'정보통신망법'에 해당되는 글 13건

제5조(다른 법률과의 관계)

정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. 다만, 제4장의 개인정보의 보호에 관하여 이 법과 「개인정보 보호법」의 적용이 경합하거나 제7장의 통신과금서비스에 관하여 이 법과 「전자금융거래법」의 적용이 경합하는 때에는 이 법을 우선 적용한다.

 기존에는 개인정보보호법과 경합 시 어떤 조항을 우선 적용한다는 얘기는 없었습니다. 다만, 망법은 특별법이기 때문에 망법을 우선 적용한다고 모두가 알고 있었던 것 뿐이죠. 이번 개정에서 명확히 명시했습니다만 실무를 하는 입장에서는 명시되었다는것 뿐 그닥 중요할 것 같지는 않네요.. 물론 법무업무를 하시는 분들의 입장은 모르겠습니다. 전 정보보호 업무를 하는 입장에서 말씀드리는거니까요...

제22조의2(접근권한에 대한 동의)

④ 방송통신위원회는 해당 서비스의 접근권한의 설정이 제1항부터 제3항까지의 규정에 따라 이루어졌는지 여부에 대하여 실태조사를 실시할 수 있다.

앱 접근권한 설정 의무는 이미 예전부터 있었습니다. 다만, 이번 개정에서 방통위에 실태조사 권한을 부여했습니다. 그동안은 실태조사를 안했던건지 궁금하네요..(제가 근무했던 기업은 앱이 없어서...)
어쨌든 방통위에서 권한을 부여받았으니 법이 시행되면 바로 실태조사 나오지 않을까요?? 물론 이건 어디까지나 제 생각입니다...

제44조의7(불법정보의 유통금지 등)

① 누구든지 정보통신망을 통하여 다음 각 호의 어느 하나에 해당하는 정보를 유통하여서는 아니 된다.

6의3. 총포ㆍ화약류(생명ㆍ신체에 위해를 끼칠 수 있는 폭발력을 가진 물건을 포함한다)를 제조할 수 있는 방법이나 설계도 등의 정보

아마도 제 블로그를 보시는 대부분의 분들은 이 내용과는 상관이 없을것 같습니다만 불법정보에 총포나 화학류를 제조할 수 있는 방법이나 설계도를 명시했습니다. 뉴스 등에서 보면 인터넷에서 보고 만들었다는 말들을 많이 하던데 이제 해당 내용에 대한 글을 올리는 것 만으로도 법령 위반이 되어버렸네요...

제58조의2(구매자정보 제공 요청 등)

① 통신과금서비스이용자는 자신의 의사에 따라 통신과금서비스가 제공되었는지 여부를 확인하기 위하여 필요한 경우에는 거래 상대방에게 재화등을 구매·이용한 자의 이름과 생년월일에 대한 정보(이하 “구매자정보”라 한다)의 제공을 요청할 수 있다. 이 경우 구매자정보 제공 요청을 받은 거래 상대방은 정당한 사유가 없으면 그 요청을 받은 날부터 3일 이내에 이를 제공하여야 한다. 

② 제1항에 따라 구매자정보를 제공받은 통신과금서비스이용자는 해당 정보를 본인 여부를 확인하거나 고소·고발을 위하여 수사기관에 제출하기 위한 목적으로만 사용하여야 한다.

③ 그 밖에 구매자정보 제공 요청의 내용과 절차 등에 필요한 사항은 대통령령으로 정한다.

사실 통신과금서비스 제공 업체에서 일해본 경험이 없어서 업무가 얼마나 과중될지는 모르겠습니다. 통신과금서비스 이용자에게 재화 등을 구매하거나 이용한 자의 정보를 제공해야 한다는 내용인데요 기존에도 물어보면 알려주는 내용 아니었나요?? 물어본 일이 없어서...;;

 제22조의 2(접근권한에 대한 동의) - 신설

① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 “접근권한”이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
  가. 접근권한이 필요한 정보 및 기능의 항목
  나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
  가. 접근권한이 필요한 정보 및 기능의 항목
  나. 접근권한이 필요한 이유
  다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실

② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.

③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.

④ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다.

 모바일 앱을 개발하시는 분들은 반드시 알고 계셔야 하는 부분입니다. 그동안 앱 설치시에 너무 과한 권한을 가진다는 불만이 꾸준히 제기되어 오던 앱도 많은 것으로 알고 있는데요 이제 권한이 필요한 이유를 사전에 명시해야 하며 반드시 필요한 권한이 아니라면 사용자가 선택할 수 있게 되었습니다.

제25조(개인정보의 취급위탁) - 1항 개정, 6항 및 7항 신설

 ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 제3자에게 이용자의 개인정보를 수집·보관·처리·이용·제공·관리·파기 등(이하 “취급”이라 한다)을 할 수 있도록 업무를 위탁(이하 “개인정보 취급위탁”이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

제25조(개인정보의 처리위탁)

 ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(이하 "처리"라 한다)를 할 수 있도록 업무를 위탁(이하 "개인정보 처리위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

⑥ 정보통신서비스 제공자등이 수탁자에게 개인정보 처리위탁을 할 때에는 문서에 의하여야 한다.

⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자등의 동의를 받은 경우에 한하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다.

 아래에서 한번 더 설명하겠지만 '취급'으로 명시하던 모든 조항이 '처리'로 변경되면서 개인정보보호법과 통일시켰습니다. 
또한 그동안 관리되던 '취급'의 범위를 훨씬 확대시켰습니다. 그동안 취급의 범위에 포함되지 않는다고 무시하던 위탁 내용이 있다면 다시 한번 확인해 보셔야 할 것 같습니다.

6항 및 7항은 신설된 항목이지만 사실상 기존부터 지켜야 하던 내용이기 때문에 크게 변경된 사항은 없습니다만 그게 ISMS 인증기준에서 지켜져야 하던 내용인지 법률에서 강제화하던 내용인지 확실치가 않군요;; 만약 ISMS 인증기준이라면 그래서 문서에 의하지 않고 개인정보 취급위탁을 하던분이 계신다면 반드시 문서에 의해서 할 수 있도록 변경하시기 바랍니다.

 제32조(손해배상) - 2항 및 3항 신설

② 정보통신서비스 제공자등의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

③ 법원은 제2항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.
  1. 고의 또는 손해 발생의 우려를 인식한 정도
  2. 위반행위로 인하여 입은 피해 규모
  3. 위반행위로 인하여 정보통신서비스 제공자등이 취득한 경제적 이익
  4. 위반행위에 따른 벌금 및 과징금
  5. 위반행위의 기간·횟수 등
  6. 정보통신서비스 제공자등의 재산상태
  7. 정보통신서비스 제공자등이 이용자의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
  8. 정보통신서비스 제공자등이 이용자의 피해구제를 위하여 노력한 정도

 손해배상액의 범위가 정해졌습니다. 정보통신서비스 제공자가 아무런 노력을 하지 않은 상태에서 개인정보 유출 등의 문제가 발생한 경우 손해액의 3배까지 배상 판결이 나올 수 있는데요 그 비용이 만만치 않을 듯 합니다.

 제32조의3(노출된 개인정보의 삭제·차단) - 신설

① 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.

② 정보통신서비스 제공자등은 방송통신위원회 또는 한국인터넷진흥원의 요청이 있는 경우 제1항의 노출된 개인정보에 대한 삭제·차단 등 필요한 조치를 취하여야 한다.

 개인정보의 노출 차단의 의무는 있었지만 대부분의 경우 해당 사업자의 사이트 등을 통한 노출만을 이야기 하고 있었는데요 이번에 신설된 이 조항에서는 포털 등을 통한 노출까지도 정보통신 사업자의 책임으로 보고 있습니다. 포털등에서 노출된 자사에서 보유하고 있는 개인정보는 없는지 확인해볼 필요가 있을 것 같습니다.