해외콘텐츠 법령정보
인도의 게임 정책과 법제 VII - 개인정보의 수집과 동의 (2)
요약 정보
| 국가 | 인도 | 장르 | 게임 |
|---|---|---|---|
| 기관 | (-) | 구분 | 기타 |
| 제정일 | (-) | 개정일 | (-) |
상세 정보
인도의 게임 정책과 법제 VII
- 개인정보의 수집과 동의 (2)
1. 개인정보의 처리와 보호
1-1. 개인정보 이용내역 통지
Q. 개인정보 이용을 이용자에게 알려야하는 규정이 있는지. 있다면 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단 (이메일,
핸드폰 번호 등)이 없다면 이용 내역을 통지하지 않아도 되는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 민감한 개인정보 규칙은 개인정보 수집 전반에는 적용되지 않으며, 민감한 개인 정보에만 적용됨. 법인이 민감한 개인정보
수집을 허용하는 최초 동의를 받으면서 수집 목적도 공개한 후 민감한 개인정보 사용 사실을 이용자에게 통지할 의무는 없음.
그러나 이후 민감한 개인정보가 제3자에게 이전되거나 공개될 경우 다시 동의를 받아야 하는 경우도 있음.
개인정보보호법: 데이터 관리자가 초기 통지와 동의를 받은 후에 개인정보 사용을 사용자에게 추가로 통지할 의무는 없음.
통지에는 정보주체에게 개인정보 처리 목적을 명확히 알려야 함. 개인정보보호법의 통지 및 동의 요건을 위반할 경우 50억 인도 루피
(약 600만 미국 달러) 이하의 벌금에 처함. 처리 활동이 변경되는 경우 다시 통지하고 동의를 받아야 함.
1-2. 광고성 정보 (수신, 동의, 고지, 발송, 방법)
Q1. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지?
A. 부연 설명 참고.
부연 설명
데이터 보호 법령 규정
현행 데이터법: 민감한 개인정보 규칙에 따르면 정보주체에게 광고를 송신할 목적으로 민감한 개인정보를 처리하는 경우 정보주체의 동의를
받아야 함. 인도에 위치한 법인은 광고 송신 목적으로 민감한 개인정보를 처리하는 경우 정보기술법에 따라 벌금과 배상 책임을 질 수 있음.
벌금은 100,000 인도 루피(약 1200 미국 달러) 이하이며, 위반 피해자에게 지급할 배상금은 1,000,000 (약 12,000 미국 달러) 이하임.
개인정보보호법: 개인정보보호법 하에서는 전자 개인정보(즉, 전자 형태의 데이터 또는 이후 전산화된 데이터)를 광고 목적으로 처리할 경우
통지 및 동의 요건을 충족해야 함. 아동 대상 광고와 관련하여, 데이터 관리자가 아동(18세 미만의 사람) 추적 또는 행동 모니터링을 하거나
아동을 대상으로 한 맞춤형 광고를 하는 행위를 금지함. 단, 중앙정부가 특정 범주의 데이터 관리자를 이러한 제한에서 면제한 경우는
예외로 함. 중앙정부는 또한 개인정보 처리가 검증 가능한 안전한 방식으로 이루어졌다고 판단될 경우 특정 연령대의 아동을 이 면제에서
제외할 수 있음.
위에 언급된 조항을 위반할 경우 2,000,000,000 인도 루피(약 24,000,000 미국 달러) 이하의 벌금에 처함.
광고 매체에 따라 적용되는 특수 규정
일반적 데이터 보호 법령 외에도 매체에 따라 적용되는 광고 규정이 있음.
SMS/음성통화
인도에서 SMS 문자와 음성·로봇·자동화 통화를 통한 상업 통신은 인도 통신 규제 기관인 인도 통신규제기구(Telecom Regulatory
Authority of India, 이하 “통신규제기구”)에서 고시한 통신 상업 통신 고객 선호 규칙 2018(Telecom Commercial Communications
Customer Preference Regulations, 2018, 이하 “상업통신 규칙”)의 규제를 받음. 상업통신 규칙은 등록된 선호도 및 연락 대상에 따르지
않는 홍보 메시지·통화인 미요청 상업 통신(unsolicited commercial communications)을 금지함.
상업통신 규칙은 인도 통신부(Department of Telecommunications)에서 면허를 받은 접속 제공자(Access Providers)에게 적용됨.
이 규칙은 발신자와 텔레마케터가 규정을 위반하는 통신을 송신하지 않도록 접속 제공자가 보장할 의무를 부과하며, 스팸 방지를 위해 접속
제공자에게 다양한 업무를 위임함.
상업통신 규칙은 접속 제공자가 상업 통신을 위한 소비자 선호 등록 및 선택 해제 수단을 마련하도록 규정함.
고객은 상업 통신을 받고 싶은 메시지/전화 유형, 시간대, 요일 선호사항을 기록할 수 있음. 고객은 또한 거부 수단을 통해 상업 통신 수신을
거부하는 선택권을 행사할 수 있음. 이때 엔터테인먼트 등 특정 분류만 부분적으로 거부하거나 모든 상업 통신을 완전히 차단할 수 있음.
수신자는 모든 분류의 홍보 메시지와 서비스 메시지 수신을 거부할 수 있음.
고객이 위에서 설명한 대로 수신 거부를 선택한 경우에도 발신자가 다음 각 행위를 할 수 있는 경우도 있음. (a) 고객이 명시적으로 동의한
경우 홍보·서비스 메시지 발신 (b) 거래와 관련된 메시지 발신. 상업통신 규칙은 이메일, 왓츠앱 등 인터넷 기반/OTT 메시지 플랫폼을 통한
마케팅 및 상업통신에는 적용되지 않음. 통신규제기구는 기존 상업통신 규칙을 검토하기 위해 공중의 의견을 수렴하는 자문 문서를
발행했음.
발신자가 상업통신 규칙을 위반하여 미요청 상업 통신을 발송하는 경우, 사용 한도가 부과되거나 통신 자원이 박탈되거나 블랙리스트에
오를 수 있음. 이는 상업통신 규칙을 비롯하여 통신규제기구에서 제정한 지침에 명시되어 있음. 고객은 미등록 텔레마케터로서 운영되는
발신자와 관련하여 원천 접속 제공자(Original Access Provider)에게 민원을 제기할 수 있음. 민원이 접수되면, 지난 7일 동안 발신자에
대해 10건 이상의 민원이 접수되었던 경우, 해당 발신자에게 사용 제한이 부과되고 조사가 진행될 수 있음.
조사가 필요하여 이를 수행한 결과 발신자가 미요청 상업 통신을 수행한 것으로 확인되는 경우 그 효과는 다음과 같음.
• 최초 위반인 경우 원천 접속 제공자가 경고할 수 있음.
• 2회 위반인 경우 6개월 동안 사용 제한을 부과할 수 있음.
• 3회 이상 위반인 경우 발신자의 통신 자원을 2년 동안 차단하고 발신자를 블랙리스트에 올릴 수 있음. 발신자가 블랙리스트에 올랐다는
사실을 다른 각 접속 제공자들에게 전달하면서 2년 동안 발신자에게 통신 자원을 할당하지 않도록 지시함.
이러한 조치가 이루어진 후 60일 이내에 발신자는 통신규제기구에 접속 권한 복구 또는 블랙리스트 등재 제거를 요청할 수 있음.
발신자가 이러한 위반의 재발을 방지하기 위해 합리적인 조치를 취했다고 통신규제기구에서 판단하는 경우 접속 제공자에게 제약을
제거하도록 명령할 수 있음. 그 대가로 발신자는 각 접속 제공자에게 5,000 인도 루피(약 60 미국 달러)를 지불해야 함.
단, 총 지급액은 500,000 인도 루피(약 6,000 미국 달러)를 초과해서는 안 됨. 또한, 이와 관련된 지침을 위반할 경우 인도 통신규제기구법
1997(Telecom Regulatory Authority of India Act, 1997, 이하 “통신규제기구법”)에 따라 다음과 같은 벌금이 부과됨.
첫 번째 위반 시 100,000 인도 루피(약 1200 미국 달러), 두 번째 이상의 위반 시 200,000 루피(약 2400 미국 달러), 그리고 계속적 위반의
경우 위반이 계속되는 1일마다 200,000 인도 루피(약 2400 미국 달러)의 벌금이 부과됨.
중앙 소비자보호처에서는 공중 의견 수렴을 위해 2024년 6월 20일에 '미요청 및 불필요한 사업통신 예방 및 규제 지침 2024(Prevention
and Regulation of Unsolicited and Unwarranted Business Communication, 2024, 이하 “사업통신 지침”) 초안을 공개했음.
사업통신 지침의 목표는 사업통신을 발신하거나 그 이름으로 사업통신이 이루어지는 주체를 규제하는 것임. 사업통신 지침은 상업통신
규칙을 위반하는 미요청 상업통신 등 일정한 미요청 상업통신을 금지함.
Q2. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있다면, 광고성 정보를 보낼 때
지켜야 하는 표기 의무가 있는지?
A. 부연 설명 참고.
부연 설명
SMS/음성통화: 위에서 언급하였듯 미요청 상업통신 발송은 금지됨. 상업통신을 발송하려는 단체는 접근 제공자에 등록해야 함.
콘텐츠 요건: 상업통신 규칙에 따라 발신자는 홍보 메시지나 음성통화를 발송 시 접근 제공자에 콘텐츠 양식을 등록해야 함.
홍보 메시지에는 이 양식만을 사용함.
표시 요건: 접속 제공자는 홍보메시지 앞에 “홍보” 라벨을 붙여야 함.
거부 조치: 앞서 언급하였듯 수신자는 자신의 선호도를 등록하고 상업통신과 관련된 메시지 또는 음성통화, 또는 양자 모두 거부를 선택할
수 있음. 접속 제공자는 상업통신을 발신하기 전에 관련 목록을 검색하여 통신 대상의 선호도를 확인해야 함.
통신규제기구에서는 콘텐츠 양식이 규제를 준수하도록 보장하라는 지시를 내렸음. 이러한 책임은 발신자가 아닌 접속 제공자에게 부과됨.
왓츠앱 기타 인터넷 기반 인스턴트 메시지에 부과된 법적 요건은 없음. 그러나 인플루언서 광고와 관련하여 인도 광고 표준 위원회가 제정한
전자 미디어 인플루언서 광고 지침(Guidelines for Influencer Advertising in Digital Media, 이하 “ASCI 인플루언서 지침”)은 소셜
미디어 인플루언서가 게시하는 광고에 명확히 광고임을 식별할 수 있도록 공개 표시를 부착할 의무를 부과함. 인도 광고 표준 위원회는
그 역할을 인도 법원에서 인정받았으며, 이 지침은 법적 구속력은 없지만 인도에서 업계 표준으로 준수됨.
Q3. 이용자에게 광고성 정보를 보내기 위한 조건은 어떻게 되는지(명시적인 사전 수신동의 등)?
A. 부연 설명 참고.
부연 설명
데이터 보호 법령: 민감한 개인정보 규칙에 따라 민감한 개인정보를 수집 및 처리하려면 동의를 받아야 하며, 개인정보보호법에 따라 광고
송신용 개인정보 수집 및 처리에도 동의를 받아야 함.
상업통신 규칙: 상업통신 규칙에 따르면 인도는 수신자가 상업통신에 대한 선호도를 접속 제공 업체에 등록할 수 있는 거부 선택(opt-out)
국가임. 고객 선호 등록 수단(Customer Preference Registration Facility), 즉 수신거부 등록부(Do Not Disturb Register)에 등록할 수
있음. 수신자는 상업통신을 부분적으로 차단하거나, 홍보성 통신을 차단하거나, 완전히 차단할 수 있는 선택권이 있음. 접속 제공업체는
이러한 선호도를 반영해야 함. 홍보 통신은 “명시적 동의”를 받으면 수신거부 등록부상으로 이러한 통신을 거부한 사람에게 보낼 수 있음.
이때 통신 서비스 제공업체가 발표한 실천 강령에 따라 “명시적 동의”를 받아야 함.
1-3. 개인정보 파기
Q1. 개인정보를 파기해야 하는 의무가 있는지?
A. 부연 설명 참고.
부연 설명
제안된 개정 사항
현행 데이터법: 법인은 개인으로부터 수집한 민감한 개인정보를 다음 어느 하나의 기간을 초과하는 기간 동안 보유해서는 안 됨.
(i) 수집 목적을 위해 합법적으로 사용할 수 있는 기간 (ii) 현행 데이터법에 따라 필요한 기간
개인정보보호법 데이터 관리자는 다음 중 어느 하나의 상황이 발생하는 경우 정보주체의 개인 정보를 삭제. (i) 정보주체가 개인정보 처리
동의를 철회한 경우 (ii) 개인정보 처리의 지정된 목적이 더 이상 충족되지 않는 경우. 이와 더불어, 데이터 관리자는 관련 데이터
처리자에게도 개인정보를 삭제하도록 해야 함.
그러나 다른 법률을 준수하기 위해 또는 지정된 목적을 위해 보관이 필요할 경우 개인정보는 삭제하지 않음.
Q2. 개인정보를 어떠한 경우에 파기해야 하는지?
A. 위 질문 참고.
Q3. 개인정보를 파기해야 한다면, 한국의 전자상거래법, 통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?
※ 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급등에 관한 기록 5년,
소비자의 불만 또는 분쟁처리에 관한 기록 3년
A. 특정 정보(개인정보와 개인정보 외 정보를 포함할 수 있음)의 보유에 관한 별도의 요건이 부문별 법률에 따라 적용됨.
부연 설명
과세 법령: 인도 과세 법령에 따르면, 세금에 관한 문의는 해당 회계연도로부터 11년 이내에 제기할 수 있음.
따라서 이 기간 동안 기록의 물리적 사본을 보관하는 것을 권장함.
노동 및 고용 법령: 인도에서 직원을 고용하는 경우, 다양한 고용 법령(임금 법령 및 주 보험 법령 포함)에 따라 일정한 법적 기록을
보유해야 함. 이러한 법률에 규정한 보유 기간(마지막 입력 날짜로부터 계산)은 해당 법률에 따라 3년에서 5년까지 다양함.
회사 법령: 인도 기업은 다음 각 의무를 부담함. (i) 설립 증명서, 정관, 주식 거래소와의 계약, 주주총회 회의록 등의 원본을 영구적으로 보관
(ii) 연차 보고서, 채권 설정 또는 변경 문서, 배정 등록부, 연간 재무제표, 신문 광고 및 보고서 등을 포함하여 등을 8년 이상 보관.
추가적으로, 특정 부문에서 규제되는 기관에는 해당 부문별 법률이 적용됨. 예를 들어, 결제 거래 정보 보유와 관련된 규정은 인도
준비은행에서 규제하는 은행, 결제 서비스 운영자 등에게 적용됨. 그러나 인도의 게임 회사에는 같은 규정이 적용되지 않을 것임.
1-4. 장기 미 접속 계정 휴면 처리 방법
Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지?
A. 개인정보 파기 부분 참고.
1-5. 개인정보 처리 방침
Q1. 국내의 경우 법령에 의해서 개인정보처리방침에 필수적으로 기재해야 하는 내용이 정해져 있음. 이와 유사하게 법적으로 필수적으로
기재해야 하는 내용이 있는지? 그리고 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 법인은 민감한 개인정보를 처리하거나 취급하기 위해 정보주체가 열람할 수 있도록 웹사이트에 개인정보 처리 방침을 마련
해야 함. 개인정보 처리 방침에는 다음 각 사항을 포함해야 함. (i) 민감한 개인정보를 수집하는 기관의 관행과 정책에 대한 명확하고 쉬운
설명 (ii) 수집되는 민감한 개인정보의 유형 (iii) 민감한 개인정보 수집 목적과 용도 (iv) 민감한 개인정보를 수집하는 기관에 의한 민감한
개인정보의 공개 (v) 민감한 개인정보를 수집하는 기관이 시행한 합리적인 보안 관행과 절차.
개인정보보호법: 개인정보보호법은 개인정보 처리 방침 공개 의무를 규정하지 않음. 그러나 데이터 관리자는 동의를 얻기 전이나 동의를
얻는 시점에 정보주체에게 개인정보 공지를 해야함. 하위규칙이 제정되면 개인정보 공지의 정확한 형식과 내용이 한결 명확해질 것임.
Q2. 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 앞서 언급하였듯 개인정보 처리 방침은 정보주체가 열람할 수 있도록 법인 웹사이트에 게시해야 함.
개인정보보호법: 앞서 언급하였듯, 동의 요청 시점 또는 그 이전에 각 정보주체에게 개인정보 공지를 해야함. 개인정보보호법 규칙이
공개되면 개인정보 공지 방식이 한결 명확해질 것임. 데이터 관리자는 정보주체에게 개인정보 공지 내용을 영어 또는 인도 헌법에 명시된
22개 언어 중 하나로 접근할 수 있는 선택지를 제공해야 함.
1-6. 이용자 개인정보 권익보호방법
Q1. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권)?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 민감한 개인정보를 수집하는 기업은 민감한 개인정보 제공자에게 다음 각 권리를 제공하여야 함.
검토 및 수정: 법인은 정보주체에게 자신의 민감한 개인정보에 접근하고 검토하며 수정할 기회를 제공해야 함.
민원 처리: 법인은 민원 처리 담당자를 임명하고 해당 담당자의 연락처를 공개해야 함. 또한, 데이터 처리에 관한 불일치나 정보주체의
민원을 기한 내에 해결해야 함.
동의 철회: 법인은 정보주체에게 민감한 개인정보를 제공하지 않거나 민감한 개인정보 수집에 대한 기존 동의를 철회할 수 있는 선택권을
제공해야 함(동의 철회는 서면으로 이루어져야 함). 정보주체가 이 중 한 가지를 선택하는 경우, 민감한 개인정보를 수집하는 기관은 민감한
개인정보가 수집된 목적인, 해당 정보주체에게 제공한 상품이나 서비스를 철회할 수 있는 선택권이 있음.
보안 유지 권리: 정보주체로부터 수집한 민감한 개인정보는 법인이 법률에 따라 목적을 달성하는 데 필요한 기간 등을 초과하여 보유해서는
안 됨. 민감한 개인정보 이용은 수집된 목적에 한정해야 함.
개인정보보호법: 정보주체는 개인정보보호법에 따라 다음 각 권리가 있음.
접근권: 정보주체는 데이터 관리자와의 관계에서 자신의 개인정보에 관한 정보에 접근할 권리가 있음. 이는 다음 각 정보를 말함.
(a) 데이터 관리자에게 제공된 개인정보와 해당 데이터에 대해 수행된 처리 활동 요약 (b) 개인정보가 공유된 각 데이터 처리자의 신원
(c) 규칙에 규정될 수 있는 기타 정보. 요청 방식은 규칙에 따라 정함.
정정권: 정보주체는 데이터 관리자에게 부정확하거나 오해의 소지가 있는 데이터를 개정하고, 개인정보를 업데이트하며,
불완전한 개인정보를 완성하고, 자신의 개인정보를 삭제하라고 요구할 수 있음.
삭제요청권: 정보주체는 데이터 관리자에게 자신의 개인 데이터를 삭제해 달라고 요청할 권리가 있음. 데이터 관리자는 이러한 요청을
받으면 다른 법률에 따라 보유해야 하는 경우를 제외하고 해당 개인정보를 삭제해야 함.
민원 처리 요청권: 정보주체는 데이터 관리자가 제공하는 신속한 민원 해결 수단을 이용할 권리가 있음.
지명권: 정보주체가 사망하거나 무능력 상태에 빠질 경우, 정보주체는 다른 사람을 지명하여 자신의 권리를 행사하도록 할 수 있음.
1-7. 개인정보 침해에 대한 보상 보험 요건
Q1. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 정보주체에게 고지해야 하는 의무가 있는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 민감한 개인정보 규칙상 법인은 개인정보 유출 사고 발생 시 정보주체에게 통지할 의무가 없음.
보고 법제: 비상대응기관 규칙상 정보주체에게 사이버 보안 사건을 보고할 의무는 없음.
개인정보보호법: 개인정보 침해 발생 시 데이터 관리자는 개인정보보호법에 따라 설립된 데이터 보호위원회와 각 피해 데이터 주체에게
통지할 의무가 있음. 통지의 형식과 방법은 규칙으로 규정할 예정임. 이러한 보고 요건 위반 시 20억 인도 루피(약 23,788,700 미국 달러)
이하의 벌금에 처함.
Q2. 정보주체에게 고지 의무가 있다면, 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지, 고지 방법이 규정되어 있는지[홈페이지에
사고 사실 공개, 개별 연락 (이메일, 전화 등)]?
A. 부연 설명 참고.
부연 설명
현행 데이터법과 보고 법제: 앞서 언급하였듯, 현행 데이터법과 보고 법제상 정보주체에게 통지할 의무는 없음.
개인정보보호법: 현행법상 데이터 침해가 발생했을 때 피해를 입는 정보주체에게 통지해야 하는 임계값 규정은 없음. 모든 데이터 침해는
각 정보주체에게 통지해야 함. 보고의 형식과 방법은 규칙에 따라 정해질 것임.
Q3. 정보주체에게 고지해야 할 경우 고지 시간이 규정되어 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)?
A. 부연 설명 참고.
부연 설명
현행 데이터법과 보고 법제: 앞서 언급하였듯, 현행 데이터법과 보고 법제상 정보주체에게 통지할 의무는 없음.
개인정보보호법: 개인정보 침해 발생 시 정보주체에게 통지하는 방식은 규칙에 따라 정해질 예정이며, 이러한 규칙은 아직 공개된 것이
없음.
Q4. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지?
A. 부연 설명 참고.
부연 설명
보고 법제: 관련 부처에 보고해야 함. 인도 컴퓨터 비상대응기관은 사이버 보안 분야에서 사건 대응 담당기관으로 중앙정부에서 지정한
기관임. 비상대응기관 규칙에 따라 사이버 보안 사고는 비상대응기관에 보고되어야 함. 비상대응기관에 대한 보고 의무 위반 시 1년 이하의
징역형 또는 10,000,000 인도 루피(약 120,000 미국 달러) 이하의 벌금형에 처함. 별도로 법정 벌금 100,000 인도 루피(약 1,194 미국
달러)가 부과됨. 또한, 위반으로 인해 피해를 입은 사람에게 100,000~1,000,000 인도 루피(약 1,194~11,945 미국 달러)의 보상금을 지급
해야 할 수 있음.
개인정보보호법: 앞서 언급하였듯, 개인정보 침해가 발생할 경우 데이터 보호위원회에 보고해야 함. 이 규정을 위반하였을 경우의 벌금은
앞서 언급한 바와 같음.
Q5. 신고 의무가 있다면 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 신고 시간이 정해져 있는지(사고 사실을 인지한 순간부터
1주일 이내 등)?
A. 부연 설명 참고.
부연 설명
보고 법제: 비상대응기관 규칙과 비상대응기관 지침에 따라 보고 의무에는 임계값이 없음. 비상 대응기관 지침에 명시된 모든 사이버 보안
사건은 의무적으로 보고되어야 함. 다음 기준을 충족하는 사이버 보안 사건은 사건을 인지한 후 6시간 이내에 보고해야 함.
• 사이버 사건과 사이버 보안 사건은 중추 네트워크 기간시설 등 공공 정보 기간시설의 어느 부분에서 심각한 성격을 띤 사이버 사건과
사이버 보안 사건.
• 데이터 유출 또는 데이터 누출
• 대규모 또는 가장 빈번한 사건
• 인간의 안전에 영향을 미치는 사이버 사건
이 외의 사이버 보안 사건은 발생 후 또는 사건을 인지한 후 합리적인 시간 내에 보고해야 함. 보고 의무가 발생하는 사이버 보안 사건은 정보
기술/데이터 무단 접근, 데이터베이스 등 서버 공격 등임.
개인정보보호법: 개인정보보호법은 보고의 기준이나 형식 및 방법을 규정하지 않음. 규칙이 고시되면 통지의 시기와 방법이 한결 명확해질
것임. 또한, 개인정보 침해와 관련된 의무 발생 기준 규정이 없다는 점에 유의해야 함. 따라서, 모든 개인정보 침해에 대하여 데이터 관리자가
동일한 의무를 지게 됨.
1-8. 데이터 침해에 대한 보상
Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을
적립하는 등 필요한 조치를 하여야 함. 이와 유사한 규제가 있는지?
A. 해당 규정은 없음.
1-9. 개인정보 유출 손해 배상 보험
Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 현행 데이터법에 따르면, 합법적인 계약에 따라 확보된 개인정보의 무단 공개로 인해 부당한 손실이나 부당이득이 발생한
경우 3년 이하의 징역형 및 500,000 인도 루피(약 6,000 미국 달러) 이하의 벌금형, 또는 양자 모두에 처함. 별도로, 조직이 민감한 개인정보
와 관련하여 민감한 개인정보 규칙에 명시된 합리적인 보안 관행과 절차를 시행하고 유지하는데 소홀하여 타인에게 부당한 손실을 초래할
경우, 조직은 피해자에게 손해 배상(한도를 특정하지 않음)을 지급할 책임이 발생할 수 있음. 또한, 조직이 민감한 개인정보 규칙을 위반한
경우, 해당 개인에게 손해나 손실을 초래하지 않은 경우라도 조직은 100,000 인도 루피(약 1,194 미국 달러)의 잔여 벌금을 부과받을 수
있음. 추가적으로, 이러한 위반으로 영향을 받은 사람에게 100,000~1,000,000인도 루피(약 1,194~11,945 미국 달러)의 보상금을 지급할
책임이 발생할 수 있음.
개인정보보호법: 위반 시 500 인도 루피에서 25억 루피까지 다양한 벌금이 규정되어 있음. 예를 들어, 개인정보 유출을 방지하기 위한
합리적인 보안 조치를 취하지 않은 경우 25억 인도 루피(약 3천만 미국 달러)의 벌금이 부과될 수 있음. 별도로, 동의 획득 및 통지 의무를
위반한 경우 5억 인도 루피(약 590만 미국 달러)의 잔여 벌금이 부과될 수 있음.
링크
(-)
- Helpdesk1566-9984 welcon@kocca.kr
- 본 페이지에 게시된 이메일 주소가 자동 수집되는 것을 거부하며, 이를 위반시 정보통신법에 의해 처벌됨을 유념하시기 바랍니다.
58326 전라남도 나주시 교육길 35 (빛가람동 351) 한국콘텐츠진흥원 사업자등록번호 105-82-17272 - Copyright 2020. Korea Creative Content Agency All rights reserved.
