데이터 3법이란?
1 .개인정보보호법
2. 정보통신망법
3. 신용정보법
위 3가지 법률을 통칭
데이터 3법 개정 이유?
4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 필요. 안전한 데이터 이용을 위한 사회적 규범 정립이 시급한 상황
개인정보의 개념을 명확히 하여 혼란을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 새롭게 마련.
데이터 3법 개정 요지(개인정보 보호법)
1. 개인정보와 관련한 개념체계를 개인정보, 가명정보, 익명정보로 구분(EU GDPR(EU 일반정보보호 규정)의 영향을 받음)
가. 모호한 '개인정보' 판단 기준의 명확화
나. 가명정보 개념 도입 및 가명정보의 처리에 관한 특례 신설
다. 익명정보의 법 적용 배제를 명시
2. 정보주체의 동의 업이 개인정보를 이용하거나 제3자에게 제공할 수 있는 경우 명시
3. 관련 법률의 유사 중복 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 협치 체계의 효율화
4. 데이터 활용에 따른 개인정보처리자의 책임 강화
가. 모호한 '개인정보' 판단 기준의 명확화
나. 가명정보 개념 도입 및 가명정보의 처리에 관한 특례 신설
원본정보와 알고리즘, 매핑테이블 정보, 가명정보는 관리적 또는 기술적으로 각각 분리하여 보관해야 한다.
2. 정보주체의 동의 업이 개인정보를 이용하거나 제3자에게 제공할 수 있는 경우 명시
3.관련 법률의 유사 중복 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 협치 체계의 효율화
심의, 의결 기구에 머물렀던 개인정보보호위원회는 개정법을 통해 독자적인 조직, 인사, 예산권 및 조사, 처분 등 집행궈놔 의안제출 건의권 및 국회, 국무회의 발업권을 확보
EU는 개인정보 보호 및 활용에 대한 제도 현황을 검토해 GDPR의 규제 내용과 어느 정도 부합하는지를 살펴 국가 단위로 적정성 결정을 하는데 , 우리나라는 지난 2017년부터 이러한 적정성 평가 절차를 밟고 있음(적정성 결정을 받게 될 경우 EU지역에 진출한 우리 기업들은 EU지역 국민의 개인정보를 활용할 수 있게 됨)
(우리나라는 과거 두 차레 GDPR 적정성 평가과정에서 탈락했으나 최근 2021.03월 최근 통과)
4. 데이터 활용에 따른 개인정보처리자의 책임 강화
벌칙 >>> 과태료이다. 과태료는 전과가 안 남지만, 벌금은 전과가 남는다.
※가명정보 관련 심화내용
가명정보는 개인정보처리자의 정당한 처리 범위 내에서 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 정보주체의 동의 없이 처리할 수 있음
1)통계작성 : 통계란 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보를 의미
-시장조사와 같은 상업적 목적의 통계처리도 포함
2)과학적 연구: 과학적 연구는 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적방법을 적용하는 연구를 의미
-새로운 기술, 제품, 서비스의 연구개발 및 개선 등 산업적 목적의 연구 포함
3)공익적 기록보존 : 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 정보를 기록하여 보존하는 것을 의미
해킹 사례로 보는 개인정보 보호조치와 CPO의 역할
1. 법류상 정보보호조치 의무
(개인정보보호위원회)개인정보의안전성확보조치기준
www.law.go.kr
▲▲▲▲▲▲
(개인정보보호 위원회)개인정보의 안전성 확보조치 기준 법률 사이트
▲▲▲▲▲▲
개인정보의 안전성 확보조치 기준 해설서
앞으로 정보보안 기업들은 개인정보 안전성 확보조치 기준에 맞춰서 서비스를 제공하고 컨설팅을 제공할 것이다. 필수적으로 읽어보는 것이 좋다.
공적집행은 법에 명시된 것만 제재할 수 있다.
개인정보 유출 시 어떠한 판결이 나왔나?
2014년 무려 1억 건의 개인정보를 유출해 전 국민을 충격에 빠트린 ‘카드3사’ 개인정보 유출사건의 마지막 판결이 내려졌다. KB국민카드와 농협카드는 유출 고객에게 10만원씩 배상하라는 판결이 나왔던 적이 있다. 그리고 16일 마지막으로 롯데카드가 손해배상 판결 결과를 받아들었다.
최종적으로 2심(항소심)에서 1인당 7만원을 배상하라는 판결이 나왔다.
2000만원 이하의 벌금이 아니고 개정되면서 3000만원 이하의 벌금에 처한다.
1. 공법상, 형사상 제재의 기준(법에 의해 처벌이 정해져 있다)
- 근거규정에서 정한 행위의무 위반
2. 민사상 손해배상의 기준 (법에 의해 처벌이 정해져 있지 않다. 정보보안 기술은 계속해서 발전하기 때문 → 업계 주의의무 위반의 기대치, 평균치가 높아진다.)
- 업게 평균인에게 요구되는 주의의무 위반 : 고도의 판단이 들어가며, 치열한 법정공방을 할 가능성이 높다.
앞으로 개인정보 보호조치 의무에서는 1번과 2번 사이가 중요하다. 정보보안 사고의 판례에 중요 쟁점이다.
1번 공법상, 형사상 제재의 기준의 허들과 2번 민사상 손해배상의 허들의 높이가 같냐?
예를들어 법에서 요구하는 최소한의 정보보호 조치들이 과연 업계 평균인에게 요구되는 주의의무 위반에는 위배되는가?
고시에서 정한 법 위반을 하지 않았지만(접근제한 접근통제 등), 주의의무 위반을(사용자입장에서) 하지 않았나?
이것이 손해배상의 최대 쟁점.
과실책임(주의의무 위반) >>>>법(고시)위반 = 과실책임을 위반한 것 자체가 법 위반.
◎ 죄형법정주의 : 어떠한 처벌을 하려면 그 처벌을 할 수 있는 법정조항이 만들어져 있어야 한다.(예를 들어 민식이법이 재정이 안 됐는데 민식이법을 어기면 처벌 받지 않는다.)
◎ 소급법원칙 : 제도적으로 만들어지기 전에 잘못이 있을 시 처벌 할 수 없다.
법정인(판결문 상에서) 유출의 정의 :
어느 개인 정보가 사업자에 의해 관리되고 있을 때 제3자가 내용을 알 게 될 수 있는 상태가 되는 것.
대법원은 유출 자체에 대해서 손해가 있다고 보는 것이 아니라 유출 정보가 시중에 유통되면서 제3자에게 도용당할수 있는 불안감, 정신적 고통 자체가 손해라고 본다 → 그래서 손해배상금이 적다.
해킹 판결_1세대
A사는 형사적, 민사적으로 처벌이 없었다.(해당 사건 당시 법이 제정되지 않았다.)
S사 해킹사건
해당 사건은 주의의무 위반 규정을 준수했으나 해킹이 발생 됨. 대법원은 S사의 손해배상 책임 없다는 원심 결론 유지.
(해당 사건은 APT공격으로 뚫렸다.)
해킹 판결_2세대
최초의 과징금을 받은 사건(7000만원).
과징금을 받은 후 피해자 소송제기가 일어남.
IP만 명시해놨으므로 로그 기록 분석까지 포함 안 되므로(법은 정확히 명시 해놓은 것만 인정한다.)
고시를 위반했다고 보기 어렵다.
과징금을 받은 이유는 방통위 대량접속 미탐지 행위 고시위반으로 받은 것.(행정법원, 민사법원에서는 주의의무 위반을 하지 않다고 판결 받음)
해당 사건 공격 기법은 APT
인과관계 요건을 삭제하면서 방통위가 기업에게 과징금을 부과하기에 쉬워진 측면이 있다.
I사 해킹 사건 이후로 해킹사건의 판결이 많이 달라졌고, 앞으로 일어날 사건에 대해 많은 생각을 하게 해준다.
'기타 교육 > 정보보호 컨설팅 전문가 양성과정' 카테고리의 다른 글
| 6 - 네트워크 보안(OSI 7계층, 이더넷, Data Header(데이터 헤더), CSMA/CD, IP 프로토콜, Hub, Wire Shark) (0) | 2021.05.28 |
|---|---|
| 5 - 주요정보통신기반시설_기술적_취약점 진단(시스템진단/시스템환경분석/포트분석/데몬분석/계정분석) (0) | 2021.05.26 |
| 4 - 시스템 보안 (0) | 2021.05.25 |
| 2 - 법과제도/개인정보보호법 (0) | 2021.05.21 |
| 1 - 기본 소양 및 취업 특강 (0) | 2021.05.20 |
