개정된 개인정보 처리방침·개인정보 국외 이전 내용 등 고려해야
[보안뉴스= 최성호 법률사무소 비트 대표변호사] 지난 2014년, 카드 3사의 개인정보 1억여건 유출 사건의 악몽이 아직도 생생하다. 한 외주업체 직원의 잘못된 선택으로 인하여 벌어진 해당 사건은, 개인정보와 관련된 임직원의 거취까지 영향을 미쳤고 결국 그 가족들의 사회적인 지위까지 뒤흔들 정도로 상당한 파장을 일으켰다.
.jpg)
또한, 최근까지도 해당 개인정보 유출사건으로 정신적 피해를 본 고객들에게 카드사가 10만원씩 배상하라는 판결이 선고되고 있는 상황이다. 이에 국회에서도 위와 같은 개인정보 유출에 우려를 표하며, 정보통신망법 및 개인정보보호법 개정안을 통과시켰다.
위 개정안은 개인정보를 유출한 기업의 최고경영자 등 임원에 대한 책임을 강화하고 나아가 제재 수준의 상향을 통해 개인정보 유출 등 침해 사고에 대한 경각심을 높이고자 하는 취지인 것으로 보인다. 이하 개정된 법에 대한 체크포인트를 간략히 알아보기로 하자.
먼저, 개인정보 처리(취급)방침의 수정을 고려해 보아야 한다. 개인정보보호법 개정안에 의하면 개인정보보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭 및 연락처와 인터넷 접속정보파일 등, 개인정보 자동 수집 장치의 설치, 운영 및 그 거부에 관한 사항을 개인정보 처리방침에 포함하도록 했다. 이에 필요한 사항을 추가해야 한다.
또한, 기존 정보통신서비스 제공자의 경우 기존 법상 용어는 개인정보 취급방침이었는데 이번 정보통신망법 개정을 통해 개인정보 처리방침으로 통일되었으니 이 점도 반영할 필요가 있다.
다음으로는 스마트폰 응용프로그램(App) 개발사의 경우, 스마트폰 접근 권한 설정과 관련된 부분을 유의해야 한다. 현재 대다수의 이용자는 개발자 등이 본인 스마트폰의 정보를 얼마나 수집하고 어디까지 활용할 수 있는지 인지하지 못하고 있으며, 인지하고 있더라도 이용자가 접근 권한 동의를 거부할 경우 프로그램을 이용할 수 없어 대부분의 이용자가 접근 권한을 허용하고 있었다.
이제는 개정 법에 따라 정보통신서비스제공자는 프로그램 본래 기능 수행에 반드시 필요한 권한과 그렇지 않은 선택적 권한을 구분해 각각 세부 항목과 이유를 이용자가 명확히 인지하도록 알리고 이용자로부터 동의를 받아야 한다. 이 뿐만 아니다. 스마트폰 응용프로그램 개발자가 개발회사가 프로그램 본래 기능 수행에 반드시 필요하지 않은 선택적 접근권한에 동의하지 않는다는 이유로 이용자가 프로그램 자체를 이용할 수 없도록 하는 행위 역시 금지됐기 때문에 이에 유의해 스마트폰 응용프로그램(App) 개발을 진행해야 한다.
또한, 개인정보 국외 이전이 보다 용이해졌기에 클라우드 도입을 긍정적으로 검토할 수 있게 됐다. 기존 법에 의하면 개인정보를 국외로 이전할 경우 반드시 이용자의 동의를 받아야 했다. 이로 인해 클라우드 도입을 사실상 불가능하게 만든다는 비판이 다수 있었다.
하지만 개정법은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위해 필요한 경우로서 이전되는 개인정보 항목 등을 공개하거나 전자우편 등의 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁·보관에 따른 동의절차를 거치지 아니하고 개인정보를 국외에 이전할 수 있게 함으로써 사업자로 하여금 자유롭게 클라우드를 활용할 수 있는 계기를 마련해 주었다고 평가할 수 있다.
위와 같이 간략하게 최근 개정된 개인정보보호 관련법과 관련된 주요 체크리스트를 살펴보았다. 최근 개인정보보호 관련 개정안은 징벌적 손해배상, 행정기관 정기적 조사 의무 등 사업자 입장에서 부담스러운 규제가 추가되고 있는 상황이기는 하나, 이런 때일수록 개정법에 대한 주의를 기울인다면 개인정보와 관련된 리스크에 대해 성공적으로 대응할 수 있을 것으로 보인다.
[글 _ 최성호 법률사무소 비트 대표변호사(sungho.choi@veat.kr)]
필자 소개_ 최성호 변호사는 지난 2015년 법률사무소 비트를 설립하고 현재 변호사 5명, 기술 고문 2명과 함께 개인정보·기업 자문·금융·M&A·소프트웨어·지식재산권·회사법 등을 포함한 종합적인 법률서비스를 제공하고 있다. 특히, 개인정보 및 IT에 특화되어 있는 변호사들이 다수 근무하고 있어 개인정보와 관련된 전문성 있는 법률 서비스를 제공하고 있다.
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
[보안뉴스= 최성호 법률사무소 비트 대표변호사] 지난 2014년, 카드 3사의 개인정보 1억여건 유출 사건의 악몽이 아직도 생생하다. 한 외주업체 직원의 잘못된 선택으로 인하여 벌어진 해당 사건은, 개인정보와 관련된 임직원의 거취까지 영향을 미쳤고 결국 그 가족들의 사회적인 지위까지 뒤흔들 정도로 상당한 파장을 일으켰다.
또한, 최근까지도 해당 개인정보 유출사건으로 정신적 피해를 본 고객들에게 카드사가 10만원씩 배상하라는 판결이 선고되고 있는 상황이다. 이에 국회에서도 위와 같은 개인정보 유출에 우려를 표하며, 정보통신망법 및 개인정보보호법 개정안을 통과시켰다.
위 개정안은 개인정보를 유출한 기업의 최고경영자 등 임원에 대한 책임을 강화하고 나아가 제재 수준의 상향을 통해 개인정보 유출 등 침해 사고에 대한 경각심을 높이고자 하는 취지인 것으로 보인다. 이하 개정된 법에 대한 체크포인트를 간략히 알아보기로 하자.
먼저, 개인정보 처리(취급)방침의 수정을 고려해 보아야 한다. 개인정보보호법 개정안에 의하면 개인정보보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭 및 연락처와 인터넷 접속정보파일 등, 개인정보 자동 수집 장치의 설치, 운영 및 그 거부에 관한 사항을 개인정보 처리방침에 포함하도록 했다. 이에 필요한 사항을 추가해야 한다.
또한, 기존 정보통신서비스 제공자의 경우 기존 법상 용어는 개인정보 취급방침이었는데 이번 정보통신망법 개정을 통해 개인정보 처리방침으로 통일되었으니 이 점도 반영할 필요가 있다.
다음으로는 스마트폰 응용프로그램(App) 개발사의 경우, 스마트폰 접근 권한 설정과 관련된 부분을 유의해야 한다. 현재 대다수의 이용자는 개발자 등이 본인 스마트폰의 정보를 얼마나 수집하고 어디까지 활용할 수 있는지 인지하지 못하고 있으며, 인지하고 있더라도 이용자가 접근 권한 동의를 거부할 경우 프로그램을 이용할 수 없어 대부분의 이용자가 접근 권한을 허용하고 있었다.
이제는 개정 법에 따라 정보통신서비스제공자는 프로그램 본래 기능 수행에 반드시 필요한 권한과 그렇지 않은 선택적 권한을 구분해 각각 세부 항목과 이유를 이용자가 명확히 인지하도록 알리고 이용자로부터 동의를 받아야 한다. 이 뿐만 아니다. 스마트폰 응용프로그램 개발자가 개발회사가 프로그램 본래 기능 수행에 반드시 필요하지 않은 선택적 접근권한에 동의하지 않는다는 이유로 이용자가 프로그램 자체를 이용할 수 없도록 하는 행위 역시 금지됐기 때문에 이에 유의해 스마트폰 응용프로그램(App) 개발을 진행해야 한다.
또한, 개인정보 국외 이전이 보다 용이해졌기에 클라우드 도입을 긍정적으로 검토할 수 있게 됐다. 기존 법에 의하면 개인정보를 국외로 이전할 경우 반드시 이용자의 동의를 받아야 했다. 이로 인해 클라우드 도입을 사실상 불가능하게 만든다는 비판이 다수 있었다.
하지만 개정법은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위해 필요한 경우로서 이전되는 개인정보 항목 등을 공개하거나 전자우편 등의 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁·보관에 따른 동의절차를 거치지 아니하고 개인정보를 국외에 이전할 수 있게 함으로써 사업자로 하여금 자유롭게 클라우드를 활용할 수 있는 계기를 마련해 주었다고 평가할 수 있다.
위와 같이 간략하게 최근 개정된 개인정보보호 관련법과 관련된 주요 체크리스트를 살펴보았다. 최근 개인정보보호 관련 개정안은 징벌적 손해배상, 행정기관 정기적 조사 의무 등 사업자 입장에서 부담스러운 규제가 추가되고 있는 상황이기는 하나, 이런 때일수록 개정법에 대한 주의를 기울인다면 개인정보와 관련된 리스크에 대해 성공적으로 대응할 수 있을 것으로 보인다.
[글 _ 최성호 법률사무소 비트 대표변호사(sungho.choi@veat.kr)]
필자 소개_ 최성호 변호사는 지난 2015년 법률사무소 비트를 설립하고 현재 변호사 5명, 기술 고문 2명과 함께 개인정보·기업 자문·금융·M&A·소프트웨어·지식재산권·회사법 등을 포함한 종합적인 법률서비스를 제공하고 있다. 특히, 개인정보 및 IT에 특화되어 있는 변호사들이 다수 근무하고 있어 개인정보와 관련된 전문성 있는 법률 서비스를 제공하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
