Monday, September 7, 2015

[lecture: for startup] 스타트업을 위한 “개인정보” & “위치정보”


Subject
스타트업을 위한 “개인정보” & “위치정보” (link)
Place
Campus Seoul
Time
September 7, 2015  19:00~21:00
Speaker
김현호 변호사(Kim & Chang)
Host?
Campus Seoul
Focus
how to treat personal/location information in Korea (presentation file: link)
  1. Lesson
    1. 관련 법: 정보통신망법, 개인정보보호법, 신용정보법 (금융거래 관련)

    1. 강의 목적: 규제 패턴에 대한 이해

    1. 개인/위치 정보
      1. 개인정보: 고유 정보 (성명, 주민번호), 신체적 정보 (유전자, 홍채), 활동하면서 발생하는 정보 인적, 신체, 재산, 정신적, 사회적 정보 (e.g. 웹사이트 검색내역, 물품 구매내역, 통장, 출결, 근무경력), 다른 정보와 쉽게 결합 (e.g. USIM/IMEI(International Mobile Equipment Identity) + 통신사 보유 정보)
      2. 위치정보: 존재하거나 존재하였던 장소에 관한 정보
      3. 개인위치정보: 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것 포함

    1. 어떤 법이 적용되나요?
      1. 개인정보보호법: 오프라인에서 수집/이용되는 모든 개인정보
      2. 정통망법- 온라인 서비스 이용자 개인정보

    1. 단계별 유의할 사항: 수집 및 이용: 수집-> 이용-> 제3자제공-> 처리 위탁-> 보관 및 파기

    1. 고지와 동의 <- 위반시 형사 처벌
      1. 고지할 사항
      • 수집되는 개인정보
      • 수집 및 이용 목적
      • 개인정보 보유 및 이용 기간
      • 동의ㅣ 거부한 경우 불이익(해당되는 경우)
      1. 동의
      • 약관과 별도 동의
      • 필수 동의 vs. 선택 동의
      1. 주민등록번호 처리 제한

    1. 제3자 제공 <- 위반시 형사 처벌
      1. 제3자의 범위 고지할 사항
      • 개인정보를 제공받는 자
      • 제공되는 개인정보 항목 (e.g. 성명, 주번, 주소, 기혼/미혼, 취미, ..등으로 표기 하면 안됨)
      • 개인정보를 제공받는 자의 개인정보 이용 목적
      • 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
      • 동의를 거부한 경우 불이익(해당경우)
      1. 동의
        1. 수집 및 이용 동의와 별도 동의

    1. 처리 위탁 <- 위반시 형사 처벌 및 행정처분
      1. c.f. 위탁 (온라인 쇼핑몰에서 택배사에게) vs. 제3자 제공 (e.g. 이통사에서 보험사에게)
      2. 고지 및 동의
      • 수탁자 이름
      • 위탁하는 업무의 내용
      1. 공개
      • 정보통신서비스 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우
      • 고지사항을 개인정보취급방침에 의거 공개

    1. 파기 <- 위반시 형사 처벌
      1. 필요하지 않은 경우 지체 없이 파기: 3년-> 1년 (현행)


    1. 개인정보 국외 나가는 경우: e.g. 국외 서버 저장-> 고지 및 동의 받을 것

    1. 기술적 및 관리적 보호조치
      1. 백신SW설치, 물리적 접근방지, 침입탐지 시스템, 저장정보 암호화, 내부관리 계획, 접근권한, 비밀번호 관리, 전근통제시스템설치, 전송정보 암호화, 접속기록 보관, 협력 및 용역 업체 관리

    1. 이용내역 통지 의무
      1. 원칙- 이용내역을 연 1회 이상 주기적으로 이용자에게 통지
      2. 예외- 이용내역 통지의무 면제 (e.g. 연락처 등 이용자에게 통지할 수 있는 개인정보 수집 않은 경우)

    1. 영리목적 광고성 정보(spam) 전송 제한 (2014.11.29 시행)
      1. 종전Opt-out  -> 현재 Opt-in

    1. 위치정보사업과 위치기반서비스사업
      1. 위치정보주체 (e.g. 내 자동차)-> 기지국->위치정보사업자 (e.g. 이통사)-> server -> 위치기반서비스업자-> 이용자(제3자) (e.g. app/PC; e.g. 다음지도)

    1. 인허가
      1. ask whether your service belongs to 위치정보사업 or 위치기반서비스사업 due to different requirements


  1. Personal Takeaway
    1. startup으로 현재 규제& 보완조치 고민할 것
    2. 개인위치정보보호법 핵심- 개인위치정보 수집, 이용, 제공 시 동의 받을 것
    3. 미국-> 한국 서비스도입시 주의할 것: 개인정보 동의절차
    4. 위치정보 보호 위한 준수 사항 따를 것
    5. 형사기관에서 요청시? 영장 받을 것
    6. 정부에서 제공하는 개인정보보호법 관련 자료 (link)