O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

[법무법인 민후 | 김경환 변호사] 클라우드 관련 법제의 현황과 과제

581 visualizações

Publicada em

[개인정보보협의회 전문가포럼 발제 자료]
*일시 : 2015. 11. 18. (수)
* 주제 : 클라우드 관련 법제의 현황과 과제

Publicada em: Direito
  • Seja o primeiro a comentar

[법무법인 민후 | 김경환 변호사] 클라우드 관련 법제의 현황과 과제

  1. 1. 클라우드 관련법제의 현황과 과제 법무법인 민후 김경환 변호사
  2. 2. - 2 - 클라우드 서비스의 구조 서비스제공자(cloud provider) 보조계약자= (sub-contractor) | | 기업이용자(cloud user) 개인이용자(cloud user) | or 엔드유저(cloud end user) 기업이용자(cloud user) [B2B2C] [B2B] [B2C]
  3. 3. - 3 - 클라우드 서비스의 문제점 데이터의 통제권 상실○ 데이터처리에 대한 투명성 약화○ 정보보안 및 프라이버시 문제○ 글로벌 분쟁으로 인한 이용자 보호의 문제○
  4. 4. - 4 - 법적 이슈 재판관할 준거법(Jurisdiction) | (Governing Law)○ SLA(Service Level Agreement)○ 개인정보의 국외이전(Transborder Data Flow)○ 데이터 이동성(Portability)○ 상호운용성(Interoperability)○ 프라이버시 보호(Privacy Protection)○ 책임성(Accountability)○ 공권력의 집행(Government Access)○ 서비스제공자와 엔드유저와의 관계(B2B2C)○ 저작권과 일시적 복제 생략( )○
  5. 5. - 5 - 재판관할(Jurisdiction) 행정청 서비스제공자 글로벌사업자- ( )○ 방송통신위원회는 스트리트 뷰 사건에서 구글본사가 개인- 2014. 2. 18. ‘ ’ 정보를 불법수집한 행위에 대하여 억 만원의 과징금을 부과하였고2 1,230 , 방송통신위원회 직원은 구글본사에 파견되어 해당 개인정보의 파기를 확 인하였음
  6. 6. - 6 - 이용자 서비스제공자 글로벌사업자- ( )○ 소비자계약 국제재판관할권 합의가 있는 경우는 서면 형식 요건- & 1) [ ], 2) 분쟁발생 이후 합의 시기 요건 부가적 재판관할권 합의 내용 요건 을[ ], 3) [ ] 갖추었을 때만 유효 국제사법 제 조 제 항( 27 6 ) 결국 서비스약관에 있는,⇒ 재판관할권 합의 조항은 무효 소비자계약 국제재판관할권 합의가 없는 경우는 소비자는 우리나라- & 1) 에서 소를 제기할 수 있고 글로벌사업자는 우리나라에서만 소를 제기, 2) 할 수 있다 국제사법 제 조 제 항 제 항( 27 4 , 5 ) 이용자는 우리나라 법원에⇒ 소제기 가능 소비 목적이 아닌 기업이용자는 소비자 에 해당하지 않음- ‘ ’ 서비스약관에⇒ 있는 재판관할권 합의 조항은 유효
  7. 7. - 7 - 사례 구글에 대한 개인정보제공내역 요청 사건 서중지법 가합[ ] ( 2014 38116)○ 본 약관 또는 서비스와 관련하여 발생되는 모든 소송은 독점적으로 미국- “ 캘리포니아주 산타클라라 카운티의 연방 또는 주 법원에서 다루어지며 귀 하와 구글은 이러한 법원이 인적 관할을 갖는 것에 동의한다 는 재판관할” 권 합의 조항은 무효 소비자이고 이용자인 원고들이 우리나라 법원에 구글본사를 상대로 개인정- 보제공내역의 요청을 청구한 것은 적법
  8. 8. - 8 - 준거법(Governing Law) 이용자 서비스제공자 글로벌사업자- ( )○ 국제사법 조 당사자 자치 계약은 당사자가 명시적 또는 묵시적으로- 25 ( ) ① 선택한 법에 의한다. 준거법 합의는 유효⇒ 국제사법 제 조 대한민국 법의 강행적 적용 입법목적에 비추어 준거법에- 7 ( ) 관계없이 해당 법률관계에 적용되어야 하는 대한민국의 강행규정은 이 법 에 의하여 외국법이 준거법으로 지정되는 경우에도 이를 적용한다. 기⇒ 업이용자인 경우라도 대한민국의 강행규정이 적용됨 국제사법 제 조 소비자계약- 27 ( ) ① 소비자가 직업 또는 영업활동 외의 목적 으로 체결하는 계약이 다음 각호에 해당하는 경우에는 당사자가 준거법을 선택하더라도 소비자의 상거소가 있는 국가의 강행규정에 의하여 소비자 에게 부여되는 보호를 박탈할 수 없다.
  9. 9. - 9 - 사례 구글에 대한 개인정보제공내역 요청 사건 서중지법 가합[ ] ( 2014 38116)○ 구글본사 서비스 약관에는 본 약관 또는 서비스와 관련하여 발생되는 분- “ 쟁에 대해 미국 캘리포니아주 법률이 적용 된다고 되어 있음” 그럼에도 불구하고 개인정보 열람청구 등을 규정하고 있는 정보통신망법- 제 조는 소비자들을 보호하기 위한 것으로서 국제사법 제 조 제 항이30 27 1 규정하는 준거법 선택에 의하더라도 박탈할 수 없는 소비자에게 부여되는‘ 보호에 관한 강행규정 에 해당한다고 봄이 상당하다’ . 결국 미국 캘리포니아주 법률이 적용되는 것이 아니라 우리나라 정보통신- , 망법 제 조가 적용됨30
  10. 10. - 10 - SLA(Service Level Agreement) 개념○ 업체가 이용자에게 제공하는 서비스의 수준을 정량화 등을 통해 명확하게- 제시하고 이에 미달하는 경우 손해를 배상토록 하여, 서비스의 품질을 보 장하기 위한 약정 방통위 가이드라인( ) 예- ) EU : Cloud Service Level Agreement Standardisation Guidelines (2014. 6.) 법적지위○ 법적 구속력 있음- 약관으로 볼 수 있고 약관에 포함시켜도 됨- ,
  11. 11. - 11 - 내용○ 서비스가용성- (99.9% ~ 99.99%) 성능 예- ( : maximum response time) 데이터 백업 준수율- 고객 요청 처리율- 위약금- 예 아마존 는 와 각각을 모든 월 대금) : AWS Amazon EC2 Amazon EBS 청구주기 동안 최소 의 월별 가동시간 비율 하기 정의됨 로 제99.95% ( ) 공하기 위하여 상업적으로 합리적인 노력 본건 서비스 책임 을 기울인(“ ”) 다 또는 가 본건 서비스 책임을 충족하지. Amazon EC2 Amazon EBS 않을 경우 고객은 하기 정의된 서비스 크레딧을 수령할 자격이 있다, .
  12. 12. - 12 - 우리나라 클라우드발전법○ 클라우드컴퓨팅서비스의 품질 성능에 관한 기준 제 조 제 항- · ( 23 2 ) 표준계약서 제 조- ( 24 )
  13. 13. - 13 - 개인정보의 국외 이전(Transborder Data Flow) 스노든 폭로 이후 인터넷 환경○ 인터넷의 개방성 과 광역성 이 갖는 문제에 대한 회의- ‘ ’ ‘ ’ 기업들에 의하여 수집된 정보가 특정 정부에 제공될 수 있다는 것을 인- IT 식하기 시작함 인터넷 넘어 국경 넘어 일어나는 현상에 대한 불신 고조- , 데이터 분권화 정보주권 강화 현상 인터넷에 보이지 않은 국경 형성- , ⇒ 및 자국민 보호
  14. 14. - 14 - 각국의 자국민 보호 노력○ 영국은 이용자들의 인터넷 접속기록을 개월 동안 보관하도록 의무화함- 12 러시아는 데이터센터를 반드시 자국 안에 두도록 하는 사생활보호법을 통- 과시킴 유럽사법재판소는 회원국 국민으로부터 수집한 개인정- 2015. 10. 6. EU 보가 미국 내부에서 어떻게 사용되는지에 대하여 신뢰할 수 없다는 이유 로 미국 간 세이프하버 협정을 무효화함EUㆍ 작업반은 유럽사법재판소의 잊혀질 권리 판결이 집행되어- EU 2014. 11. 야 하는 범위는 미국의 구글본사에도 미친다는 가이드라인을 발표함 미국 법원은 압수 수색 영장의 범위는 의 이메일 서버가- 2014. 7. MSㆍ 있는 아일랜드의 더블린에도 미친다고 판시함
  15. 15. - 15 - 정보의 자유로운 국외이전과 규범의 상호운용성○ 정보의 자유로운 국외이전에 대한 위험은 자국민 보호 강화로 제거하면서- 도 경제적인 이유로 정보의 자유로운 국외이전 자체를 금지시킬 수 없는, 한계가 있음 기술적 개방성 규범적 개방성[ ]⇒ 이 문제는 규범의 상호운용성 증진으로 해결해야 함- (interoperability) 상호운용성 상호 상이한 규범체계간의 마찰을 줄이고 국경을 넘어서 상- : 호협력하는 것 예 이 추진하는 세이프) APEC CBPR(Cross Border Privacy Rules system), 하버협정 과 사이의 조정, BCR CBPR 글로벌 사업자에 대한 의무 부과 및 국내사업자와의 역차별 제거를 위해- 서도 규범의 상호운용성 증진 노력은 필요함
  16. 16. - 16 - 우리나라의 과제○ 정보의 자유로운 이전 증진 현행 정보통신망법 개인정보보호법은 동의를- ( , 얻어 이전하도록 하고 있으나 다양한 이전 방안을 마련해야 함) 자국민 보호 노력 인터넷 너머 발생하는 정보 악용 문제에 대하여 국가가- ( 적극적으로 대처해야 함) 예 클라우드발전법 제 조 저장 국가 명칭 공개 요구권) 26 : 규범의 상호운용성 증진 정보의 자유로운 흐름을 보장하면서도 기업의 컴- ( 플라이언스 부담을 줄여주고 동질의 보호체계로 인하여 정보주체의 권리, 보호에도 긍정적이며 비용절감을 통한 혁신달성에 기여할 수 있는 장점이, 있음)
  17. 17. - 17 - 데이터 이동성(Portability) 의 회피‘Vendor lock-in’○ - 제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 이용자와27 ( ) ③ 의 계약이 종료되었을 때에는 이용자에게 이용자 정보를 반환하여야 하고 클라우드컴퓨팅서비스 제공자가 보유하고 있는 이용자 정보를 파기하여야 한다 다만 이용자가 반환받지 아니하거나 반환을 원하지 아니하는 등의. , 이유로 사실상 반환이 불가능한 경우에는 이용자 정보를 파기하여야 한다. 클라우드컴퓨팅서비스 제공자는 사업을 종료하려는 경우에는 그 이용④ 자에게 사업 종료 사실을 알리고 사업 종료일 전까지 이용자 정보를 반환 하여야 하며 클라우드컴퓨팅서비스 제공자가 보유하고 있는 이용자 정보
  18. 18. - 18 - 를 파기하여야 한다 다만 이용자가 사업 종료일 전까지 반환받지 아니하. , 거나 반환을 원하지 아니하는 등의 이유로 사실상 반환이 불가능한 경우 에는 이용자 정보를 파기하여야 한다. 제 항 및 제 항에도 불구하고 클라우드컴퓨팅서비스 제공자와 이용자3 4⑤ 간의 계약으로 특별히 다르게 정한 경우에는 그에 따른다. 제 조 이용자 정보의 임치 클라우드컴퓨팅서비스 제공자와 이용자는- 28 ( ) ① 전문인력과 설비 등을 갖춘 기관 이하 수치인 이라 한다 과 서로[ " "( ) ]受置人 합의하여 이용자 정보를 수치인에게 임치 할 수 있다( ) .任置 이용자는 제 항에 따른 합의에서 정한 사유가 발생한 때에 수치인에게1② 이용자 정보의 제공을 요구할 수 있다.
  19. 19. - 19 - 과제○ 반환권 서비스제공자간 직접 이동 요구권⇒
  20. 20. - 20 - 상호운용성(Interoperability) 출처[ : EU]
  21. 21. - 21 - 우리나라 클라우드발전법 기술적 조직적 상호운용성:○ ㆍ 제 조 상호 운용성의 확보 미래창조과학부장관은 클라우드컴퓨팅서비스- 22 ( ) 의 상호 운용성을 확보하기 위하여 필요한 경우에는 클라우드컴퓨팅서비 스 제공자에게 협력 체계를 구축하도록 권고할 수 있다. 과제 규범적 상호운용성:○ 권역별 또는 다자간 국제규범 형성- 집행기관 사이의 정보 공유- 상호 협조- 세부 규정의 공개-
  22. 22. - 22 - 프라이버시 보호(Privacy Protection) 우리나라 클라우드발전법○ 제 조 침해사고 등의 통지 등 클라우드컴퓨팅서비스 제공자는 다음- 25 ( ) ① 각 호의 어느 하나에 해당하는 경우에는 지체 없이 그 사실을 해당 이용 자에게 알려야 한다. (Data Breach Notification 등) 제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 이용자- 27 ( ) ② 정보를 제 자에게 제공하거나 서비스 제공 목적 외의 용도로 이용할 경우3 에는 다음 각 호의 사항을 이용자에게 알리고 동의를 받아야 한다 다음. 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. 그 밖에 개인정보보호법 정보통신망법 적용됨- ㆍ
  23. 23. - 23 - 과제○ 기업이용자는 정보주체가 아니기에 엔드유저의 프라이버시 보호 측면에서- , 문제가 발생함 서비스제공자 기업이용자 엔드유저 의 경우 서비스제공자가 직접 엔- [ - - ] , 드유저 정보주체 에게 프라이버시 에 관한 의무 규정을 부담하는 것이(= ) ‘ ’ 바람직함 정보보안 역시 법적 이슈이나 제 발제 분야이므로 생략함* ‘ (Security)’ 1
  24. 24. - 24 - 책임성(Accountability) 우리나라 클라우드발전법○ 조 손해배상책임 이용자는 클라우드컴퓨팅서비스 제공자가 이 법의 규- 29 ( ) 정을 위반한 행위로 인하여 손해를 입었을 때에는 그 클라우드컴퓨팅서비 스 제공자에게 손해배상을 청구할 수 있다 이 경우 해당 클라우드컴퓨팅. 서비스 제공자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면 할 수 없다. 형사처벌 제 조 과태료 제 조- ( 34~36 ), ( 37 )
  25. 25. - 25 - 과제○ 그간 글로벌 사업자들은 인터넷의 개방성으로 막대한 수익을 올리면서도- 국경과 주권이라는 커튼 뒤에서 의무를 회피하였음 글로벌 사업자의 불완전한 의무 이행이나 책임 부담 때문에 이용자 보호- 에 큰 구멍이 발생하고 있음 자국민 보호 및 국내사업자의 역차별 극복을 위하여 글로벌 사업자에 대- 한 동일한 책임과 의무의 부과 노력이 필요 예 공정거래법 제 조의 와 같은 역외적용 조문 필요 이 법은 국외에서- ) 2 2 ( 이루어진 행위라도 국내시장에 영향을 미치는 경우에는 적용한다.)
  26. 26. - 26 - 공권력의 집행(Government Access) 우리나라 클라우드발전법○ 제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 법원의- 27 ( ) ① 제출명령이나 법관이 발부한 영장에 의하지 아니하고는 이용자의 동의 없 이 이용자 정보를 제 자에게 제공하거나 서비스 제공 목적 외의 용도로3 이용할 수 없다 클라우드컴퓨팅서비스 제공자로부터 이용자 정보를 제공. 받은 제 자도 또한 같다3 .
  27. 27. - 27 - 과제○ 자국민 보호 추세에 따라 일부 국가는 국외 서버에까지 영장의 효력을 미- 치게 하고 있음 한 국가의 노력으로 글로벌적으로 형평성 있는 집행이 불가능한바 결국- , 상호운용성 노력을 통한 이 필요함‘ ’ harmonization
  28. 28. - 28 - 서비스제공자와 엔드유저와의 관계(B2B2C) 관계B2C○ 서비스제공자는 정보통신서비스제공자 및 개인정보처리자에 해당함- 관계B2B2C○ 기업이용자는 정보통신서비스제공자 및 개인정보처리자에 해당함- 서비스제공자는 수탁자에 해당함-
  29. 29. - 29 - 과제○ 관계에서 서비스제공자는 수탁자로서 책임을 부담하지만 제한된- B2B2C 책임을 부담하고 있음 하지만 서비스제공자를 일반 에서의 수탁자로 보기에는 정보의 집중도- IT 및 서비스제공자의 지배력이 지나치게 높은바 그 만큼 엔드유저의 통제권, 상실이 두드러짐 따라서 엔드유저의 법적지위 보장이 필요함- 서비스제공자가 직접 엔드유저에게 책임을 부담할 수 있는 길을 열어두는- 것이 바람직함 예컨대 프라이버시 보호 영역( , )
  30. 30. - 30 - 감사합니다. oalmephaga@minwho.kr

×