[개인정보보협의회 전문가포럼 발제 자료] *일시 : 2015. 11. 18. (수) * 주제 : 클라우드 관련 법제의 현황과 과제

1. 클라우드 관련법제의 현황과 과제
법무법인 민후 김경환 변호사

2. - 2 -
클라우드 서비스의 구조
서비스제공자(cloud provider) 보조계약자= (sub-contractor)
| |
기업이용자(cloud user) 개인이용자(cloud user)
| or
엔드유저(cloud end user) 기업이용자(cloud user)
[B2B2C] [B2B] [B2C]

3. - 3 -
클라우드 서비스의 문제점
데이터의 통제권 상실○
데이터처리에 대한 투명성 약화○
정보보안 및 프라이버시 문제○
글로벌 분쟁으로 인한 이용자 보호의 문제○

4. - 4 -
법적 이슈
재판관할 준거법(Jurisdiction) | (Governing Law)○
SLA(Service Level Agreement)○
개인정보의 국외이전(Transborder Data Flow)○
데이터 이동성(Portability)○
상호운용성(Interoperability)○
프라이버시 보호(Privacy Protection)○
책임성(Accountability)○
공권력의 집행(Government Access)○
서비스제공자와 엔드유저와의 관계(B2B2C)○
저작권과 일시적 복제 생략( )○

5. - 5 -
재판관할(Jurisdiction)
행정청 서비스제공자 글로벌사업자- ( )○
방송통신위원회는 스트리트 뷰 사건에서 구글본사가 개인- 2014. 2. 18. ‘ ’
정보를 불법수집한 행위에 대하여 억 만원의 과징금을 부과하였고2 1,230 ,
방송통신위원회 직원은 구글본사에 파견되어 해당 개인정보의 파기를 확
인하였음

6. - 6 -
이용자 서비스제공자 글로벌사업자- ( )○
소비자계약 국제재판관할권 합의가 있는 경우는 서면 형식 요건- & 1) [ ], 2)
분쟁발생 이후 합의 시기 요건 부가적 재판관할권 합의 내용 요건 을[ ], 3) [ ]
갖추었을 때만 유효 국제사법 제 조 제 항( 27 6 ) 결국 서비스약관에 있는,⇒
재판관할권 합의 조항은 무효
소비자계약 국제재판관할권 합의가 없는 경우는 소비자는 우리나라- & 1)
에서 소를 제기할 수 있고 글로벌사업자는 우리나라에서만 소를 제기, 2)
할 수 있다 국제사법 제 조 제 항 제 항( 27 4 , 5 ) 이용자는 우리나라 법원에⇒
소제기 가능
소비 목적이 아닌 기업이용자는 소비자 에 해당하지 않음- ‘ ’ 서비스약관에⇒
있는 재판관할권 합의 조항은 유효

7. - 7 -
사례 구글에 대한 개인정보제공내역 요청 사건 서중지법 가합[ ] ( 2014 38116)○
본 약관 또는 서비스와 관련하여 발생되는 모든 소송은 독점적으로 미국- “
캘리포니아주 산타클라라 카운티의 연방 또는 주 법원에서 다루어지며 귀
하와 구글은 이러한 법원이 인적 관할을 갖는 것에 동의한다 는 재판관할”
권 합의 조항은 무효
소비자이고 이용자인 원고들이 우리나라 법원에 구글본사를 상대로 개인정-
보제공내역의 요청을 청구한 것은 적법

8. - 8 -
준거법(Governing Law)
이용자 서비스제공자 글로벌사업자- ( )○
국제사법 조 당사자 자치 계약은 당사자가 명시적 또는 묵시적으로- 25 ( ) ①
선택한 법에 의한다. 준거법 합의는 유효⇒
국제사법 제 조 대한민국 법의 강행적 적용 입법목적에 비추어 준거법에- 7 ( )
관계없이 해당 법률관계에 적용되어야 하는 대한민국의 강행규정은 이 법
에 의하여 외국법이 준거법으로 지정되는 경우에도 이를 적용한다. 기⇒
업이용자인 경우라도 대한민국의 강행규정이 적용됨
국제사법 제 조 소비자계약- 27 ( ) ① 소비자가 직업 또는 영업활동 외의 목적
으로 체결하는 계약이 다음 각호에 해당하는 경우에는 당사자가 준거법을
선택하더라도 소비자의 상거소가 있는 국가의 강행규정에 의하여 소비자
에게 부여되는 보호를 박탈할 수 없다.

9. - 9 -
사례 구글에 대한 개인정보제공내역 요청 사건 서중지법 가합[ ] ( 2014 38116)○
구글본사 서비스 약관에는 본 약관 또는 서비스와 관련하여 발생되는 분- “
쟁에 대해 미국 캘리포니아주 법률이 적용 된다고 되어 있음”
그럼에도 불구하고 개인정보 열람청구 등을 규정하고 있는 정보통신망법-
제 조는 소비자들을 보호하기 위한 것으로서 국제사법 제 조 제 항이30 27 1
규정하는 준거법 선택에 의하더라도 박탈할 수 없는 소비자에게 부여되는‘
보호에 관한 강행규정 에 해당한다고 봄이 상당하다’ .
결국 미국 캘리포니아주 법률이 적용되는 것이 아니라 우리나라 정보통신- ,
망법 제 조가 적용됨30

10. - 10 -
SLA(Service Level Agreement)
개념○
업체가 이용자에게 제공하는 서비스의 수준을 정량화 등을 통해 명확하게-
제시하고 이에 미달하는 경우 손해를 배상토록 하여, 서비스의 품질을 보
장하기 위한 약정 방통위 가이드라인( )
예- ) EU : Cloud Service Level Agreement Standardisation Guidelines
(2014. 6.)
법적지위○
법적 구속력 있음-
약관으로 볼 수 있고 약관에 포함시켜도 됨- ,

11. - 11 -
내용○
서비스가용성- (99.9% ~ 99.99%)
성능 예- ( : maximum response time)
데이터 백업 준수율-
고객 요청 처리율-
위약금-
예 아마존 는 와 각각을 모든 월 대금) : AWS Amazon EC2 Amazon EBS
청구주기 동안 최소 의 월별 가동시간 비율 하기 정의됨 로 제99.95% ( )
공하기 위하여 상업적으로 합리적인 노력 본건 서비스 책임 을 기울인(“ ”)
다 또는 가 본건 서비스 책임을 충족하지. Amazon EC2 Amazon EBS
않을 경우 고객은 하기 정의된 서비스 크레딧을 수령할 자격이 있다, .

12. - 12 -
우리나라 클라우드발전법○
클라우드컴퓨팅서비스의 품질 성능에 관한 기준 제 조 제 항- · ( 23 2 )
표준계약서 제 조- ( 24 )

13. - 13 -
개인정보의 국외 이전(Transborder Data Flow)
스노든 폭로 이후 인터넷 환경○
인터넷의 개방성 과 광역성 이 갖는 문제에 대한 회의- ‘ ’ ‘ ’
기업들에 의하여 수집된 정보가 특정 정부에 제공될 수 있다는 것을 인- IT
식하기 시작함
인터넷 넘어 국경 넘어 일어나는 현상에 대한 불신 고조- ,
데이터 분권화 정보주권 강화 현상 인터넷에 보이지 않은 국경 형성- , ⇒
및 자국민 보호

14. - 14 -
각국의 자국민 보호 노력○
영국은 이용자들의 인터넷 접속기록을 개월 동안 보관하도록 의무화함- 12
러시아는 데이터센터를 반드시 자국 안에 두도록 하는 사생활보호법을 통-
과시킴
유럽사법재판소는 회원국 국민으로부터 수집한 개인정- 2015. 10. 6. EU
보가 미국 내부에서 어떻게 사용되는지에 대하여 신뢰할 수 없다는 이유
로 미국 간 세이프하버 협정을 무효화함EUㆍ
작업반은 유럽사법재판소의 잊혀질 권리 판결이 집행되어- EU 2014. 11.
야 하는 범위는 미국의 구글본사에도 미친다는 가이드라인을 발표함
미국 법원은 압수 수색 영장의 범위는 의 이메일 서버가- 2014. 7. MSㆍ
있는 아일랜드의 더블린에도 미친다고 판시함

15. - 15 -
정보의 자유로운 국외이전과 규범의 상호운용성○
정보의 자유로운 국외이전에 대한 위험은 자국민 보호 강화로 제거하면서-
도 경제적인 이유로 정보의 자유로운 국외이전 자체를 금지시킬 수 없는,
한계가 있음 기술적 개방성 규범적 개방성[ ]⇒
이 문제는 규범의 상호운용성 증진으로 해결해야 함- (interoperability)
상호운용성 상호 상이한 규범체계간의 마찰을 줄이고 국경을 넘어서 상- :
호협력하는 것
예 이 추진하는 세이프) APEC CBPR(Cross Border Privacy Rules system),
하버협정 과 사이의 조정, BCR CBPR
글로벌 사업자에 대한 의무 부과 및 국내사업자와의 역차별 제거를 위해-
서도 규범의 상호운용성 증진 노력은 필요함

16. - 16 -
우리나라의 과제○
정보의 자유로운 이전 증진 현행 정보통신망법 개인정보보호법은 동의를- ( ,
얻어 이전하도록 하고 있으나 다양한 이전 방안을 마련해야 함)
자국민 보호 노력 인터넷 너머 발생하는 정보 악용 문제에 대하여 국가가- (
적극적으로 대처해야 함)
예 클라우드발전법 제 조 저장 국가 명칭 공개 요구권) 26 :
규범의 상호운용성 증진 정보의 자유로운 흐름을 보장하면서도 기업의 컴- (
플라이언스 부담을 줄여주고 동질의 보호체계로 인하여 정보주체의 권리,
보호에도 긍정적이며 비용절감을 통한 혁신달성에 기여할 수 있는 장점이,
있음)

17. - 17 -
데이터 이동성(Portability)
의 회피‘Vendor lock-in’○
- 제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 이용자와27 ( ) ③
의 계약이 종료되었을 때에는 이용자에게 이용자 정보를 반환하여야 하고
클라우드컴퓨팅서비스 제공자가 보유하고 있는 이용자 정보를 파기하여야
한다 다만 이용자가 반환받지 아니하거나 반환을 원하지 아니하는 등의. ,
이유로 사실상 반환이 불가능한 경우에는 이용자 정보를 파기하여야 한다.
클라우드컴퓨팅서비스 제공자는 사업을 종료하려는 경우에는 그 이용④
자에게 사업 종료 사실을 알리고 사업 종료일 전까지 이용자 정보를 반환
하여야 하며 클라우드컴퓨팅서비스 제공자가 보유하고 있는 이용자 정보

18. - 18 -
를 파기하여야 한다 다만 이용자가 사업 종료일 전까지 반환받지 아니하. ,
거나 반환을 원하지 아니하는 등의 이유로 사실상 반환이 불가능한 경우
에는 이용자 정보를 파기하여야 한다.
제 항 및 제 항에도 불구하고 클라우드컴퓨팅서비스 제공자와 이용자3 4⑤
간의 계약으로 특별히 다르게 정한 경우에는 그에 따른다.
제 조 이용자 정보의 임치 클라우드컴퓨팅서비스 제공자와 이용자는- 28 ( ) ①
전문인력과 설비 등을 갖춘 기관 이하 수치인 이라 한다 과 서로[ " "( ) ]受置人
합의하여 이용자 정보를 수치인에게 임치 할 수 있다( ) .任置
이용자는 제 항에 따른 합의에서 정한 사유가 발생한 때에 수치인에게1②
이용자 정보의 제공을 요구할 수 있다.

19. - 19 -
과제○
반환권 서비스제공자간 직접 이동 요구권⇒

20. - 20 -
상호운용성(Interoperability) 출처[ : EU]

21. - 21 -
우리나라 클라우드발전법 기술적 조직적 상호운용성:○ ㆍ
제 조 상호 운용성의 확보 미래창조과학부장관은 클라우드컴퓨팅서비스- 22 ( )
의 상호 운용성을 확보하기 위하여 필요한 경우에는 클라우드컴퓨팅서비
스 제공자에게 협력 체계를 구축하도록 권고할 수 있다.
과제 규범적 상호운용성:○
권역별 또는 다자간 국제규범 형성-
집행기관 사이의 정보 공유-
상호 협조-
세부 규정의 공개-

22. - 22 -
프라이버시 보호(Privacy Protection)
우리나라 클라우드발전법○
제 조 침해사고 등의 통지 등 클라우드컴퓨팅서비스 제공자는 다음- 25 ( ) ①
각 호의 어느 하나에 해당하는 경우에는 지체 없이 그 사실을 해당 이용
자에게 알려야 한다. (Data Breach Notification 등)
제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 이용자- 27 ( ) ②
정보를 제 자에게 제공하거나 서비스 제공 목적 외의 용도로 이용할 경우3
에는 다음 각 호의 사항을 이용자에게 알리고 동의를 받아야 한다 다음.
각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.
그 밖에 개인정보보호법 정보통신망법 적용됨- ㆍ

23. - 23 -
과제○
기업이용자는 정보주체가 아니기에 엔드유저의 프라이버시 보호 측면에서- ,
문제가 발생함
서비스제공자 기업이용자 엔드유저 의 경우 서비스제공자가 직접 엔- [ - - ] ,
드유저 정보주체 에게 프라이버시 에 관한 의무 규정을 부담하는 것이(= ) ‘ ’
바람직함
정보보안 역시 법적 이슈이나 제 발제 분야이므로 생략함* ‘ (Security)’ 1

24. - 24 -
책임성(Accountability)
우리나라 클라우드발전법○
조 손해배상책임 이용자는 클라우드컴퓨팅서비스 제공자가 이 법의 규- 29 ( )
정을 위반한 행위로 인하여 손해를 입었을 때에는 그 클라우드컴퓨팅서비
스 제공자에게 손해배상을 청구할 수 있다 이 경우 해당 클라우드컴퓨팅.
서비스 제공자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면
할 수 없다.
형사처벌 제 조 과태료 제 조- ( 34~36 ), ( 37 )

25. - 25 -
과제○
그간 글로벌 사업자들은 인터넷의 개방성으로 막대한 수익을 올리면서도-
국경과 주권이라는 커튼 뒤에서 의무를 회피하였음
글로벌 사업자의 불완전한 의무 이행이나 책임 부담 때문에 이용자 보호-
에 큰 구멍이 발생하고 있음
자국민 보호 및 국내사업자의 역차별 극복을 위하여 글로벌 사업자에 대-
한 동일한 책임과 의무의 부과 노력이 필요
예 공정거래법 제 조의 와 같은 역외적용 조문 필요 이 법은 국외에서- ) 2 2 (
이루어진 행위라도 국내시장에 영향을 미치는 경우에는 적용한다.)

26. - 26 -
공권력의 집행(Government Access)
우리나라 클라우드발전법○
제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 법원의- 27 ( ) ①
제출명령이나 법관이 발부한 영장에 의하지 아니하고는 이용자의 동의 없
이 이용자 정보를 제 자에게 제공하거나 서비스 제공 목적 외의 용도로3
이용할 수 없다 클라우드컴퓨팅서비스 제공자로부터 이용자 정보를 제공.
받은 제 자도 또한 같다3 .

27. - 27 -
과제○
자국민 보호 추세에 따라 일부 국가는 국외 서버에까지 영장의 효력을 미-
치게 하고 있음
한 국가의 노력으로 글로벌적으로 형평성 있는 집행이 불가능한바 결국- ,
상호운용성 노력을 통한 이 필요함‘ ’ harmonization

28. - 28 -
서비스제공자와 엔드유저와의 관계(B2B2C)
관계B2C○
서비스제공자는 정보통신서비스제공자 및 개인정보처리자에 해당함-
관계B2B2C○
기업이용자는 정보통신서비스제공자 및 개인정보처리자에 해당함-
서비스제공자는 수탁자에 해당함-

29. - 29 -
과제○
관계에서 서비스제공자는 수탁자로서 책임을 부담하지만 제한된- B2B2C
책임을 부담하고 있음
하지만 서비스제공자를 일반 에서의 수탁자로 보기에는 정보의 집중도- IT
및 서비스제공자의 지배력이 지나치게 높은바 그 만큼 엔드유저의 통제권,
상실이 두드러짐
따라서 엔드유저의 법적지위 보장이 필요함-
서비스제공자가 직접 엔드유저에게 책임을 부담할 수 있는 길을 열어두는-
것이 바람직함 예컨대 프라이버시 보호 영역( , )

30. - 30 -
감사합니다.
oalmephaga@minwho.kr