(191028) Session 3 황혜진 변호사
법무법인 디라이트 / D'LIGHT Law Group
PPTX
빅데이터전문가교육 3학기 1
Kangwook Lee
PDF
빅 데이터 비즈니스 모델
datasciencekorea
PDF
Beyond Big Data MEGA MART_V0.9
JongMyoung Park,Ph.D.
PPTX
1.고객을 이해하는 빅데이터 (4차산업혁명: 고객과의 소통 신기술의 진화)
doo rip choi
PDF
빅데이터랶?
Yoseop Shin
개인정보 세미나(190522) - Session 5 황혜진 변호사
법무법인 디라이트 / D'LIGHT Law Group
Personal 빅데이터 주요 이슈 및 기술적 대응 방안
메가트렌드랩 megatrendlab
개인정보 세미나(190522) - Session 2 한혜선 변호사
법무법인 디라이트 / D'LIGHT Law Group
빅데이터와 프라이버시 강장묵 130619_ver1
JM code group
230330_스타트업의 개인정보 활용과 보호_구태언 v2.pdf
TEK & LAW, LLP
금융권의 빅데이터 활용과 이슈 점검
메가트렌드랩 megatrendlab
금융업권의 빅데이터 활용과 개인정보 보호
메가트렌드랩 megatrendlab
개인정보 보호와 빅데이터기술의 산업화
메가트렌드랩 megatrendlab
170705 개인정보보호위원회 빅데이터 개인정보의 안전한 활용 법제도개선 토론_ᄀ...
TEK & LAW, LLP
[테크앤로] 세계소비자의날 토론 개인정보보호 패러다임의 변화 170315_구태언
TEK & LAW, LLP
Customized Big Data Report 소개(minds lab) v1.0_full
Taejoon Yoo
[Partner TechForum] 고객을 360도로 이해하고 수익으로 연결하는 글로벌 선도 금융 기업들의 데이터 플랫폼 활용 사례
Amazon Web Services Korea
빅데이터 활용사례 by GoldenWired INC.
Byounghee Kim
[2016 데이터 그랜드 컨퍼런스] 1 3. bk3(엔코아)데이터그랜드컨퍼런스 4차산업혁명의 핵심-데이터경제-엔코아
K data
모빌리티 산업에서의 개인정보보호 이슈 : 모빌리티 세미나(191028) Session 3 황혜진 변호사
법무법인 디라이트 / D'LIGHT Law Group
빅데이터전문가교육 3학기 1
Kangwook Lee
빅 데이터 비즈니스 모델
datasciencekorea
Beyond Big Data MEGA MART_V0.9
JongMyoung Park,Ph.D.
1.고객을 이해하는 빅데이터 (4차산업혁명: 고객과의 소통 신기술의 진화)
doo rip choi
빅데이터랶?
Yoseop Shin
Ad

More from David Lee (8)

PDF
overseas_transfer_korean_personal_data_protection_law_230323.pdf
David Lee
PDF
동의제도의_˳ѫ적_문제점_շ230113.
David Lee
PDF
K data grand-conference
David Lee
PDF
privacy considerations for contact tracking and location disclosure
David Lee
PDF
연계정보(CI) 활용 정책방향 의견수렴 발표
David Lee
PPTX
인터넷 쿠키 (Internet Cookie)
David Lee
PDF
4차 산업혁명과 프라이버시
David Lee
PDF
Compatible use of personal data (개인정보 이용의 양립가능성)
David Lee
overseas_transfer_korean_personal_data_protection_law_230323.pdf
David Lee
동의제도의_˳ѫ적_문제점_շ230113.
David Lee
K data grand-conference
David Lee
privacy considerations for contact tracking and location disclosure
David Lee
연계정보(CI) 활용 정책방향 의견수렴 발표
David Lee
인터넷 쿠키 (Internet Cookie)
David Lee
4차 산업혁명과 프라이버시
David Lee
Compatible use of personal data (개인정보 이용의 양립가능성)
David Lee
Ad

Profiling

  • 1. Profiling, Automated Processing ofPersonalData &BigData 2016.11 NAVER 개인정보보호 이진규 Leader 이 문서는 나눔글꼴로 작성되었습니다. 설치하기 not for public distribution or review
  • 2. 1. Big Data & Profiling (1) – (2) 2. Big Data Players 3. Definition of Profiling (1) – (2) 4. Profiling & Monitoring 5. Two Sides of the Same Coin 6. Examples 7. Cases (1) – (5) 8. Potential Privacy Risks of Profiling 9. Profiling & Users’ Right (1) – (2) 10. End 목차
  • 3. Big Data & Profiling (1) 1 / 16 Target Market - Families Niche - Families with Kids Single Person - Personal details  Volume: scale of data  Variety: different forms of data  Velocity: analysis of streaming data  Veracity: uncertainty of data
  • 4. 2 / 16 + 연간 소득 + 거주 지역 + 학력 + 직업 + 정치 성향 + 건강 상태 + 관심사 + 선호 브랜드 2014: $45,000 2015: $56,000 2016: $70,000 (estimate) 2014: Pittsburgh, PA 2015: Pittsburgh, PA 2016: Philadelphia, PA 1999: BA, UCLA 2004: MS, Penn State 2008: MS, MIT + + + 2008: Junior Analyst, P&G 2012: DB Specialist, Google 2016: Senior Analyst, Google 1998: Voted Democrat 2003: Voted Democrat 2008: No Record 2014: Pneumonia 2015: Decayed Teeth 2016: none Data Analysis / Science Academic Achievements Samsung Smartphones CAR: Honda CLOTHES: AE ELECTRONICS: SAMSUNG + + + + name s_name job age siblings car hobby referer shopping News recent buy m_status Burnn William tech 37 2 Civic reading xyz.com 3 NBC Clothes_ae Divorced Big Data & Profiling (2) - ProfileofaCustomer(Example)
  • 5. Big Data Players 3 / 16 Source: Future of Privacy Forum (https://fpf.org/wp-content/uploads/2009/11/data.gif) But what about the businesses that provide services for consumer-facing companies? The partners and third-parties that operate behind the scenes? Typically they’re ISPs, cloud services or even content-delivery networks (CDNs), through which 45 percent of the internet’s traffic passes. They kept the Olympic games streaming fast and uninterrupted. They’re handling billions of transactions for e-commerce sites. What many people don’t realize is that these third-parties could also be tracking and selling their online behaviors as data. “You might be surprised to learn who’s collecting your data (‘16. 10. 1. TechCrunch)” - WithaDemo(Ghostery,Panopticlick)
  • 6. Definition of Profiling (1) 4 / 16  Psychological Profiling  Victimology Profiling  Criminal Profiling (Offender Profiling)  Racial Profiling  Data Profiling  Digital Profiling  Behavioral Profiling  Geographic Profiling  Gender Profiling  Forensic Profiling  Sexual Orientation Profiling  DNA Profiling  Consumer Profiling  Audience Profiling . . .
  • 7. Definition of Profiling (2) 5 / 16 Profiling means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; GDPR Article 4 – Definition (4) ‘프로파일링’이란 자연인과 관련되는 일정한 개인적인 측면을 평가하 기 위하여, 특히 그 자연인의 업무성취, 경제적 상황, 건강, 개인적인 선호, 관심, 신뢰성, 행동, 위치나 이동에 관한 측면을 분석하거나 예 측하기 위하여 그들 정보를 이용하는 것을 포함하는 개인정보의 자동 화된 처리의 형태를 의미한다. (EU 개인정보보호법 (함인선, 2016)) Keywords ① any form of - 형태와 무관 ② automated processing of personal data - “개인정보”의 “자동화” 처리 - “excludes human intervention” ③ to evaluate certain personal aspects - 평가 목적의 존재 ④ (in particular) analyse or predict - 특히, 분석이나 예측을 중심으로
  • 8. Profiling & Monitoring 6 / 16 In order to determine whether a processing activity can be considered to ‘monitor the behaviour’ of data subjects, it should be ascertained whether individuals are tracked on the internet with data processing techniques which consist of profiling an individual, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes. Recital 21 of GDPR 처리 행위가 정보주체에 대한 ‘행위 감시(behaviour monitoring)’로 인정될 수 있는지 결정하기 위해서는 개인에 대한 프로파일링에 해당 하는 개인정보 처리 기법(techniques)에 의해 개인이 인터넷에서 추 적되는지 여부가 확인되어야 하는데, 이는 특히 개인의 성향, 행위, 태 도에 대한 예측이나 분석 또는 개인에 관한 결정을 내리기 위한 것이 어야 한다. (역, Presenter) Keywords ① data subjects - 정보주체의 식별 ② tracked on the internet - 인터넷에서의 추적 ③ techniques consisting of profiling - 프로파일링 기법의 사용 ④ (particularly) to take decisions, analyse, or predict - 특히, 결정, 분석, 예측 목적으로
  • 9. Best Practice for prosperity of online business models based on direct marketing 7 / 16 Two sides of the same coin Potential Risk to personal data protection resulting in discrimination against natural person “Facial-Recognition Software Might Have a Racial Bias Problem” (racial profiling) April 7, 2016. The Atlantic Europe for D.S.M. vs. Innovative U.S. Tech Giants
  • 10. 프로파일링 적용 사례 (실제 또는 잠재) Behavioral Advertising  이용자 온라인 행태 분석에 따 른 맞춤형(타게팅) 광고 제공 - Cookie, Login, Fingerprinting, etc. Credit Risk Analysis  개인 자산 및 투자 계획 기반 - 일시불 또는 할부 구매 결정  기업 또는 공공의 평가 - 대출, 사회보장(복지) 결정 Insurance Risk Analysis  보장 제공 여부 및 계약 조건 - 개인 risk factor & 유사집단 비교  보험 사기 분석 E-Recruitment  자동화된 채용 결정 - 연봉, 부서, 고용기간, fringe benefit 프로파일링은 기업 또는 공공 모두에 유용한 도구로 사용될 수 있으며, 특히 다음과 같은 영역에서 주목 받고 있음 8 / 16 Examples
  • 11. 9 / 16 Cases (1) 자동화된 투자 결정 1) 투자 관련 개인정보&선호정보 수집 - 개인정보: 식별, 서비스 이용 필요정보 - 선호정보: 투자성격, 종목 카테고리, 거래시 간, 국내/해외, 현물/채권 등 2) 투자 - 사전에 수집된 개인정보 및 선호정보에 기반 하여 개인별 투자 - 사전에 수집된 정보를 유사 투자군에 대입하 여 단체 투자
  • 12. 10 / 16 Cases (2) 자동화된 노출 결정 세계적 전자상거래 사이트인 Amazon.com은 모든 회원마다 상이한 화 면을 Home Page에 노출하는 자동화된 결정을 수행. 다음과 같은 개인정보 및 선 호정보에 기반 - 개인정보, Referer, 장바구니에 담긴 상품, 기존 구매내역, 기존 구매상품을 구매한 다른 이용자들이 구매한 상품, 기존 동일 상품군 구 매에 지불한 액수, (생필품) 동일 상품의 전회 구매시기, AD Network 제공정보 등
  • 13. 11/ 16 Google reCAPTCHA - 기존의 ‘CAPTCHA’는 ‘방문하는 네가 bot이 아닌 것을 증명해라’인데, Google의 reCAPTCHA는 ‘방문하는 네가 사람인 것을 증명해라’ - invisible textarea(Javascript bot 거름용도)를 비롯, usertime on page, bots IPs, referer, # of requests, mouse movement 등 다 양한 정보에 기반 Source: How does Google’s No CAPTCHA reCAPTCHA work? (http://qnimate.com/how-does-googles-no-captcha-recaptcha-work/) Cases (3) - AskYourself:Isthisprofiling&automateddecision?(Example)
  • 14. 12 / 16 Source: 98 personal data points that Facebook uses to target ads to you (’16. 8. 19. The Washington Post) 98 personal data points that Facebook uses to target ads to you 1. Location 2. Age 3. Generation 4. Gender 5. Language 6. Education level 7. Field of study 8. School 9. Ethnic affinity 10. Income and net worth 11. Home ownership and type 12. Home value 13. Property size 14. Square footage of home 15. Year home was built 16. Household composition 17. Users who have an anniversary within 30 days 18. Users who are away from family or hometown 19. Users who are friends with someone who has an anniversary, is ne moved, or has an upcoming birthday 20. Users in long-distance relationships 21. Users in new relationships 22. Users who have new jobs 23. Users who are newly engaged 24. Users who are newly married 25. Users who have recently moved 26. Users who have birthdays soon 27. Parents 28. Expectant parents 29. Mothers, divided by “type” (soccer, trendy, etc.) 30. Users who are likely to engage in politics 31. Conservatives and liberals 32. Relationship status 33. Employer 34. Industry 35. Job title 36. Office type 37. Interests 38. Users who own motorcycles 39. Users who plan to buy a car (and what kind/brand of car, and how 40. Users who bought auto parts or accessories recently 41. Users who are likely to need auto parts or services 42. Style and brand of car you drive 43. Year car was bought 44. Age of car 45. How much money user is likely to spend on next car 46. Where user is likely to buy next car 47. How many employees your company has 48. Users who own small businesses Cases (4) - Facebookanditsautomatedprocessingofad-targeting
  • 15. 13 / 16 visited Cookie Local Storage HTTP Header Referer . . . Logged-in User N.Logged-in User Analytics P_ID Att_01 Att_02 Att_03 Att_04 Att_05 Att_06 Att_07 … T_ID Att_01’ Att_02’ Att_03’ Att_04’ Att_05’ Att_06’ Att_07’ … Multi-Device Tracking Deterministic Probabilistic Impression Cases (5) - VirtualCaseOverview
  • 16. Potential Privacy Risks of Profiling 14 / 16 The current EU and Benelux data protection framework was largely developed in the nineties of the previous century. At that time, big data and profiling techniques were still in their infancy. Since then, rapid technological developments have increased both the potential applications of Big Data and Profiling, but also the potential (privacy) risks involved with the use of such techniques, as for example 1. the use of incorrect and/or outdated information for profiling; - 부정확한 또는 더 이상 유효하지 않은 정보의 사용 2. stigmatisation and/or discrimination of certain (groups of) people; - 특정 사람(단체)들에 대한 낙인 또는 차별 3. limitation of freedom of information and choice: for instance, if websites only show information which the individual is expected to be interested in based on profiling, the individual may not be provided with other information he/she would consider interesting or helpful; - 정보와 선택의 자유 제한 4. excessive processing of personal data, which would be contrary to the principle of data minimisation; and - 개인정보 최소화 원칙에 반한 과도한 개인정보의 처리 5. processing of personal data for other purposes than for which they were collected. - 수집 목적 외의 개인정보 처리 Source: GDPR – Big Data and Profiling (http://www.loyensloeff.com/en-us/news-events/news/gdpr-big-data-and-profiling, 2016)
  • 17. Profiling & Users’ Right (1) 15 / 16 The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. GDPR Article 22 1. 정보주체에 대해 법적 효과 또는 이와 유사한 수준의 중대한 효과를 창출하는 오로지 자동화된 개인정보의 처리(프로파일링을 포함)에 기 반한 결정의 대상이 되지 않을 권리를 보유하고 있다. (역, Presenter) Keywords ① decision - 자동화된 처리결과에 따른 특정 행동의 발 생(결과)을 의미. 단순 분석은 제외 ② solely - 비자동 처리 및 human intervention (X) ③ legal effects or a similar significant effects - 불분명, 단 GDPR Recitals에서는 신용카 드 발급신청, 온라인 채용심사 거절 등의 예 시  계약, 채용 포함 포괄적 개념 유추
  • 18. Profiling & Users’ Right (2) 16 / 16 2. Paragraph 1 shall not apply if the decision: (a) is necessary for entering into, or performance of, a contract between the data subject and a data controller; (b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; or (c) is based on the data subject's explicit consent. GDPR Article 22 2. (a) 계약의 성립 또는 이행을 위해 필요한 경우, (b) 정보주체의 권리, 자유, 합법적 이익을 보호하기 위해 필요한 조치 로서 개인정보처리자가에 적용되는 법에 의해 승인되는 경우, (c) 정보주체의 명시적 동의를 받은 경우. (역, Presenter) Keywords ① shall not apply if - 일정 조건하에서의 면제(exemptions for profiling)를 규정 ② contract - 개인정보처리자와 정보주체간의 계약의 이행 등을 위한 경우로 한정 ③ explicit consent - 정보주체의 명확한 동의에 기반한 경우  Profiling 거부는 절대적 권리가 아님
  • 19. 감사합니다 이 문서는 나눔글꼴로 작성되었습니다. 설치하기
About
© 2025 ݺߣ