'보안 이야기/법령 살펴보기'에 해당되는 글 10건

 제22조의 2(접근권한에 대한 동의) - 신설

① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 “접근권한”이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
  가. 접근권한이 필요한 정보 및 기능의 항목
  나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
  가. 접근권한이 필요한 정보 및 기능의 항목
  나. 접근권한이 필요한 이유
  다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실

② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.

③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.

④ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다.

 모바일 앱을 개발하시는 분들은 반드시 알고 계셔야 하는 부분입니다. 그동안 앱 설치시에 너무 과한 권한을 가진다는 불만이 꾸준히 제기되어 오던 앱도 많은 것으로 알고 있는데요 이제 권한이 필요한 이유를 사전에 명시해야 하며 반드시 필요한 권한이 아니라면 사용자가 선택할 수 있게 되었습니다.

제25조(개인정보의 취급위탁) - 1항 개정, 6항 및 7항 신설

 ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 제3자에게 이용자의 개인정보를 수집·보관·처리·이용·제공·관리·파기 등(이하 “취급”이라 한다)을 할 수 있도록 업무를 위탁(이하 “개인정보 취급위탁”이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

제25조(개인정보의 처리위탁)

 ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(이하 "처리"라 한다)를 할 수 있도록 업무를 위탁(이하 "개인정보 처리위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

⑥ 정보통신서비스 제공자등이 수탁자에게 개인정보 처리위탁을 할 때에는 문서에 의하여야 한다.

⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자등의 동의를 받은 경우에 한하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다.

 아래에서 한번 더 설명하겠지만 '취급'으로 명시하던 모든 조항이 '처리'로 변경되면서 개인정보보호법과 통일시켰습니다. 
또한 그동안 관리되던 '취급'의 범위를 훨씬 확대시켰습니다. 그동안 취급의 범위에 포함되지 않는다고 무시하던 위탁 내용이 있다면 다시 한번 확인해 보셔야 할 것 같습니다.

6항 및 7항은 신설된 항목이지만 사실상 기존부터 지켜야 하던 내용이기 때문에 크게 변경된 사항은 없습니다만 그게 ISMS 인증기준에서 지켜져야 하던 내용인지 법률에서 강제화하던 내용인지 확실치가 않군요;; 만약 ISMS 인증기준이라면 그래서 문서에 의하지 않고 개인정보 취급위탁을 하던분이 계신다면 반드시 문서에 의해서 할 수 있도록 변경하시기 바랍니다.

 제32조(손해배상) - 2항 및 3항 신설

② 정보통신서비스 제공자등의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

③ 법원은 제2항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.
  1. 고의 또는 손해 발생의 우려를 인식한 정도
  2. 위반행위로 인하여 입은 피해 규모
  3. 위반행위로 인하여 정보통신서비스 제공자등이 취득한 경제적 이익
  4. 위반행위에 따른 벌금 및 과징금
  5. 위반행위의 기간·횟수 등
  6. 정보통신서비스 제공자등의 재산상태
  7. 정보통신서비스 제공자등이 이용자의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
  8. 정보통신서비스 제공자등이 이용자의 피해구제를 위하여 노력한 정도

 손해배상액의 범위가 정해졌습니다. 정보통신서비스 제공자가 아무런 노력을 하지 않은 상태에서 개인정보 유출 등의 문제가 발생한 경우 손해액의 3배까지 배상 판결이 나올 수 있는데요 그 비용이 만만치 않을 듯 합니다.

 제32조의3(노출된 개인정보의 삭제·차단) - 신설

① 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.

② 정보통신서비스 제공자등은 방송통신위원회 또는 한국인터넷진흥원의 요청이 있는 경우 제1항의 노출된 개인정보에 대한 삭제·차단 등 필요한 조치를 취하여야 한다.

 개인정보의 노출 차단의 의무는 있었지만 대부분의 경우 해당 사업자의 사이트 등을 통한 노출만을 이야기 하고 있었는데요 이번에 신설된 이 조항에서는 포털 등을 통한 노출까지도 정보통신 사업자의 책임으로 보고 있습니다. 포털등에서 노출된 자사에서 보유하고 있는 개인정보는 없는지 확인해볼 필요가 있을 것 같습니다.

제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)

① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실

② 제1항에도 불구하고 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.  <신설 2016.3.29.>

③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기·방법 및 절차 등 필요한 사항은 대통령령으로 정한다.  <신설 2016.3.29.>

④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.  <개정 2016.3.29.>
1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

여기에서 3항과 4항이 추가되었습니다. 

아마도 3항에서 얘기하는 대통령령은 시행 전에 시행령으로 발표되지 않을까 싶습니다.

4항의 예외조항은 중복하여 고지될 필요가 없다는 내용으로 보입니다. 또한 개인정보보호법에서 타인의 생명, 신체, 재산 및 이익을 침해할 우려가 있는 경우는 꽤 많은 부분을 예외조항으로 두고 있는데 20조에서도 마찬가지로 그러한 부분에 대해서는 예외조항을 두고 있습니다.

제23조(민감정보의 처리 제한)

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.  <신설 2016.3.29.>

민감정보의 처리 제한에서 2항이 신설되었습니다. 이번에 신설되었다고는 하지만 이미 민감정보에 대해서는 개인정보보호법의 다른 조항과 정보통신망법의 여러 조항에서 다루고 있기 때문에 안정성 확보조치는 이미 다들 하셨을 거라고 생각됩니다.

 제24조(고유식별정보의 처리 제한)

④ 행정자치부장관은 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.  <신설 2016.3.29.>

⑤ 행정자치부장관은 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.  <신설 2016.3.29.>

4항과 5항이 신설되었습니다. 정확한 내용은 대통령령이 발표되어봐야 알 수 있겠네요.. 고유식별정보를 처리하는 분들게서는 이미 안전성 확보조치는 하고 계시겠죠? 개인적으로 서류작업이 좀 안들어났으면 하는 바램입니다;;;

제25조(영상정보처리기기의 설치·운영 제한)

④ 제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자(이하 "영상정보처리기기운영자"라 한다)는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만, 「군사기지 및 군사시설 보호법」 제2조제2호에 따른 군사시설, 「통합방위법」 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.  <개정 2016.3.29.>
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자 성명 및 연락처
4. 그 밖에 대통령령으로 정하는 사항

개정내용이라고 하지만 사실상 대통령령에 있던 내용을 법령으로 넣은 내용이기 때문에 실무에서 변경되는 사항은 없겠네요...

제30조(개인정보 처리방침의 수립 및 공개)

① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.  <개정 2016.3.29.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

25조와 같은 내용이네요.. 대통령령이나 고시 등등에 있던 내용을 법령으로 넣은 내용이라고 볼 수 있습니다.

 제67조(연차보고)

② 제1항에 따른 보고서에는 다음 각 호의 내용이 포함되어야 한다.
1. 정보주체의 권리침해 및 그 구제현황
2. 개인정보 처리에 관한 실태조사 등의 결과
3. 개인정보 보호시책의 추진현황 및 실적
4. 개인정보 관련 해외의 입법 및 정책 동향
5. 주민등록번호 처리와 관련된 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙의 제정·개정 현황
6. 그 밖에 개인정보 보호시책에 관하여 공개 또는 보고하여야 할 사항

연차보고는 제 업무가 아니다보니 정확히 모르겠네요.. 이 부분도 이전부터 연차보고에 들어가 있던 내용이 아닐까라는 생각만 막연히 해봅니다.

 1. 제29조(개인정보의 파기) 2항
② 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

 사실상 크게 변경된 내용이 없다고 볼 수도 있겠는데요 그동안 1년이라는 미이용 기간을 시행령에서 정하고 있었지만 이번 개정안에서 1년을 법령으로 봇박았습니다. 또한 미이용 기간을 다른 법령이나 이용자의 요청에 따라 달리 정할 수 있도록 했습니다.
물론 이 부분도 기존에 정보통신망법 해설서에서 명시되어 시행되고 있는 내용이긴 하지만요...

※ 미이용 기간을 달리 정하는 방법은 링크 참조(클릭)

 2. 제47조(정보보호관리체계의 인증) 제2항

② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  <신설 2012.2.17., 2015.12.1.>
1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

 이번 개정안에서 ISMS 인증심사 의무대상자가 엄청나게 확대됐습니다. 특히 2항 3호를 잘 보셔야 할텐데요 기존에는 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상인 기업만 해당되었기 때문에 비영리단체, 병원 등 개인정보를 많이 보유하고 있는 상당수의 기관이 ISMS 심사를 받지 않아도 괜찮았습니다.
하지만 매출액의 조항이 추가되면서 상당히 많은 기업이 추가되었으며 특히 교육기관, 병원 등이 많이 추가될 것으로 보입니다.
참고로 저는 대학과 직접적으로 연관된 일을 하는 회사에 근무하고 있기 때문에 ISMS 인증심사 대상자의 범위에 포함될 학교를 추려봤더니 대학알리미 공시자료 기준 39개 대학이 나오더군요.. 2015년 수입 기준입니다.

참고로 이 항목에 따라 ISMS 인증심사 의무대상자가 인증을 받지 아니한 경우 제76조(과태료) 제1항제6의3호가 신설되어 3천만원 이하의 과태료가 부과됩니다.

 3. 제47조(정보보호관리체계의 인증) 제3항
③ 미래창조과학부장관은 제2항에 따라 인증을 받아야 하는 자가 미래창조과학부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 미래창조과학부장관이 정하여 고시한다.<신설>

 이번에 신설된 항목입니다. 현재 ISMS 심사를 받는 기관은 ISMS, PIMS, PIPL, ISO-27001까지 받으려면 같은 항목에 대해서 계속해서 받아야 하는 불편함이 있습니다. PIMS와 PIPL은 통합PIMS라는 이름으로 합쳐지기는 했습니다만 여전히 ISO-27001 등 많은 심사가 남아있습니다.
이번 신설된 내용에 따라 ISO-27001을 받은 기관에서 ISMS 심사를 받는 경우 중복된 항목은 생략이 가능하지 않을까라는 기대를 해봅니다. 물론 제가 근무하는 회사는 ISO-27001을 받지 않았기 때문에 해당사항은 없지만요...

1. 조항 삭제

   제18조(전자문서중계자에 의한 문서의 처리 등)
   제19조(전자문서의 송수신 시기)
   제20조(전자문서 내용의 추정 등)
   제21조(전자문서 등의 공개 제한)
   제75조(과태료) 중 위 18~21조 관련 조항

2. 제55조(등록의 취소명령)
① 미래창조과학부장관은 통신과금서비스제공자가 거짓이나 그 밖의 부정한 방법으로 등록을 한 때에는 등록을 취소하여야 한다.

 통신과금서비스 제공자에 대해 부정한 방법으로 등록 시 기존에는 등록 취소 또는 1년 이내의 사업 정지 명령이었으나 사업 정지명령이 사라지고 무조건 등록이 취소됩니다.

1. 개인정보보호법 제24조의2(주민등록번호 처리의 제한)

② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.

 여기에서 말하는 대통령령은 개인정보보호법 시행령 제21조의2(주민등록번호 암호화 적용대상 등)으로 암호화 적용 대상은 주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자입니다. 다만, 적용 시기가 약간씩 다른데요 적용 시기는 다음과 같습니다.

- 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자
  : 2017년 1월 1일

- 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자
  : 2018년 1월 1일

아직 1년 또는 2년의 시간이 남아있습니다만 주민등록번호는 이미 아주 민감하게 관리되고 있는 개인정보이니만큼 가장 최우선으로 암호화 해야 하는 항목이 아닐까 싶습니다. 이미 많은 지침자료에서 암호화 하도록 하고 있기도 하구요...

참고로 이를 위반하는 경우 개인정보보호법 제75조(과태료)에 따라 5천만원 이하의 과태료가 부과됩니다.