2017년 3월 26일 일요일

행자부/방통위, ‘스마트폰 앱 접근권한 개인정보보호 안내서’ 발표

자료출처 : http://www.kcc.go.kr/user.do?mode=view&page=A05030000&dc=K05030000&boardId=1113&cp=1&boardSeq=44546

□ 방송통신위원회(위원장 최성준)와 행정자치부(장관 홍윤식)는 스마트폰 앱 서비스 제공자가 이용자의 스마트폰 내에 저장되어 있는 정보 및 설치된 기능에 무분별하게 접근함으로써 발생할 수 있는 개인정보 침해 우려를 해소하기 위하여 「스마트폰 앱 접근권한 개인정보보호 안내서」를 발표하였다.

* 스마트폰 앱 서비스 제공자가 앱을 통해 이용자의 스마트폰 내에 저장되어 있는 정보 및 설치된 기능에 접근하여 해당 정보를 읽고 수정하거나 해당 기능을 실행할 수 있는 권한

□ 대다수의 이용자는 앱 서비스 제공자가 본인 스마트폰의 정보를 얼마나 수집하고 어디까지 활용할 수 있는지 정확히 알지 못하고 있으며, 알고 있더라도 접근권한 동의를 거부할 경우 앱 자체를 이용할 수 없어 부득이하게 접근권한을 허용하게 되는 경우가 많았다.

□ 이에 앱 서비스 제공자가 스마트폰 앱 접근권한을 필수적 또는 선택적 접근권한으로 구분하여 이용자에게 알리고 동의를 받도록 한 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)」 및 동법 시행령이 개정되어 시행(’17. 3. 23.)됨에 따라 스마트폰 앱 접근권한 관련 이용자 보호를 위한 법적 근거가 마련되었으며,

ㅇ 앱 서비스 제공자 등에게 스마트폰 앱 접근권한 관련 필요한 구체적인 조치사항을 제시하여, 실무 적용상 혼란을 방지하고 법령에 대한 올바른 이해를 돕기 위하여 안내서를 마련하게 되었다.

□ 또한, 정부나 공공기관이 운영하는 앱의 경우에는 정보통신망법의 적용 대상은 아니지만 과도한 접근권한 설정으로 인한 개인정보 침해가 발생하지 않도록 동 안내서를 「모바일 전자정부 서비스 관리지침」에 반영하여 가이드라인으로 활용하도록 할 계획이다.

□ 동 안내서는 이용자가 스마트폰 앱을 설치하여 이용할 수 있도록 하는 운영체제 공급자, 스마트폰 제조업자, 앱 마켓 사업자 및 앱 서비스 제공자 등 관련 생태계를 구성하는 모든 사업자에게 적용되며,

ㅇ 스마트폰 및 이동통신이 가능한 태블릿PC를 적용 기기로 하되, 이동통신망을 활용하지 않고 단순히 블루투스, 와이파이, 테더링 등의 기능만 수행하는 기기에는 적용되지 않는다.

□ 동 안내서는 앱 서비스 제공자 등 사업자 유형별로 준수해야 할 사항과 이용자가 앱 접근권한을 통제하는 방법에 대하여 다음과 같은 사항을 중심으로 안내하고 있다.

□ 특히, 앱 서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 스마트폰 내의 정보 및 기능에 대한 접근권한이 필요한 경우 앱을 설치 또는 실행하는 과정에서,

ㅇ ①필수적 접근권한과 선택적 접근권한을 구분하여, ②접근권한이 필요한 항목 및 그 이유 등을 이용자에게 명확하게 알리고, ③접근권한에 대한 이용자의 동의를 받아야 하는 방법을 안내하고 있다.

□ 또한, 앱 이용자는 필수적·선택적 접근권한별로 필요로 하는 정보 및 기능의 항목, 그 이유 등에 대해 고지된 내용을 정확히 확인하고, 선택적 접근권한의 경우 동의하지 않아도 서비스 이용이 가능하므로 이를 고려하여 접근권한 동의 여부를 판단할 수 있으며,

ㅇ 접근권한에 동의를 한 경우일지라도 스마트폰에 구현된 동의철회 기능을 활용하여 사후적으로 접근권한을 통제할 수 있도록 상세히 안내하고 있다.

□ 방송통신위원회와 행정자치부는 “국내 스마트폰 보급률이 85%에 이를 정도로 스마트폰 이용이 보편화되고 스마트폰에 거의 모든 정보를 저장하고 있는 상황에서, 이번에 발표한 안내서는 앱 서비스 제공자의 과도한 접근권한 설정을 방지하고, 이용자의 개인정보 자기결정권을 강화하는 의미있는 계기가 될 것”이라고 밝혔다.

□ 동 안내서에 대한 이해와 관심 제고를 위하여 4월초에 사업자 및 앱 서비스를 제공하는 정부·공공기관을 대상으로 설명회를 개최할 예정이다.

□ 한편, 안내서에 따른 앱 서비스 제공자 등의 접근권한 관련 기능의 추가 수정·보완 등 개발 일정을 고려하여 ’17. 6월까지 계도기간을 운영하고, ’17. 7월부터는 앱의 접근권한이 적절하게 설정되어 있는지 등 법규 준수 여부에 대한 실태 점검을 실시할 계획이다.  끝.


방송통신위원회 사무처 이용자정책국 개인정보보호윤리과|02-50

2017년 3월 16일 목요일

[실전 비즈니스 중국법] 중국에서 사업 힘들 때 납세 분할하는 법

중국에서 납세 연기할 수 있는 회사 운영 애로 조건
불가항력적 일로 큰 손실을 입은 때 ∙급여와 보험료 지급후 세금 낼 돈 부족시

Q: 저희는 중국에서 자동차 부품을 생산하는 외자기업입니다. 최근 불경기로 인하여 회사 운영이 곤란하게 됐습니다. 이럴 경우 세무기관에 납세연기를 신청할 수 있나요?

A: 중국에서 사업을 하다 보면 너무 어려운데도 세법이 정한 바에 따라 세금을 납부해야 할 때가 있습니다. 이런 경우 세금 낼 돈이 없다고 아무런 조치를 취하지 않고 세금을 납부하지 않는다면, 그에 따른 가산금(滞纳金)이 부과돼 오히려 부담만 늘어나게 됩니다.

가산금은 응당 세금을 납부해야 될 시점부터 매일 해당 납부세액의 1만분의 5를 기준으로 계산이 됩니다.

이런 경우 중국의 납세연기제도(延期缴纳税款制度)를 활용하는 방법이 있습니다. <세금징수관리법(中华人民共和国税收征收管理法)> 제31조 제2항에 따르면 회사 운영에 애를 먹는 기업들은 최장 3개월까지 연장할 수 있습니다.

우리나라와는 달리 중국에서 세금 납부기한을 연장할 수 있는 사유는 단 2가지입니다. <세금징수관리법 실시세칙(中华人民共和国税收征收管理法实施细则)> 제41조에 사유가 적시돼 있습니다.
.
첫째는 불가항력으로 비교적 큰 손실을 입어 정상적인 경영이 어려운 경우입니다. 두번째는 응당 지급해야할 직원의 급여와 사회보험료 등을 낸 후 세금 낼 돈이 부족한 경우입니다.

따라서 세무기관에 납세연기를 신청하려면 응당 납세기한이 만료되기 전 아래와 같은 서류를 제출해야합니다. 다만 각 지역마다 필요 서류에 대한 규정이 조금씩 다를 수 있습니다.

해당 서류는(1)납세연기 신청 보고서 (2) 당기 회사 은행통장의 잔여금 상황 및 회사 전부 은행 예금계좌의 거래 내역서 (3) 자산부채표 (4)실제 지급해야 될 급여 및 사회보험비용 등 세무기관에서 요구하는 예산 지출비용입니다.

세무기관은 상기 납세연기 신청 보고서를 접수한 날부터 20일 내에 비준 여부에 대해 결정해야 합니다. 만약 비준이 통과되지 않을 경우 납세자는 여전히 납세기한 만료일부터 해당 가산금을 지급해야 합니다.

◇ 필자 김덕현 대표는…

김 대표는 1988년 대만으로 건너가 유학생활을 하면서 중국과 인연을 맺은 뒤 한중 수교 이후 중국으로 넘어가 베이징의 정법(政法)대학에서 법학박사를 받았습니다. 중국 현지에서 20년 넘게 법률상담회사인 북경 국중자문회사 대표로 일하고 있습니다. 중국통인 김대표가 중국 시장에 진출했거나 진출하려는 기업인들을 위해 중국 비즈니스 관련 법을 알기 쉽게 풀이하는 코너를 마련하여 Q&A 형식으로 글을 씁니다.

원문보기:
http://m.biz.chosun.com/svc/article.html?contid=2017031400783#csidx744e58c159a2f868b57f8803d2f5cb5

2017년 3월 10일 금요일

[전문가기고] 정보수사와 디지털 적법절차(Digital Due Process)

기사원문 : http://www.seoulfn.com/news/articleView.html?idxno=274286

최근 전 세계가 4차 산업혁명의 성장가능성에 주목하고 있다. 하지만 4차 산업혁명도 결국 인공지능, 사물인터넷, 클라우드컴퓨팅 등의 정보처리 과정에서 자신의 정보가 안전하게 보호될 것이라는 신뢰가 전제돼야 성공을 기대할 수 있다. 이런 점에서 법원의 제출명령이나 법관이 발부한 영장 없이는 이용자의 동의 없이 이용자 정보를 제3자에게 제공할 수 없도록 한 현행 '클라우드컴퓨팅법'의 입법취지를 이해할 수 있다.
그런데 최근 새로운 기술의 등장, 네트워크의 고도화 및 정보의 대용량화가 가속화되면서 정보기술을 악용한 범죄에 신속히 대처해야 하는 수사기관 입장에서는 공공안전을 위해 범죄정보의 수집 필요성이 한층 높아지게 됐으며, 이로 인해 '수사기관의 정보수집 요구'와 '국민의 프라이버시 침해 우려' 간의 긴장관계가 전 세계적으로 고조되고 있다.

예컨대, 2014년 4월 유럽사법재판소(ECJ)는 중범죄나 테러 수사를 위해 28개 회원국의 인터넷서비스제공자에게 적어도 6개월에서 2년까지 전송데이터를 보관하도록 요구했던 EU 데이터 보존지침(data retention directive)의 폐기를 결정한 바 있다. 물론 동 지침에 따라 데이터 트래픽이나 위치정보를 수집할 경우 조직범죄나 테러 대응에 유용한 것은 사실이지만 반대로 이러한 방식은 사생활 존중 및 개인정보 보호에 관한 기본권을 심각한 방식으로 침해하고 있다고 판단했기 때문이다. 마찬가지로 영국의 경우에도 최근 제정된 수사권법(Investigatory Powers Act)에서 범죄수사를 위해 1년 동안 시민의 인터넷히스토리를 기록할 수 있도록 허용하자 2017년 1월 영국의 변호사단체인 'Liberty'는 동 법이 전례없는 정보감시에 해당한다며 소송을 진행하고 있다.

한편 미국의 경우에도 경찰의 통신추적시스템 사용으로 법적 논란이 일고 있다. 동 시스템은 기지국(cell tower) 기능을 모방해 핸드폰의 위치를 추적하고 특정한 텍스트 메시지 정보를 수집하는 시스템인데, 이에 대해 2014년 매사추세츠 주 대법원은 수사기관이 용의자의 이동을 추적하기 위해 추적시스템을 사용하기 위해서는 그 전에 영장을 받아야 한다고 판단(Commonwealth vs. Shabazz Augustine)한 반면, 지난해 11월 제7 순회 항소법원은 위스콘신 경찰이 영장 없이 자신의 위치를 추적하기 위해 추적시스템을 불법 사용했다는 피고인의 주장을 배척하기도 했다.

나아가 클라우드컴퓨팅 환경의 확산에 따라 해외 서버에 저장된 이용자 정보에 대한 압수수색이 가능한지도 문제될 수 있는데, 이에 대해 2016년 7월 제2 순회 항소법원은 미국 정부가 미국 영토 밖의 서버에 저장된 고객 이메일 정보를 마이크로소프트에게 제출하도록 강제할 수 없다(Microsoft v. United States)고 판결한 반면, 2017년 2월 펜실베이니아 동부 지방법원은 해외에 저장된 이메일 정보를 공개하도록 구글에 명령하는 등 논란을 이어가고 있다.

이처럼 정보기술의 발전 속에서 수사기관은 신속한 범죄 대응을 위해 디지털정보를 수집할 필요가 있다. 하지만 그 과정에서 과도하게 정보를 압수수색할 경우, 피의자 또는 범죄와 무관한 제3자의 프라이버시를 침해할 수 있고, 기업의 정상적인 영업을 방해할 수 있기 때문에 압수수색과 같은 강제처분은 '필요 최소한의 범위에서' 시행하는 것이 바람직하다(수사비례의 원칙).
마찬가지로 우리 형사소송법도 '임의수사를 원칙'으로 하면서 강제처분은 법률에 규정이 있는 경우로 한정(강제처분법정주의)하고 있다. 따라서 기술 발전에 대응한 통신수사, 디지털 포렌직(digital forensics) 등의 새로운 수사기법도 그것이 '임의수사의 범위를 넘는 한', 법률에 근거해 법적 통제 속에서 디지털 적법절차(Digital Due Process)를 준수해야 할 것이다.

마지막으로 기술발전에 따라 새로이 등장하는 과학수사 기법에도 영장주의가 적용되는지 문제될 수 있겠지만, 영장주의가 개인의 프라이버시에 대한 정당한 기대를 보호하고 권리나 이익을 침해하는 강제처분에 대해 사법심사를 받도록 한 헌법상의 원칙이라는 점에서 새로운 수사기법이라 하더라도 그것이 당사자의 의사에 반해, 권리·이익을 실질적으로 침해하는 처분인 때에는 영장주의의 적용을 받는다고 보아야 할 것이며, 이는 4차 산업혁명 시대에서도 유지돼야 할 법원칙이다.

강철하 한국IT법학연구소장 kangceo@cyberlaw.or.kr

2017년 3월 8일 수요일

표준 개인정보 유출사고 대응 매뉴얼(2016.12)

 '표준 개인정보 보호지침' 제29조에 근거한 개인정보 유출 사고 대응 매뉴얼입니다.
기관의 형태에 맞게 수정하여 사용하시길 바랍니다.

<> 본 매뉴얼은 「개인정보보호법」의 적용을 받는 개인정보처리자를 대상으로 합니다.

[적용대상]
업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공 및 민간 부문의 모든 개인정보처리자
즉, 제조업, 서비스업 등 국내 380만 전체 사업자 대상이며, 중앙행정기관·지자체는 물론 국회·법원·헌법재판소·중앙선거관리위원회 등 헌법기관과 협회·동창회 등 비영리단체도 대상이 됩니다.

<> 본 매뉴얼은 「표준 개인정보 보호지침」(행정자치부 고시 제2016-21호, 2016.6.30.) 제29조(개인정보 유출 사고 대응 매뉴얼 등)에 따라,
   - 기관·기업이 유출 사고 발생 시 피해 발생을 최소화하기 위해 마련해야하는 「개인정보 유출 사고 대응 매뉴얼」에 대한 최소한의 사항을 포함하여 제시한 것입니다.

[관계법령]
표준 개인정보 보호지침 제29조(개인정보 유출 사고 대응 매뉴얼 등) ① 다음 각 호의 어느 하나에 해당하는 개인정보처리자는 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 「개인정보 유출 사고 대응 매뉴얼」을 마련하여야 한다.
 1. 법 제2조제6호에 따른 공공기관
 2. 그 밖에 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자
② 제1항에 따른 개인정보 유출 사고 대응 매뉴얼에는 유출 통지·조회 절차, 영업점·인터넷회선 확충 등 고객 민원 대응조치, 현장 혼잡 최소화 조치, 고객불안 해소조치, 피해자 구제조치 등을 포함하여야 한다.
③ 개인정보처리자는 개인정보 유출에 따른 피해복구 조치 등을 수행함에 있어 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력하여야 한다.


<> 각 기관과 기업은 본 매뉴얼을 조직의 특성 및 환경에 맞게 보완하여 사용하시면 됩니다.
    ※ 파란색으로 표기된 부분을 조직에 맞게 수정하여 사용하십시오.


[목차]

1. 개요 |  1
 1.1 목적 |  1
 1.2 법적 근거 |  1
 1.3 적용 범위 |  1
 1.4 단계별 프로세스 |  3
 1.5 유출대응 업무수행 체계 |  4

2. 개인정보 유출사고 대응 필수 절차 |  6
 2.1 유출 통지·조회 절차 |  6
 2.2 유출 통지 신고 절차 |  7
 2.3 현장 혼잡 최소화 조치 |  7
 2.4 고객 민원 대응 조치 |  8
 2.5 고객 불안 해소조치 |  8
 2.6 피해자 구제 조치 | 9

□ [붙임1] 유출통지 방법 | 10
□ [붙임2] 개인정보 유출 신고기관 연락처 | 12
□ [붙임3] 사고대응 흐름도 | 13


출처 : 행정자치부 | 원문자료( https://www.privacy.go.kr/inf/rfr/selectBoardArticle.do;jsessionid=OSKfdI4hS6rpjAQ5wED62snh.PVCserver2)


홈페이지 jQuery 라이브러리에서 CVE-2019-11358 취약점 패치 여부 확인 방법

현재 홈페이지에서 사용 중인 jQuery 라이브러리가 CVE-2019-11358 취약점 패치를 적용했는지 확인하는 방법은 다음과 같습니다. 1. jQuery 버전 확인 홈페이지 소스 코드를 확인하여 jQuery 라이브러리 버전을 직접 확인합니다. 웹 ...