PrivacyTech in Banking 프라이버시-1
Blog by Amir Tabakovic, Co-chair of AI and Data Privacy Expert Group at Mobey Forum
프라이버시 및 데이터 기반에 대한 유용한 아티클을 번역하여 공유합니다. 연재되는 아티클인 만큼 관심가지시고 읽어보신다면 도움이 되실 것입니다.
(Part 2) PrivacyTech in Banking 프라이버시-재식별에 대하여…
뱅킹의 데이터 기반 혁신
새로운 디지털 프로닥트를 개발하는 소매 은행에서 몇 년을 되돌아 보면서 “케이크를 기지면서 동시에 먹을 수 없어요(우리말로 두 마리 토끼를 잡을 수 없다는 의미임)”라는 속담을 기억합니다. 트레이드 오프는 은행과 같이 엄격하게 규제되고 위험을 회피하는 환경에서 혁신의 핵심 부분입니다.
일반적으로, 당신은 정말 흥미로운 아이디어로 시작합니다. 이후에는 일련의 트레이드 오프 (보안 및 법적 요구 사항, 인프라 제한 등)에 의해 물러나고, 그 결과 은행 인프라에 완벽하게 부합하는 매우 안전하고 호환 가능한 결과가 발생합니다. 그러나 오퍼링 자체는 종종 “도착시 사망(근본적으로 결함이 있거나 완전히 실패함의 의미)”입니다. 따라서 당시 상당 부분은 수평적 사고 방식을 적용하는 것으로 이루어졌습니다. 혁신을 유지하기 위해 내부의 한계를 둘러싼 방법을 찾는 것입니다.
당시 가장 흥미로운 프로젝트 중 일부는 데이터 기반 의 수익 창출 프로젝트였습니다. 우리는 어떻게 은행이 신용 및 직불 거래 데이터에 숨겨진 미개척 유틸리티의 잠금을 해제하고 개인 및 기업 고객을위한 부가 가치로 전환할 수 있는지에 대해 스스로 묻고있었습니다. 무엇이든지 할 수 있는 것 같았습니다. 그러나 머지 않아 우리는 가장 큰 제한 요소가 직면할 수 있다는 것을 깨달았습니다. 실제로, 그것은 바로 은행들의 데이터 보호 책임자의 사무실에 직면하게 되었습니다.
혁신 대 프라이버시
상상할 수 있듯이 고객의 데이터에는 매우 엄격한 데이터 보호 법률이 적용됩니다. 은행에서 데이터 중심 혁신의 주요 과제를 설명하기 위해 GDPR을 가장 인기있는 데이터 보호 규정으로 사용하지만 다른 규정을 사용하더라도 이주장에 큰 영향을 미치지는 않습니다. 데이터 기반 혁신으로 성공하기 위해 극복해야 할 세 가지 주요 개인정보보호 관련 장애물을 살펴 보겠습니다.
a. 법적 근거
모든 것은 고객 데이터를 처리하기 위한 법적 근거로 시작합니다. 대부분의 데이터 중심 혁신에는 고객의 동의가 필요합니다. 명시적인 동의 외에도 “법적 의무를 준수하기 위해 데이터를 처리해야 합니다”와 같은 다른 합법적으로 데이터 처리해야 하는 이유가 있습니다. 그러나 귀하의 아이디어가 이러한 범주 중 하나에 속할 것이라고 기대하지 마십시오. 데이터 처리에 대한 고객의 동의를 얻는 것은 어려운 문제입니다. 데이터 사용 의도, 정보 제공, 모호하지 않고 언제든지 취소가 가능하도록 고객의 동의가 자유롭게 제공되도록 하는 것이 중요합니다. 최고의 마케팅 캠페인조차도 대상 그룹의 새로운 서비스에 대한 15–20 % 이상의 승인을 얻지 못합니다. 많은 예측 응용 프로그램에는 데이터를 알고리즘에 제공하는 중요한 데이터 주체가 필요합니다. 따라서 충분한 수의 고객이 동의할 수 있는지 미리 자문 해보십시오.
b. 보안과 비밀 유지
법적 근거가 충족되면 많은 아이디어를 극복하지 못하고 다음 단계 인 안전한 처리가 필요합니다. 처리 자체는 개인 데이터의 적절한 보안 및 기밀성을 보장해야 합니다. 이것은 일반적으로 데이터 익명화에 대한 암호화를 통한 데이터 액세스 관리와 관련된 데이터 보호에 대한 다양한 보안 수단의 혼합입니다. 개인 데이터를 GDPR의 범위를 벗어나는 개인 데이터가 아닌 무료로 데이터를 변환하는 마술 같은 솔루션입니다.
이러한 보안 및 보호 조치는 고객 데이터가 필요한 모든 제품 개발 단계에서 필요합니다. 영구적으로 변화하는 제품 기능, 제품 관련 인프라 및 업/다운 스트림 응용 프로그램을 통해 제품 수명주기 동안 데이터를 보호해야 합니다. 처음부터 강력한 개인정보보호 및 보안 프로세스를 새로운 데이터 기반 제품에 구축하면 끊임없이 변화하는 환경에서도 노력을 최소화할 수 있기 때문에 “설계에 의한” 개인정보 보호 및 데이터 보안이라는 강력한 주장은 설득력이 있습니다.
c. 대중의 인식
그러나, 설계에 의한 데이터 처리와 더불어 개인정보보호와 데이터 보안에 대한 법적 근거를 갖는 것은 대중에 대한 절대적인 보호를 제공하지 않습니다. 새 제품이나 서비스가 비윤리적이고 조작적이며 강화된 편견으로 인식되고 은행과 고객 사이의 힘이 불균형하게되면 완전하게 실패하기까지 오랜 시간이 필요하지 않습니다. 마크 주커 버그 (Mark Zuckerberg)는 2004 년에 명언을 남겼습니다. “여러분은 비윤리적이지만 합법적일 수 있습니다. 이것이 제가 제 삶을 사는 방식입니다.” 이러한 유형의 사고는 Facebook과 같은 회사에게는 선택 사항 일 수 있지만 고객이 신뢰해야 하는 은행의 대안은 아닙니다.
때로는 윤리 문제조차도 아닙니다. 하나의 부적절한 커뮤니케이션은 수년간 쌓아온 신뢰를 파괴할 수 있습니다. 개인정보보호 관련 주제로 대중의 상상력을 사로 잡는 것은 2014 년이 네덜란드 은행에서 발생한 것과 같은 재난으로 끝날 수 있습니다. 대중의 분노에 직면하여, 은행은 고객의 소비 습관을 대상 광고에 사용하려는 최초의 의도를 삼가야했습니다.
법률에 의해 요구되든 아니든 투명하고 윤리적이어야 하며 점점 더 많은 고객이 데이터와 개인 정보에 익숙해지고 있음을 인식해야 합니다. 통찰력을 통해 얻는 단기적인 이득이 고객의 집단적인 신뢰의 가치인가? 데이터 프라이버시는 매우 명확한 의사소통과 심도 있는 윤리적 검토를 필요로 하는 매우 민감한 주제라는 점을 잊지 마십시오.
개인정보보호 및 데이터 보안 요구 사항을 회피하는 수평적 사고 방식은 없습니다. 데이터 기반 혁신의 프라이버시 디자인 실수는 개인정보보호 법률을 위반하거나 심지어 은행의 가장 소중한 자산인 고객의 신뢰를 위험에 빠뜨릴 수 있습니다.
혁신을 포기해야 하는가?
데이터 프라이버시 문제에는 “빨리 실패하기(실패하더라도 시도하고 보란라는 의미로 경쟁사보다 선점한다는 것을 의미한다. 또한, 대다수의 경우에서 실제 수행되어 지거나 나중에 필요에 따라 변경할 수 있다는 것을 기반한다.는 의미임)”가 없습니다. 프라이버시 및 데이터 보안 주제와 관련하여 공중에 띄워야 할 저글링 볼이 너무 많기 때문에 현재 은행 내의 대부분의 혁신가가 포기할 것입니다. 이러한 상황에서는 종종 데이터 기반 혁신과 데이터 프라이버시 중에서 선택해야합니다. 두 마리 토끼를 모두 잡을 수 없습니다. 혹시 여러분 중 누군가는 두 마리 토끼를 모두 잡을 수 있습니까?
점점 더 많은 조직들이 고객의 개인 정보를 보호할 수있는 능력 뒤에 상당한 상업적 가치가 있다는 것을 이해하기 시작했습니다. 개인정보보호 방식으로 사용, 공유 및 수익을 창출할 수있는 고객 데이터만 상업적으로 가치있는 데이터이기 때문입니다. 최근 몇 년간 데이터 기반 조직이 고객 데이터를 운영하고 혁신하는 데 필요한 최신 개인정보보호를 달성하기 위해 완전히 새로운 시장이 조용히 발전하고 있음을 관찰했습니다.
새로운 개인정보보호 접근 방식으로 혁신 가능
이 시장에서 가장 유망한 세 가지 개인정보보호 접근 방식은 차등 개인정보보호, 동종 암호화 및 AI 생성 합성 데이터입니다.
차별화한 개인정보보호는 개인이 특정 데이터베이스 쿼리, 알고리즘 또는 기타 통계적 방법에 대해 데이터에서 개인에 대한 정보위험을 정량화할 수있는 최대 영향을 찾기위한 개인정보보호를 위한 추상적인 수학적 프레임 워크입니다. 최근에는 개인 정보에 대한 분석을 실행하기 위해 Google 및 Apple과 같은 대기업에서 차별화한 개인정보보호 응용 프로그램을 사용했습니다. 이러한 응용 프로그램은 개인정보보호 연구 커뮤니티의 비판에 직면했습니다. 차별화한 개인 정보를 계산하는 방법을 밝히지 않고 일부 연구원은 심지어 Apple과 같은 회사가 데이터 활용도를 높이기 위해 일부 개인 정보를 희생한다고 주장하기도합니다.
동형 암호화는 데이터를 암호화하는 동안 데이터를 계산할 수 있는 일종의 암호화 방법입니다. 데이터는 전체 처리 프로세스 동안 암호화된 상태를 유지합니다. 비밀 키는 데이터를 처리하는 엔터티와 공유할 필요가 없습니다. 처리 결과는 암호화된 상태로 유지되며 비밀 키 소유자만 공개할 수 있습니다.
Privacy Tech 시장에서 가장 매력적인 기술 중 하나는 AI 기반 생성 및 합성 데이터입니다. 주어진 실제 데이터 세트를 기반으로 하는 인위적으로 생성된 데이터는 “가짜”입니다. 그러나 합성 데이터는 실제 데이터 및 통계적 속성과 정확하게 유사하지만 고객의 실제 정보는 포함하지 않습니다. 따라서 완전히 익명이며 GDPR 규정에서 회피됩니다.
요약하면, 이 세 가지 새로운 개인정보보호 기술은 결국 은행이 고객 데이터에 숨겨진 유틸리티를 활용하는 동시에 최고 수준의 개인정보보호를 제공 할 수 있게 합니다. 개인정보보호는 더 이상 데이터를 혁신하지 않기 위한 변명이 될 수 없습니다. 개인정보보호의 혁신은 데이터 기반 혁신을 가져다 주는 열쇠입니다.
이것은 뱅킹에서 Privacy Tech에 대한 연재물의 첫 번재 내용이었습니다. 그러나 새로운 프라이버시 보호 기술, 특히 합성 데이터에 대해 자세히 알아보기 전에 은행에서 자주 사용하는 다양한 익명화 기술의 단점과 그 결과에 대해 살펴 보겠습니다. 익명의 고객 데이터는 생각만큼 익명이 아닙니다. 계속 지켜봐주세요…
