Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

20141211 테크앤로 개정 정보통신망법 대응전략 (3/4)

3 858 vues

Publié le

2014. 11. 28. 시행되는 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 개정내용과 이에 대한 실무적 대응 요령

Publié dans : Droit

20141211 테크앤로 개정 정보통신망법 대응전략 (3/4)

  1. 1. 개정 정보통신망법의 핵심과 실무적 대응 요령 테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / contact@teknlaw.com
  2. 2. 대규모 개인정보 유출사고 2008. 1. 2008. 9. 2011. 7. 2011. 11. 2012. 5. 2012. 7. 2014. 1. 2014. 3. 1,081 옥션 GS칼텍스 1,125 SK컴즈 넥슨 3,500 1,320 KT 873 EBS 422 국민·롯데·농협카드 10,400 KT 1,200 [ 단위 : 만 건 ]
  3. 3. 2013년, 개인정보 유출의 해 2013. 3. 2013. 4. 2013. 5. 2013. 11. 2014. 1. 2014. 3. 3.20 전산대란 방송국, 은행 전산망 마비 정보유출규모 확인 불가 IBK직원 정보유출 적발 고객 8,000여명의 신용정보, 개인정보 유출시도 손보사 개인정보 유출 한화손보 고객 16만 명 메리츠화재 고객 16만 명 은행 대출정보 유출 한국SC은행 103,000건 한국씨티은행 34,000건 카드3사 유출사건 총 1억 400만 건 집단소송 중 해킹프로그램 1,200만 건 유출 후 텔레마케팅 업체에 판매 2차 피해 사례 확인
  4. 4. 정보통신망법의 개정 연혁 2000. 1. 1. 개인정보보호 조항 시행 • 2000. 1. 1.부터 시행 • 동의 없는 수집-과태료 • 동의 없는 제3자 제공-형사처벌 2008. 6. 13. 동의 없는 수집시 형사처벌 • 제71조 전문 개정 • 동의 없는 수집-형사처벌 • 동의 없는 제3자 제공-형사처벌 2012. 8. 18. 개인정보보호 의무 강화 • 개인정보 누출 통지·신고제도 • 개인정보 유효기간 제도 • 개인정보 이용 내역 통지 제도 • DBMS 망분리 • 주민등록번호 처리 제한 • 수탁자 준용 조항 복원 2014. 11. 29. 개인정보보호 의무 강화 • 최소수집 조항 신설 • 유출시 24시간 이내 통지·신고 • 파기의무강화, 미파기죄 신설 • 법정손해배상제도 도입 • CISO 지정 및 신고 의무 • 과징금 한도 상향 • 개인정보 유출+보호조치 미비시 과징금 • 수탁자 관리·감독 소홀시 과징금 • 스팸 발송 요건 강화(Opt-in) 2014.8.18. 주민등록번호 파기 완료
  5. 5. • 개인정보 누출 통지·신고 제도(27조의3 신설) • 개인정보 유효기간 제도(29조) 주1) • 개인정보 이용내역 통지 제도(30조의2) • 개인정보처리시스템 망분리(28조) • 주민등록번호 사용 제한(23조의2) • 방송사업자와 수탁자에 대한 준용조항 신설(67조) • 기술적·관리적 보호조치 위반 과태료 추가(28조, 제76조①3호) 망분리의무자, 조치(15②) 망분리 대상(보호조치 고시 4조) 시행령구 정보통신망법(2012. 8. 18. 시행) 2012. 8. 18. 시행된 구 정보통신망법상 신규제도 통지·신고 방법 등(14조의2) 유효기간 및 처리방법(16조) 통지의무자, 통지방법(17조) 주1) 구 정보통신망법 시행령에 따르면 별도의 약정이 없는 한 2015. 8. 18.까지 파기 또는 분리·저장 관리 해야 했음. 개정 정보통신망법 시행령은 유효기간을 1년으로 단축하면서, <부칙>에서 ‘개정 규정은 2015. 8. 18.부터 시행’ 하되(제1조), ‘개정 규정은 2015. 8. 18. 전에 수집하거나 제공받은 개인정보에도 적용한다’(제2조)라고 규정
  6. 6. • 필요최소한의 개인정보 개념의 명확화(23조 ③ 신설) • 영업양수자등의 통지의무 강화(26조 ② 단서 삭제) • 개인정보 누출신고 기한 명확화(24시간 이내) 등(27조의3 개정) • 개인정보 파기 의무 및 처벌 강화(29조 ① 개정, 73조 1호의2 신설) • 법정손해배상제도의 도입(32조의2 신설) • 정보보호최고책임자(CISO) 지정 및 신고 의무(45조의3 ① 단서·② 신설) • 과징금 부과 상한액 3%로 상향(64조의3 ① 본문개정, 단서삭제) • 개인정보 취급위탁시 위탁자에 대한 과징금 신설(64조의3 ① 5호의2 신설) • 기술적·관리적 보호조치 위반 관련 제재 강화(64조의3 ① 단서삭제, 6호 개정) • 스팸 전송 요건을 Opt-In으로 변경 등(50조 전문 개정 등) 시행령/가이드라인개정 정보통신망법 ※ 2014. 5. 2. 국회 통과된 법안의 주요 내용은 아래 “정보통신망법 주요 개정 사항” 페이지 참조 유효기간 1년으로 단축(16①) 청구기간 규정 신설(18) 전송기준 등 신설(61,62의2·3) 대상 업체 기준 신설(36의3) 과징금 산정기준[별표8] 2014년 개정된 개인정보 보호법과 정보통신망법 정보통신망법 및 같은법 시행령(요지) 방통위 가이드라인(14.11)
  7. 7. [별표 8] 과징금의 산정기준과 산정절차 (제69조의2 제4항 관련) 정보통신망법 시행령 제69조의2 ①에 따른 위반행위와 관련한 매출액 X 산정비율 위반행위의 중대성 부과기준율 매우 중대한 위반행위 1천분의 27 중대한 위반행위 1천분의 21 일반 위반행위 1천분의 15 제69조의2 ② 각호 어느 하나에 해당하는 경우 기본 과징금 위반행위의 중대성 기본과징금 매우 중대한 위반행위 3억 6천만원 중대한 위반행위 2억 8천만원 일반 위반행위 2억원 과징금은 법 제64조의3 ③ 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를 종합적으 로 고려하여 기본과징금, 의무적 조정과징금, 임의적 조정과징금 순서로 단계적으로 산정 위반행위의 중대성은 고의·중과실 여부, 영리 목적의 유무, 위반행위로 인한 피해규모, 개 인정보의 공중에 노출 여부 및 위반행위로 취득한 이익의 규모 등을 종합적으로 고려 2014년 개정된 개인정보 보호법과 정보통신망법
  8. 8. 점점 강화되고 있는 규제 환경 최근 개정된 관련 법령의 주요 내용 법 명 개정일 주요내용 시행일 개인정보 보호법 ’13.8.6. ① 고유식별정보 처리 원칙적 금지 ② 주민등록번호가 분실 등 발생시 5억원 이하의 과징금 ③ 안행부장관, 대표자, 책임 있는 임원 징계 권고 ’14.8.7. ’14.3.24. • 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 암호화 조치 ’16.1.1. 정보통신망법 ’14.5.2. ① 개인정보 유출기업 처벌 강화 ② 개인정보 관련 법정 손해배상제도 도입 ③ 개인정보 누출 시 신고, 통지 강화 ④ 개인정보 사전 유출 방지 및 파기 조치 강화 ⑤ 영리 목적의 광고성 정보 전송 제한 ’14.11.29.
  9. 9. 개정 정보통신망법의 핵심과 실무적 대응 요령
  10. 10. 1. 필요·최소한 개인정보 개념 명확화 개인정보의 수집제한 등(정보통신망법 제23조 제3항 신설) 제23조 제3항 신설 ③ 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이 유로 그 서비스의 제공을 거부하여서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질 적 기능을 수행하기 위해 반드시 필요한 정보를 말한다. • 필요최소한의 정보 이외의 정보 제공 거부를 이유로 서비스 제공 거부시 3,000만원 이하 과태 료 처분 - 개인정보 수집 경로, 방법, 수집목적 및 항목을 파악 (예: 경품을 모바일로 제공하는 인터넷 이벤트를 진행하면서 ‘오프라인 주소’ 수집이 적법?) - 정보통신서비스 제공자와 이용자간 체결된 계약의 이행을 위해 필수·불가결한 정보인지 여부를 판단 (최소수집항목 결정) - 최소수집항목이 아닌 경우 수집 항목에서 제외하거나 선택 사항으로 변경
  11. 11. 1. 필요·최소한 개인정보 개념 명확화 개인정보의 수집제한 등(정보통신망법 제23조 제3항 신설)
  12. 12. 1. 필요·최소한 개인정보 개념 명확화 개인정보의 수집제한 등(정보통신망법 제23조 제3항 신설) 방송통신위원회, 2014. 11. ‘개인정보 최소수집·보관을 위한 온라인 개인정보 취급 가 이드라인’ 공표 ◇ 사업자의 개인정보 최소 수집·이용 문화 정착을 위하여 개인정보의 단계별 기준 및 동의절차 기 준을 제시 ◇ ① 사업자가 수집하는 개인정보를 최소한으로 줄이고, ② 단계별 불필요한 개인정보는 지체없이 파기 하도록 하며, ③ 동의서 양식 등을 이용자가 이해하기 쉽게 작 성하도록 기준을 마련
  13. 13. 1. 필요·최소한 개인정보 개념 명확화 [개인정보 최소수집·보관을 위한 온라인 개인정보 취급 가이드라인] 요지 1. 필요 최소한의 개인정보 수집 기준 • [필수항목과 선택항목을 엄격하게 구분] 수집하는 개인정보의 항목을 필수항목과 선택항목으 로 구분하여 최소한의 개인정보만을 수집·보관해야 • (필수항목은 최소한으로 설정) 서비스 제공에 필요한 최소한의 개인정보(필수항목)는 ‘해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보’로 엄격히 제한 • (선택항목은 개별 동의) 개인정보 없이도 해당 서비스의 본질적 기능을 수행할 수 있는 경우 에는 선택항목으로 구분 - 선택항목은 서비스 목적별로 그룹화하고 “개별적으로 동의”하도록 하여 이용자가 선별적으로 결정 - 특히 마케팅 활용 목적을 위한 선택항목(연락처 등)은 명확히 알 수 있도록 별도로 그룹화 후 개별동의 • [필요한 시점에 수집] 이용자가 서비스를 실제 이용하는 시점에 수집·이용 동의를 받도록 하 여 “미리” 동의를 받는 관행을 개선 - 신규 서비스 개발, 서비스 개시 전 개인정보 수집 등 사업자의 필요에 의해 개인정보를 수집하고자 하 는 경우에는 해당 개인정보를 선택항목으로 분류하고 “미리” 동의를 받는 방법으로 운영 - 장래 서비스 이용을 예상할 수 있고 반복적으로 수집이 이루어지는 경우 선택항목으로 분류하여 동의 를 받은 경우에는 미리 수집·저장 후 이용 가능
  14. 14. 1. 필요·최소한 개인정보 개념 명확화 개인정보의 수집제한 등(정보통신망법 제23조 제3항 신설) [개인정보 최소수집·보관을 위한 온라인 개인정보 취급 가이드라인] 요지 2. 단계별 개인정보의 파기 기준 o (수집·보유 단계) 수집·이용 목적, 보유기간 등을 명확히 하고, 개인정보 파기 사유 발생시 “지체없이” 파기  개인정보 미파기죄 신설 o (제공 단계) 서비스와 무관한 제3자 제공을 원칙적으로 제한하고, 제공한 경우 파기확인 등 조치사항을 계약서에 반영  DUA(Data Usage Agreement, 표준 개인정보 이용 약정) 를 활용(다음장 참조) o (파기 단계) 재생할 수 없는 파기방법의 기준을 제시 3. 이해하기 쉬운 동의서 작성 기준 o 필수 동의사항과 그 외 선택 동의사항을 구분하여 동의내용을 한눈에 알아 볼 수 있도록 표시
  15. 15. 1. 필요·최소한 개인정보 개념 명확화 DUA를 이용한 개인정보 통제권 확보 분류 내용 제3자 제공 사업자가 제3자에게 개인정보를 제공한 경우, 이용자가 ‘해당 기업’과 ‘제3자’에게 선택적으 로 파기 요청할 수 있어야 함  ‘해당 사업자’에게 파기 요청하면 ‘제공받은 제3자’에게 파기 요청을 전달하고, 제3자는 파기하도록 함 위탁제공 사업자가 개인정보의 취급을 위탁한 경우, 이용자는 ‘해당 기업’과 ‘수탁자’에게 선택적으로 파기를 요청할 수 있고 해당 기업과 수탁자는 내부 업무연락을 통해 파기하여야 함  정보통신망법 제30조(’14.11.29.시행)와 제67조 제2항에 따라 해당 사업자와 수탁자는 이용자의 파기 요청 시 파기의무 있음 o 실무상 문제점 : (1) 제3자 제공의 경우 개인정보 처리권이 이전되고, 파기를 직접 요청할 법적 근거가 없으며, (2) 업무위탁의 경우 위탁자의 요구권 규정 없고, (3) 양자 모두 법령상 의무의 범위에 대한 분쟁 발생 가능성 있음 o 해결 방안 : 개인정보 (선별적) 파기 요구권을 ‘계약상’ 의무로 편입  법령·정책상 요구사항을 반영한 DUA(Data Usage Agreement, 표준 개인정보 이용 약정)를 마련하여 활 용함으로써 제공하는 자의 통제권을 확보.  표준 양식을 통해 현업 및 준법부서의 업무 효율성 증대
  16. 16. 1. 필요·최소한 개인정보 개념 명확화 서비스별 본질적 기능과 필수항목(예시) o 선택항목은 ① 서비스 목적별로 그룹화하 고 개별적으로 동의하도록 하고, ② 특히 마케팅 활용 목적을 위한 선택항목(연락 처 등)은 별도로 그룹화하여 개별 동의 받 으며, ③ 거부하더라도 서비스 이용 가능 하다는 점을 명확하게 표시 등 o 필수항목은 해당 서비스의 본질적 기능 을 수행하기 위하여 반드시 필요한 정보 로 엄격히 제한 해당 서비스 본질적 기능 필수항목 인터넷 회원 제 서비스  회원에 대한 요금조회, 상담, 서비스 신청, 포인트 적립 등  명의도용∙부정이용 방지 등 회 원 관리 아이디, 비밀번호, 성명, 법정 생년월일, 연락처 등 유료 서비스 구매한 서비스 및 상품 결제 결제수단별 필요한 개인정보 (계좌번호, 카드번호 등) 결재 및 배송 서비스 구매한 서비스 및 상품 결재, 배 송 결재정보(계좌번호, 카드번 호 등), 배송정보(배송 주소 지, 수령인 연락처 등)
  17. 17. 1. 필요·최소한 개인정보 개념 명확화 공정거래위원회의 전자상거래 표준약관과의 관계 방통위 가이드라인 공정위 표준약관 “온라인 쇼핑몰”의 경우 ① 가입 시점 에는 아이디∙비밀번호 등 최소한의 정 보만 요구하는 것이 원칙적이나, ② 온라인 쇼핑을 이용하려는 고객의 경 우, 사전에 물품구매를 위해 배송정보 와 결제정보 수집사실을 예상할 수 있 고, 반복적으로 수집이 이루어지므로 ‘선택항목’으로 분류하여 동의를 받는 경우에는 ‘미리’ 수집∙저장 후 이용 가 능 회원가입단계에서 구매계약 이행을 위해 필요한 정 보(주소 등 배송정보)의 사전 수집을 원칙적으로 금 지 방통위의 가이드라인과 공정위 의 표준약관 사이에 일부 상충 되는 것처럼 보이는 점이 있으 나, ① 공정위가 “원칙적”으로 금지 한다고 설명하고, ② 방통위도 예외적으로 선택항 목으로 분류하여 수집하라고 하 고 있는 점 등을 종합하여 보면, 반드시 모순된다고 보기 어려움
  18. 18. 2. 영업양수자등의 통지의무 강화 영업의 양수 등에 따른 개인정보의 이전(정보통신망법 제26조 제2항) 개정 후 ② ----------------- 그 사실 및 영업양수자 등의 성명(법인의 경우에는 법인의 명칭을 말한다. 이하 이 조에서 같다)∙주소∙전화번호 및 그 밖의 연락처를 인터넷 홈페이지 게시, 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알려야 한다. (단서 삭제) • 정보통신서비스 제공자등(양도인)의 통지 유무와 상관없이 양수자 등도 통지 필요 - 위반시 2천만원 이하의 과태료 부과 처분 - 영업양수시 개인정보 이전 여부 CHECK! - 영업양수도 주무부서와 개인정보보호 부서와의 유기적 업무 수행 필요 - 개인정보 이전 여부 확인 후  전자우편, 서면, 모사전송, 전화 또는 이와 유사한 방법으로 고지 (불능시 홈페이지에 최소 30일 이상 게시) 개정 전 ② 영업양수자등은 개인정보를 이전받으면 지체 없이 그 사실을 인터넷 홈페이지 게시, 전자우편 등 대통령령 으로 정하는 방법에 따라 이용자에게 알려야 한다. 다만, 정보통신서비스 제공자등이 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.
  19. 19. 2. 영업양수자등의 통지의무 강화 관련 쟁점 – 개인정보 수탁자 및 제휴사 사이에서 흡수 합병이 되는 경우? • 영업양도인인 정보통신서비스 제공자등의 의무? • 개정법에 따른 영업양수자등의 의무? • 제3자 제공받는 자의 변경에 따른 조치는? • 제3자 제공에 있어서 ‘개인정보를 제공받는 자’의 변경에 대한 동의 필요?(제24조의2 ① 1호) • 취급방침의 변경?(제27조의2) • 수탁자 변경에 따른 조치는? 정보통신서비스 제공자 A 수탁자 B 수탁자 겸 제휴사 이용자위탁 제공 위탁&제3자 제공
  20. 20. 3. 개인정보 누출 등 통지·신고 의무 강화 통지·신고 기간 단축(정보통신망법 제27조의3)(1/2) 개정 전 ① 정보통신서비스 제공자등은 개인정보의 분실·도난·누출(이하 "누출등"이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회에 신고하여야 한다. (단서) 개정 후 ① ---------------------------------방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 24시간을 경과하여서는 아니 된다. (단서) ③ 정보통신서비스 제공자등은 제1항 본문 및 단서에 따른 정당한 사유를 방송통신위원회에 소명하여야 한다. • 개인정보 누출등을 안 경우 24시간 이내에 통지∙신고하여야 함 - 반면, 미확정 사실을 기초로 통지, 신고시 불이익 발생 가능  해결의 단서 : ‘안 경우’, ‘정당한 사유’  단순한 의심신고, 이상징후만으로 알았다고 할 수 있을까?
  21. 21. 통지·신고 기간 단축(정보통신망법 제27조의3)(2/2) • 24시간 경과에 대비하여 ‘정당한 사유’ 소명 관련 자료 및 논리 마련 필요 - 상황실의 긴급 업무 중 하나 - 민사소송 등에서 늦장 신고도 원고측의 주요 공격 사유 • 24시간은 매우 짧은 기간!, 철저한 사전 대비 필요 - 기초사실 확인 및 신고 업무 완료를 위해 신고담당자 사전 지정, 신고서 작성 및 신고 업 무에 관한 사전 준비 필요 • 신고 항목 - ① 누출된 개인정보의 항목, ② 누출이 발생된 시점, ③ 이용자가 취할 수 있는 조치, ④ 정보통신서비스제공자등의 대응조치, ⑤ 상담담당부서 담당자 및 연락처 • 상황실 수행 경험이 많은 전문가의 도움 필요 3. 개인정보 누출 등 통지·신고 의무 강화
  22. 22. 감사원, 금융회사 개인정보 유출 관련 검사·감독 실태에 대한 감사결과 보고서 • 개인정보 보호법 시행 후 개인정보가 유출된 8개 금융회사의 통지의 적정성 점검 - 5일 이내 통지한 업체 : 5곳(SMS, 서면, 이메일 활용) - 카드3사는 30여일 후 통지/OO손해보험의 경우 7개월 후 통보 • 유출명단이 확정된 날로부터 5일 이내에 통지한 것과 6일 이상 지난 뒤 통지한 것을 구분 - 안전행정부장관(현 행정자치부장관)에게 5일 이내 통지하지 아니한 사유를 조사하여 ‘정 당한 사유’가 없을 경우 적절한 조치를 취하도록 통보 • 최근 실무례 - 2011년경 유출된 사실이 밝혀진 사안에서 행정자치부는 개인정보 유출 사실을 정보주 체 일부에게 미통지 등 개인정보 유출 통지 등 위반을 근거로 과태료 900만원을 처분(1 회 위반 및 ½ 가중 적용) - 이의제기 후 ‘비송사건절차법‘에 따라 과태료 재판 3. 개인정보 누출 등 통지·신고 의무 강화
  23. 23. 시사점 • 24시간 이내에 기초 정보를 주무부처 또는 전문기관에게 신고 - 확인된 최소한의 정보만 기재하고 향후 변경 가능성 언급(상황실에서 신고서 문구 철저히 검수 필요) - (Q) 개인정보 보호법의 경우 ‘통지’ 후 그 통지 및 조치 결과를 신고해야 하는데? • 통지·신고 기간의 기산점은? - (Q)‘그 사실을 안 때부터‘의 의미? - 감사원 역시 개인정보 유출명단이 확정된 날을 기산점으로 삼고 있음(위 특정감사 보고서) • ‘정당한 사유‘에 관한 근거 및 증적 확보 - 예 : 기존 DB 삭제로 인해 수사기관으로부터 데이터를 제공받아 대사작업에 상당한 시일 소요, 수사기 관으로부터 DB 자체를 전달받는 것 자체가 또 다른 법위반 사유가 될 수 있다는 점 등 • 유출사실 일괄 통지에 따른 대고객 업무 부담 등을 고려하되 최대한 신속하게 통지 - 00카드사, XX사의 경우 고객응대 처리 능력 등을 고려하여 분산 통지 - (Q) 일부 통지가 24시간(또는 5일) 경과 후 이뤄진 경우 ‘정당한 사유’ 인정 가능? 3. 개인정보 누출 등 통지·신고 의무 강화
  24. 24. 4. 개인정보 파기의무 및 처벌 강화 개인정보 파기 의무 강화(정보통신망법 제29조) 개정 전 ① 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보를 지체 없이 파기하 여야 한다. (단서 생략) 제76조(과태료) --- 3천만원 이하의 과태료를 부과한다. 개정 후 ① 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 해당 개인정보를 복구,재 생할 수 없도록 파기하여야 한다. (단서 생략) 제76조(과태료) --- 3천만원 이하의 과태료를 부과한다. 제73조(벌칙) 2년이하의 징역 또는 2천만원 이하의 벌금에 처한다. 1의2. 제29조 제1항 본문을 위반하여 개인정보를 파기하지 아니한 자(제67조에 따라 준용되는 경우를 포함한다). • 파기 방법을 법률에 명확히 규정 • 개인정보 수집/이용 목적 달성, 이용기간 경과 후 파기하지 않을 경우 형사처벌(신설) cf. 개인정보 보호법 : 3천만원 이하의 과태료(제75조 제2항 제4호, 제21조 제1항)
  25. 25. 개인 정보 개인정보범죄 정부합동수사단 정보주체 시민·언론 개인정보 파기를 둘러싼 회사 내·외부 관계자들 4. 개인정보 파기의무 및 처벌 강화 • ‘특정’ 정보 파기 곤란 • ‘레거시 데이터’ • 현업의 요청이 필수 • 민원인 요구에 따라 파기 요청 IT부서 민원부서 컴플라이언스부서 • 법령 및 사규에 따라 파기 요청 • 절차 마련, 점검 노조(임직원 정보) • 임직원 개인정보 처리 감시 채권·영업 • 채권회수시까지 보존 • 영업용 자산이라는 입장
  26. 26. 수집,이용,제공,위탁 (작위범) • 작위 과정에서 법규 위반 인식 가능성 높음 - 동의서 제작, 개인정보보호조직의 통제, 개인정보보호 교육 등 개인정보 미파기 (부작위범) • 개인정보 목적 달성, 이용기간 도과(부작위)로 인하여 ‘기수’ • 특별한 Event 부재로 인해 법규 위반 인식 가능성 낮음 - 작위범과 동일하게 처벌 - 양벌규정 : 법인도 처벌 작위범인 수집, 이용, 제공, 위탁 vs. 개인정보 수집 개인정보 이용 개인정보 파기 부작위작 위 목적달성, 기간도과로 기수개인정보 처리 과정에서 법규 위반 회피 노력 4. 개인정보 파기의무 및 처벌 강화
  27. 27. 개인정보 파기 의무 강화(정보통신망법 제29조) • 수집 목적∙보존 기간은 파기와 동전의 양면 • 형사처벌 조항 신설로 규제 환경 급변 - 개인정보 수집 목적 달성, 보관 기관 도과 후 미파기만으로 형사처벌 가능(개정 정보통신망 법 제73조 제1호의2) • 처리(취급)방침에 따라 ‘자동적으로 삭제’해야 하는 항목 최소화 필요 - 수집 목적 세분화, 보유 기간 단축 → 일정 조건 충족시 파기해야 하는 항목 증가 → 형사 처벌 리스크 급증 - 처리(취급)방침상 목적 달성, 보관 기관 경과의 경우 ‘외부적인 event’가 없어 파기 절차 누락 위험 증가 • 개인정보 수집 단계에서 ‘계속 보유 근거’를 최대한 다양하게 확보 - 최소수집 원칙과는 별개의 문제 - 장기 미이용자 정보를 정기적으로 삭제 4. 개인정보 파기의무 및 처벌 강화
  28. 28. 향후과제(1) : 개인정보 수집 경로∙보관 ① 개인정보 흐름표를 통한 전사적인 개인정보 흐름 분석 및 흐름도 작성 필요(PIMS 필수 항목) ② 실제 현업의 개인정보 처리 경로와 준법부서에서 파악하고 있는 불일치 다수 발생 - 개인정보 처리 실무는 수시로 변동 - 주기적인 갱신 및 업데이트를 통해 현행화 - 특히 수탁자를 중심으로 점검 4. 개인정보 파기의무 및 처벌 강화
  29. 29. 향후과제(2) : –파기의무 발생 최소화 • 목적달성 및 보유기간 경과로 인한 파기의무 발생 최소화 • 개인정보 처리(취급)방침, 개인정보 수집 동의서식 재검토 향후과제(3) : • 개인정보 파기에 관한 정책, 지침, 절차 정비 • 개인정보 파기에 관한 주무부서 지정 및 점검 주기 명시 향후과제(4) : 수탁자에 대한 대비 • 개인정보 미파기에 대한 공범 이슈 발생 가능 • 수탁자의 의무위반에 대한 관리, 감독 책임을 이유로 행정제재, 민사소송 제기 가능 • 관리, 감독에 대한 증적 관리 4. 개인정보 파기의무 및 처벌 강화
  30. 30. 향후과제(5) : • 개인정보 수집과 동시에 보존 기간 태깅(Tagging) • 개인정보 처리 이력 관리 및 추적 시스템 구축 • 개인정보 파기 경고 시스템 구축(C사 사례) • 스마트 패드를 이용하여 개인정보 수집 후 일정기간 경과 후 자동 파기(S유통사) 향후과제(6) : • 과태료 취소소송, 형사처벌에 대비하여 개인정보 파기에 대한 회사의 노력을 입증하기 위한 체계적인 증적 관리 • 체크리스트를 통한 정기적인 자체 점검 능력 제고 4. 개인정보 파기의무 및 처벌 강화
  31. 31. 실무 사례 • 엄격한 동의서, 개인정보 처리(취급)방침을 근거로 한 형사처벌 및 과태료 처분 • (CASE) 개인(신용)정보의 보유∙이용 기간에 “수집∙이용 동의일로부터 (금융)거래 해 지 시점까지(거절된 경우에는 그 시점부터 동의의 효력은 소멸됩니다)”라고 기재 - A가 해당 업체에 대출 신청 → 자체 심사 후 대출 신청 거절 - A의 개인정보 파기하지 않고 계속 보관 & 재이용 - 경찰의 수사 과정에서 위반사실 노출 • 파기까지 고려한 동의서∙개인정보처리(취급)방침 제∙개정 필요 4. 개인정보 파기의무 및 처벌 강화
  32. 32. 실무 사례 • 정보통신망법상 주민등록번호 파기 실시(2014.8.17.까지) • A사는 2012. 8. 18.부터 주민등록번호 필드에 앞 7자리(생년월일, 성별) + 000000 형태 로 저장하고 암호화 조치하여 보관하다가, 2014. 7. 3. 보관중인 주민등록번호 정보에서 뒤 6자리를 모두 X로 치환하여 주민등록번호 파기 처리 완료 • 종래 개인정보 취급방침이나 개인정보 처리 동의서에 ‘생년월일’과 ‘성별’ 정보 처리에 관한 내용이 있었음 4. 개인정보 파기의무 및 처벌 강화 • 방송통신위원회는 주민등록번호 일부(생년월일·성별)를 파기하지 않고 있다는 이유로 과태 료 부과 처분을 사전 통보 - 위와 같은 조치가 주민등록번호 파기에 해당한다는 방통위와 KISA의 안내서 있음 • (Q) 종전 주민등록번호를 ‘앞7자리+XXXXXX’ 형태로 보관시 생년월일과 성별에 대한 별도 동의가 필요? • (Q) 취급방침 및 동의서상 수집 항목에 ‘생년월일과 성별’에 관한 내용이 없는 경우는?
  33. 33. 5. 법정손해배상제도의 도입 법정손해배상의 청구(정보통신망법 제32조의2) - 신설 ① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 정보통신서 비스 제공자등에게 제32조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고 의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 1. 정보통신서비스 제공자등이 고의 또는 과실로 이 장의 규정을 위반한 경우 2. 개인정보가 분실·도난·누출된 경우 ② 법원은 제1항에 따른 청구가 있는 경우에 변론전체의 취지와 증거조사의 결과를 고려하여 제1 항의 범위에서 상당한 손해액을 인정할 수 있다. • 개인정보 누출등의 경우 손해액에 대한 입증 없이 300만원 범위 내에서 손해배상 청구 가능 • 법 시행 후 발생한 경우부터 적용 • 법정손해배상의 청구기간(시행령 제18조) - 이용자가 개인정보 누출 등의 사실을 안 날로부터 3년, - 개인정보의 누출 등이 발생한 날로부터 10년
  34. 34. 법정손해배상의 청구(정보통신망법 제32조의2) - 신설 에서 청구 가능 - 손해액 입증 부담 경감(구체적인 금액은 법원이 결정) - 징벌적 손해배상제도는 도입 유보 : 고의 또는 과실이 없었음을 입증하여야 함 - 위법성, 인과관계는 여전히 요구(변론 포인트) - 손해배상금액의 ‘상당성’에 관한 사례 검토 - 평소 기술적∙관리적 보호조치에 관한 이행 내역 등 증적 관리 필수 - 신뢰도 제고를 위해 외부 전문가에 의한 검증 필요 - 수탁자 리스크 관리 필요 5. 법정손해배상제도의 도입
  35. 35. 6. 영리목적 광고성 정보 규제 강화 영리목적의 광고성 정보 전송 제한(정보통신망법 제50조) 개정 전 제50조 ① 누구든지 전자우편이나 그 밖에 대통령령으로 정하는 매체를 이용하여 수신자의 명시적인 수신거부의 사에 반하는 영리목적의 광고성 정보를 전송하여서는 아니 된다. 개정 후 제2조 13. “전자적 전송매체”란 정보통신망을 통하여 부호·문자·음성·화상 또는 영상 등을 수신자에게 전자문서 등의 전자적 형태로 전송하는 매체를 말한다. 제50조 ① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. (단서 생략) ② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신 거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다. • 모든 전자적 전송매체에 대해 원칙적으로 이용자의 사전 수신 동의시에만 영리목적의 광고성 정보 전송 및 홈페이지 게시 가능(홍보성 이메일의 경우 Opt-Out에서 Opt-In으로 변경) • 사전 동의를 받았더라도 수신자가 철회하거나 수신거부의사를 표시하면 전송 금지
  36. 36. 6. 영리목적 광고성 정보 규제 강화 영리목적의 광고성 정보 전송 제한(정보통신망법 제50조) 출처 : 불법 스팸 방지를 위한 정보통신망법 안내서
  37. 37. 방송통신위원회 안내서의 주요 내용 1. 광고전송자가 여러 종류의 서비스를 제공하는 경우, 모든 광고 수신에 대한 포괄적 동의 가 능?(예 : 대리운전과 꽃배달을 함께하는 사업자가 두 사업에 대한 광고성 정보를 전송하려는 경우)··( ) 2. 광고성 정보 수신 동의를 이용 약관에 넣어서 일괄적으로 받는 것이 적법? ···( ) 3. 스마트폰 앱을 다운받아 설치만 해 놓은 상태에서 광고성 정보 전송 가능? ···( ) 4. 수신 동의를 얻기 위한 목적으로 문자 등을 전송하거나 전화를 거는 것이 가능? ···( ) 5. 구체적인 재화나 서비스의 홍보가 아니더라도, 발신인의 이미지 홍보에 해당하는 경우에도 광 고성 정보에 해당? ···( ) 6. 주된 정보가 광고성 정보가 아니더라도, 부수적으로 광고성 정보가 포함되어 있으면 전체적으 로 광고성 정보에 해당? ···( ) 7. 구매한 재화 또는 서비스에 대한 보증, 제품리콜, 안전 또는 보안 관련 정보가 광고성 정보에 해당? ···( ) 8. 단순 문의나 회원가입 등의 경우에도 거래관계가 존재한다고 보아 수신 동의 예외? ···( ) 9. 영업점을 인수하면서 기존에 있던 고객명단을 넘겨받는 경우에도 기존거래관계를 근거로 광고 성 정보 전송 가능? ···( ) 10. 단순 홍보용 전화 권유의 경우 정보통신망법이 아니라 방문판매법 적용? ···( ) 6. 영리목적 광고성 정보 규제 강화
  38. 38. 실무사례 : 음성을 이용한 광고와 관련된 질의/응답 사례 [문제 상황] 광고성 정보가 시작되는 부분에 광고를 의미하는 음성, 전송자의 명칭, 전화번호 또는 주소, 수신의 거부 또는 수신동의의 철회를 할 수 있는 방식을 안내하도록 하고 있는데, 위에서 말하는 ‘음성형태로 전송되는 광고’가 ARS 등과 같은 방법에 한정되는지, 모든 텔레마케팅 광고를 의미하는지? 6. 영리목적 광고성 정보 규제 강화
  39. 39. 실무사례 : 음성을 이용한 광고와 관련된 질의/응답 사례 정보통신망법 제50조(영리목적의 광고성 정보 전송 제한) ① (중략). 다만, 다음 각 호의 어느 하나 에 해당하는 경우에는 사전 동의를 받지 아니한다. 2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 전화권유를 하는 경우 6. 영리목적 광고성 정보 규제 강화 정보통신망법 적용 범위 확정 • 문제점 : 정보통신망법상 스팸 규정과 방문판매 등에 관한 법률에 따른 전화권유 규정의 관계 • 육성으로 전화권유를 통하여 ‘계약의 체결’까지 이루어지는 전화권유 판매는 ‘방문판매 등에 관 한 법률'이 적용되고, 스팸 관련 정보통신망법이 적용되지 않음  ‘전화권유판매’란 전화를 이용하여 소비자에게 청약을 하는 방법으로 계약을 체결하여 재 화 등을 판매하는 것 • 이외에 ARS 등으로 녹음된 음성으로 전화 권유를 하거나 단순히 홍보를 할 뿐 계약을 전화상 으로 하지 않는 경우에는 정보통신망법상 스팸 규정이 적용됨
  40. 40. 실무사례 : 음성을 이용한 광고와 관련된 사례 및 유권해석(정통망법 적용 전제로) o 개정 전 시행령 [별표6] o 개정 후 시행령 [별표]6 음성형태로 전송되는 광고 광고성 정보가 시작되는 부분에 광고를 의미하는 음성, 전송자의 명칭, 전 화번호 또는 주소, 수신의 거부 또는 수신동의의 철회를 할 수 있는 방식 을 안내 음성 외의 형태로 전송되는 광고 수신의 거부 또는 수신동의의 철회용 자동응답전화번호 등의 전화번호 또는 전화를 갈음하여 쉽게 수신의 거부 또는 수신동의의 철회를 할 수 있는 방식을 정보가 끝나는 부분에 명시 6. 영리목적 광고성 정보 규제 강화 ‘전화’의 경우 ‘수신의 거부 또는 수신동의의 철회용 자동응답전화번호 등의 전화번호 또는 전화에 갈음하여 쉽게 수신의 거부 또는 수신동의의 철회를 할 수 있는 방식을 정 보가 끝나는 부분에 명시
  41. 41. 7. 과징금 부과 사유 추가 및 상한액 상향 개인정보 누출 및 수탁자 관리 부실에 대한 제재 강화(제64조의3) 개정 전 ① --- 위반행위와 관련한 매출액의 100분의 1 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 제6 호에 해당하는 행위가 있는 경우에는 1억원 이하의 과징금을 부과할 수 있다. 1. ~ 5. (생략) 개정 후 ① --- 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. (단서 삭제) 1. ~ 5. (현행과 같음) 5의2. 제25조제4항에 따른 관리ㆍ감독을 소홀히 하여 수탁자가 제4장의 규정을 위반한 경우 (신설) 6. 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 경우로서 제28조제1항제2호부터 제5호까지의 조치를 하지 아니한 경우 (신설)
  42. 42. 개인정보 누출 및 수탁자 관리 부실에 대한 제재 강화(제64조의3) 7. 과징금 부과 사유 추가 및 상한액 상향 정보보안 보안검색 보안인프라 수탁업체의 보안수준 보안인식 기업 내 가장 취약한 보안 수준이 해당 기업 전체 보안 수준을 결정
  43. 43. 개인정보 누출 및 수탁자 관리 부실에 대한 제재 강화(제64조의3) • 과징금의 상한선이 - 5호의2 : 누출 등 사고가 발생하지 않아도 수탁자의 제4장 규정 위반이 발견되고 위탁자의 관리ㆍ감독 소홀이 그것의 원인인 경우에 위탁자에게 과징금을 부과 - 6호 : 개인정보를 분실·도난·누출·변조 또는 훼손한 경우로서 “기술적∙관리적 보호조치”(제28조제1항 제2호~제5호)가 미비한 경우도 형사처벌과는 별개로 과징금 부과 대상으로 추가 • 방송통신위원회는 분실·도난·누출·변조 또는 훼손과의 - 그러나 현행 법무상 인과관계를 배제한다는 명문의 규정이 없고, 책임법적 권리를 포기하고 무과실 책임 을 인정할 특별한 사정변경도 인정할 수 없다는 비판적 견해 유력 - 과징금 부과에 있어서 인과관계는 당연한 요건이므로 주요한 변론 포인트 - 과징금 부과처분 취소소송에 대비하여 평소 수탁자 관리, 기술적∙관리적 보호조치 관련 내역 관리 필요 - 한정된 본사 인력 및 예산을 바탕으로 방대한 수탁자를 효율적 관리, 감독할 수 있는 방안 필요 7. 과징금 부과 사유 추가 및 상한액 상향
  44. 44. 개인정보 누출 및 수탁자 관리 부실에 대한 제재 강화(제64조의3) • 위수탁 계약 체결 단계부터 간접적인 이행점검의 효과를 도출 - 위탁자는 계약을 체결하기 전 서면∙현장 점검을 통해 계약 상대방의 현황 및 개인정보보호 능력을 평가하고 취약점을 분석한 뒤 계약 체결 여부를 결정 - 이 때 취약점을 일정한 기간 내에 보완할 것을 요구하여 위탁자 회사의 정책∙지침에서 요 구하는 수준을 계약을 통해 요구 가능 • 법령은 일반적이고 추상적으로 되어 있으므로 개별 계약을 통해 권리∙의무를 명확히 할 필요 있음 - 수탁자 점검시 수탁자가 협조하고 용인해야 하는 사항을 계약서에 명기(수탁자에 대한 질문∙조사 및 자료제출 요구권, 장소 출입권, 증거물품 수거권, 동행∙출석 요구권, 현장조치권 등), 재위탁의 제한, 개인정보 유출 등에 대해 본사에 통지 등을 규정하여 분란의 소지를 차단 • 수탁자가 계약상 의무를 위반한 경우 계약 해지 등의 불이익을 받을 수 있도록 규정 - 예 : 교육 수강 의무 불이행, 수탁자에 대한 점검 거부 등 7. 과징금 부과 사유 추가 및 상한액 상향
  45. 45. 주무부처 현장점검 관련 주의사항
  46. 46. 체크리스트 제공 후 자체 점검 결과 및 Raw Data 검증 o 행정자치부 개인정보보호 합동점검단과 KISA가 공동으로 회사의 개인정보 관리 현황 검사 명 목으로 “개인정보보호 현황 자료” 제출을 요구 o 기업이 제출한 자체 점검 내용 및 Raw Data를 바탕으로 현장 검사를 실시 o 주요 검사 내용 1) (업무위탁에 따른 개인정보의 처리 제한) 개인정보의 처리 업무를 위탁함에 따른 적정성 여부 및 수탁자 관리감독 여부 2) (개인정보의 수집·제공 및 동의 방법) 개인정보의 수집·제공의 적정성 여부 및 동의 방법 의 적절성 여부 3) (안전조치 의무) 내부관리계획 수립 여부, 개인정보처리시스템의 접근권한 관리, 접근통 제, 접속기록의 보관 및 위·변조 방지 조치 여부 개정 정보통신망법 관련 주무부처 등 현장 점검시 주의 사항
  47. 47. ‘개인정보 최소수집’ 및 ‘수집·제공의 적법성’ 등 관련 리스크 o 수집 방식에 있어서 (1) 직접 수집의 경우 동의 획득의 적 법성이, (2) 제휴사를 통한 제공의 경우 ‘적법한 제3자 동 의를 받은 개인정보’인지 여부가 문제될 수 있음  특히 제3자 제공에 관해서는 개인정보 보호법, 정보통신망 법 모두 ‘알면서 받은 경우‘ 제공한 자와 동일하게 형사처벌  최근 홈플러스 사건에서 문제가 되고 있는 “필터링” 이슈 o ‘최소 수집 원칙’ 준수 여부 점검 대상  방송통신위원회 가이드라인 참조 o ‘보유기간’ 항목 관련하여, 개인정보 미파기 문제  (1) 3,000만원 이하 과태료 및  (2) 개인정보 미파기죄(2년 이하 징역 또는 2천만원 이하 벌금) 개정 정보통신망법 관련 주무부처 등 현장 점검시 주의 사항
  48. 48. ‘개인정보 최소수집’ 및 ‘수집·제공의 적법성’ 등 관련 리스크 o 수집 방식에 있어서 (1) 직접 수집의 경우 동의 획득의 적법성이, (2) 제휴사를 통한 제공의 경 우 ‘적법한 제3자 동의를 받은 개인정보’인지 여부가 문제될 수 있음(최근 홈플러스 사건 등)  특히 제3자 제공에 관해서는 개인정보 보호법, 정보통신망법 모두 ‘알면서 받은 경우‘ 제공한 자와 동 일하게 형사처벌 o ‘최소 수집 원칙’ 준수 여부 점검 대상  방송통신위원회 가이드라인 참조  서비스의 내용에 비추어 필수정보라는 점에 관한 소명 필요 o ‘보유기간’ 항목 관련하여, 개인정보 미파기 문제  (1) 3,000만원 이하 과태료 및  (2) 개인정보 미파기죄(2년 이하 징역 또는 2천만원 이하 벌금) 개정 정보통신망법 관련 주무부처 등 현장 점검시 주의 사항
  49. 49. Raw Data 검증 과정에서 발생할 수 있는 리스크 o 기업은 자체 점검 결과와 함께 ‘Raw Data’를 증적으로 제 출하여야 함 o 제출 요청 자료 중 특히 “8. DBMS 접근권한 부여·수정· 말소 내역“, “9. DBMS 접속기록(로그) 저장 내역“, “10. DBMS 개인정보 저장 현황”, “13. 개인정보처리 관련 위 탁 계약서 각 사본”과 관련된 Raw Data 검증 과정에서 위 ·수탁 관리 미비점이 노출될 가능성이 높음  Ex) 임시적 이벤트 업체 등의 로그 기록이 발견되었 는데, 취급(처리)방침에는 기재되지 않은 경우  ‘DBMS 개인정보 저장 현황’과 관련하여, 취급방침 이나 동의서에는 ‘대표항목’만 기재되어 있는데, 대 표항목에 포섭될 수 없는 필드가 있는지 점검 필요 개정 정보통신망법 관련 주무부처 등 현장 점검시 주의 사항
  50. 50. Raw Data 검증 과정에서 발생할 수 있는 리스크 – 실무사례 o E사의 해킹을 통한 420만건 개인정보 유출 사건과 관련하여 방송통신위원회가 2012. 5. 17.부 터 현장 점검하는 과정에서 8만건의 개인정보 미파기 사실 발견 • 다만, 정보통신망법 제28조 제1항 제2호 및 제4호 위반 사항은 인과관계가 불분명하여 사법부의 판단 이 있을 때까지 불처분 o 개인정보 미파기에 대해 정보통신망법 제29조 위반을 인정 • 개인정보 미파기 외에 비밀번호 작성규칙 미적용 등을 이유로 과태료 1,000만원 처분 o E사는 수탁자인 K사를 상대로 손해배상청구 소송 제기 개정 정보통신망법 관련 주무부처 등 현장 점검시 주의 사항
  51. 51. 감사합니다 테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / contact@teknlaw.com

×