*일시 : 2015. 10. 22. (목) *주제 : 기업의 국외 진출과 Privacy Policy

1. 기업의 국외진출과 Privacy Policy
법무법인 민후 김경환 변호사

2. - 2 -
목 차
문제제기○
란 의 연혁Privacy Policy ? / Privacy Policy○
의 의무성Privacy Policy○
우리나라의 Privacy Policy○
의 필요성 의 부작용Privacy Policy / Privacy Policy○
의 법적 리스크 유형Privacy Policy○
바람직한 Privacy Policy○
각국 작성시 주의할 점Privacy Policy○
예시 등의: Apple Privacy Policy○
관련 문제○
결 론○

3. - 3 -
문제제기

4. - 4 -
란Privacy Policy ?
개념○ : a statement or a legal document that discloses some or all
of the ways a party gathers, uses, discloses, and manages a
customer or client's data (from wikipedia)
법적지위○ 계약 합의할 내용이 아님: ? ( )
일방적 약속을 담은 공개용 법률문서로서 구속력 있음

5. - 5 -
구별개념○
약관 계약의 성질 서비스와 관련- (terms conditions) : ,＆
내부관리계획 비공개- :
투명성 보고서 법률문서 아님- :

6. - 6 -
의 연혁Privacy Policy
기초○ 프라이버시 가이드라인: OECD (1980)
원칙 중- 8 Openness Principle
입법○ : California Online Privacy Protection Act of 2003
- An operator of a commercial Web site or online service ... shall
conspicuously post its privacy policy ...

7. - 7 -
의 의무성Privacy Policy
법령에서 의무로 규정한 경우○
한국 캘리포니아주 미국 아동 온라인 프라이버시 보호법 등- , ,
공개사항이 법정되어 있고 비공개시 제제가 따름- ,
행정청에서 권고하는 경우○
미국 등- FTC
기업이 스스로 공개하는 경우○
그 외 다수-

8. - 8 -
우리나라의 Privacy Policy
개인정보취급방침○
정보통신망법 제 조의 년도에 도입됨 공개사항 공개사항 법정- 27 2, 2007 , ,
개인정보처리방침○
개인정보보호법 제 조 년도부터- 30 , 2011
신용정보활용체제○
신용정보법 제 조- 31
위치정보이용약관○
위치정보 제 조 신고사항- 12 ,

9. - 9 -
의 필요성Privacy Policy
○ 기업과 이용자 사이의 끈 기업: - Privacy Policy 이용자-
이용자의 가장 큰 관심사는 자신의 개인정보가 어떻게 활용되는지임-
는 정보처리 내용을 공개함으로써 이용자들에게 확신을 줌- Privacy Policy
- 결국 기업과 이용자 사이의 신뢰의 끈 이라 할 수 있음 자기결정권 보장, ‘ ’ ( )
○ 법령과 실태 의 정합(BM) 법령: ⇔ Privacy Policy 실태(BM)⇔
는 법령을 반영하여야 함- Privacy Policy
는 를 반영하여야 함- Privacy Policy BM
법령과 사이의 정합 및 중간자 기능 컴플라이언스 보장- BM ( )
투명성보고서와 같이○ 국가권력에 대한 방어수단이 될 수 있음

10. - 10 -
의 부작용Privacy Policy
소송의 단초 또는 불리한 증거○
행정제재의 단초 또는 불리한 증거○
영업비밀의 노출수단○

11. - 11 -
의 법적 리스크 유형Privacy Policy
법령과의 불일치○
실태와의 불일치○
미공개 또는 사항 흠결○
영업비밀 노출○

12. - 12 -
법령과의 불일치< >
2015. 2. Facebook○
벨기에 개인정보보호당국은 의 년도 가 법령에- FB 2015 Privacy Policy EU
부합하지 않는다고 지적함
의 제 자 광고 제공시 이용자의 선택권이나 거부권 행사가 용이하지 않- FB 3
는바 이는 위반EU e-Privacy Directive

13. - 13 -
2013. 4. Google○
구글은 통합을 시행하였고 이에 대하여 의 개인정보보- Privacy Policy , EU
호 당국은 탈퇴권 보장 등의 의 수정을 요구함Privacy Policy
하지만 구글은 수정을 거부하였고 그 결과 의 개인정보보호 당국은 조- , EU
사를 개시하게 됨
일부 개인정보보호 당국은 벌금을 부과함-

14. - 14 -
2014. 12. Facebook○
당시 는 모호했던 를 수정하면서 억 인구의 데이터의- FB Privacy Policy 13
이용 광고 제 자 제공 등에 대하여 언급을 함3ㆍ ㆍ
이에 네델란드 개인정보보호 당국은 수정된 에 대하여 법령- Privacy Policy
위반에 대한 조사를 개시함

15. - 15 -
실태와의 불일치< >
2014. 7. Google○
안드로이드 이용자들이 광고자에게 이용자들의 개인정보를 동의 없이 노출-
한 것은 위반이라고 주장하면서 집단소송을 제기함Privacy Policy
법원은 이용자들이 개인정보의 노출을 입증하지 못하였다고 하- 2015. 7.
여 소송을 기각함

16. - 16 -
2010. 6. Tweeter○
미국 는 해커가 비인가접근을 할 수 있도록 방치한 것은- FTC Privacy
또는 약속 위반이라고 하여 법 제 조를 근거로 조사를 개시함Policy FTC 5
트위터는 보안조치 강화를 약속하면서 화해가 성립됨-

17. - 17 -
2015. 4. Nomi Technologies○
미국 는 의 에 의하면 이용자의 옵트아웃을 보장- FTC Nomi Privacy Policy ,
하고 있다고 되어 있는데 이는 이용자에 대한 정보 수집을 전제로 하는
것임에도 불구하고 는 이용자들에게 정보 수집을 고지하지 않았다, Nomi
는 이유로 조사를 시작함
는 시정조치를 약속하였고 결국 화해로 종결됨- Nomi

18. - 18 -
2013. 2. Path○
미국 는 업체인 가 이미 친구들의 개인정보를 수집한 다음- FTC SNS Path ,
에 친구추가 클릭을 유도한 것은 를 위반한 것이라고 하여‘ ’ Privacy Policy
조사를 시작함
는 설계의 잘못을 인정하고 시정을 약속하면서 화해로 종결됨- Path

19. - 19 -
2014. 7. Gateway Learning Corporation○
는 를 개정하면서 정보의 제공이나 공유를 포함시- Gateway Privacy Policy
켰음
미국 는 정보의 제공이나 공유에 대한 고지를 해 주지 않은 이용자들- FTC
의 정보도 정보의 제공이나 공유를 하고 있는 위반으로 조Privacy Policy
사를 개시함
는 시정 및 수익 포기를 약속하여 화해로 종결됨- Gateway

20. - 20 -
미공개 또는 사항 흠결< >
2012. 12. Delta○
항공은 캘리포니아 주민의 개인정보를 앱으로 수집함에도 그 내용- Delta
이 담긴 를 공개하지 않음Privacy Policy
개선 권고를 하였음에도 따르지 않아 캘리포니아 당국은 행정제재를 부과-
하였음

21. - 21 -
영업비밀 노출< >
지나치게 자세한 처리과정 공개는 영업노하우의 노출로 이어질 수 있음○

22. - 22 -
바람직한 Privacy Policy
법령에의 일치○
실태와의 일치 업데이트는 충분한 시간을 두고 사전에 공지함:○
공개사항의 완비○
영업비밀의 고려○
가독성과 인터페이스 쉽고 간결하며 명확한 문장:○
예 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우에는 개)
인정보 취급방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록
대통령령으로 정하는 방법에 따라 공개하여야 한다.

23. - 23 -
각국 작성시 주의할 점Privacy Policy
미국○
는 통지 선택 접근 보안 등 가지 사항의 공정정보실천 원칙- FTC , , , 4 (Fair
을 제시하고 업계가 자율적으로 이들 원Information Practice Principle)
칙을 준수하도록 함
아동 온라인 프라이버시 보호법- (Children’s Online Privacy Protection
에 따르면 세 미만 어린이로부터 개인정보를 수집하고 있다는 것Act) 13
을 실제로 인지하고 있는 웹 사이트나 온라인 서비스 운영자는 어린이로
부터 어떤 정보를 수집하는지 그 정보를 어떻게 이용하는지 그리고 해, ,
당 정보에 대한 운영자의 공개 관행에 관하여 웹 사이트에 고지해야 함

24. - 24 -
캘리포니아 온라인 프라이버시 보호법- (CalOPPA : The California Online
캘리포니아 주민으로부터 개인정보Privacy Protection Act of 2003) :
를 수집하는 경우 개인정보보호 정책을 눈에 잘 띄게 공개하도록 요구하
며 년 일부 개정되어 개인 식별이 가능한 정보를 수집하는 웹사이, 2013
트 또는 온라인 서비스 운영자는 추적 금지 표시 와 관련(Do Not Track)
한 조치도 이용자에게 알려야 하는 의무가 부여됨

25. - 25 -
중국○
년 월 중국 산업정보기술부- 2013 4 (Ministry of Industry and
는 통신 인터넷 이용자의 개인정보보호InformationTechnology : MIIT) '
에 관한 규칙 을 발표하면서 서비스 제공자가 이용자의 개인정보 수집 시' ,
수집목적 방법 및 범위 보유기간 개인정보 열람 및 정정 절, , ,① ② ③
차 정보제공 거부에 따른 불이익 등을 이용자에게 고지해야 함을 제, ④
정함

26. - 26 -
일본○
사전에 개인정보의 수집 이용 목적을 공표하고 있거나 수집 시 정보주체- ∙
에게 고지 또는 공표하면 족함

27. - 27 -
EU○
의 작성 및 공개의무에 대해 국내법과 같이 명시적으로 규- Privacy Policy ,
정하고 있지는 아니함
다만 정보주체에의 통지 정보주체의 데이터에 대한 접근의 권리 정보주- , ,
체의 거절의 권리 등의 내용을 수립에 포함시키는 것이 바Privacy Policy
람직
의 쿠키법 모든 웹사이트가 방문자들에게 자신의 기기에 남을 수 있- EU :
는 불필요한 쿠키에 대해 인지하도록 하고 계속 진행하기 위한 승인을,
요청하도록 명시하고 있는바 에 이 내용이 포함되는 게 바, Privacy Policy
람직함

28. - 28 -
예시 등의: Apple Privacy Policy

29. - 29 -

30. - 30 -

31. - 31 -
구분 Google Apple Facebook eBay Amazon.com
수집하는 정보 ○ ○ ○ ○ ○
쿠키 ○ ○ ○ ○ ○
수집방법 ○ ○ ○ ○ ○
수집한 정보의 이용 ○ ○ ○ ○ ○
수집한 정보의 공유 ○ ○ ○ ○ ○
이용자의 선택권 ○ ○ ○ ○ ○
이용자의 접근권한 ○ ○ ○ ○ ○
정보의 보안 ○ ○ × ○ ○
정보의 보관 × ○ × × ×

32. - 32 -
정보의 파기 × × × × ×
개인정보의 국외
이전 규정
△ ○ ○ ○ △
제 자 사이트 및3
서비스의
포함 가부
△
명시적이지(
는 않으나,
내용상 포함)
○
△
명시적이지(
는 않으나,
내용상 포함)
○ ○
어린이 개인정보보호 ×
○
세 미만(13 )
△
별도(
정책으로
안내하나,
실질적
내용은 없음)
○
세 미만(13 )
○
세 미만(18 )
정책의 변경 ○ ○ ○ ○ ○

33. - 33 -
의견 및 질문 △ ○ ○ ○ ○
정책시행일자 ○ ○ ○ ○ ○
자체규제
프레임 워크
Safe Harbor
Safe Harbor
/ APEC
CBPR
Safe Harbor
/
TRUSTe
프로그램
Binding
Corporate
Rules
(BCRs) /
TRUSTe
프로그램
Safe Harbor
캘리포니아 주민으
로부터의 개인정보
수집
×
○
(Do Not
Track,
Notice for
Minors)
× × ×

34. - 34 -
관련 문제
분쟁시 관할의 문제○
최근 진보네트워크 구글에 대한 심 판결이 나옴- vs 1
이 소송은 개인정보 제공 내역의 공개를 구한 것이었음-
구글이 약관상 관할은 캘리포니아주로 되어 있다고 주장하였으나 법원은- ,
국제사법 제 조에 위반된다고 보아 한국에서의 관할을 인정함27

35. - 35 -
구글이 제공 내역 미공개의 당사자 합의가 있었다고 주장하였으나 이는- ,
정보통신망법의 강행규정 위반으로 무효라고 판시함
다만 구글 코리아는 구글 서비스 운영에 보조적인 역할을 할 뿐 서비스를-
제공하는 주체에 해당하지 않는다고 판시
결국 법원은 구글 본사에게 가입자의 개인정보 서비스이용내역을 제 자에- · 3
게 제공한 현황을 공개하라고 명함

36. - 36 -
시사점[ ]
관련 분쟁이 발생하면 한국 법원은 관할권을 가짐- Privacy Policy
과거 방송통신위원회는 구글 스트릿뷰 사건에서 구글에 대하여 과징금을-
부과한 적이 있고 구글 본사에 직원을 파견하여 파기 여부까지 확인하였
으며 개월 동안 이용자의 동의 철회에도 일부 아이폰으로 위치정보를, 10
수집한 애플에 대하여 과태료 원을 부과하였음300
곤잘렌스 잊혀질 권리 사건에서 는 구글 본사에 대하여 관할권을 인정- EU
한 적이 있음
국제사법 내용은 다른 나라도 대동소이한바 한국 기업과 다른 나라의 소- ,
비자 사이에 분쟁이 발생하면 그 나라 법원이 관할권을 가Privacy Policy
질 수 있음

37. - 37 -
정보공유협정에 근거한 Privacy Policy○
막스 슈렘스는 페이스북 아일랜드 지점이 유럽 이용자들의 정보를 미국으-
로 스파이처럼 불법으로 넘기고 있었다고 주장함
사법 재판부가 세이브하퍼 협정 이 미국에서 유럽인의 개인 정보가- EU ' '
잘못 사용됐을 경우 법적 제재를 요청할 수 없다며 개인정보 보호가 충분
하지 않다는 이유로 무효 판정을 내림
페이스북은 부득이 대안을 찾을 수밖에 없음-

38. - 38 -
시사점[ ]
의 기반이 되는 협정이나 법령이 무효가 될 수 있음을 인식- Privacy Policy
하여야 함
근거 협정이나 법령이 무효가 되면 의 법령위반이라는 리- , Privacy Polish
스크가 현실화됨
위 사례에서 표준계약 등의 안전한 대안 마련이 필요함-

39. - 39 -
결 론
국외진출시는 의 중요성이 배가됨Privacy Policy○
선진국진출시는 의 관리가 더 필요함Privacy Policy○
의 목표Privacy Policy○
이용자 보호 및 인터페이스 강화- : Privacy
기업 이익 보호 및 리스크 관리- :

40. - 40 -
감사합니다.
oalmephaga@minwho.kr