1. 위치정보 무단수집과 손해배상책임 여부 판단기준

정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우, 그로 인하여 손해배상책임이 인정되는지는 위치정보 수집으로 정보주체를 식별할 가능성이 발생하였는지, 정보를 수집한 자가 수집된 위치정보를 열람 등 이용하였는지, 위치정보가 수집된 기간이 장기간인지, 위치정보를 수집하게 된 경위와 그 수집한 정보를 관리해 온 실태는 어떠한지, 위치정보 수집으로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2016. 9. 28. 선고 201456652 판결 참조).

 

2. 구체적 사안의 판단

iOS 4.0이 적용된 아이폰 등 이 사건 기기에서 사용자가 위치서비스 기능을으로 설정하였음에도 기기의 위치정보가 피고 애플의 서버에 주기적으로 전송되고, 사용자가 위치기반서비스 애플리케이션을 동작시킬 경우 위치서비스 기능을으로 전환하지 않더라도 이 사건 기기가 피고 애플의 위치정보시스템에 실시간으로 접속하여 현재 위치정보를 계산한 뒤 기기 내 데이터베이스에 저장함으로써 사용자의 개인위치정보를 수집하는 버그가 발생하였음.

 

이에 아이폰 등의 사용자인 원고들이 피고 애플과 애플코리아를 상대로 위치정보 또는 개인위치정보 수집으로 인한 손해배상을 구한 사안에서, 이 사건 기기로부터 전송되는 정보만으로는 특정 기기나 사용자가 누구인지 알 수 없고, 이 사건 기기 내 데이터베이스에 저장된 정보도 외부 유출 가능성이 거의 없으며, 수집된 위치정보나 개인위치정보가 위치정보시스템 정확도 향상 목적과 달리 이용되거나 유출된 것으로 보이지 않는다.

 

à 에플의 손해배상책임 없음

 

첨부: 대법원 2018. 5. 30. 선고 2015251539 판결

 

KASAN_[애플위치정보수집] 아이폰 사용자의 동의 없이 위치정보 무단 수집 but bug 원인 – 애플의 손해배상

대법원 2018. 5. 30. 선고 2015다251539 판결.pdf

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.06.04 09:22
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

K사는 해킹으로 인하여 2013. 8. 8.부터 2014. 2. 5.까지 1천만명의 사용자들에 대한 개인정보를 유출하였습니다. 이에 대하여 방송통신위원회는 2014. 6. 26. 사건 해킹사고와 관련하여 KT 정보통신망법 28 1 2, 시행령 15, 개인정보의 기술적·관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 2015-3호로 개정되기 전의 ) 4 2, 5, 9항을 위반하였다고 보아, 정보통신망법 64조의3 1 6호에 따라 과징금 7,000 원을 부과하는 처분을 하였습니다.

 

정보통신망법 28(개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 컴퓨터바이러스에 의한 침해 방지조치

6. 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

 

시행령 15(개인정보의 보호조치) 28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 취급을 위하여 다음 호의 내용을 포함하는 내부관리계획을 수립ㆍ시행하여야 한다.

1. 개인정보 관리책임자의 지정 개인정보보호 조직의 구성ㆍ운영에 관한 사항

2. 개인정보취급자의 교육에 관한 사항

3. 2항부터 5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항

28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 호의 조치를 하여야 한다. 다만, 3호의 조치는 전년도 기준 직전 3개월간 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.

1. 개인정보를 처리할 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다) 대한 접근권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행

2. 개인정보처리시스템에 대한 침입차단시스템 침입탐지시스템의 설치ㆍ운영

3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단

4. 비밀번호의 생성 방법 변경 주기 등의 기준 설정과 운영

5. 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조ㆍ변조 방지를 위하여 다음 호의 조치를 하여야 한다.

 

개인정보의 기술적·관리적 보호조치 기준 4(접근통제) 정보통신서비스 제공자등은 전보 또는 퇴직 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.

정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 침해사고 방지를 위해 다음 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 개인정보취급자의 컴퓨터에 조치를 취하여야 한다.

 

 

방송통신위원회는 다음과 같은 처분 사유를 지적하였습니다.

(1) 1처분사유: 일단 로그인을 하면 타인의 고객서비스계약번호(9자리) 입력하더라도 인증 단계 없이 타인의 정보(이름 )까지 조회 가능( 사건 고시 4 5, 9 위반)

(2) 2처분사유: 특정 IP에서 최대 수십만 건의 개인정보를 조회하였음에도 비정상적인 접근을 탐지, 차단하지 못함( 사건 고시 4 5 위반)

(3) 3처분사유: 사내망에서 인가받은 자가 접근할 있는 웹페이지에, 해커가 인터넷망을 통하여 접속하였음에도 탐지·차단하지 못함( 사건 고시 4 5 위반)

(4) 4처분사유: 사용 중지된 퇴직자 ID 8 건의 개인정보를 조회하였음에도 비정상적 접근을 탐지, 차단하지 못함( 사건 고시 4 2, 9 위반)

 

개인정보의 안전성 확보 여부에 대한 판단 법리에 대하여 대법원은 정보통신서비스제공자가 정보통신망법 28 1항이나 정보통신 서비스이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업 규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 효용의 정도, 해킹 기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, 정보통신서비스제공자가 해킹 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다고 보고 있습니다(대법원 2015. 2. 12. 선고 201343994 판결 ).

 

서울행정법원은 사건에서 정보통신망법 64조의3 의하면 방송통신위원회는 정보통신서비스 제공자 등의 위반행위에 대하여 과징금 부과 여부에 관하여 재량을 가집니다. 그런데 KT 사건 고시 4 2항을 위반하였으나 사건 고시 4 5, 9항을 위반하였다고 볼수 없으므로, 법원은 KT 사건 고시 4 5, 9항도 위반하였음을 전제로 사건 처분은 재량권을 일탈·남용하여 위법하다고 판단하여 사건 처분을 취소하였습니다.

 

방송통신위원회는 판결에 대하여 항소를 하였고, 사건은 서울고등법원에서 201664533 사건으로 항소심이 진행 중에 있습니다. 사건에 대하여 항소심 판결이 나오면 다시 구체적으로 말씀을 드리겠습니다. 개인정보를 보관 사용하는 정보통신사업자에 해당하는 업체, 벤처, 중소기업 등은 사건에서 퇴직자들의 시스템에 대한 접근권한이 유지되지 않도록 유의하여야 것입니다.

 

KASAN_정보통신사업자의 개인정보 보호조치 의무와 과징금 처분 – 서울행정법원 2016. 8. 18. 선고 201

 

정회목 변호사

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.01.25 15:53
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

블록체인은 분산장부 기술로서 네트워크 참여자들이 데이터를 저장하고 검증하는 형태로 설계됩니다. 기존의 금융 업무는 장부를 중앙집중형으로 관리하는 시스템으로 제3의 신뢰할 수 있는 기관을 설립하고 해당 기관에 대한 신뢰를 확보하는 방식이었습니다.

 

그러나 블록체인은 거래정보를 P2P 네트워크에 분산하여 참가자가 공동으로 기록 및 관리하는 방식입니다. 이와 같이 제3자를 거치치 않기 때문에 수수료 및 관리 비용을 절감할 수 있으며, 정보의 공동 소유로 데이터의 임의 조작이 어려운 장점이 있습니다.

 

아시는 바와 같이 이러한 블록체인은 트랜잭션들이 모여 하나의 블록에 생성되었을 때 이를 블록체인에 연결시키는 체이닝 기술PoW 기술과 같은 합의 알고리즘으로 정보의 무결성을 보장하는 동의ž합의 기술을 이용합니다.

 

블록체인의 종류에서, ‘퍼블릭 블록체인은 공개형으로 누구나 참여할 수 있는 블록체인으로서 비트코인 등에서 이용되고 있습니다. 이와 달리 프라이빗 블록체인은 하나의 중앙기관이 권한을 보유하고 허가 받은 사용자만 접근이 가능하고 그 예시로서 Hyperledger 프로젝트 등이 있습니다.

 

최근 프라이빗 블록체인으로서 다양한 커뮤니티에서 실제 적용되는 사례가 POC로서 입증되고 있습니다. 이와 같은 Implementation은 자본시장, 보험, 대학교 등에 도입될 수 있으며 다양한 비즈니스로 확장될 것으로 예상됩니다.

 

 

 

 

예를 들면, 블록체인은 증권회사에서 위 그림과 같이 이용될 수 있습니다. 이는 ICON 사에서 개발한 컨소시엄 블록체인의 예로서 별도의 인증기관 없이, 사용자와 금융기관 간 직접적인 인증 및 전자서명 생성 및 검증이 가능한 블록체인 기반 공동인증서비스 입니다.

 

, Client Security Company A 와 사용자 인증을 거치는 경우 연결된 분산 원장에 의해 Security Company B 내지 F 와 같은 컨소시엄의 모든 증권회사에서 인증을 받게 됩니다. 이는 현재와 같은 다수의 중개기관 및 중앙집중기관을 거치지 않아 막대한 관련 비용을 절감할 수 있습니다.

 

그리고 Authentication 이후에 분산 원장을 통해 정보들이 자동적으로 Sharing 되며, 이후 주식 거래에서도 Smart Contract 을 통하여 거래 비용 절감 및 청산 결제 업무 시간의 절감 효과가 부가됩니다.

 

다만, 이와 같은 컨소시엄 블록체인에서 발생할 수 있는 법률상 문제점은 무엇일까요? 예를 들면, 해킹 사고가 발생한 경우 책임 소재가 불분명합니다. 거래소 해킹 사건과 같이, 접속 아이디나 암호가 개별적으로 해킹이 일어나서 Security Company A 에 사용자 인증 후 불법 거래가 발생한 경우 책임 소재가 불분명 합니다. 이에 대하여, 분산 원장은 모든 증권 회사에서 공유되고 있기에 모든 증권 회사가 함께 법적 책임을 부담하여야 하는 것으로 볼 수도 있습니다. 법률 용어로는 부진정 연대책임 입니다.

 

또한 컨소시엄 회사들 간의 조직 형태가 불분명하여 책임 소재 파악이 어려울 수 있습니다. 물론 컨소시엄 구성 시에, 합명회사나 합자회사 등으로 회사를 설립하고 책임 소재를 명확히 할 수도 있지만, 회사 설립이 없거나 책임 소재의 내부 규정이 불분명한 경우 문제가 될 수 있습니다.

 

블록체인 기술은 4차산업시대의 핵심 기술이며 장점이 많고 탈중앙화된 세계로 변혁 시킬 수 있는 뉴 페러다임입니다. 항상 모든 시대의 기술은 법보다 앞서 가기에 법적 문제가 발생하는 경우를 미리 대비하여야 합니다. 앞으로도 저희 가산법률사무소는 새롭게 정의되는 블록체인 기술 및 법적 이슈를 이해하기 쉽도록 설명 드리겠습니다.

 

김동섭 변호사/변리사(dskim@kasanlaw.com)

 

KASAN_블록체인 기술로 탈중앙화된 컨소시엄 블록체인의 법적 이슈.pdf

 

 

 

작성일시 : 2017.09.01 14:32
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

n     비트코인 등 인터넷거래관련 개인정보유출 피해 속출

 

ICT의 발달과 4차 산업혁명 가속화에 따라, 전통적인 off-line 시장으로부터 전자상거래/통신판매 중심으로 급격한 변화를 보여 왔고, 결제방법에서도 인터넷결제, 모바일결제 비중이 급격히 늘고, 최근에는 전통적인 화폐 또는 재화를 대체할 비트코인 등 가상화폐가 새로운 투자 및 결제수단으로 등장하고 있으며, big data를 통한 비즈니스모델이 각광받고 있다. 이러한 새로운 상거래 방식과 이를 통해 수집된 개인정보를 활용한 비즈니스모델의 확산, 대중화에 따라 종전의 법제도상의 규제와 보호의 사각지대가 발생하여 이로 인한 피해가 속출하고 있어, 관련 입법의 보완/정비와 함께 예방/보호책이 절실히 요구되고 있다.

최근 보도에 따르면, 국내 최대 비트코인 거래소 '빗썸'이 사이버 공격으로 3만명 넘는 고객의 정보를 도난 당하는 사건이 발생했고, 유출된 일부 이용자의 개인정보 유출로 인해 보이스 피싱 또는 기타 사기범 등에게 가상화폐가 유출되는 2차 피해자가 발생하였음에도, 우리나라 법제상으로는 비트코인 등 가상화폐는 화폐나 재화로 인정받지 못하고 있는 관계로, 이들 가상화폐 거래소 등은 설립과정상 금융감독원 등 금융당국의 허가/신고 대상업체도 아니고, 관련 영업행위에 대한  조사, 제재 대상도 아닌, 통신판매업체에 불과하므로, 소비자들의 이런 피해발생에도 금융관련 법규상 보상/보호가  적용되지 않아, 이들 통신판매/온라인서비스 업체들의 자발적인 보상이 만족스럽지 못한 경우는, 피해자별로 피해사례에 따른 개별, 구체적인 소송에 따른 손해배상에 의존할 수 밖에 없을 것이다.

 

n     개인정보유출 피해관련 배상책임

 

이러한 피해의 1차적인 원인은 i) 해킹이나 ii) 서비스/판매 업체 직원의 과실로 인한, 관련정보에서 비롯된 바, 그 책임의 주된 근거는 정보통신망법, 신용정보보호법 및 개인정보보호법 등에 따른 개인정보 보호의무에 초점이 맞춰지게 될 것이고, 이에 대해 판례는, “정보통신 서비스 제공자는 사회통념상 합리적으로 기대가능한 기술수준으로 개인정보를 관리하였는가?”를 기준으로 구체적인 사안에 따른 과실 여부 및 배상책임을 결정하고 있으므로, ICT 기술과 온라인 거래에 익숙한 전문 변호사들과의 구체적인 상담을 통해 법적 조치를 강구하여야 할 것이다.   

최근 정보보호관련 법규개정안 시행에 따라, 개인정보 유출에 따른 피해자는 피해액의 최대 3배까지 보상이 가능한 징벌적 배상제도(2016 7)와 함께 피해자의 피해액 입증 없이도 300만원까지는 배상판결이 가능하도록 규정한 법정손해배상제도 (2014 11)의 적용으로 과거 10~20만원 수준의 실효성 없는 배상에서 벗어나 실질적인 피해보상이 가능한 높은 금액의 새로운 판례들이 속출할 것으로 예상된다 

 

39조 손해배상책임

정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게  손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

삭제<2015.7.24.>

개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경 우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015.7.24.>

법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.             <신설 2015.7.24.>

1. 고의 또는 손해 발생의 우려를 인식한 정도

2. 위반행위로 인하여 입은 피해 규모

3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익

4. 위반행위에 따른 벌금 및 과징금

5. 위반행위의 기간ㆍ횟수 등

6. 개인정보처리자의 재산상태

7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도

[시행일 : 2016.7.25.] 39조제3, 39조제4

39조의2  법정손해배상의 청구

39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.

[본조신설 2015.7.24.] [시행일 : 2016.7.25.] 39조의2

 

*정보통신서비스 제공자를 규제대상으로 하는 정보통신망법에서도 사실상 동일한 내용으로 손해배상책임 (징벌적손해배상 및 법정손해배상)을 규정하고 있음 [정보통신망법 제32조 및 32조의 2 참조]

 

특히, 신용정보법 또한 개인정보 유출시 관련 매출액의 3%까지 과징금을 부과할 수 있도록 대폭 강화되어, 이러한 개인정보를 취급하는 업체 입장에서는 향후 관리, 감독에 철저한 주의가 요구된다.

 

n     국제거래상 개인정보보호와 유럽연합의 GDPR(일반정보보호법) 준수의무

 

이러한 통신판매, 온라인, 사이버 거래로 인해 국가간 영역 파괴 현상은 더욱 가속화 되어, 국제상거래 비중 또한 높아지고 있어, 그 피해 또한 특정국가에 한정키 어려운 특수성에 따라, 국제거래에서의 risk management 차원에서 요구되는 컴플라이언스 중점영역으로 종전의 공정거래법 (Anti-trust Laws), 해외부패방지법 (Foreign Corrupt Practices Act)에 이어 개인정보보호법 (Data Protection/Security Laws) 준수가 요구되고 있다. 공정거래법 및 해외부패방지법에서와 마찬가지로, 국가간 영역을 넘나드는 통신/인터넷 판매 및 온라인 거래의 특성상, 이들 법규는 특정국내의 거래에 한정되지 않고 역외관할 (Extraterritorial Jurisdiction) 적용이 확산되고 있는 대표적인 영역이므로 해당업체의 설립지국 뿐만 아니라, 거래행위 및 영향이 미치는 지역의 관련 법규에 대한 준수도 간과하여서는 안될 것이다.   

이러한 관점에서 국제거래상 가장 유의를 요하는 대표적인 개인정보보호법규로, 유럽연합(EU)에서 제정되어 시행(2018 5 25)을 앞두고 있는 유럽 일반개인정보보호법(General Data Protection Regulation, GDPR)을 들 수 있을 것이다. 공정거래법규나 해외부패방지법의 경우, 미국의 법규와 기준이 국제거래에서의 선제적, 대표적 기준으로 작용해 왔다면, 개인정보보호법규의 경우는 미국의 구체적/통일적 기준이 아직 정립되지 않은 단계에서 유럽연합이 구체적인 기준과 함께 강화된 강행법규의 시행을 선언하고 있어, 향후 각국의 입법에 상당한 영향을 미칠 국제적인 기준으로 확산될 가능성이 높아지고 있다.

1995년부터 시행되었던 종전의 유럽 개인정보보호지침(Personal Data Protection Directive)Directive(지침) 성격상, EU회원국에 대한 입법지침으로서 구체적인 법적 방식과 수단 등은 각국에 위임되었던 반면, 이를 대체하기 위헤 제정된 EUGDPR  최상위 단계의 입법인 Regulation으로서 EU역내 모든 회원국에 직접적인 법적 효력을 미치는 강행법규로써, 유럽연합(EU) 회원국들간의 개인정보에 대한 관리기준을 통일성 있게 강화하기 위해 제정되었으며, 개인정보가 저장되거나 이전되는 위치 및 방법, 정보에 접근할 시 적용되는 정책 및 감사에 관한 철저한 관리감독을 요구하고 있어 관련 기업들에게 상당한 부담으로 작용할 것으로 예상됨은 물론, EU 집행위는 현재 EU 기업들은 유럽에서 활동 중인 역외기업들에 비해 매우 엄격한 기준을 준수하고 있다고 언급하며,  금번 개정으로 역외기업들 역시 EU 기업과 동일한 법이 적용돼 EU 기업들과 동등하게 경쟁할 수 있는 계기가 될 것이라 밝힌 바 있어 과거의 공정거래에서 보았던 것과 같은 비관세 장벽으로 작용할 소지도 있다.

EU 내 사업장이 있는 기업뿐만 아니라 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링하는 기업에까지 전 세계적으로 확대 적용되어, 그 대상 기업들은 다음과 같은 조치와 책임을 부담하게 된다:

 

i)              개인정보 처리활동 기록 (records of processing activities),

ii)            개인정보보호를 위한 기술적, 조직적 조치 (data protection by design and by default)

iii)           개인정보 영향평가 실시 (data protection impact assessment),

iv)           DPO(Data Protection Officer) 지정,

v)            행동강령 및 인증제도 (codes of conduct and certification mechanism)

vi)           개인정보 침해발생 시 침해 인지 후 72시간 이내에 감독기구 통보 및 정보주체에게도 지체없이 통보,

vii)          EU 시민의 개인정보는 GDPR의 규정에 부합할 경우(적정성 결정에 따른 이전, 적절한 보호조치에 의한 이전, 구속력 있는 기업규칙 등) EU 역외  이전.

 

우리나라의 경우, 2017년 하반기까지 EU 승인을 받는 것을 목표로, 현재 EU로부터 개인정보체계를 인정받기 위해 행정자치부를 중심으로 정부 차원의 협의가 이루어지고 있으며, EU의 적합성 평가를 통과해 인정되는 경우, 별도의 추가절차 없이 개인정보의 역외이동이 가능해지게 되나, 그러지 못하게 되는 경우는 개별 관련기업벌로 이전 적합성 평가/인정을 받아야 하는 부담을 안게 된다.

GDPR 위반시는 최대 2천만 유로( 245억원) 또는 전 세계 연간 매출액의 4% 중 높은 금액으로 과징금을 부과 받게 되므로, 우리나라의 관련 기업들도 내년 시행될 GDPR 법규 숙지 및 사내 컴플라이언스 규정 점검/보완을 통한 준수 및 위반 예방활동에 만전을 기해야 할 것이다.

GDPR 관련 컴플라이언스 점검차원에서 아래 자료를 적극 참조하시길 권장한다.

 

[참조 1]  우리 기업을 위한 「유럽 일반 개인정보 보호법」 안내서 (행정자치부/한국인터넷진흥원)

https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000828490&fileSn=0&nttId=7875&toolVer=&toolCntKey_1=

 

[참조 2]  EU GDPR 공식 포털

http://www.eugdpr.org/eugdpr.org.html

 

20170508_-_우리_기업을_위한_GDPR_안내서(최종)v2.pdf

 

이용태 미국변호사

 

 

 

 

 

작성일시 : 2017.07.12 16:00
Trackback 0 : Comment 0

댓글을 달아 주세요