후원로펌 뉴스레터

본문 바로가기

HOME > 후원로펌 현황 > 후원로펌 뉴스레터

후원로펌 현황

[법무법인(유한) 태평양] 「정보통신망의이용촉진 및 정보보호 등에 관한 법률」 개정법률안 국회 통과

페이지 정보

작성일18-06-04 19:39

본문

정보통신망의 이용촉진 및 정보보호 등에 

관한 법률 개정법률안 국회 통과

 

정보보호 최고책임자(Chief Information Security Officer, 이하 “CISO”)의 겸직 금지, 정보통신서비스 제공자의 보험·공제 가입 또는 준비금 적립 의무 등을 부과하는 내용의 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”) 개정법률안(이하 “개정법률안”)이 2018. 5. 28. 국회 본회의에서 의결되었습니다. 이번에 의결된 개정법률안은 공포 후 6개월이 경과한 날부터 시행될 예정이나, CISO 겸직금지 의무 및 보험·공제 등 가입 의무에 관한 규정은 공포 후 1년이 경과한 날부터 시행될 예정입니다. 


저희 법무법인은 정보통신망법 개정안의 주요 내용과 향후 대응방안을 정리하여 아래와 같이 보내드리니 업무에 참고하시기 바랍니다.



1. 정보통신망법 개정안 내용 


(1) CISO 선임의무 강화(개정법률안 제45조의3)


기존 정보통신망법에서는 “종업원 수, 이용자 수 등”에 따라 CISO를 지정하고 이를 과학기술정보통신부(이하 “과기정통부”) 장관에게 신고하도록 정하였으나, 개정법률안은 “자산총액, 매출액 등”에 따라 CISO를 지정하여 과기정통부장관에 신고하도록 규정하여 CISO 지정 및 신고 의무 기준을 변경하였습니다. 개정법률안이 시행되면, 정보통신서비스 제공자는 자산총액 및 매출액 등의 재무지표에 따라 CISO 지정 의무를 차등적으로 적용 받게 되는데, 그 구체적인 기준은 향후 대통령령에서 규정될 예정입니다.


한편, 개정법률안은 CISO의 전문성 및 직무 전념성을 재고하기 위하여 CISO가 다른 업무를 겸직할 수 없도록 겸직금지의무를 부과하고 있으며, CISO의 자격 요건을 대통령령으로 정하도록 규정하였습니다.



(2) 보험·공제 가입, 준비금 적립 의무 도입(개정법률안 제32조의3)


개정법률안은 정보통신서비스 제공자의 개인정보 보호에 관한 의무 위반 시 이용자에 대한 손해배상책임의 이행을 보장하기 위하여 일정 규모 이상의 정보통신서비스 제공자에게 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 취하도록 의무를 부과하고 있습니다. 



(3) 접근권한 동의에 관한 방송통신위원회의 실태조사 권한 부여(개정법률안 제22조의2)


개정법률안은 방송통신위원회(이하 “방통위”)가 정보통신서비스 제공자의 이용자 접근권한 설정 등에 관한 실태조사를 실시할 수 있는 권한을 명문화하였습니다. 


방통위는 지난 3월 국내외 주요 모바일 앱 기업들에 대하여 개인정보 내지 통화·문자 내역을 무단 수집 여부를 점검하기 위한 실태조사에 착수한 바 있는데, 개정법률안은 방통위가 이와 같이 접근권한에 대한 이용자의 정보 보호 여부에 관한 실태조사를 할 수 있도록 그 권한을 명시하였습니다.



(4) 통신과금서비스이용자의 구매자정보 제공 요청(개정법률안 제58조의2)


개정법률안은 통신과금서비스이용자에게 통신과금서비스 제공이 본인의 의사에 기한 것인지 확인하기 위하여 거래 상대방에 대하여 구매·이용한 자의 이름, 생년월일 정보의 제공을 요청할 권한을 부여하고, 거래 상대방에게는 정당한 사유가 없는 한 그 요청을 받은 날부터 3일 내에 이를 제공할 의무를 부과하였습니다. 



(5) 「개인정보 보호법」과 경합 시 정보통신망법의 우선 적용 명문화(개정법률안 제5조)


개정법률안은 정보통신 분야의 개인정보 보호에 관하여 정보통신망법과 「개인정보 보호법」의 적용이 경합하는 경우에 정보통신망법을 우선 적용하도록 명시적으로 이를 정하여, 「개인정보 보호법」과 정보통신망법 간의 관계를 법률로 명확히 하였습니다.





2. 향후 대응방안 


기존 정보통신망법에 따라 CISO 지정·신고의무가 있는 다수 기업은 실무상 한 명의 임원이 CISO와 다른 직책을 겸임하도록 제도를 운영하는 경우가 종종 있었습니다. 향후 개정법률안의 시행에 맞추어 정보통신서비스 제공자들은 ① 지정의무의 변경에 따라 각 기업들에게 CISO 지정의무가 발생하는지 여부를 확인하고, ② 지정의무가 있는 경우 대통령령에서 지정하는 요건에 부합하는 자를 CISO로 지정하여 과기정통부에 신고하여야 하며, ③ 추가 인력을 확보하여 CISO가 다른 직책을 겸하지 않도록 유의할 필요가 있습니다. 


그리고 향후 대통령령에 따른 일정 규모 이상의 정보통신서비스 제공자는 개인정보 보호의무 위반으로 인한 손해배상책임의 이행을 보장하기 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 대책을 수립할 필요가 있습니다.


또한, 모바일 앱 서비스를 제공하는 기업들은 앱상 이용자 접근권한 설정에 법위반이 없는지 점검하여 방통위의 실태조사에 대비할 필요가 있습니다.


끝으로, 이번 개정은 정보보호를 강화하자는 취지의 일환으로 이루어진 것으로 이와 같은 흐름은 앞으로도 당분간 지속될 것으로 예상되므로, 정보 보호 관련 규제에 만전을 기하여 대비할 필요가 있습니다. 


저희 법무법인에서는 정보보호와 관련된 다수의 자문 및 소송 업무를 수행하여 왔고, 이와 관련한 주요 컴플라이언스 시스템의 사전 수립 및 점검 등의 업무 수행 경험도 다수 보유하고 있습니다. 정보통신망법 개정에 따른 다양한 법률 이슈에 대한 자문 및 시스템 점검 등에 대하여 문의사항이 있으시면 언제든지 저희 법무법인에 연락주시기 바랍니다.





 

Korea:  Data privacy statute amended to tighten 

data security oversight and indemnity-related

requirements

 

Changes will, from May 2019, require online service providers, meeting certain thresholds, to employ qualified person in exclusiverole of chief information security officer, and to maintain insurance or similar allowance against data breach or mishandling.

 

Other provisions signal heightened scrutiny of mobile applications, and will facilitate certain kinds of customer requests to verify billings.

 

 

Korea has passed amendments to the Act on Promotion of Information and Communications Network Utilization and Information Protection (IT Network Act) that, among other things, will require online businesses and other “IT service providers, meeting certain criteria of scale (to be later designated), to maintain a suitably qualified chief information security officer (CISO), serving in that capacity alone, (whereas current law, while already requiring a CISO, permits the person to hold other posts as well and does not specify eligibility standards). The amendments will also require such IT service providers to maintain a level of insurance or reserve (or contribution in a cooperative) for potential liability in case of a violation of data protection rules. Other requirements clarify government authority to investigate mobile data collection, and add to online customer rights to verify billing.

 

Effective dates: Among the amendments, passed on May 28, 2018, the new rules relating to the CISO position and liability cover will take effect in 12 months, i.e. in May 2019, but in other respects the amended statute will take effect in 6 months, November 2018. Parts of the rules remain to be determined, and will be promulgated at some point before those effective dates, under supplemental decree(s) and regulations.

 

General scope of application: The new rules will affect, subject to thresholds of scale, online businesses in Korea, and may affect some scale of offshore companies as well. The statute applies in general to “IT service providers”, a broad concept that can include virtually any online business with customers in Korea, and is not necessarily confined to enterprises having a local physical presence. The statute can apply to foreign IT service providers doing business here, and, among them, those with a large customer base in Korea are particularly susceptible to scrutiny by the regulator, the Korea Communications Commission (KCC).

 

The CISO-related restrictions, and the new requirement of liability cover, will apply, not across the board, but only to IT service providers of a minimum scale. The CISO restrictions, in particular, might well be set at a threshold lower than (and so apply also to businesses smaller than) for example the existing “Information Security Management System” certification requirement under the IT Network Act (which applies to any company with (i) IT service-related annual revenue exceeding KRW 10 billion (about USD 9.3 million), or (ii) more than 1 million daily users). Specific criteria must await further announcements, however.

 

Restrictions on CISO position: The CISO position, newly required from May 2019 to be the person’s exclusive post, will also be subject to professional or technical eligibility standards. (Currently there are no standards of that kind.) The new standards are yet to promulgated, but seem likely to include some years of data protection or IT industry experience. As to exclusivity of the role, it is clear that a CISO must not at the same time, serve as, say, a non-IT administrator at the company (let alone any position with an affiliate or other company), but it is uncertain whether the CISO might simultaneously fill the role of another data privacy officer required under the IT Networks Act, namely the Chief Privacy Officer (CPO), charged with general IT administration. A conservative reading would, initially, suggest that one individual should not fill both such positions. (In contrast to the CISO, a CPO remains permitted to hold other positions, under the amended statute.)

 

Liability cover requirement: Affected IT service providers will have to purchase insurance, or participate in (i.e. contribute to) a cooperative association, or maintain a reserve, to better ensure payout of damages in case of a violation of data protection rules. The required levels of cover and related standards are not specified in the amendment itself, and will follow later.

 

KCC investigative authority clarified: The amended IT Network Act, with effect from November 2018, expressly authorizes the KCC to investigate compliance by IT service providers in obtaining users’ consents to access and gather access stored on mobile devices. This amendment does not necessarily constitute an expansion of underlying KCC authority, but is seen as a signal of the regulator’s intent to continue heightened scrutiny of this area, already exemplified in its March 2018 investigation of call, text and other personal data harvesting.

 

Customer right to demand reconfirmation of their identifying data from sellers: From November 2018 an individual buyer of goods or services will be entitled to demand a reconfirmation of his/her name and birthdate from any IT service provider (such as an online service or seller) that seeks to bill the buyer through a Korean “telecom billing service”. The idea behind this somewhat oblique rule is that, for example, a customer will be able to swiftly double-check a credit card settlement message with any online business that uses a Korean online payment gateway.


 

후원로펌 뉴스레터 목록
번호 제목 날짜
1862 [법무법인(유한) 대륙아주] Weekly_Legislative_Report_Week_of_Jun_12_to_Jun_16_2023 2023-06-22
1861 [법무법인(유한) 바른] 뉴스레터 - 제121호(2023.6) 2023-06-22
1860 [법무법인(유) 화우] 미국의 기후목표와 계획 2023-06-16
1859 [법무법인(유한) 태평양] CFD 관련 투자자보호의무 등 위반에 따른 개인전문투자자들의 집단 소송 움직임과 쟁점에 관한 검토 2023-06-16
1858 [법무법인(유한) 태평양] 「국가첨단전략산업 경쟁력 강화 및 보호에 관한 특별조치법」 시행에 따른 「국가첨단전략기술 지정 등에 관한 고시」 제정 2023-06-16
1857 [법무법인(유한) 대륙아주] Weekly_Legislative_Report_Week_of_Jun_5_to_Jun_9 2023-06-15
1856 [법무법인(유한) 대륙아주] 주간입법동향_vol.118 2023-06-15
1855 [법무법인(유한) 대륙아주] GCG Issue Report - Key Takeaways of the G7 Hiroshima Summit 2023-06-15
1854 [법무법인(유한) 대륙아주] ESG 본부 이슈리포트_Vol.48 2023-06-15
1853 [법무법인(유) 광장] 「디자인보호법」 개정 2023-06-15
1852 [법무법인(유) 광장] 「독점규제 및 공정거래에 관한 법률」 개정안 국회 본회의 통과 2023-06-09
1851 [SHIN & KIM] 독일 전자증권법 제정과 블록체인 기반 디지털채권 발행의 시사점 2023-06-08
1850 [SHIN & KIM] 회계감리 관련 금융당국의 최근 동향과 기업의 유의사항 2023-06-08
1849 [SHIN & KIM] EU의 新공급망 리스크에 대비해야: 탄소국경조정(CBAM) 및 외국보조금(Foreign Subsidy) 관련 규정 검토2023.5.22.~5.28. 2023-06-08
1848 [SHIN & KIM] Policy and Law Report_Vol.188 – 정부 주요 정책 및 입법정보 등에 관한 동향: 2023.5.29.~6.4. 2023-06-08
게시물 검색

사단법인 인하우스카운슬포럼 In-House Counsel Forum

주소 : 서울시 강남구 테헤란로 625, 17층 | 고유번호 : 107-82-14795

E-mail : reps@ihcf.co.kr

Copyright(C) IHCF KOREA. ALL RIGHTS RESERVED.

모바일 버전으로 보기