Google에서는 가능한 모든 방법을 동원해 비즈니스, 학교, 정부 조직의 데이터를 보안 침해 시도로부터 보호합니다. 해커든 정부 기관이든 Google에서는 고객 데이터에 대한 어떠한 무단 액세스도 절대 허용하지 않습니다.
Google에서는 자주 묻는 보안 질문에 대한 답변을 제공하기 위해 본 FAQ 및 관련 Google Workspace 보안 사이트를 만들었습니다. Google의 보안 및 개인정보 보호에 대한 궁금증을 해소하는 데 이 자료가 도움이 되기를 바랍니다. Google의 개인정보 보호 및 약관 페이지에서 일반 사용자의 개인정보 보호와 관련된 도구 및 정보를 확인하시기 바랍니다.
악용사례를 신고하려면 Google팀에 악용사례를 신고하는 방법에 대해 자세히 알아보세요.
조직에서 Google Cloud에 입력한 데이터는 누구의 소유인가요?
간단히 말하자면 회사, 학교, 정부 기관이 Google 시스템에 보관한 데이터는 각 단체의 소유입니다. 기업의 지적 재산, 개인 정보, 과제 등 유형에 상관없이 Google에서는 해당 데이터를 소유하지 않습니다.
이는 두 가지를 의미합니다.
- Google에서는 계약에 명시된 목적을 위해 사용자 정보를 사용합니다(예: 사용자가 구매한 서비스를 Google에서 제공). Google Cloud에는 광고가 없습니다.
- 사용자의 데이터는 사용자가 관리합니다. Google에서는 데이터를 삭제하고 내보낼 수 있는 도구를 제공하므로 사용자는 언제든지 데이터를 내보낼 수 있으며 Google Workspace와 외부 서비스를 병용하거나 Google 서비스 사용을 완전히 중단할 수도 있습니다.
Google에서는 서비스 제공이라는 계약 의무를 이행하기 위해 사용자의 데이터를 처리합니다. 고객 데이터는 Google이 아니라 고객이 소유합니다. 회사, 학교, 학생이 Google 시스템에 보관한 데이터는 각 단체 또는 개인의 소유입니다. Google은 사용자 데이터를 제3자에게 판매하지 않습니다. Google에서는 사용자의 데이터를 보호하기 위한 Google의 노력을 자세히 설명하는 데이터 처리 수정안을 고객에게 제공합니다.
독립 감사 기관인 EY에서 Google Workspace 및 Google Workspace for Education에 대한 개인정보 보호관행 및 계약상 약정이 ISO/IEC 27018:2014를 준수하고 있음을 인증하였습니다. 예:
- 사용자 데이터를 광고에 사용하지 않습니다.
- 사용자가 위탁한 데이터는 사용자 소유입니다.
- 사용자가 데이터를 삭제하고 내보낼 수 있는 도구를 제공합니다.
- 데이터 저장 위치를 투명하게 공개합니다.
아니요. Google Workspace 서비스나 Google Cloud Platform에는 광고가 없으며 앞으로도 이를 변경할 계획이 없습니다. Google에서는 광고 목적으로 Gmail이나 기타 Google Workspace 서비스를 검사하지 않으며 Google Workspace 서비스의 데이터를 광고 목적으로 수집하거나 사용하지 않습니다.
무료로 제공되는 서비스 및 일반 사용자 대상 공간의 경우는 상황이 다릅니다. 무료로 제공되는 일반 사용자 대상 제품에 대한 자세한 정보는 Google의 개인정보 보호 및 약관 페이지에서 일반 사용자의 개인정보 보호와 관련된 도구 및 정보를 자세히 확인하시기 바랍니다.
Google Cloud에서는 광고 목적으로 Google Workspace 서비스의 사용자 데이터나 이메일을 검사하지 않습니다. Google의 자동화 시스템은 사용자에게 서비스를 제공하고 사용자 데이터를 보호하기 위해 사용자 데이터를 검사하고 색인을 생성합니다. 예를 들어 스팸 및 멀웨어를 감지하고, 자동분류함과 같은 기능을 위해 이메일을 정렬하거나, 사용자가 자신의 계정에서 정보를 검색할 때 신속하게 정확한 검색결과를 확인할 수 있도록 사용자 데이터를 검사하고 색인을 생성합니다. 무료로 제공되는 서비스 및 일반 사용자 대상 공간의 경우는 상황이 다릅니다. 무료로 제공되는 일반 사용자 대상 제품에 대한 자세한 정보는 Google의 개인정보 보호 및 약관 페이지에서 일반 사용자의 개인정보 보호와 관련된 도구 및 정보를 자세히 확인하시기 바랍니다.
Google Workspace for Education 서비스는 광고 목적으로 학생 데이터를 수집하거나 사용하지 않으며 광고 프로필을 만들지 않습니다.
일반 사용자 및 Google Workspace for Education 사용자를 위한 Gmail은 동일한 인프라에서 운영되므로 모든 사용자에게 최적의 성능, 안정성, 보안을 제공합니다. 하지만 Google Workspace는 교육, 비즈니스, 정부 기관 고객에게 추가적인 보안, 관리, 보관처리 기능을 제공하는 별도의 서비스입니다.
다른 이메일 제공업체와 마찬가지로 Google에서는 고객을 안전하게 보호하고 제품 만족도를 높이기 위해 Gmail을 검사합니다. Google Workspace for Education용 Gmail의 경우 바이러스 및 스팸 차단, 맞춤법 검사, 관련 검색결과 및 기능(예: 자동분류함, 캘린더 일정 자동 검색)을 위해 Gmail을 검사합니다. 제품 기능을 제공하기 위해 모든 수신 이메일에 대하여 검사를 수행하며, 이는 완전히 자동화되어 있습니다. Google에서는 광고 목적으로 Google Workspace for Education 이메일을 검사하지 않습니다.
또한 광고 목적으로 Google Workspace for Education 사용자의 Google Drive나 Docs(또는 Sheets, Slides, 드로잉, Forms)에 저장된 정보를 수집하거나 사용하지 않습니다.
Google Sites에 애드센스 광고를 표시하기로 선택한 사용자는 자신의 웹사이트에 기존 광고를 계속 표시할 수 있지만, 기존 광고를 수정할 수는 없으며 기존 사이트나 새 페이지에 새 애드센스 광고를 추가할 수 없습니다.
Google에서는 Google Workspace와 외부 서비스를 병용하기로 결정하거나 Google 서비스를 더 이상 사용하지 않기로 결정하는 경우 위약금이나 추가 비용 없이 데이터를 내보낼 수 있는 도구를 제공합니다.
Google에서는 개인정보처리방침을 엄격히 준수하는 상황에서 철저히 고객 동의에 따라 사용자 계정의 데이터에 액세스합니다. 또한 사용자의 데이터를 보호하기 위한 Google의 노력을 자세히 설명하는 데이터 처리 수정안을 고객에게 제공합니다. 사용자 도메인의 관리자는 기술 지원을 제공할 목적으로 Google 기술 지원팀에게 계정에 대한 액세스 권한을 부여해 특정 문제를 해결하도록 할 수 있습니다. 액세스 투명성 로그에는 Google 직원이 데이터에 액세스할 때 수행하는 작업에 대한 정보가 제공됩니다.
Google의 보안 절차는 제3자 감사 기관에 의해 인증 및 검증되었으며, ISO 27001 인증을 받은 바 있습니다. 이는 독립 감사 기관에서 Google의 데이터 센터, 인프라, 운영 환경에 적용되는 보안 관리 체계를 검토했음을 의미합니다. Google은 이 인증을 통해 Google 고객의 일반적인 보안 수준 보다 높은 보안 기준을 설정했습니다. 예를 들어 직원별 액세스 수준에 따라 배경 조사를 실시합니다. 모든 직원의 액세스는 '최소 권한 액세스' 정책의 적용을 받으며, 이는 직원에게 할당된 작업을 수행하기 위해 필요한 정보와 리소스에 대해서만 액세스 권한이 부여됨을 의미합니다.
Google에서는 개인정보처리방침을 엄격히 준수하는 상황에서 철저히 고객 동의에 따라 사용자 계정의 데이터에 액세스합니다. 또한 사용자의 데이터를 보호하기 위한 Google의 노력을 자세히 설명하는 데이터 처리 수정안을 고객에게 제공합니다. 액세스 투명성 로그에는 Google 직원이 데이터에 액세스할 때 수행하는 작업에 대한 정보가 제공됩니다.
Google은 사용자가 본인의 데이터를 관리할 수 있어야 한다고 생각합니다. 사용자가 Google의 데이터 처리 수정안에 동의하는 경우 Google은 계약에 따라 사용자가 Google 서비스에서 Google Workspace 데이터를 삭제한 후 180일 이내에 시스템에서 해당 데이터를 삭제할 것을 약속합니다.
사용자가 데이터를 삭제하면 해당 데이터의 포인터는 즉시 제거되지만, Google에서 실행하는 애플리케이션 및 네트워크 아키텍처는 최대한의 안정성과 가동 시간을 보장하도록 설계되어 있습니다. 데이터가 Google 서버 및 데이터 센터에 분산되어 있어, 시스템 하나(또는 데이터 센터 전체)가 작동되지 않을 경우에도 사용자 데이터에 계속 액세스할 수 있습니다. 따라서 고객 데이터가 전부 시스템에서 삭제되는 데에는 최대 180일까지 걸릴 수 있습니다.
Google에서는 이와 같은 사용자 데이터에 대한 법적 요청에 대응할 때 개인정보 보호와 사용자가 Google에 저장한 데이터의 보안을 중요하게 생각합니다. Google 법무팀은 사용자 데이터에 대한 모든 정부 요청을 상세히 검토하여 그러한 요청이 현지 법규와 Google의 정책에 부합하는지 확인하며, 요청이 지나치게 광범위하거나 올바른 절차를 따르지 않은 경우 반려하기도 합니다.
Google에서는 법 또는 법원 명령에 따라 금지되지 않는 한 법적 요구에 대해 사용자에게 적절히 알리고 있으며, 2009년부터는 사용자 정보에 대한 정부의 요청에 대한 집계 통계를 투명성 보고서를 통해 공개하고 있습니다.
Google에서 Cloud 고객 데이터에 대한 정부 데이터 요청을 받는 경우, 정부 기관에서 Cloud 고객에게 직접 이러한 데이터를 요청하도록 안내하는 것이 Google의 정책입니다. CLOUD 법 행정 협정에 따른 CLOUD 법 데이터 요청을 비롯한 정부 기관의 요청을 평가하고 이에 대응함에 있어 Google은 엄격한 절차를 따르고 있습니다. Google에는 접수된 각 요청이 현지 법규를 준수하는지 검토하고 평가하는 팀이 있습니다. 데이터를 공개해야만 하는 경우 Google에서는 법에 의해 금지되거나 생명을 위협하는 긴급 상황을 제외하고 어떠한 정보든 공개하기 전에 기업 고객에게 즉시 알립니다. 법규 및 요청 조건에 의해 허용되는 범위 내에서 Google은 요청 거부와 관련된 고객의 합당한 요구를 따릅니다.
자세한 내용은 투명성 보고서 및 Google Cloud 정부 요청 백서에서 확인하세요.
많은 Google 제품에서 EU/EEA 리전에 특정 고객 개인 정보를 저장할 수 있는 기능을 제공합니다. 위치별로 사용 가능한 GCP 제품과 Google Workspace 데이터 리전을 확인하세요.
데이터 리전 서비스는 법률, 규정 준수 또는 규제 요건을 충족하도록 설계된 것은 아니지만, 데이터 저장 위치와 관련된 회사별 정책을 충족시킬 수 있습니다.
아니요. 그러나 데이터 보호에 관한 이전 EU 지침과 마찬가지로 GDPR에서는 개인 정보를 EEA 외부로 전송하기 위한 적절한 보호 장치 구현을 의무화하고 있습니다. 이러한 적절한 보호 장치는 표준 계약 조항 등 기존 메커니즘을 사용하여 제공할 수 있습니다.
보다 강력한 지리적인 제어를 원하는 조직의 경우, Google Workspace의 데이터 리전을 사용하여 이메일 메시지, 문서, 기타 Google Workspace 콘텐츠를 저장하는 지리적 위치를 세밀하게 제어할 수 있습니다. 데이터 리전 서비스는 법률, 규정 준수 또는 규제 요건을 충족하도록 설계되지 않았지만, 데이터 저장 위치와 관련된 회사별 정책을 충족시킬 수 있습니다. 이 기능에 대한 자세한 내용은 데이터를 저장할 지리적 위치 선택하기를 참고하세요.
Google의 인프라는 전 세계 여러 데이터 센터에 전략적으로 분포되어 있습니다. 투명성 보장을 위해 일부 Google 데이터 저장 시설은 유럽 경제 지역(EEA)에 포함되지 않는 국가에 위치합니다. 또한 Google Cloud 연중무휴 24시간 지원 서비스를 구현하여 전 세계에서 신속하고 효과적으로 서비스를 제공하며, 일부 지원 센터는 EEA 외부 지역에 위치합니다. 위와 같은 이유로 Google에서는 사용자의 데이터가 정확히 어느 데이터 센터에 저장되어 있는지 알려드릴 수 없습니다.