Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

데이터보호법

미국 버지니아 주의 데이터 보호법, 주지사 서명…캘리포니아에 이어 두 번째

미국 버지니아 주는 EU의 GDPR에 맞춘 소비자 데이터 보호법을 제정한 미국의 두 번째 주가 됐다. 버지니아의 CDPA에 대해 기업이 알아야 할 것은 다음과 같다.    2021년 3월 2일, 미국 버지니아의 민주당 주지사인 랄프 노섬은 소비자 데이터 개인정보보호 및 보호를 관장하는 미국의 두 번째 주법에 서명했다. 미국 버지니아의 소비자 데이터 보호법(Consumer Data Protection Act, CDPA)은 2020년 1월 1일 발효된 캘리포니아 소비자 개인정보 보호법(CCPA)를 따른다. 지난해 가을 캘리포니아 시민들은 국민 투표를 통해 CCPA를 개정한 캘리포니아 개인정보 보호권 및 집행법(California Privacy Rights and Enforcement Act, CPRA)을 승인했다. CPRA는 2023년 1월 1일부터 시행된다.  CCPA, CPRA, CDPA, 3개의 법률 모두 2018년 5월 25일에 시행된 EU의 획기적인 데이터 보호법인 GDPR(General Data Protection Regulation)을 따른다. 이 법률은 모두 GDPR에서 많이 차용했지만 각 데이터 개인정보 보호 수단에는 다른 내용의 법률과 조항이 포함되어 있다.  CDPA, 대기업이 데이터를 제어하거나 처리하는 방법을 요구  2023년 1월부터 발효되는 버지니아의 CDPA는 ‘미 연방 내에서 사업을 수행하는 기업 또는 사람’이 데이터를 제어하거나 처리하는 방법에 대한 복잡한 프레임워크를 제시한다. 이 법안의 규정은 버지니아 거주자로 등록된 최소 10만 명의 소비자 개인정보를 관리 또는 처리하는 기업, 또는 개인 데이터 판매로 총 수입의 50% 이상을 얻는 최소 2만 5,000명의 버지니아 거주자의 데이터 관리 또는 처리하는 기업에만 적용된다.  이 법에 따르면, 일부 단체와 데이터는 해당 법안의 요건에서 제외된다. CDPA의 예외에는 주정부와 지방자치단체, 비영리단체, 고등교육기...

버지니아 데이터보호법 CDPA 2021.03.09

2020년 지금까지 가장 큰 데이터 보호법 위반 벌금 사례

취약한 보안 사건과 은폐 또는 실수로 인해 발생한 해킹과 데이터 도난 등으로 기업들은 총 16억 3,000만 달러의 손실을 입었다.   2019년 데이터 침해에 대해 상당한 벌금이 부과되는 것은 각국의 규제당국이 소비자 데이터를 제대로 보호하지 못하는 기업에 대해 심각하게 생각한다는 것을 의미한다. 영국에서 영국항공(British Airways)은 2억 3,000만 달러의 사상 최고의 벌금을 냈으며, 매리어트는 1억 2,400만 달러의 벌금을 부과받았다. 미국에서는 에퀴팩스(Equifax)가 2017년 침해에 대해 최소 5억 5,500만 달러를 지불하기로 합의했다.    사고는 계속 발생했다. 우버(Uber)는 2016년 침해 사고를 제대로 처리하지 못해 1억 5,000만 달러의 손실이 발생했다. 엄격하게 규제되는 의료 데이터를 제대로 보안 조치를 취하지 못한 의료 기관도 큰 손실을 입게 됐고, 이로 인해 미국 보건복지부(US Department of Health and Human Services, DHS)는 점점 더 많은 벌금을 징수했다.  에퀴팩스: 최소 5억 7,500만 달러  2017년, 신용 기관인 에퀴팩스는 데이터베이스 가운데 하나에서 패치가 적용되지 않은 아파치 스트럿츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 수개월동안 이 심각한 취약점을 수정하지 못했으며, 침해 흔적을 발견한 후에도 수주동안 대중에게 침해 사실을 알리지 않았다.  2019년 7월, 에퀴팩스는 회사가 네트워크 안전 확보를 위해 합리적인 조치를 취하지 못한 이유로 미 연방거래위원회(Federal Trade Commission, FTC), 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)과 미국 50개 주에 5억 7,500만 달러를 지불하기로 합의했다.    ...

데이터보호법 GDPR HIPAA 2020.08.21

중국의 MLPS 2.0, 사이버보안의 향상인가, 데이터 감시의 합법적 시도인가

새로운 버전의 중국 정보보안등급보호규정(Multi-Level Protection Scheme, MLPS)은 기업의 관리 범위를 넓히고 정부 검열의 제한을 낮춘다. 중국에서 사업을 하는 기업이라면 우려할만한 일이다.    중국 정부는 사이버보안에 관한 좀 더 나은 표준을 요구하기 위해 여러 가지 새로운 사이버보안 법을 통과시켰다. 이 가운데 일부는 사법집행 기관이나 정보 기관에 광범위한 권한을 부여해 중국 내 네트워크, 심지어 비 중국기업의 네트워크에서 발생하는 모든 것들을 면밀히 모니터링하고 조사한다.  최근 수년 동안 가장 주목할 만한 것은 CSL(Chinese Cybersecurity Law)였다. 이 법률은 온라인 및 네트워크 활동의 거의 모든 측면을 지배하고 사법집행 기관에게 기업을 조사하고 감시할 수 있는 권한을 부여하는데, 기업 내 직원 사찰까지 가능케 한다.  이제 MLPS 2.0으로 알려진 중국의 정보보안등급보호규정의 새로운 버전이 문제시 된다. 지난 수년동안 중국 정부는 주요 인프라로 간주하는 것에 대한 IT 보안 표준을 관리해왔다. 이 새로운 규정에서는 “주요”의 구성요소가 확대되고 정부의 사찰과 모니터링의 제한이 낮아져 잠재적으로 중국 사업체를 보유한 글로벌 기업에 영향을 줄 수 있다.   중국의 다단계 보호 체계(MLPS)란 무엇인가  미국 전략국제문제연구소(CSIS)는 최근 수년 동안 중국이 사이버보안과 관련된 약 300개의 새로운 국가 표준을 발표했다고 주장했다. 가장 최근에 변경된 사항 가운데 하나는 MLPS에 대한 업데이트였다.  2008년부터 존재했던 현재 MLPS 하에서 네트워크 운영자(데이터를 보내거나 처리하는 연결된 컴퓨터나 시스템을 포괄하는 광범위한 용어)는 네트워크와 정보 시스템을 다른 수준으로 분류하고 이에 따라 보안 보호를 구현해야 한다. 이 체계는 정보통신 기술 시스템의 민감도를 1등급이 가장 낮고, 5등급을 가장 높게 평가한다. 등급이 높을수...

사이버보안 중국 데이터보호법 2019.10.30

독일, “잘 나갈수록 사용자 약관 신경써야”…페이스북 기소

페이스북이 독일에서 부당한 개인 프라이버시 정책을 사용자에게 부과해 소셜 네트워크 시장에서 독점적인 위치에 올랐다는 혐의를 받고 있다. 독일 반 독과점 당국인 연방카르텔청은 수요일, 독일 페이스북 지사, 미국 페이스북 본사와 북미 외 지역의 사용자 프라이버시를 담당하는 페이스북 아일랜드 지사를 기소했다. 독일 연방카르텔청은 페이스북이 사용 조항에서 독일 데이터보호법을 위반했으며, 독일 내에서 독과점이 심화하고 있다고 지적했다. 페이스북은 이미 여러 번 독일 당국과 사용자 조약과 관련한 법적 분쟁을 겪었다. 월요일 베를린 법원이 지적 재산권 사용권 조항 일부를 삭제하라는 법원 명령을 따르지 않은 혐의로 10만 9,000달러의 벌금을 부과한 것이 가장 최근의 다툼이다. 독일 연방카르텔청은 모든 독점 기업이 독과점법을 위반하는 것은 아니지만, 이번 사례에서 페이스북이 독일 법에 어긋나는 사용 조항 및 규정을 두어 사용자에게 불공정한 약관이 적용될 수 있다고 주장했다. 또, 독점 기업의 경우 적절한 서비스 조항을 제공하는 등의 특수한 법적 의무를 진다고 밝혔다. 카르텔청장 안드레아스 문트는 “페이스북 같은 광고 수입을 올리는 업체에 있어 사용자 데이터는 매우 중요하다. 그래서 기업의 독점적 지위 남용이라는 면에서 업체가 수집하는 데이터의 양과 수준을 사용자에게 충분히 알리는지를 정확하게 측정하는 것이 필수적”이라고 밝혔다. 독일 당국 측은 내부 수사를 통해 페이스북이 소셜 네트워크 시장에서 독점적 지위에 있으며, 따라서 서비스 이용 전에 개인 정보 데이터 수집 및 사용 여부에 대한 동의를 구해야 한다고 밝히고 있다. 그러나 동시에 사용자들이 약관의 내용을 이해하고 동의의 범위를 평가하는 것은 어려운 일이라고도 말했다. 페이스북 대변인은 “독일 규정 준수에 대한 확신이 있으며, 기꺼이 독일 연방카르텔청의 질의에 답변할 의향이 있다”고 밝혔다. editor@itworld.co.kr

페이스북 약관 독일 2016.03.03

유럽 연합, 개인정보 보호 법안 마련…“데이터 오남용 시 연 매출 4% 벌금 폭탄”

유럽 연합 프라이버시 법률이 점점 명확해지면서, 법제자 지난 화요일 합의안을 도출했다. 앞으로 기업은 사용자의 개인 정보를 수집하고 처리하기 전에 사용자 동의를 얻어야 하며, 이를 어길 경우 벌금으로 연간 수익의 4%에 해당하는 금액을 내야 한다. 이런 벌금액은 구글, 페이스북처럼 수입억 유로를 벌어들이는 거대 IT 기업들에게는 잠재적으로 큰 위협이 될 수 있다. 이에 비하면 현재 각국 프라이버시 규제 기관이 개인 정보 오남용에 매기는 벌금이 매우 적은 금액이다. 새로운 법안은 데이터 관리자, 즉 개인 정보를 수집하는 기업과 데이터 처리자를 공동으로 개인 정보 오남용 책임자로 지정한다. 유럽 연합은 이로 인해 데이터를 수집하는 IT 기업이 더욱 신중하게 협력사를 선정할 것으로 내다보고 있다. 유럽 연합 법제처는 지금까지 개인 정보 수집에 동의할 수 있는 유럽 연합 시민 연령에 대해 합의하지 못했다. 여기에는 예를 들어 부모의 동의 없이 소셜 네트워킹 계정을 만들 수 있는가의 논의도 포함된다. 유럽 의회 구성원은 13세로 정하려고 했지만, 일부 국가 대표는 나이 제한을 16세로 정해야 한다고 주장했다. 합의안에서는 각국이 13세에서 16세 범위 내에서 독자적으로 개인 정보 동의 권한을 지정할 수 있게 했다. 유럽 연합 법은 지침과 법령으로 구성된다. 법령은 유럽 연합 시민과 유럽 내에서 사업하는 기업에 직접 적용되지만, 지침은 간접 적용된다는 차이가 있다. 유럽 연합 28개 회원국은 이번 합의안을 자국 법률에 적용하기까지 2년의 유예 기간을 둔다. 기존 유럽 연합 프라이버시 법령은 1995년 데이터 보호 지침에 기반한다. 2012년 1월 유럽 의회는 새로운 일반 데이터 보호 법령 가안을 만들었고, 2014년에 유럽 의회의 승인을 받아 일부를 수정한 바 있다. editor@itworld.co.kr  

프라이버시 EU 벌금 2015.12.17

글로벌 칼럼 | 클라우드 운영자와 사용자, “정보보호법은 알고 넘어가자”

기술의 발전이 물리적인 국경선의 의미를 퇴색시킨 지금 이 순간조차 아무도 법 制定자들에게 이 사실을 알려주지 않은 듯하다. 데이터는 우루과이에서 스페인을 거쳐, 미국으로 자유롭게 오고 갈 수 있다. 하지만 그 세 나라를 거치는 과정에서 데이터는 세 가지 각기 다른 데이터 프라이버시 및 보호 규제를 통과해야 한아. 날이 갈수록 많은 개인, 기업, 그리고 심지어 정부까지 클라우드 를 데이터 저장소로 활용함에 따라 클라우드 서비스를 이용하는 이는 물론 제공하는 이들도 이러한 가상 공간에서 데이터가 저장되고, 이동하고, 공개되는 사항을 규정하는 법적 조건들을 알고 있어야 한다. 대부분의 경우, 각국에서 제정한 데이터 프라이버시 규제들은 자국 시민의 개인정보를 보호하기 위한 일환이다. 이러한 규제들은 데이터를 수집, 저장, 정리, 보존하는 것과 같은, 데이터를 다루는데 수반되는 모든 행동과 행위자를 대상으로 한다. 특히 데이터가 한 나라의 국경을 넘어 다른 나라로 이동하기 위해서는 반드시 이 같은 법이 그어놓는 선 안에 있어야 한다. 캐나다에서 일을 하는 멕시코 국민이 있다고 가정해보자. 그리고 그 멕시코인이 사용하는 모바일 기기의 클라우드 서비스는 미국에 소재한 데이터센터에 기반하고 있다. 이 경우, 멕시코와 캐나다, 그리고 미국의 법 각각이 해당 데이터의 이동을 규제할 권한을 가지고 있을 수 있는 것이다. 클라우드 서비스를 이용하는 사용자나 제공업체 모두에게 있어 데이터의 이동을 규제할 권한이 있는 각국의 법은 반드시 알고 넘어가야 할 사항이다. 우선, 가장 먼저 확인해야 할 것은 언제, 그리고 어떻게 데이터의 소유자들로부터 데이터를 처리하는 것에 대한 허가를 받는 가다. 예를 들어, 스페인과 아르헨티나 법은 데이터를 어떠한 목적으로 사용하려는 이는 반드시 데이터의 소유주로부터 이를 허가하는 명확한 확인의사를 서면으로 받아야 한다고 규정하고 있다. 따라서 스페인과 아르헨티나, 혹은 이들 국가와 비슷한 법이 시행되고 있는 곳에서 지사를 운영하고 있는 ...

프라이버시 클라우드 데이터보호법 2014.12.19

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.