월드코인재단(World Foundation) 생체정보(Biometric Data) 동의서
World Foundation 생체인식 데이터 동의서
요약. Orb에서 인증할 때 동의를 요구하는 사항을 빠르게 숙지할 수 있도록 마련되었습니다. 자세한 정보는 아래 동의서 전문을 확인하십시오. World 프로젝트에 참여하기 위해 이 생체인식 데이터 동의서에 반드시 동의해야 하는 것은 아닙니다. 선택 사항은 다음과 같습니다. (아래 선택 사항 중 일부(특히, 데이터 수탁)는 거주 관할권에서 제공되지 않을 수 있습니다. 10항을 확인하고 자세한 내용은 부록을 참조하십시오.)
당사의 요청 포털 또는 World App의 개인정보 보호 탭을 사용하여 언제든지 이 생체인식 데이터 동의서에 대한 동의를 철회할 수 있습니다. “고유성 증명” 번호(홍채코드)를 삭제하려면 이 포털(www.world.org/requestportal)에서 World ID도 삭제해야 합니다. |
전체 공개 내용을 읽고 동의서에 서명해야 Orb에 생체인식 정보를 제공할 수 있습니다. 일리노이주, 텍사스주, 워싱턴주 또는 포틀랜드주, 오리건주 또는 메릴랜드주 볼티모어에 거주하는 경우 Orb에 생체인식 정보를 제공할 수 없습니다.
World 커뮤니티에 참여 범위를 확대해 주셔서 감사합니다. World는 개발자, 개인 및 기타 기여자로 구성된 글로벌 커뮤니티의 지원을 받는 오픈 소스 프로토콜입니다. 개인정보 보호는 회사의 핵심 가치입니다. 당사는 최소한의 데이터만을 요구하는 고유성 증명과 인간 증명(인격증명)을 제공합니다. 여권이나 공식 서류는 필요하지 않으며, 이름도 요구하지 않습니다.
World Foundation(이하 “Foundation”, “당사”, “당사의” 또는 “당사를”)은 World 프로토콜 관리자입니다. 당사는 개인정보 처리방침과 본 생체인식 데이터 동의서에 따라 개인 데이터 처리(수집, 사용, 저장, 공개 및 삭제)합니다. 개인정보 처리방침에서는 웹사이트, 애플리케이션 및 기타 서비스를 통해 수집된 데이터에 적용되며, 생체인식 데이터 동의서에서는 당사가 Orb 기기를 통해 수집한 생체인식 데이터를 처리하는 방법에 대해 설명합니다. 이 두 문서는 함께 적용되며, 모두 World 프로젝트에 참여함으로써 개인정보가 어떻게 영향을 받는지 자세히 설명되어 있습니다. 개인정보 처리방침 및 생체인식 데이터 동의서는 사용자 이용 약관의 일부를 구성하며, 그에 따라 규율됩니다.
또한, 당사는 World를 출시하는 모든 관할권에 기본적으로 개인정보 보호 중심 설계 원칙을 적용합니다. 출시 전 현지 개인정보 보호법에 대한 광범위한 사전 평가를 수행하며, World가 전 세계 프로젝트임에도 현지 규정을 준수하기 위해 최선을 다하고 있습니다. 또한 당사는 거주 국가의 데이터 개인정보 보호법에서 당사가 개인 데이터를 이용하는 방식을 달리 제한하지 않더라도 아래 2.2항(및 3.4항, 거주 관할권 및 이를 활성화한 국가에서 데이터 수탁이 허용되는 경우)에 명시된 목적으로만 개인 데이터를 이용합니다.
이 생체인식 데이터 동의서는 네 부분으로 구성되어 있습니다.
1. World 프로젝트 배경
2. 생체인식 데이터 처리에 대한 동의
3. 데이터 수탁 활성화
4. 데이터 주체의 권리
1. 배경
1.1 World 프로젝트
World는 모든 사람이 글로벌 경제를 접할 수 있도록 돕기 위해 만들어진 오픈 소스 프로토콜 또는 시스템입니다. 이는 분산형 구조로 설계되어 궁극적으로 감독과 의사 결정은 전 세계 사용자 커뮤니티에 맡겨집니다. 무엇보다 World는 World ID를 통해 점점 더 발전하는 인공지능이 지배하는 온라인 세계에서 인간임을 증명하는 데 중요한 역할을 할 수 있습니다. World ID 인증은 18세 이상이면 누구나 무료로 이용할 수 있습니다.
1.2 Orb
보안 인증을 구현하기 위해 Orb라는 독점 기기를 개발했습니다. 신분증이나 기타 신원에 관한 정보를 제공하지 않아도 “고유한 사람”임을 확인할 수 있습니다. Orb는 눈(특히 홍채)과 얼굴(머리와 어깨 모두)의 고해상도 이미지를 연속으로 캡처합니다.
1.3. 컨트롤러
당사는 Orb(소재지: Suite 3119, 9 Forum Lane, Camana Bay, PO Box 144, George Town, Grand Cayman KY1-9006, Cayman Islands)를 통해 수집된 이미지와 생체인식 데이터의 데이터 컨트롤러입니다. World Foundation은 케이맨 제도로 데이터를 이전하지 않고도 데이터 처리가 가능하도록 유럽 연합에 별도 사업장을 운영하고 있습니다.
1.4 생체인식 데이터 처리에 따른 위험
당사가 수집하는 데이터(위 설명 참조)는 거주하는 지역의 관련 법률에 따라 개인 데이터 또는 생체인식 데이터로 간주될 수도 있고 그렇지 않을 수도 있습니다. 하지만, 보안 측면에서 당사는 이를 생체인식 데이터로 취급하고 추가 보안을 적용하고 주의를 기울여 취급합니다. 이에 따라 생체인식 데이터를 처리할 때 수반되는 위험은 다음과 같습니다. 이는 생체인식 데이터 처리와 관련된 위험에 대한 간략한 설명일 뿐이며 전체 목록은 아닙니다.
생체인식 데이터는 사용자에게 고유하며 변경할 수 없습니다. 즉, 생체 인식 데이터가 다른 데이터와 연결되면 다른 데이터를 통해 사용자를 연관지을 수 있습니다. 이를 방지하고 이러한 위험을 최소화하기 위해 당사는 World App 계정, World ID 사용 및 거래하는 가상화폐지갑에서 생체인식 데이터가 분리되도록 영지식 증명을 사용합니다.
생체인식 데이터가 가진 고유한 위험은 다음과 같은 경우에 발생할 수 있으며, 당사는 다음과 같은 방법으로 이를 방지하려고 노력합니다.
생체인식 데이터는 사이버 공격으로 인해 유출될 수 있습니다. 당사는 업계 표준 이상의 사이버 보안 조치를 통해 이를 방지합니다.
생체인식 데이터는 정부에서 요청할 수 있습니다. 당사는 정부의 불균형적이고 부당한 요청에 대해 이의를 제기함으로써 이를 방지합니다.
생체인식 데이터는 데이터 컨트롤러가 남용할 수 있습니다. 당사는 Foundation의 정관에 World 프로젝트의 비영리 목적을 명시하여 이를 방지하고 있습니다.
2. 생체인식 데이터 처리에 대한 동의
2.1 수집하는 데이터
동의하에 당사는 Orb를 사용하여 다음과 같은 생체인식 및 개인 데이터를 수집합니다.
홍채와 눈의 이미지.이 이미지는 가시광선 및 근적외선 스펙트럼에서 수집됩니다. 아래 2.3항에 설명된 대로 알고리즘은 완벽하지 않으며 이미 Orb에 가입했다고 잘못 판단하는 등 실수를 할 수 있습니다.
얼굴 이미지.이 이미지는 가시광선, 근적외선 및 원적외선 스펙트럼에서도 수집됩니다. 또한 (3D) 깊이 이미지를 수집합니다. 이 이미지는 사용자가 실제 사람인지 확인하는 데 사용되므로 사기를 감지 및 방지하고 사기 방지 알고리즘을 학습시키는 데 도움이 됩니다(이러한 얼굴 이미지와 홍채 이미지를 함께 “이미지 데이터”라고 함).
위 데이터의 2차 데이터. 복잡한 최첨단 알고리즘과 자체 신경망을 사용하여 위 이미지를 수치로 표현(이하 ““2차 데이터””)하여 기계 간 비교 및 상호 작용을 가능하게 합니다. 이러한 2차 데이터는 이미지의 특징을 수반하는 숫자 문자열(예: “10111011100…”)입니다. 2차 데이터를 원본 이미지로 완전히 반전시키는 것은 불가능합니다. 가장 중요한 점은 홍채 이미지(“홍채코드”)에서 숫자 문자열을 계산하기 위해 Daugman 알고리즘의 사용자 지정 버전을 사용한다는 것입니다. 또한 이 홍채코드를 SMPC 조각으로 익명화하여 사용자가 한 번만 가입할 수 있도록 합니다.
중요!당사는 사용자가 고유한 사람인지 확인하기 위해 이미지 데이터를 수집하고 있습니다. 즉, 시스템은 사용자가 실제 사람인지(생동성), Orb에 처음 방문했는지(고유성)를 확인하기 위해 설계되었으며, 이미지 데이터를 사용하여 사용자가 누구인지(신원 확인)는 하지 않습니다.
당사는 홍채코드를 신뢰할 수 있는 기관들이 다자간 전산 시스템에 저장한 조각으로 분할하여 익명화합니다. 이에 대한 자세한 내용은 https://world.org/blog/announcements/worldcoin-foundation-unveils-new-smpc-system-deletes-old-iris-codes에서 확인할 수 있습니다.
당사가 수집하는 데이터(위 설명 참조)는 거주하는 지역의 관련 법률에 따라 개인 데이터 또는 생체인식 데이터로 간주될 수도 있고 그렇지 않을 수도 있습니다. 하지만, 보안 측면에서 당사는 이를 생체인식 데이터로 취급하고 추가 보안을 적용하고 주의를 기울여 취급합니다. 이미지 데이터를 수집하는 법적 근거는 사용자의 명시적 동의입니다. 홍채 코드와 같은 이미지 데이터의 파생 정보를 계산하고 이를 익명화하여 당사 데이터베이스와 적극적으로 비교할 수 있는 법적 근거는 사용자의 명시적 동의입니다.
2.2 이 데이터로 수행하는 작업
당사는 위의 데이터를 다음 목적으로만 사용합니다(단, 아래 설명된 데이터 수탁 기능을 활성화한 경우는 제외).
홍채코드 계산
다른 홍채코드와 사용자의 홍채코드 비교
보안 및 사기 방지. 구체적인 예는 다음과 같습니다.
감지된 얼굴 온도가 정상적인 사람의 체온 범위와 일치하는지 확인하여 사용자가 실제 사람인지 감지합니다.
가입 시 얼굴의 변화 여부를 확인하여 변형되지 않고 방해 요소가 없는 자연적인 상태의 사람 홍채인지 감지합니다.
로컬에 저장된 얼굴 이미지의 2차 데이터를 처리하여 해당 당사자가 이미 Orb 앞에 나타난 적이 있는지 감지합니다.
2차 데이터에 대한 모든 계산은 Orb에서 로컬로 이루어집니다.
당사는 위에 설명한 목적 외 다른 목적으로 World 프로젝트에 참여하지 않는 다른 사람과 이미지 또는 이미지의 2차 데이터를 공유하지 않습니다.
2.3 정확성
당사의 소프트웨어는 확률을 사용하여 이전에 Orb에 가입했었는지 결정합니다. 그것은 완벽하지 않습니다. 따라서 이전에 Orb에 이미 가입했다고 잘못 결론지을 수 있습니다. 현재로서는 사용자가 오류로 의심되는 사항을 신고하거나 알고리즘 결정에 이의를 제기할 수 있는 방법이 없습니다. 이 생체인식 데이터 동의서에 동의함으로써 이러한 자동화된 의사 결정에 동의하는 것으로 간주됩니다.
2.4 생체인식 데이터 동의서에 대한 동의는 World에 참여하기 위한 필수 조건이 아닙니다
World에 참여하기 위해 이 생체인식 데이터 동의서에 반드시 동의해야 하는 것은 아닙니다. 이에 동의하지 않고도 계정을 만들고 World 가상화폐지갑을 만들 수 있지만, World 사용자 이용 약관에 동의하고 당사의 개인정보 처리방침을 읽고 확인해야 합니다. 또한, 이 생체인식 데이터 동의서에 동의하지 않으면 고유한 인격증명 설정과 같은 World의 특정 기능에 참여할 수 없습니다.
2.5 동의 철회
아래 연락처로 당사에 연락하여 동의 철회를 포함한 데이터 주체로서 권리를 행사할 수 있습니다.
World 요청 포털 또는 World Foundation (주소: Suite 3119, 9 Forum Lane, Camana Bay, PO Box 144, George Town, Grand Cayman KY1-9006, Cayman Islands)
동의를 철회하면 당사는 더 이상 위에 명시된 목적으로 개인 데이터를 사용하지 않지만, 동의하에 수행된 이전의 모든 활동은 계속 유효합니다. 홍채코드 보관과 같이 동의에 근거하지 않는 처리는 동의를 철회하더라도 영향을 미치지 않습니다.
3. 데이터 수탁 활성화
일부 관할권에서는 규제 요건으로 인해 데이터 수탁이 비활성화될 수 있습니다. 이 옵션의 사용 가능 여부는 아래 부록을 확인하십시오.
3.1 World 프로젝트 현황
시스템 적격성 판단의 정확성을 높이기 위해 알고리즘 소프트웨어를 지속적으로 학습시켜야 합니다. “학습”은 소프트웨어가 인간과 비인간을 구별하고 한 사람을 다른 사람과 구별하는 방법을 “학습”할 수 있도록 여러분과 같은 실제 사람의 이미지를 사용하는 것을 의미합니다. 소프트웨어가 학습되고 개선됨에 따라 수시로 업데이트할 예정입니다. 이 경우, 당사는 사용자의 고유한 디지털 ID를 다시 인증해야 할 수 있으며, 이를 위해 이미지 데이터를 다시 사용해야 합니다.
3.2 데이터 수탁
이 생체인식 데이터 동의서에 동의하면 앱에서 “데이터 수탁 활성화”를 요청합니다. 사용자가 (선택 사항) 데이터 수탁에 동의하면 당사는 다음을 수행할 수 있습니다.
Orb에서 수집하고 계산한 이미지 데이터 및 2차 데이터 보관
이미지 데이터를 유럽연합 및 미국에 있는 당사 팀으로 전송
이미지 데이터를 사용하여 아래 설명된 대로 소프트웨어를 지속적으로 개발 및 개선
이미지 데이터에 인식된 성별, 대략적인 연령대, 피부색으로 레이블을 지정하여 전 세계의 다양성을 고려하여 알고리즘에 공정성을 학습시킵니다.
이미지 데이터가 있으면 소프트웨어를 업데이트할 때 디지털 ID를 다시 확인하기 위해 Orb에 다시 접속할 필요가 없으므로 불편함을 피할 수 있습니다. 또한 이미지 데이터를 사용하여 시스템을 개선하고 World를 전 세계에 더 빠르게 출시할 수 있기 때문에 도움이 됩니다. 다시 한 번 말씀드리지만, 데이터 수탁 기능을 활성화할 필요는 없지만, 이를 활성화하면 사용자와 당사에 많은 도움이 되므로 부탁드립니다.
3.3 데이터 수탁을 활성화할 때 수집하는 데이터
생체인식 데이터 동의서에 동의하는 경우, 당사는 위의 II.1항에 설명된 대로 홍채 이미지와 얼굴 이미지를 수집합니다. 데이터 수탁에 동의하더라도 당사가 수집하는 이미지 데이터는 변경되지 않습니다.
3.4 사용자가 데이터 수탁을 활성화할 때 당사가 데이터로 수행하는 작업
생체인식 데이터 동의서에 동의하면 당사는 2.2항에 설명된 목적으로 해당 데이터를 사용합니다. 또한 데이터 수탁을 활성화하는 경우, 당사는 다음과 같은 추가 목적으로 데이터를 사용합니다.
홍채코드를 계산하는 알고리즘이 업데이트되면 자동으로 홍채코드가 업그레이드됩니다.
홍채코드 및 2차 데이터 계산을 최적화하고 개선합니다.
수집된 데이터에 레이블을 지정합니다.
데이터를 사용하여 레이블 담당 직원을 교육하고 지정합니다.
사람의 홍채와 얼굴 이미지를 인식, 분할, 구분하는 알고리즘을 개발하고 학습시킵니다.
사람이 레이블을 지정한 결과와 비교하여 알고리즘을 테스트합니다.
알고리즘에서 편향을 감지하고 제거합니다(예: 대략적인 성별, 연령대 및 피부색에 레이블을 지정하여 알고리즘에 공정성을 학습시킴).
사용자가 실제 사람의 눈을 제시하는 사람인지, 가입이 유효한지를 감지하는 시스템을 개발, 교육 및 테스트합니다.
알고리즘의 추가 학습을 위해 인공 홍채 이미지를 사용하는 모델을 개발, 학습시키고 테스트합니다.
Orb 성능 및 사용자 경험을 개선하는 모델을 개발, 학습 및 테스트합니다.
이러한 시스템을 사용하는 직원을 교육하고 평가합니다.
당사는 절대 개인 데이터를 판매하지 않습니다. 또한 본 양식에 기재된 어떠한 데이터도 사용자를 추적하거나 제3자 제품을 광고하기 위해 사용하지 않습니다.
4. 데이터를 공유하는 대상
당사가 개인 데이터를 조직 외부로 공유할 때, 항상 다음을 준수합니다.
안전한 방법으로 공유합니다.
개인정보 보호에 대한 당사의 약속에 부합하는 방식으로 처리되도록 조치를 취합니다.
다른 회사가 자체 목적으로 사용하는 것을 금지합니다.
당사는 다음과 같이 제한적으로 개인 데이터를 공유합니다.
Tools for Humanity:당사는 서비스 제공업체 중 하나인 Tools for Humanity와 업무를 수행하는 데 데이터가 필요한 팀원에게만 데이터를 공개합니다. 특정 업무를 수행하는 데 필요한 데이터만 공개하고 엄격한 접근 통제 시스템을 갖추고 있습니다.
5. 데이터 이전(발생 가능한 위험 포함)
데이터 수탁을 활성화하고 이에 따라 3.4항에 설명된 목적으로 당사가 데이터를 사용하는 데 동의한 경우 당사는 일반적으로 해당 데이터를 당사의 연구 개발(“R&D”) 팀으로 이전하며, 이로 인해 개인 데이터가 수집된 국가 외부로 이전될 수 있습니다. 이 팀들은 현재 유럽연합과 미국에 위치하고 있습니다. 당사의 개인정보 처리방침에서는 당사에서 데이터를 보호하고 데이터 국외 이전에 관한 법률을 준수하는 방법을 설명합니다. 개인정보 처리방침의 6항에 데이터 국외 이전 시 발생할 수 있는 위험에 대해 설명되어 있습니다.
당사는 사용자의 동의하에 이미지 데이터를 EU, 미국, 브라질, 인도, 싱가포르, 남아프리카 공화국에 있는 지역별 데이터 저장소에 저장합니다. 이러한 관할권에 가입하는 경우 사용자의 데이터는 해당 지역에 저장됩니다. 다른 국가에서 가입하는 경우 이미지 데이터는 지연 시간 및 네트워크 가용성에 따라 해당 저장소 중 한 곳에 저장됩니다. 예:
EEA, 스위스 또는 영국에서 가입하는 경우, 이미지 데이터는 EU에 저장됩니다.
케냐, 우간다, 가나 또는 나이지리아에서 가입하면 가입 시점의 지연 시간에 따라 이미지 데이터가 남아프리카 공화국 또는 EU에 저장될 수 있습니다.
인도네시아에서 가입하면 가입 시점의 지연 시간에 따라 이미지 데이터가 싱가포르 또는 인도에 저장될 수 있습니다.
멕시코에서 가입하면 가입 시점의 지연 시간에 따라 이미지 데이터가 미국 또는 브라질에 저장될 수 있습니다.
칠레, 아르헨티나 또는 콜롬비아에서 가입하면 이미지 데이터가 브라질에 저장될 가능성이 높습니다.
기계 학습 목적으로 모든 이미지 데이터는 추후에 유럽연합 및 미국으로 이전되어 저장됩니다.
다음은 당사가 개인 데이터를 미국, 유럽연합 또는 다른 국가로 이전할 때 발생할 수 있는 위험의 목록입니다. 각 위험을 완화하는 방법도 요약되어 있습니다.
당사는 프로세서(즉, “협력업체”)가 개인 데이터를 적절히 보호할 계약상 의무를 이행하도록 최선을 다하고 있지만, 사용자 거주 국가의 데이터 개인정보 보호법의 적용을 받지 않을 수 있습니다. 협력업체가 승인 없이 사용자의 데이터를 불법적으로 처리하더라도 해당 업체를 상대로 개인정보 보호 권리를 주장하기 어려울 수 있습니다. 당사는 협력업체와 엄격한 데이터 처리 계약을 체결하여 GDPR 수준와 유사한 수준으로 데이터를 보호하고 데이터 주체의 요청 이행을 의무화하여 이러한 위험을 완화하고 있습니다.
거주 국가의 데이터 개인정보 보호법이 미국 또는 EU의 데이터 개인정보 보호법과 다를 수 있습니다. 당사는 항상 적용되는 가장 엄격한 데이터 보호 표준을 준수하기 위해 노력합니다. 지금까지 GDPR이 가장 엄격한 표준임을 확인했으며, 모든 데이터를 GDPR 적용 대상처럼 취급하고 있습니다.
개인 데이터를 정부 공무원과 당국에서 확인할 수도 있습니다. 이러한 경우 당사는 무효이거나 과도하거나 불법적인 정부의 접근 요청에 대해 법원에 이의를 제기할 것을 약속합니다. 또한 고급 암호화를 사용하여 무단 접근을 차단합니다.
이 목록에는 일부 예시를 제공하며, 가능한 모든 위험 요인이 포함되어 있지 않습니다.
당사는 생체인식 데이터를 판매, 임대, 거래하거나 달리 이를 통해 수익을 얻지 않습니다.
6. 데이터 보관
데이터 수탁에 동의하지 않는 경우, 당사는 가입 직후 이미지 데이터를 삭제합니다. 자체 관리를 위해 다운로드할 수 있는 데이터 번들의 경우도 마찬가지입니다. 홍채코드는 익명화된 방식으로만 저장하며, 사용자는 포털( https://world.org/requestportal)에서 데이터 주체로서 권리를 행사할 수 있습니다. 다음은 데이터 수탁 사용자에게만 적용됩니다. 당사는 알고리즘의 개발 및 개선이 완료될 때까지 또는 법률 또는 규정에 명시된 경우 데이터 수탁 이미지 데이터를 보관합니다. 어떤 경우든 당사는 사용자가 요청하면 이미지 데이터를 삭제합니다. 또한, 알고리즘 개발과 그에 따른 모든 이미지 데이터의 삭제가 더 빠르게 수행될 수 있지만, 수집 후 최대 10년 후에는 모든 이미지 데이터를 삭제할 것을 약속합니다.
7. 자체 관리 및 재인증(일부 관할권에서 이용 가능 여부에 따름)
자체 관리가 가능한 경우 당사는 사용자의 얼굴과 눈 이미지 및 Orb(데이터 번들)에서 계산된 이미지 데이터의 2차 데이터를 엔드 투 엔드 암호화된 방식으로 사용자의 휴대폰으로 전송합니다(즉, 데이터를 읽을 수 없습니다).
당사는 데이터 번들을 휴대폰으로 전송한 후 시스템에서 데이터 번들(홍채코드 제외)을 영구적으로 삭제합니다(다운로드 실패 등의 경우 늦어도 1개월 후에 삭제합니다). 자체 관리를 위해 당사는 다음과 같은 목적으로 다음 데이터를 처리합니다.
휴대폰으로 얼굴 사진을 찍어(셀카) 2차 데이터(얼굴 템플릿)로 변환합니다. 1:1 비교를 위해 설계된 이 얼굴 템플릿을 사용하면 향후 World ID를 사용할 때 일부 요구될 수 있는 World ID의 올바른 소유자임을 증명할 수 있습니다. 이를 통해 다른 사람이 사용자의 World ID 사용을 방지할 수 있습니다. 얼굴 인증을 하기 전에는 매번 동의를 요청합니다.
데이터 수탁 및 기타 기능에 대한 지연된 동의를 통해, 사용자가 원할 경우 데이터를 서버나 데이터베이스로 전송할 수 있습니다. 지연된 데이터 수탁 동의를 하기 전에는 동의를 요청합니다.
8. 데이터 보안 및 데이터 보호 영향 평가
데이터 보호 영향 평가를 실시하여 데이터 처리가 적절하고 규정을 준수한다는 결론을 내렸습니다. 영향 평가의 주요 결과와 요약은 여기에서 확인할 수 있습니다. 다음 조치를 통해 개인 데이터를 보호합니다.
내부 IT 인프라의 모든 서비스에 대한 몇 가지 요소 인증
TLS 이전, 미사용 시 암호화, 두 번째 암호화 계층, 별도의 하드웨어에 저장된 암호 해독 키
생체인식 데이터와 다른 사용자 데이터를 분리하고, 다른 서버(심지어 다른 AWS 계정) 및 데이터베이스 간의 링크를 적극적으로 제거
생체 인식 데이터를 저장하는 서버의 모든 내부 활동을 엄격하게 기록하여 의심스러운 활동은 즉시 플래그가 지정됨
접근 권한 제어 및 접근 권한 제거(알 필요가 있는 경우 접근 허용)
적십자사의 생체인식 정책을 모델로 한 내부 생체인식 데이터 처리 정책 시행
9. 데이터 주체의 권리
관할권에 따라 사용자는 개인 데이터에 관한 특정 권리를 갖습니다. 아래 정보를 부록과 함께 읽고 거주 관할권에 따라 행사할 수 있는 권리를 확인하십시오.
이러한 권리는 당사의 데이터베이스에서 요청자를 확인할 수 있으며, 요청자가 권리를 행사함으로써 다른 데이터 주체의 권리를 침해하지 않는 경우에 적용됩니다.
언제든지 당사가 처리하는 개인 데이터에 대한 정보를 요청할 권리가 있습니다. 당사로부터 개인 데이터 사본을 받을 권리가 있습니다.
개인 데이터가 부정확한 경우 즉시 이를 정정하도록 요청할 권리가 있습니다.
당사에 개인 데이터 삭제를 요청할 권리가 있습니다. 단, 특히 관련 법률에 삭제 요건이 명시된 경우(예: 여러 관할권의 법률에 따라 당사는 일정 기간 동안 의무적으로 거래 정보를 보관해야 함)에 한하여 개인 데이터가 수집 또는 달리 처리된 목적에 더 이상 필요하지 않은 경우에 삭제를 요청할 수 있는 권리가 부여됩니다.
동의에 근거한 데이터 처리에 대한 동의를 자유롭게 철회하거나 동의에 근거하지 않은 경우 데이터 처리에 이의를 제기할 권리가 있습니다.
10. 부록
아래 부록은 당사가 사업을 운영하는 각 시장에서 법률상 요구되는 정보입니다. 이 정보는 데이터 주체가 거주하는 지역에 따라 동의의 일부를 구성하며 특정 관할권에서 특정 서비스를 차단하기 때문에 이 정보는 사용자의 위치 정보와 다를 수 있습니다. 위 내용과 일치하지 않는 경우 아래에 나와 있는 특정 관할권에 대한 설명이 우선합니다.
특정 관할권에 대해 언급했더라도 이는 해당 관할권에서 World 프로토콜을 사용할 수 있음을 의미하지 않으며, 곧 사용 가능함을 보증하지 않습니다. 포함된 특정 관할권은 전 세계 여러 관할권에 대한 종합적인 법적 평가의 일환으로, 현재 작업이 진행 중임을 나타냅니다.
부록 A: 유럽경제지역 및 영국
유럽경제지역 또는 영국(“영국”)에 거주하는 경우 다음 사항이 적용됩니다.
데이터 수탁 옵션:사용 가능
자체 관리 기능:공지 후 사용 가능
사용자는 최소한 다음 권리를 갖습니다. GDPR에 따른 권리를 행사하려면 요청 포털을 통해 당사에 문의하십시오. 예외적인 경우를 제외하고는 법정 기한인 1개월 이내에 요청을 해결합니다. 아래 언급된 GDPR에는 영국-GDPR도 포함됩니다. 아래 언급된 GDPR에는 2018년 영국 데이터 보호법에 따라 영국 국내법으로 전환되고, 2018년 유럽연합(탈퇴)법 제3조 및 2019년 데이터 보호, 개인정보 보호 및 전자통신(수정 등)(EU 탈퇴) 규정(SI 2019/419) 제 1부에의해 수정되어, 잉글랜드 및 웨일즈, 스코틀랜드 및 북아일랜드 법률의 일부로 유지되는 영국-GDPR도 포함됩니다.
GDPR 제15조의 범위 내에서 당사가 처리하는 개인 데이터에 대한 정보를 언제든지 요청할 권리가 있습니다.
개인 데이터가 부정확한 경우 즉시 이를 정정하도록 요청할 권리가 있습니다.
GDPR 제17조에 명시된 조건에 따라 당사에 개인 데이터 삭제를 요청할 권리가 있습니다. 단, 개인 데이터가 수집 또는 달리 처리된 목적에 더 이상 필요하지 않은 경우, 불법적으로 처리된 경우, 유럽 연합 법률 또는 당사에 적용되는 회원국 법률에 따라 삭제할 의무가 있는 경우 삭제를 요청할 수 있는 권리가 부여됩니다.
GDPR 제18조에 따라 처리를 제한하도록 당사에 요구할 권리가 있습니다.
GDPR 제20조에 따라 당사에 제공한 개인 데이터를 구조화되고 일반적으로 사용되는 기계 판독 가능한 형식으로 제공받을 권리가 있습니다.
GDPR 제21조에 따라, 특히 GDPR 제6조(1)항 (1)(f)호에 근거하여 수행되는 개인 데이터 처리에 대해 특정 상황과 관련된 이유로 언제든지 이의를 제기할 권리가 있습니다.
컨트롤러가 수행하는 데이터 처리에 대한 불만이 있는 경우 관할 감독 기관에 연락할 권리가 있습니다. 담당 감독 당국은 바이에른주 데이터 보호 감독청(Bayerisches Landesamt für Datenschutz)입니다. 영국의 관할 감독 당국은 개인정보 감독기구(ICO)입니다.
개인 데이터 처리가 동의에 근거하는 경우, GDPR 제7조에 따라 언제든지 개인 데이터 사용에 대한 동의를 철회할 수 있습니다. 철회는 향후에 적용되며, 철회 절차는 동의와 동일하게 간단합니다. 철회는 향후에 효력이 발생합니다. 철회 전에 발생한 처리에는 영향을 미치지 않습니다.
부록 B: 일본
일본에 거주하는 경우 다음 사항이 추가로 적용됩니다.
사용자의 생체인식 데이터를 처리하여 홍채코드를 생성한 후에는 Orb에서 더 이상 개인 데이터를 처리하지 않습니다.
데이터 수탁 옵션:사용 가능
자체 관리 기능:사용 가능
B1: 일본 규정에 관한 정보
당사는 일본 개인정보 보호법(“APPI”)을 포함한 일본 법률 및 규정을 준수합니다. 이 조항은 생체인식 데이터 동의서의 다른 부분보다 우선하며, APPI에 정의된 “개인정보” 취급에 적용됩니다.
B2: 데이터 공유
본 생체인식 데이터 동의서 4항과 별개로 관련 법률에서 달리 허용하는 경우를 제외하고 당사는 제3자에게 개인정보를 공개, 판매, 제공, 공유 또는 이전하지 않습니다.
B3: 보안 통제 조치
본 생체인식 데이터 동의서 6항~8항과 관련하여 개인정보 취급에 관한 규칙을 정하고, 이에 대한 정기적인 모니터링, 직원 정기 교육, 개인정보 취급 시 사용되는 장비의 도난 또는 분실 방지, 접근 통제를 시행하는 등 취급하는 개인정보의 유출 또는 분실 또는 손상을 방지하고, 보안을 유지하기 위해 필요하고 적절한 조치를 취하고 있습니다. 또한 당사는 개인정보를 취급하는 계약업체와 직원을 적절히 감독합니다. 개인정보 취급과 관련하여 시행 중인 보안 통제 조치에 대한 자세한 내용을 얻으려면 당사의 요청 포털을 통해 당사에 연락하실 수 있습니다.
B4: APPI에 따른 법적 권리
APPI에 따른 권리를 행사하려면 요청 포털을 통해 당사에 문의하십시오.
부록 C: 아르헨티나
아르헨티나에 거주하는 경우 다음 항목이 적용됩니다.
데이터 수탁 옵션:사용 가능
자체 관리 기능:공지 후 사용 가능
법률 제25,326호에 따른 관리 기관의 자격으로 공공 정보 접근 기관이 개인 데이터 보호와 관련된 시행 규칙을 준수하지 않아 권리가 침해된 당사자가 제기한 불만 및 청구를 심리할 수 있음을 알려드립니다.
해당 기관 연락처입니다.
주소: Av. Pte. Gral. Julio A. Roca 710, 5th floor - Autonomous City of Buenos Aires
우편번호: C1067ABP
전화번호: (54-11) 3988-3968
이메일: [email protected]
부록 D: 싱가포르
싱가포르 거주자는 다음 항목이 적용됩니다.
데이터 수탁 옵션:사용 가능
자체 관리 기능:공지 후 사용 가능
D1. 개인 데이터의 수집, 사용 및 공개
싱가포르 거주자이고 동의한 경우 당사는 당사의 개인정보 처리방침에 명시된 각각의 목적으로 개인 데이터를 수집, 사용 또는 공개합니다. 언제든지 동의를 철회할 수 있지만, 당사는 요청의 성격과 범위에 따라 서비스를 계속 제공하지 못할 수 있습니다. 또한 동의를 철회하더라도 관련 법률에서 동의 없이 개인 데이터를 수집, 사용 및 공개하는 것이 허용되거나 명시되어 있는 경우 개인 데이터를 계속 수집, 사용 및 공개할 수 있는 당사의 권리에는 영향을 미치지 않습니다.
D2. 데이터 주체의 권리 행사
당사가 수집한 개인 데이터를 관리하고 당사의 요청 포털을 통해 연락하여 권리를 행사할 수 있습니다. 당사는 가능한 한 빨리, 보통 30일 이내에 요청에 응답합니다. 당사는 30일 이내에 요청에 응답할 수 없거나 요청을 이행할 수 없는 경우 그 사유를 알려드립니다.
법률이 허용하는 경우, 당사는 요청을 이행하기 위해 관리 수수료를 청구할 수 있습니다.
D3. 다른 국가로의 개인 데이터 이전
싱가포르 거주자이고 당사가 개인 데이터를 수집한 경우, 당사는 또한 때때로 해당 데이터를 싱가포르 외부로 이전할 수 있습니다. 하지만 당사는 [아세안 모델 계약 조항을 사용하는 등] 개인 데이터가 최소한 2012년 싱가포르 개인정보 보호법에 명시된 것과 유사한 수준의 보호를 받을 수 있도록 하고 있습니다.
부록 E – 한국
한국 거주자는 다음 항목이 적용됩니다.
홍채코드는 대한민국 법률에 따라 익명화된 데이터로 간주됩니다. 사용자의 생체인식 데이터를 처리하여(Orb에 남음) 홍채코드를 생성한 후에는 Orb에서 더 이상 개인 데이터에 접근하거나 다른 방식으로 처리하지 않습니다.
데이터 수탁 옵션:사용 불가
자체 관리 기능:사용 불가
부록 F - 브라질
브라질에 거주하거나 개인 데이터가 브라질에서 수집된 경우, 또는 브라질에서 서비스를 이용하는 경우 다음 항목이 적용됩니다.
홍채코드는 법률 제13,709/2018호(일반 데이터 보호법(“LGPD”))에 따라 익명화된 데이터로 간주됩니다. 사용자의 생체인식 데이터를 처리하여 홍채코드를 생성한 후에는 Orb 등록에서 더 이상 개인 데이터를 처리하지 않습니다.
데이터 수탁 옵션:사용 가능
자체 관리 기능:공지 후 사용 가능
F1. 생체인식 데이터
LGPD에 따라, 생체인식 데이터는 민감한 개인정보로 간주됩니다. 당사는 사용자가 명확하게 정의된 목적으로 명시적이고 구체적으로 동의한 경우에만 이 데이터를 처리합니다. 당사는 법률 또는 규제 의무를 준수하거나, 당사의 권리를 행사(계약상 권리 또는 법적 절차 포함)하거나, 사기를 방지하고 데이터 주체의 무결성을 보호하는 등 반드시 필요한 경우 특정 상황에서 동의 없이 생체인식 데이터를 처리할 수 있습니다.
당사는 사용자의 민감한 데이터를 보호하고 경우에 따라 당사자와 연결할 수 없도록 암호화 및 익명화를 포함한 고급 보안 조치와 기술을 사용하여 개인정보를 안전하게 보호합니다.
또한 대규모 데이터 세트를 결합하여 개별 식별자 또는 단일 개인에 대한 참조를 제거하여 데이터를 집계합니다. 당사는 사용자 행동 및 요구를 파악하고, 서비스를 개선하고, 비즈니스 인텔리전스 및 마케팅을 수행하고, 보안 위협을 탐지하고, 알고리즘을 학습시키는 등 상업적 목적으로 익명화되거나 집계된 데이터를 사용합니다. 또한 개인정보 수탁, 인증 및 홍채코드 생성을 위해 생체인식 데이터를 처리합니다.
당사는 사용자가 본 생체인식 데이터 동의서를 통해 명시적이고 구체적인 동의한 경우에만 위에 언급된 목적으로 생체인식 데이터를 사용합니다.
이 생체인식 데이터 동의서에 설명된 대로 자체 관리 또는 데이터 수탁을 선택하면 생체인식 데이터가 사용자의 기기에 저장됩니다. 이 경우, 당사는 World App 외부에서 사용자의 기기 저장 시스템에 접근하거나 제어할 수 없으므로 기기에 저장된 생체인식 데이터의 보안을 유지하기 위해 추가적인 보호 조치를 채택해야 합니다.
F.2 개인 데이터의 국외 이전
LGPD가 적용되고 당사에서 개인 데이터를 수집한 경우, 이를 국외로 이전할 수도 있습니다. 하지만 당사는 항상 개인 데이터가 ANPD의 적정성 결정에서 인정한 대로 LGPD에 규정된 수준의 보호를 제공하는 외국 또는 국제 기구로만 이전합니다. 적정성 결정이 없는 경우, 당사는 ANPD 규정에 명시된 표준 계약 조항을 사용하거나 사용자로부터 국외 이전을 강조하는 구체적인 동의를 얻어 LGPD에 규정된 수준과 최소 동등한 수준의 보호 기준을 따를 것입니다.
WFDCF20241112