IT Solutions/Security

개인정보 보호 비상! 글로벌 컴플라이언스에 대응하려면? (上)

2020. 10. 7. 09:30

2018년 EU GDPR(General Data Protection Regulation) 시행 이후, 2019년도에는 중국이 네트워크 안전법 세부 시행 방법들을 활발하게 발표했고, 올해에는 CCPA(California Consumer Privacy Act, 캘리포니아 소비자 보호법) 및 국내 데이터 3법 통합이 시행되었습니다.


우리가 한국에서 비즈니스를 수행하는 입장에서 주요 이해 당사국에만 주목을 하고 있지만, 그 범위를 넓혀보면 2018년도 이후에 중남미(브라질, 아르헨티나, 콜롬비아, 멕시코 등), 아시아(대만, 인도, 인도네시아, 말레이시아 등), 중동 및 아프리카(바레인, 나이지리아 등) 등 전 세계에서 “데이터 전쟁”이라 표현 할 수 있을 만큼 모든 국가가 관련 법들을 정비하고 있습니다.


 

본 기고문은 한국에 본사를 둔 기업의 개인정보 보호 담당자가 글로벌 컴플라이언스에 효과적으로 대응하기 위해서 ‘어떻게 접근하는 것이 효율적일까?’라는 관점에서 내용을 정리했습니다. 이를 위해, 한국, EU, 중국, 미국(CCPA), 베트남의 5개 국가의 컴플라이언스를 한국의 개인정보 영향평가 제도에서 사용하는 Frame을 기준으로 비교, 분석해 다음의 개인정보 영향평가 분류를 기준으로 국가별 주요 고려 사항을 정리해 보았습니다.


  • 전사 개인정보 보호 관리 체계

  • 대상 시스템•서비스 개인정보 보호 관리 체계

  • 개인정보 보호 처리 단계별 보호 조치

  • 대상 시스템의 기술적 보호 조치

  • 공개된 장소에 대한 영상 모니터링


 전사 개인정보 보호 관리 체계


개인정보를 관리하기 위한 전사적인 체계의 관점에서 요구되는 사항은 다음과 같습니다.


● 개인정보 보호 조직

개인정보를 관리하기 위한 조직에 대한 내용은 대다수의 국가에서 개인정보 보호 책임자(DPO)에 대한 내용에 대해서만 명시적으로 기술하고 있습니다. 한국과 중국의 경우 개인정보 보호 책임자는 기업(혹은 기관)의 개인정보 보호 활동을 책임지는 것으로 규정하고 있어 이에 따라 업무에 필요한 조직을 구성하고 R&R을 정해 개인정보 관리 체계를 수립•운영해야 합니다.


EU GDPR에서 명시하고 있는 DPO의 경우 개인정보 보호 책임자와 미묘하게 다른 점이 있는데, DPO의 역할과 책임을 ‘감독 기관과 협력해 개인정보 보호와 관련한 모든 문제에 시의적절하게 관여하는 것’으로 명시하고 있습니다.



또한, DPO에 대한 독립성을 보장하도록 곳곳에 명시되어 있는 등 한국, 중국의 개인정보 보호 책임자는 기업의 개인정보 보호 활동을 책임지고 수행하는 역할이 강조되는 반면, EU DPO의 경우 정보 주체의 권익을 보장하는 활동이 강조되어 있어 이를 적용하는 관점에 따라 차이가 발생할 수 있습니다. 중국의 경우는 다른 국가에는 명시되어 있지 않은 개인정보 보호 조직에 대한 내용도 언급되어 있어, 중국의 개인정보 보호 관리 체계 수립 시 참고해야 합니다.


● 연간 개인정보 보호 활동

개인정보 보호 조직이 통상적으로 수행하는 개인정보 보호 활동 중 모든 국가에서 공통으로 수행이 필요한 활동으로 정책 수립•정기 검토, 정기 감사, 교육 수행 등이 있습니다. 정책 수립 활동은 각각의 국가의 Compliance의 내용이 반영된 개인정보 보호 정책이 수립되고 이에 대한 제•개정 검토를 최소 연 1회 이상 수행해야 하는 활동입니다.


수립된 정책을 잘 준수하고 있는지 이에 대한 정기적인 감사 역시 모든 국가에서 요구하는 공통적인 요구하고 있는 사항입니다. 교육에 대한 내용은 한국, 중국, EU, CCPA 등에서 수행을 명시하고 있고, 베트남의 경우 명시적으로 기술되어 있지는 않지만, 개인정보 보호 관리 체계의 수립•운영을 위해서는 필수적으로 필요한 활동으로 판단했습니다.


● 정보 주체 권리 보장 절차

정보 주체에 대한 권리 보장 절차는 모든 국가에서 공통으로 수행이 필요한 항목입니다. 특히, EU와 미국의 경우 정보 주체가 요청할 경우 해당 정보 주체의 개인정보를 다른 기관(기업)으로 전달해 줄 수 있는 ‘이동권’을 보장하는 등 국가에 따라 국내보다 좀 더 폭넓은 내용을 요구하는 국가가 있으니 이를 확인해 권리보장 절차를 수립해야 합니다. 또한 정보 주체의 권리 보장 요청에 대한 회신을 보내주어야 하는 기간이 국가별 상이할 수 있음으로 이를 고려해 국가별 절차를 마련해야 합니다.



● 개인정보 침해사고 대응

개인정보 침해사고 대응은 정보 주체 권리 보장 절차와 더불어 글로벌 컴플라이언스에서 정보 주체의 권익 보장을 위해 강조하고 있는 내용입니다. 국가별로 침해사고에 대한 내용을 신고해야 하는 기관 및 침해사고 여부에 대해 통보해야 하는 기간 제한 등이 상이하게 정의되어 있음으로, 이런 내용을 확인해 국가별로 침해사고 대응 절차에 반영해야 합니다.


특히, 국내에 본사를 두고 있는 글로벌 기업의 경우 침해사고 발생 시 이에 대한 대응에 본사와의 공조는 불가피한 사항으로, 컴플라이언스에 명시되어 있지 않더라도 대응 절차에 본사와 커뮤니케이션 하는 절차를 포함해 마련하는 것이 바람직합니다.


 대상 시스템•서비스 개인정보 보호 관리 체계


앞서 기술된 내용은 전사 관점에서 마련해야 할 개인정보 보호 관리 체계입니다. 이에 더해 신규 시스템•서비스의 단위로 고려해야 할 개인정보 보호 관리 체계의 내용을 식별했고, 이는 시스템•서비스 단위의 신규 개발, 변경 등이 발생할 때 반드시 현행화가 되어야 합니다.


● 개인정보 취급자 관리

개인정보 취급자에 대해 명시적으로 정의해 놓은 법률은 한국과 중국입니다. 하지만, 개인정보를 최소한의 범위에서 이용해야 한다는 공통의 원칙을 준수해, 개인정보 처리시스템에 대한 접근 권한을 관리하고 관련 교육을 수행하기 위해서는 개인정보를 취급하는 인원을 식별하고 관리하는 활동은 굳이 명시하지 않아도 준수해야 하는 항목입니다.


● 개인정보 처리 활동의 기록

개인정보 처리 활동의 기록은 EU와 중국의 컴플라이언스에 명시되어 있는 내용입니다. 우리나라의 공공기관에서 등록•관리해야 하는 “개인정보 파일”과 유사한 성격의 보호 대책으로 해당 내용이 기술되어 있는 국가는 이 내용을 반영해 관리 체계를 수립해야 합니다.


개인정보 처리 활동을 기록하기 위해서는 개인정보 흐름을 식별해 이를 관리하는 것이 필요한데, 이는 개인정보 처리 활동의 기록뿐 아니라 개인정보 관리 체계를 운영하는 데 있어 기본적으로 필요한 정보이므로 개인정보 흐름도를 작성•관리하는 활동은 모든 국가에서 공통으로 수행해야 합니다.



● 개인정보 처리방침

한국에서 ‘개인정보 처리방침’으로 게시되는 내용은 해외에서는 ‘Privacy policy’라는 형태로 게시가 되고 있습니다. 이런 게시 활동을 명시한 국가의 컴플라이언스는 한국, 중국, 미국(CCPA) 정도이지만, EU GDPR 등 그 이외의 국가에서도 정보 주체에게 공개해야 할 정보들이 명시되어 있는 항목들이 많습니다.


이러한 정보들을 공개할 수 있는 가장 효과적인 방법이 홈페이지 등에 게시하는 것이라는 걸 고려하면 개인정보 처리방침을 Privacy policy, 隐私政策 등 언어 별로 적절한 명칭을 결정해 이를 게시하는 것으로 권장합니다.


● 개인정보 영향평가

글로벌 컴플라이언스에서 개인정보 영향평가는 매우 중요한 의미를 가지는 대책입니다. 국내법의 경우 개인정보 보호를 위해 준수해야 하는 사항들에 대해 비교적 세부적으로 정의해 놓았지만, 해외의 경우 각 기업(기관)에서 처리하는 개인정보 활동의 중요성을 평가해 그 위험에 따른 적절한 보호 조치 수준을 판단해 적용하도록 정의해 놓은 것이 일반적입니다.


따라서, 법에 명시되어 있지 않은 항목들의 적용이 불필요하다고 판단하면 안 되며, 개인정보 영향평가를 수행해 필요한 수준의 보호 조치를 자체적으로 판단해 적용하고, 그 결과에 대해서 책임을 져야 합니다.



EU GDPR과 중국의 경우 개인정보 영향평가를 수행하기 위한 가이드라인도 별도로 공개되어 있으니 해당 내용을 참고해 영향평가를 수행해야 합니다. 국내의 경우에도 공공기관에서 수행하는 개인정보 영향평가 제도도 있긴 하지만, 대부분의 개인정보 보호법을 준수하는 기업, 기관에서 연 1회 이상 정기적으로 법률의 준수 여부를 점검하고 결함 사항을 개선하는 활동을 수행하고 있는 점을 고려하면 이를 통해 개인정보 영향평가를 주기적으로 수행하고 있다고 판단할 수 있습니다.


이어 다음 편에서는  ‘개인정보 보호 처리 단계별 보호 조치, 대상 시스템의 기술적 보호 조치, 공개된 장소에 대한 영상 모니터링’에 알아보겠습니다.


글 l LG CNS 보안컨설팅


* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로