CI/DI 헌법소원 논쟁

• 민변 보도자료 / 미디어 오늘 기사

• 질문

  • CI DI 차이 : 어떻게 생성하는지, 공유가 되는지 프로세스

  • CI 보다 DI 나은 건가? 누가 공개하도록 하는 거지?

  • CI가 민간으로 전달되는 과정에서 의사결정이 생략되는 단계가 어디일지 -q (어디에서 동의가 적용이 되어야 했는지?)

  • CI의 교류는 어떤 방법으로 이루어지고, 범위는 어느정도일지. -q

  • 규제샌드박스 ICT 규제샌드박스 때문에 CI/DI가 가능해졌다고 하는데, 그것이 무엇인지? 왜 만들어졌고 우리는 왜 그걸 몰랐는지? 누구를 위한 건지?

  • 왜 CI를 원하는지? https://signal.org/blog/the-instagram-ads-you-will-never-see/

• CI : 주민등록번호를 해시(복원이 불가능한 암호화 방법) 암호화 해서 하는 생성. 몇몇 기관들만 생성/발급 가능

  • 기업 주민번호가 저장 안되면서 KISA? NIA에서 CI(연계정보)를 새로 발명

  • CI는 주민번호를 그대로 해시한 것은 아님

  • 복호화를 막기 위해서 솔트(salt)를 추가함

    • CI는 몇개의 기업만 생성

    • 생성하는 기업은 한정 but 받을 수 있는 기업은 다양함

    • 서비스 업체로 부터 CI를 받음

    • 나이스, 다날 등을 통해서 본인인증 기능을 받음

      • 해당 업체를 통해 CI를 받음

      • 저장하는 것은 자유

      • 기업체들은 보통 발급받은 CI를 저장하고 있음

  • DI가 아닌 CI인 이유는?

    • DI를 가지고만 확인을 하면 중복가입을 막을 수 없음

    • 동일한 사람이라고 확인이 불가능

    • CI가 중복가입 방지용으로 활용

  • 금융업체에서 CI를 사용

    • 신용등급 제공 (KCB, 나이스)

    • 해당 이용자의 신용등급을 알려주라는 명령으로 나오는 것 CI,DI

    • 문제

      • 렌트카 서비스를 사용하지 않아도 고개의 CI 저장해 둠

      • CI를 가지고 서비스를 연동해서 사용할 수 있음.

      • CI를 가지고 다른 서비스들이 해당 CI를 같은 사람이라는 것으로 확인할 수 있음.

      • 주민번호를 못쓰게 했더니, 주민번호 암호화 업체를 만들고 서로 활용하고 있는 상황

  • 암호화 하는 것으로도 주민등록번호 특정할 수 있음

  • 특정인을 확인하고 있으려는 니즈가 있어서 CI를 사용

  • 금융마이데이터도 CI를 가지고 발행

• 헌법소원의 청구기한이...도과되었다며 각하..판단자체도 안함.

  • https://slownews.kr/80362

• CI가 없으면 중복가입을 막을 수 있는 방법이 없음. 그러나 CI 중복가입을 확인하고 저장하지 않는 방법도 있고, 매번 다른 값으로 해서 확인하도록 하는 방법도 있고, 중복 가입을 막지 않는 방법이 있음.

  • 돈이 많이 들진 않는데, 지금 기술 기반이 CI 위주

• CIDI 언제 동의하는지? 개인정보 동의 가입, 실명인증 약관 동의에 포함 되어있음.

  • 동의 약관을 더 쉽게 알아 볼 수 있도록 개선해야 하는 거 아닐까?

  • 동의를 했더라도 추후에 철회를 할 수 있어야 하고

  • https://www.etoday.co.kr/news/view/2022906

• 업체에서 개인정보제공동의 로 인해 CI/DI 정보가 결합 되었을 때, 그걸 현재에는 소비자들은 끊을 방법은 없는거죠?그럼 요즘 사이트 회원가입약관처럼 주기적으로 CI/DI 결합 혹은 DI 정보를 삭제하도록 하는 건 해결책이 될 수 없을까요?

  • 신뢰 이슈.

  • “나는 지웠는데, 너도 지웠니?” 기업들간에 서로 신뢰 문제

  • 그로 인해 마이데이터 사업을 시작할 때 CI정보를 가지고 있던 기업들은 발빠르게 공동인증서 사업에 대처할 수 있었고, CI 정보를 지운 업체는 기회를 날렸음.

  • CI랑 공동인증서랑 무슨 상관이지....

• 다른 나라는 CI DI 없음.

• 규제 샌드박스 공간에서 데이터와 기술에 관련한 규제 완화를 매우 적극적으로 하고 있는듯

• 예전에 핸드폰 imei정보의 경우 불법으로 규정되기도 했음. CI와 다른점 뭔지..

• 중복가입 왜 막는지, 동일인인지 확인이 필요할 경우에 그때 다른 걸로 하면 되지 않나.

• https://signal.org/blog/the-instagram-ads-you-will-never-see/ 타겟 마케팅으로 해외에서 데이터 마켓으로 오랫동안 진행되고 있음

  • 쿠키 기반이 아니라 각 앱(서비스)에서 수집한 고객 정보들을 사고 파는 방식으로

• Ci가 생성되는 구체적인 과정이 궁금해요! 이건 어딜가야 알아볼 수 있나요?

  • KISA 에서 공개하고 있지만, salt 값은 없음.

  • salt 값 알고 있는 단체만 ci 생성과 주민번호 확인 가능