GDPR에서의 Profiling 개념을 설명하기 위한 문서

1. Profiling,
Automated Processing ofPersonalData
&BigData
2016.11
NAVER 개인정보보호
이진규 Leader
이 문서는 나눔글꼴로 작성되었습니다. 설치하기
not for public distribution or review

2. 1. Big Data & Profiling (1) – (2)
2. Big Data Players
3. Definition of Profiling (1) – (2)
4. Profiling & Monitoring
5. Two Sides of the Same Coin
6. Examples
7. Cases (1) – (5)
8. Potential Privacy Risks of Profiling
9. Profiling & Users’ Right (1) – (2)
10. End
목차

3. Big Data & Profiling (1)
1 / 16
Target Market
- Families
Niche
- Families with Kids
Single Person
- Personal details
 Volume: scale of data
 Variety: different forms of data
 Velocity: analysis of streaming data
 Veracity: uncertainty of data

4. 2 / 16
+ 연간 소득
+ 거주 지역
+ 학력
+ 직업
+ 정치 성향
+ 건강 상태
+ 관심사
+ 선호 브랜드
2014: $45,000
2015: $56,000
2016: $70,000 (estimate)
2014: Pittsburgh, PA
2015: Pittsburgh, PA
2016: Philadelphia, PA
1999: BA, UCLA
2004: MS, Penn State
2008: MS, MIT
+
+
+
2008: Junior Analyst, P&G
2012: DB Specialist, Google
2016: Senior Analyst, Google
1998: Voted Democrat
2003: Voted Democrat
2008: No Record
2014: Pneumonia
2015: Decayed Teeth
2016: none
Data Analysis / Science
Academic Achievements
Samsung Smartphones
CAR: Honda
CLOTHES: AE
ELECTRONICS: SAMSUNG
+
+
+
+
name s_name job age siblings car hobby referer shopping News recent buy m_status
Burnn William tech 37 2 Civic reading xyz.com 3 NBC Clothes_ae Divorced
Big Data & Profiling (2)
- ProfileofaCustomer(Example)

5. Big Data Players
3 / 16
Source: Future of Privacy Forum (https://fpf.org/wp-content/uploads/2009/11/data.gif)
But what about the businesses that provide services for consumer-facing
companies? The partners and third-parties that operate behind the scenes?
Typically they’re ISPs, cloud services or even content-delivery networks (CDNs),
through which 45 percent of the internet’s traffic passes. They kept the Olympic
games streaming fast and uninterrupted. They’re handling billions of transactions
for e-commerce sites. What many people don’t realize is that these third-parties
could also be tracking and selling their online behaviors as data.
“You might be surprised to learn who’s collecting your data (‘16. 10. 1. TechCrunch)”
- WithaDemo(Ghostery,Panopticlick)

6. Definition of Profiling (1)
4 / 16
 Psychological Profiling
 Victimology Profiling
 Criminal Profiling (Offender Profiling)
 Racial Profiling
 Data Profiling
 Digital Profiling
 Behavioral Profiling
 Geographic Profiling
 Gender Profiling
 Forensic Profiling
 Sexual Orientation Profiling
 DNA Profiling
 Consumer Profiling
 Audience Profiling
.
.
.

7. Definition of Profiling (2)
5 / 16
Profiling means any form of automated processing of personal
data consisting of the use of personal data to evaluate certain
personal aspects relating to a natural person, in particular to
analyse or predict aspects concerning that natural person's
performance at work, economic situation, health, personal
preferences, interests, reliability, behaviour, location or
movements;
GDPR Article 4 – Definition (4)
‘프로파일링’이란 자연인과 관련되는 일정한 개인적인 측면을 평가하
기 위하여, 특히 그 자연인의 업무성취, 경제적 상황, 건강, 개인적인
선호, 관심, 신뢰성, 행동, 위치나 이동에 관한 측면을 분석하거나 예
측하기 위하여 그들 정보를 이용하는 것을 포함하는 개인정보의 자동
화된 처리의 형태를 의미한다.
(EU 개인정보보호법 (함인선, 2016))
Keywords
① any form of
- 형태와 무관
② automated processing of personal data
- “개인정보”의 “자동화” 처리
- “excludes human intervention”
③ to evaluate certain personal aspects
- 평가 목적의 존재
④ (in particular) analyse or predict
- 특히, 분석이나 예측을 중심으로

8. Profiling & Monitoring
6 / 16
In order to determine whether a processing activity can be
considered to ‘monitor the behaviour’ of data subjects, it
should be ascertained whether individuals are tracked on the
internet with data processing techniques which consist of
profiling an individual, particularly in order to take decisions
concerning her or him or for analysing or predicting her or his
personal preferences, behaviours and attitudes.
Recital 21 of GDPR
처리 행위가 정보주체에 대한 ‘행위 감시(behaviour monitoring)’로
인정될 수 있는지 결정하기 위해서는 개인에 대한 프로파일링에 해당
하는 개인정보 처리 기법(techniques)에 의해 개인이 인터넷에서 추
적되는지 여부가 확인되어야 하는데, 이는 특히 개인의 성향, 행위, 태
도에 대한 예측이나 분석 또는 개인에 관한 결정을 내리기 위한 것이
어야 한다.
(역, Presenter)
Keywords
① data subjects
- 정보주체의 식별
② tracked on the internet
- 인터넷에서의 추적
③ techniques consisting of profiling
- 프로파일링 기법의 사용
④ (particularly) to take decisions, analyse,
or predict
- 특히, 결정, 분석, 예측 목적으로

9. Best Practice
for prosperity of online business models
based on direct marketing
7 / 16
Two sides of the same coin
Potential Risk
to personal data protection resulting in
discrimination against natural person
“Facial-Recognition Software Might Have a
Racial Bias Problem” (racial profiling)
April 7, 2016. The Atlantic
Europe for D.S.M.
vs.
Innovative U.S. Tech Giants

10. 프로파일링
적용 사례 (실제 또는 잠재)
Behavioral
Advertising
 이용자 온라인 행태 분석에 따
른 맞춤형(타게팅) 광고 제공
- Cookie, Login, Fingerprinting, etc.
Credit Risk
Analysis
 개인 자산 및 투자 계획 기반
- 일시불 또는 할부 구매 결정
 기업 또는 공공의 평가
- 대출, 사회보장(복지) 결정
Insurance Risk
Analysis
 보장 제공 여부 및 계약 조건
- 개인 risk factor & 유사집단 비교
 보험 사기 분석
E-Recruitment
 자동화된 채용 결정
- 연봉, 부서, 고용기간, fringe benefit
프로파일링은
기업 또는 공공 모두에 유용한 도구로 사용될 수 있으며, 특히 다음과 같은 영역에서 주목 받고 있음
8 / 16
Examples

11. 9 / 16
Cases (1)
자동화된 투자 결정
1) 투자 관련 개인정보&선호정보 수집
- 개인정보: 식별, 서비스 이용 필요정보
- 선호정보: 투자성격, 종목 카테고리, 거래시
간, 국내/해외, 현물/채권 등
2) 투자
- 사전에 수집된 개인정보 및 선호정보에 기반
하여 개인별 투자
- 사전에 수집된 정보를 유사 투자군에 대입하
여 단체 투자

12. 10 / 16
Cases (2)
자동화된 노출 결정
세계적 전자상거래 사이트인
Amazon.com은 모든 회원마다 상이한 화
면을 Home Page에 노출하는 자동화된
결정을 수행. 다음과 같은 개인정보 및 선
호정보에 기반
- 개인정보, Referer, 장바구니에 담긴 상품,
기존 구매내역, 기존 구매상품을 구매한 다른
이용자들이 구매한 상품, 기존 동일 상품군 구
매에 지불한 액수, (생필품) 동일 상품의 전회
구매시기, AD Network 제공정보 등

13. 11/ 16
Google reCAPTCHA
- 기존의 ‘CAPTCHA’는 ‘방문하는 네가
bot이 아닌 것을 증명해라’인데,
Google의 reCAPTCHA는 ‘방문하는
네가 사람인 것을 증명해라’
- invisible textarea(Javascript bot
거름용도)를 비롯, usertime on
page, bots IPs, referer, # of
requests, mouse movement 등 다
양한 정보에 기반
Source: How does Google’s No CAPTCHA reCAPTCHA work? (http://qnimate.com/how-does-googles-no-captcha-recaptcha-work/)
Cases (3)
- AskYourself:Isthisprofiling&automateddecision?(Example)

14. 12 / 16
Source: 98 personal data points that Facebook uses to target ads to you (’16. 8. 19. The Washington Post)
98 personal data points that Facebook uses to target ads to you
1. Location
2. Age
3. Generation
4. Gender
5. Language
6. Education level
7. Field of study
8. School
9. Ethnic affinity
10. Income and net worth
11. Home ownership and type
12. Home value
13. Property size
14. Square footage of home
15. Year home was built
16. Household composition
17. Users who have an anniversary within 30 days
18. Users who are away from family or hometown
19. Users who are friends with someone who has an anniversary, is ne
moved, or has an upcoming birthday
20. Users in long-distance relationships
21. Users in new relationships
22. Users who have new jobs
23. Users who are newly engaged
24. Users who are newly married
25. Users who have recently moved
26. Users who have birthdays soon
27. Parents
28. Expectant parents
29. Mothers, divided by “type” (soccer, trendy, etc.)
30. Users who are likely to engage in politics
31. Conservatives and liberals
32. Relationship status
33. Employer
34. Industry
35. Job title
36. Office type
37. Interests
38. Users who own motorcycles
39. Users who plan to buy a car (and what kind/brand of car, and how
40. Users who bought auto parts or accessories recently
41. Users who are likely to need auto parts or services
42. Style and brand of car you drive
43. Year car was bought
44. Age of car
45. How much money user is likely to spend on next car
46. Where user is likely to buy next car
47. How many employees your company has
48. Users who own small businesses
Cases (4)
- Facebookanditsautomatedprocessingofad-targeting

15. 13 / 16
visited
Cookie
Local
Storage
HTTP
Header
Referer
.
.
.
Logged-in
User
N.Logged-in
User
Analytics
P_ID Att_01 Att_02 Att_03 Att_04 Att_05 Att_06 Att_07 …
T_ID Att_01’ Att_02’ Att_03’ Att_04’ Att_05’ Att_06’ Att_07’ …
Multi-Device Tracking
Deterministic
Probabilistic
Impression
Cases (5)
- VirtualCaseOverview

16. Potential Privacy Risks of Profiling
14 / 16
The current EU and Benelux data protection framework was largely
developed in the nineties of the previous century. At that time, big
data and profiling techniques were still in their infancy. Since then,
rapid technological developments have increased both the potential
applications of Big Data and Profiling, but also the potential (privacy)
risks involved with the use of such techniques, as for example
1. the use of incorrect and/or outdated information for profiling;
- 부정확한 또는 더 이상 유효하지 않은 정보의 사용
2. stigmatisation and/or discrimination of certain (groups of) people;
- 특정 사람(단체)들에 대한 낙인 또는 차별
3. limitation of freedom of information and choice: for instance, if
websites only show information which the individual is expected to
be interested in based on profiling, the individual may not be
provided with other information he/she would consider interesting
or helpful;
- 정보와 선택의 자유 제한
4. excessive processing of personal data, which would be contrary to
the principle of data minimisation; and
- 개인정보 최소화 원칙에 반한 과도한 개인정보의 처리
5. processing of personal data for other purposes than for which they
were collected.
- 수집 목적 외의 개인정보 처리
Source: GDPR – Big Data and Profiling (http://www.loyensloeff.com/en-us/news-events/news/gdpr-big-data-and-profiling, 2016)

17. Profiling & Users’ Right (1)
15 / 16
The data subject shall have the right not to be subject to a
decision based solely on automated processing,
including profiling, which produces legal effects concerning
him or her or similarly significantly affects him or her.
GDPR Article 22 1.
정보주체에 대해 법적 효과 또는 이와 유사한 수준의 중대한 효과를
창출하는 오로지 자동화된 개인정보의 처리(프로파일링을 포함)에 기
반한 결정의 대상이 되지 않을 권리를 보유하고 있다.
(역, Presenter)
Keywords
① decision
- 자동화된 처리결과에 따른 특정 행동의 발
생(결과)을 의미. 단순 분석은 제외
② solely
- 비자동 처리 및 human intervention (X)
③ legal effects or a similar significant
effects
- 불분명, 단 GDPR Recitals에서는 신용카
드 발급신청, 온라인 채용심사 거절 등의 예
시  계약, 채용 포함 포괄적 개념 유추

18. Profiling & Users’ Right (2)
16 / 16
2. Paragraph 1 shall not apply if the decision:
(a) is necessary for entering into, or performance of, a
contract between the data subject and a data controller;
(b) is authorised by Union or Member State law to which the
controller is subject and which also lays down suitable
measures to safeguard the data subject's rights and freedoms
and legitimate interests; or
(c) is based on the data subject's explicit consent.
GDPR Article 22 2.
(a) 계약의 성립 또는 이행을 위해 필요한 경우,
(b) 정보주체의 권리, 자유, 합법적 이익을 보호하기 위해 필요한 조치
로서 개인정보처리자가에 적용되는 법에 의해 승인되는 경우,
(c) 정보주체의 명시적 동의를 받은 경우.
(역, Presenter)
Keywords
① shall not apply if
- 일정 조건하에서의 면제(exemptions for
profiling)를 규정
② contract
- 개인정보처리자와 정보주체간의 계약의
이행 등을 위한 경우로 한정
③ explicit consent
- 정보주체의 명확한 동의에 기반한 경우
 Profiling 거부는 절대적 권리가 아님

19. 감사합니다
이 문서는 나눔글꼴로 작성되었습니다. 설치하기