[EU의 데이터 보호]13. GDPR의 개인 데이터 보안(1)

이번 회에서는 GDPR의 개인 데이터 보안에 대해서 다루고자 한다.

배경

순전히 입법상의 의미에서 유럽 데이터 보호의 특정 원칙이 다른 것보다 중요하다고 논쟁하기는 어려울지 모르지만, 여러 계층에서 관심을 갖고 있음은 사실이다.

예를 들어, 미국에 개인 데이터를 이전하는 것에 대해 시민 활동가들이 집중함에 따라 이에 대한 인지가 증가하였고, 이제 프라이버시 전문가뿐만 아니라 일반인도 Safe Harbor 및 EU-미국 Privacy Shield Framework를 인식하게 되었다. 국제 이전이 많은 컨트롤러, 프로세서 및 규제 당국의 의제가 되고 있다는 것은 당연한 일이고, 이것에는 여러 가지 이유가 있다.

첫째, 보안 상태는 종종 다른 데이터 보호 원칙을 준수하기 위한 전제 조건이 된다. 예를 들어, 보안적 취약성은 국제적으로 개인 데이터의 불법적인 흐름을 야기할 수 있다. 개인 데이터가 변경되고 부정확한 정보가 유포될 수 있다. 데이터가 확산은 물론, 보안 침해의 희생자이며 신원 도용 및 금전상의 손해와 같은 더 심각한 피해를 입힐 수 있다.

다시 말해서, 그 자신의 권리에 매우 심각한 ‘컴플라이언스’ 실패일 뿐만 아니라, 보안 부재로 인해 GDPR 입법 체계 전체에 걸쳐 광범위하고, 심각한 규정 위반 및 불법이 발생할 수 있다. 보안 원칙이 다른 모든 데이터 보호 원칙과 혼합되어 다른 데이터 보호 원칙들의 일부분을 형성한다는 개념은 업계에서 잘 이해하고 있는 듯하다. 보안은 단독 위험 요소가 아니지만 컨트롤러와 프로세서가 위험 요소를 추적하여 기록해야 하는 모든 위험 요소의 일부이다.

더욱이, 보안 취약성이 심각한 경우 언론과 미디어의 관심을 받을 것이 확실시되고, 최악의 경우는 국제적인 관심도 끌게 된다. 개인 데이터에 영향을 미치는 보안 침해에 대한 대중의 관심이 높은 나쁜 소식을 전하는 기사는 점점 더 넘쳐날 것이다. GDPR의 개인 데이터 유출 신고 제도는 과거의 나쁜 뉴스들은 별것 아닌 것 같이 생각하게 할 수 있을 정도로 불안감을 증폭시킬 것이다.

마지막으로 데이터 보호 원칙의 다른 침해와 비교할 때, 취약한 보안 제어가 연관된 사례는 규모와 피해에서 매우 다른 특징을 보여준다. Safe Harbor 사건은 분명히 미국 전체가 EU 데이터 보호 목적에는 적합하지 않다고 주장되었다는 측면에서 대규모적이었지만, 대중에게 명백한 해악감이 거의 없었다는 점에서 소규모적인 이슈로 볼 수 있다. 사람들은 미국 기업 이용하는 것에 등 돌리지 않았다. 마찬가지로 페이스북-캠브리지 애널리티카 건 뉴스로 페이스북의 사용자가 눈에 띄게 줄었다는 기사가 게재된 적은 없다. 데이터 부정확성의 경우에는 부정확한 신용 점수로 인해 더 비싼 금융 상품이 제공되거나, 더 나쁘게는 금융 서비스 시장에서 배제되는 등 실질적인 위험이 발생할 수 있지만, 개별 사례를 넘어 대규모 사례 또는 그룹 사례로 확장되는 것으로 보이지는 않는다.

사실, 보안 취약성은 규모가 커지거나 위험도가 높아질 가능성 모두를 가지고 있는 경우가 대부분이다. 무수한 뉴스 기사의 홍수 속에서 수천만 명이 침해의 영향을 받은 사례가 많다. 2016년에 해커들이 미국 온라인 회사에서 10억 개의 사용자 계정을 손상시켰다. 규모 측면 외에도, 개인 데이터가 분실되거나 도난당했을 때 정신적 불안, 괴로움 및 고통은 항상 예견되는 반면, 사기 및 신원 도용은 데이터의 적절한 조합이 작용할 경우 쉽게 겪을 수 있는 실체적인 피해이다(Recital 75 참조). 이러한 규모와 피해의 특징은, 집단 소송으로 나타나는데, 민사 소송을 통한 보상 청구로 이어진다.

개인 데이터 보안과 사이버 보안 간의 긴밀한 관계는 이미 언급되었지만, 사이버 보안의 ‘후광(halo)’ 효과는 과소평가 되어서는 안 된다. 사이버 보안이라는 주제는 GDPR의 인지도 상승효과에 관계없이 중요성을 차지하고 있다. 개인 데이터 보안과 사이버 보안은 항상 동의어는 아니지만 종종 동일하게 사용되어, 이러한 정보 보호 원칙을 다른 모든 분야와 완전히 다른 범주로 만들어버린다.

동의성에 대해서 말한다면, 이 법 영역의 또 다른 특징은, 보안에 대한 일부 개념과 개인정보 보호에 대한 권리 사이에 긴장이 있다는 점이다. 개인정보 보호 및 데이터 보호 법률은 국가 안보 및 법 집행과 같은 보안 문제를 제기한다. 이러한 이익을 위해 보안 원칙이 극복될 수 있다는 생각은 보안 원칙을 최우선 순위로 지속적으로 적용할 데이터 보호법 분야의 특수한 특징이다.

방금 설명한 이유에 따라, 보안 대상이 운영 측면에서 특별한 범주에 들어간다면, 이 주장을 뒷받침하는 다른 요소들이 있다. 그 중 하나는 국내외의 전문적, 산업 및 비즈니스 표준을 통해 상당한 수준의 보안 모범 사례가 개발되었다는 사실이다. 이 표준들은 데이터 보호법의 가장 수수께끼 같은 질문 중 하나, 즉 GDPR이 컨트롤러 및 프로세서가 보안을 위한 적절한 기술적 및 조직적 조치를 구현해야 한다고(32조에) 말할 때, 실제로 이것이 무엇을 의미하는 지 이해하게 해준다.

GDPR 내에서 ‘data protection by design and by default’와 같은 새로운 영역에서 규정 준수의 메커니즘과 세부 사항은 대다수의 실무자에게 여전히 많은 의문의 여지가 있다. 가용한 보안을 위한 자원의 여러 특성을 감안할 때, 종사자들은 법률 텍스트, 규제 가이드 및 규제 시행 사례의 범위를 넘어서, 필요한 것을 매우 세부적인 의미로 이해해야 한다.

운영상의 의미에서 개인 데이터 보안은 ‘적절한 기술적 및 조직적 조치’의 의미가 완전히 정의될 수 있는 데이터 보호법의 유일한 영역 일 것이다. 따라서, 만약 실무자들이 조직이 보안을 위해 달성해야 하는 성과를 적절히 이해한다면, 그들은 시각을 넓혀서, 좁은 영역에 한정되어 있는 GDPR의 문구와 규제 기관 및 법원의 입장의 이면을 보아야 한다. 그렇지 않으면 DPO, 데이터 보호 법률가 및 실무자들은 중요한 고려사항을 놓칠 수 있다. 여기에는 규제 집행 절차 및 소송에 대한 노출도 포함된다. 이것은 의학 및 공학과 같은 과학 및 전문 분야의 영역으로, 데이터 보호법은 발명했다기보다 채택된 것이라는 표현이 맞을 것이다.

이렇게 명확하게 정의하여, 규제 기관과 법원이 컨트롤러 또는 프로세서가 보안 의무를 이행하는 데 실패했는지를 훨씬 쉽게 결정할 수 있도록 해야 한다. 이를 개인 데이터 유출 통지 체계와 결합한다면, GDPR은 보안 취약성에 대한 벌금 및 보상 청구가 대폭 늘어나게 되는 결과를 만들어 낼 수도 있다.

보안 원칙과 위험 기반 접근법

GDPR 제5조 (1)항 (f)는 우발적인 손실, 파괴 및 손상에 대해, 적절한 기술적 또는 조직적 조치(“무결성 및 기밀성”)를 사용하여, 개인 데이터의 무단 또는 불법적인 처리에 대한 보호를 포함하여 개인 데이터의 적절한 보안을 보장해야 한다는 보안 원칙을 세우고 있다. 제32조는 보안 위협에 대해 적절한 수준의 보안 수준을 보장할 수 있도록 적절한 기술적 및 조직적 조치를 취해야 한다는 실질적인 보안 원칙을 정리하기 위해 제5조 (1)항 (f)를 더욱 상세히 말한다.

제5조 (1)항은 누가 처리 활동을 수행하는지에 관한 것이 아니라, 개인 데이터의 처리 자체에 초점을 두고 있다. 대조적으로 제32조는 컨트롤러와 프로세서 모두에 관한 것이다.

컨트롤러와 프로세서는 모두 적절한 보안을 적용하고 있음을 증명할 수 있어야 한다. 제5조 (2)항의 책임 원칙은 제24조와 연계하여 컨트롤러가 준수하고 있음을 ‘입증(증명)’할 수 있도록 하는 의무를 두고 있다. 제28조 (3)항 (h)는 프로세서에 대한 유사한 증명 요구 사항을 부과한다. 프로세서에 대한 추가 검사로서 제28조는 컨트롤러가 계약 또는 기타 법적 행위의 사용을 통해 프로세서에 대한 컴플라이언스 의무를 계단식으로 승계하도록 요구한다.

물론 이러한 목표를 달성하기 위해 컨트롤러와 프로세서는 데이터 처리 작업의 전체 범위를 이해할 필요가 있고, 이것은 제30조의 효과이다. 제30조 (1)항은 컨트롤러가 해당 데이터 처리 작업의 기록을 유지하도록 하고 있고, 이는 제32조 (1)항에 언급된 기술적 및 조직적 보안 조치에 대한 일반적인 설명을 포함해야 한다. 제30조 (2)항은 프로세서에 대해서도 동일한 의무를 부과한다.

보안의 기초적인 원칙을 설명하는 제32조는 제33조와 제34조의 개인 데이터 유출 통지 요구 사항에 의해 뒷받침된다. 이러한 요구 사항은, 제25조의 data protection by design and by default와 데이터 보호 영향 평가 및 제35조에 따른 사전 협의 요구 사항에 의해 더욱 확대된다.

제32조 – 처리의 안전

제32조는 개인 데이터를 안전하게 유지할 의무를 제시하는데 컨트롤러와 프로세서 모두에 적용된다. 안전 의무에는 해당 위험의 연속체가 합리적으로 포함되어야 하며, 이는 연속체의 한쪽 끝에 있는 사고 및 태만부터, 다른 쪽 끝에 있는 의도적이고 악의적인 행동까지 포함한다. 따라서 컨트롤러 및 프로세서는 맬웨어 및 DoS(서비스 거부) 공격 및 기타 범죄 위협과 같은 복잡한 기술적 위협으로부터 보호하고 부주의한 직원을 방지하기 위한 제어 기능을 구현해야 한다.

이러한 통제를 ‘적절한 기술적 및 조직적 조치’라고 하며, 이 문구에서 중요한 뉘앙스를 찾을 수 있다. ‘적절하다’는 말은 법이 절대적인 안전을 필요로 하지 않는다는 것을 말해준다. 즉, 컨트롤러 또는 프로세서가 법률을 위반하지 않았지만 보안 위반이 될 수도 있다. 규제 당국은 운영 실패로 인한 법적 실패를 가정할 수 없기 때문에, 규제 집행 조치에 엄청난 영향을 미친다. 또한, 이는 자연히 집행 조치에 취할 수 있는 가능한 방어 전략을 제시한다.

제32조는 적절한 통제가 무엇인지 또는 적절하지 않은지에 대한 평가에 대해 위험 기반 접근법을 요구한다. 즉, 컨트롤러 및 프로세서는 컨트롤에 대한 결정을 내릴 때 위험 평가를 수행해야 한다. 위험 평가에 대한 요구 사항은 제25조와 제35조에 의해 강화되며, 적절히 해석될 경우 보안 문제로 확대되어야 한다.

이러한 위험 평가는 처리해야 할 데이터의 성격과 비즈니스 프로세스 및 기술 시스템의 취약점을 악용하는, 합리적으로 예측 가능한 위협을 반영해야 한다. 아마도 더 높은 확률 또는 더 높은 영향력의 위협은, 조직이 특히 민감한 데이터를 처리할 때, 보다 강력하고 정교하게 제어해야 할 필요가 있음을 의미한다. 반대로, 덜 민감한 개인 데이터는 더 적은 또는 덜 정교한 제어를 요구할 수 있다.

위험 평가에는 최첨단 테스트와 비용 고려가 포함된다. 최첨단 테스트는 이전에 만들어진 몇 가지 요점을 반영한다. 보안은 오랜 개발의 역사를 가진 전문 분야이다. 이 테스트는 컨트롤러 및 프로세서가 업계 평균 관행뿐만 아니라 업계 모범 사례를 고려하도록 요구하는 효과가 있다. 최첨단 테스트에 대한 적절한 설명은, 만약 합리적으로 정보를 얻은 보안 전문가들의 집단이 특정 환경에서 특정 제어가 적합하다고 고려한다면, 그 환경에 적용할지 컨트롤러/프로세서가 결정할 때 그 컨센서스가 고려되어야 한다는 것이다.

전문적인 의견에 대한 합의의 실례는 암호화와 관련이 있다. GDPR 채택 수년 전, 데이터 보호 지침(Directive)이 이 문제에 대해서 언급하지 않고 있음에도 불구하고 개인 데이터가 포함된 랩톱 컴퓨터 및 이와 유사한 장치의 암호화가, 전부는 아니더라도 대부분의 국가에서 사실상 의무적인 규제 요건으로 간주되는 상황에 도달했다. 물론 촉매제는 전문적인 의견에 대한 공감대였다. 컨트롤러와 프로세서는 암호화를 채택하는 것은 명백한 법적 요구 사항이 아니라, 보안 목적으로 해야 할 일이었기 때문에 암호화를 채택했다. 규제 당국이 규제 지침을 만들고 법률을 집행함에 따라 암호화에 대한 전문적인 의견의 컨센서스가 규제 프레임워크의 일부가 되었다. 규제 당국은 세상이 보안에 대한 옵션을 이해하는 것을 고려했기 때문에, 그들은 모범 사례를 발견하고 그 결과를 규제 체계에 반영했다. 암호화의 사용은 입법가나 규제 당국의 사고방식에서 비롯되지 않았다. 이제 제32조 (1)항 (a)는 가명화(pseudonymisation)와 함께 암호화를, 보안 시스템을 설계하는 동안 컨트롤러와 프로세서가 고려해야 하는 제어로 인정한다. GDPR에서의 신속한 제어로서의 암호화 적용은 산업계에서 수용 가능한 보안 조치에 대한 인식이 높아짐을 반영한다.

전문적 의견의 합의는 제32조 (1)항 (b), (c) 및 (d)의 요건에도 반영된다. ‘기밀성, 무결성, 가용성 및 탄력성’을 유지하려는 아이디어는 보안 산업에서 직접 적용된다. 이들은 일반적으로 모든 보안 전문가가 자신의 경력을 시작할 때 배우는 운영 성공의 초석으로 간주된다.

이러한 측면은 보안 원칙을 준수함을 입증하는 행동 강령 및 인증 메커니즘에 의해 수행될 수 있는 역할에 대해 논의하는 제32조 (3)항에서 더욱 강화된다.

물론 모든 조직이 본격적인 보안 통제 구현을 할 수 있는 것은 아니다. 불행히도 GDPR에는 여전히 많은 모호성이 남아있다. 통제를 구현하는 데 엄청난 비용이 든다면, 데이터와 그 민감성에 대한 위협에도 불구하고 구현할 필요가 없다는 것을 의미할 수 있다. 물론 이 구조는 모호성을 ‘과도함’의 의미로 옮기는 효과만 있다. 통제는 통제 비용 및 개선 활동을 위한 경영 결정을 정하고 문서화하는 프로세스를 운영하게 한다. 이 접근법은, 좋은 경영 의사결정을, 정보가 부족한 규제 기관이나 법원의 다른 결정으로 대체하는 것이 법의 역할이 되어서는 안 된다는 것이다.

물론, 비용만으로 특정 통제를 배제하는 컨트롤러 또는 프로세서는, 전문가의 의견 및/또는 통제에 대한 재정적 투자를 할 수 있는 자체 능력과의 의견 일치가 되지 않는 상황에서 보안을 부인하는 경우, 법률 집행시 그다지 우호적으로 처리되지 않을 가능성이 높다.

제32조 (4)항 – 기밀성, 직원 및 기타 근로자

제32조 (4)항은 컨트롤러나 프로세서의 권한하에 행동하는 근로자와 다른 근로자의 활동과 관련이 있다. 제32조 (4)항의 요구 사항의 요지는 전통적으로 GDPR(Directive 16조 참조)에서 기밀성 문제로 간주되었다. 다만, 제32조 자체는 이 구별을 하지 않고, ‘무결성 및 기밀성’으로 요약된 제5조 (1)항 (f) 및 프로세서에서 일하는 근로자는 기밀 유지 의무에 따라 일해야 한다는 제28조 (3)항 (b)에 따르면, 실제로, 현재까지 적용된 논리적 추론은 GDPR이 시행될 때까지 계속 적용될 것이다.

따라서 컨트롤러 및 프로세서를 위한 그들의 업무를 통해 개인 데이터에 액세스할 수 있는 모든 사람들은 신뢰의 의무를 지우는 것과 같은 환경에서 작업하고 있는 것으로 보인다. 제32조 (4)항의 본질은 이 사람들이 그 지침들의 범위 내에서 행동해야 한다는 것이다. 그들은 컨트롤러의 입장을 뒤집어서는 안 된다.

따라서 예를 들어, 제3자에게 무단으로 공개하거나 승인되지 않은 사본을 만들어, 개인 데이터를 자신의 이익 또는 다른 사람의 이익을 위해 오남용해서는 안 된다.

보안 측면에서 직원 및 다른 근로자에 내재하는 위험을 종종 ‘내부자 위협’이라고 한다. 컨트롤러와 프로세서는 모두, 개인 데이터를 처리하는 직원에게 경고를 하고 역할에 따라 정기적인 교육을 제공하며 정책 위반의 결과를 명확히 알리는 강력한 내부 정책이 있어야 한다.

제28조 – 컨트롤러와 프로세서 간의 관계

제28조는 컨트롤러-프로세서 관계 및 공급망에 대한 특정 규정을 포함한다. 이는 보안뿐만 아니라 컨트롤러와 프로세서 및 모든 데이터 보호 원칙 간의 관계 전반에 관한 것이다. 제28조 (1)항의 의도는 보안 원칙과 보안 요구 사항을 프로세서의 조직과 공급 체인을 통해 하위 프로세서에 전달하는 것이다.

이를 위해 제28조는 GDPR의 준수 및 데이터 주체들의 권리 보호를 위한 적절한 기술적 및 조직적 조치의 이행에 대해 ‘충분한 보증’을 제공할 수 있는 프로세서만 컨트롤러가 사용하게 하는 규제 장치를 두고 있다.

‘충분한 보장’에 대한 이 아이디어는 계약의 체결보다 훨씬 포괄적이지만, 계약을 이용하는 것은 핵심적인 통제 메커니즘이다. 대신, 정말로 초점을 두고 있는 것은 프로세서의 능력을 증명하는 것이다. 논리적으로 맞고 또 실제로 효과적이기 위해서는 ‘충분한 보장’에 대한 아이디어는 보증의 메커니즘을 포함해야 한다. 이런 식으로 살펴보면, 계약 체결 전과 후에 타사 평가 또는 인증 유효성 확인을 통해 그 공급 업체가 프로세서를 적절히 점검하고 검사해야 한다.

보증에 필요한 단계의 성격은 물론 앞에서 설명한 이유 때문에 전문가 의견의 합의를 반영해야 한다. 적절한 경우, 보증 절차에는 제28조 (3)항 (h)에 명시되어 있는 감사 절차가 포함되어야 한다. 컨트롤러가 프로세서의 능력을 증명할 수 없다면 이용하지 않아야 한다. 그렇지 않으면 제28조에 대해 자동 위반이 될 것이다. 이 모든 것은 상업적 맥락에서 작동해야 한다.

컨트롤러-프로세서 관계의 정의 특징은 프로세서가 컨트롤러의 명령에만 행동할 수 있고, 제28조 (10)항에서 볼 수 있듯이 프로세서가 지침의 범위를 벗어나면, 모든 수반되는 의무와 함께 컨트롤러로 정의되는 위험에 처한다. 이것 중 어느 것도, 이전 Directive부터 GDPR에 이르는 유럽 데이터 보호 관련 법에 새로운 것이 아니다. 그러나 GDPR에 들어간 새로운 점은 컨트롤러가 개인 데이터 유출 알림 요구 사항을 처리하도록 지원하는 것을 포함하여(제28조 (3)항 (f)), 법 준수를 달성하고 위험을 감소시키는 데 있어 컨트롤러에 도움을 제공해야 한다는 것이다. 보다 실질적인 적용을 하자면, 효과적인 사고 감지 및 대응을 위해 컨트롤러와 프로세서 간에 긴밀한 업무 운영이 있어야 한다는 것은 명백하다.

논쟁의 여지는 있지만, 제28조는 시장에서 컨트롤러와 프로세서 사이에 불균형이 있는 경우, 특히 컨트롤러의 지시는 많은 도전을 받는다. 프로세서가 기술 분야의 거물(예를 들어, AWS나 MS Azure 등)인 경우 GDPR이 제28조 (10)항에 따라 통제권을 촉발시키는 방식으로 보다 강력한 지위를 사용할 위험이 있다. 그러므로 프로세서 업계에서는 계약 체결 및 조달 시에 유연하게 대처할 수 있는 이점이 있다.

개인 데이터 유출 사건의 통보 및 전달

제33조와 제34조는 개인 데이터 침해를 데이터 보호 당국(DPA)에 통보하고 경우에 따라 영향을 받은 사람들과 의사소통하기 위해 컨트롤러에게 요구 사항을 부과한다. 위반 통지는 실제로 운영 실패에 대한 투명성 메커니즘이다. 데이터 처리 실패로 영향을 받는 사람들이 자신의 이익을 보호하기 위한 조치를 취할 수 있다는 의미에서, 투명성의 이점에는 손실 및 손해의 완화가 포함된다. 또한 실패 발생 시의 투명성은 미래의 사건 및 그 영향의 위험을 최소화하기 위한 적절한 대응책을 개발하도록 하고, 컨트롤러, 규제 기관 및 사회가 실패의 원인을 이해하도록 돕는다. 또한 통지는 감독자가 감독 기능을 수행하는 데 필요한 정보를 제공한다.

운영 통제 실패 시 규제 기관 및 대중의 주목은, 규제 집행 절차 및 보상 청구와 같은 불리한 조사를 접하게 만든다. 영국에서는 정보 감독관과 공공 부문의 규제 정책에 위반한 사실을 공개하라는 요구 사항이 있는 경우, 사건 보고를 통해 수백 건의 독립체에 대한 집행 조치가 직접 취해졌다. 그러나, 많은 경우, 위반이 조사되었으나 보고한 조직이 적절한 보안을 유지하는 것으로 밝혀졌고, 더 이상의 조치가 취해지지 않았다.

GDPR은 유럽 데이터 보호 법안에 포함된 위반 공개 규칙의 첫 번째 경우는 아니지만, 대규모로 수행된 것은 처음이다. 2009년에 시민 권리 지침(Citizens Rights Directive)은 공개적으로 사용 가능한 전자 통신 서비스 제공 업체에 대한 위반 공개 제도를 마련하기 위해 ePrivacy Directive 2002를 개정했다.

‘개인 데이터 유출’의 의미

제4조 (12)항은 ‘개인 데이터 유출’의 정의를 ‘전송, 저장 또는 기타 처리된 개인 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반’으로 정의한다.

이 표현은 제5조 (1)항 (f)의 보안 원칙(또는 ‘무결성 및 기밀성’ 원칙)의 표현과 비교될 수 있다. 두 아이디어는 완벽하게 매핑되지는 않는다. 예를 들어, 제5조 (1)항 (f)는 변경을 언급하지 않는다. 이 조항들의 표현의 차이는 후속 집행 활동에서 드러날 수 있는 내용이다.

또한 제4조 (12) 항의 표현은 개인 데이터 침해가 설명된 부정적인 결과 중 실제로 하나가 되는 실질적인 보안 침해로 구성되어야 한다는 것을 의미한다. 즉, 보안 침해의 위험은 정의되지 않았으며, 이는 위험을 방지하고자 하는 보안 원칙 자체와 대비될 수 있다.

제33조 – 규제 기관에 통지

제33조는 데이터 보호 감독 기관에 대한 개인 데이터 유출 통지와, 침해 및 보완 조치 유지에 대한 기록 유지 요구 사항을 규정한다. 통지 요구 사항에 대한 시작점은 개인 데이터 유출 사건의 탐지이다. 즉, 컨트롤러가 위반 사실을 알게 되면 규제 기관에 통지해야 할 의무가 생기는 것이다. 컨트롤러가 위반을 인식하지 못하면 알림 요구 사항을 시작할 수 없다. 이러한 문자적 ​​해석은 왜곡된 결과를 초래할 수 있다. 즉, 일부 관리자는 침해 공개를 피하기 위해 침해를 탐지하기 위한 조치를 취하지 않도록 해야 한다는 결론을 내릴 수도 있을 것이다.

그러한 생각은 어리석은 것이 될 것이다. 순전히 운영상의 의미에서, 모든 조직에서 침해 탐지 방법이 필요하다. 법적으로는 컨트롤러는 침해 탐지 수단을 강구해야 한다는 제5조 (1)항 (f)의 보안 원칙(그리고 침해 공개 규칙 자체)에 대한 암시적이며 기본적인 요구를 받는다. 이것이 맞다면, 그러한 조치를 취하지 않으면 보안 원칙을 위반하게 되어 컨트롤러가 법적 위험에 노출될 수 있다.

의심스러운 위반이 감지되면, 컨트롤러는 개인 데이터 침해의 정의를 충족하는지 여부를 결정해야 하며, 만약 그렇다면 개인의 권리와 자유에 위험을 초래할 수 있는 종류인지 여부를 결정해야 한다. 컨트롤러는 72시간 이내에 부당한 지체 없이 통지해야 하기 때문에 매우 신속하게 처리해야 한다. 이러한 짧은 시간 내에 탐지, 분류 및 통보가 이루어지기 위해서는 컨트롤러가 사고 대응 전략을 분명히 수립해야 한다. 사고 대응 전략의 예로 사고 대응 계획, 사고 대응 각본, 사고 대응팀 및 보안 운영 센터(SOC, Security Operations Center)와 같은 운영 사고 탐지 팀을 두는 것이 있다.

컨트롤러는 침해가 개인의 권리와 자유에 대한 위험을 초래할 수 있는지 여부를 쉽게 놓칠 수도 있지만, 제33조에서 사용된 표현은 통보할 수 있는 기준을 매우 낮게 설정하는 것으로 보인다. 이는 위험의 개념이 심각성 기준에 영향을 받지 않은 반면, 권리와 자유의 개념은 매우 넓기 때문이다. 예를 들어, 개인 데이터를 제3자에게 불법적으로 공개하는 경우 개인 데이터 보호 권리가 침해당했기 때문에 권리와 자유에 위험을 초래할 수 있다는 점에 대해서는 의문의 여지가 없다. 대부분의 상황에서 개인 데이터 유출이 발생했다는 사실은 권리와 자유에 대한 위험이 있는지 여부를 결정하는 요인이 된다.

위반 공개의 메커니즘과 관련하여 제33조 (3)항은 핵심 매개 변수를 설정하고 제33조 (4)항은 컨트롤러가 통지 시점에서 필요한 모든 정보를 제공할 수 없는 경우의 입장을 ​​제시한다. DPA는 위반 내용 공개가 실제로 어떻게 운영되어야 하는지에 대한 세부 지침을 발표할 것으로 기대되며, 이는 형식 및 내용 문제를 다루기 위한 것이다.

제33조 (5)항에는 위반 기록 보관에 관한 매우 흥미로운 규정이 포함되어 있다. 개인 데이터 유출이 발생할 때마다, 컨트롤러는 기록에 기입할 것으로 기대되며, 이는 본질적으로 규제 기관에 대한 통보와 동등한 행위이다. 이 기록은 나중에 중지할 대상이 아니므로, 이론적으로는 영구 보관해야 한다. 의무를 지키는 기록의 유용성 중 일부는 침해 대응 및 침해 유출에 관한 컨트롤러의 결정에 대해, 규제 당국이 검토할 수 있게 한다는 것이다. 그러므로 컨트롤러는 공개 요구 사항에 포함되는 모든 기록들은 물론, 공개 요구 사항에 포함되지 않는 것으로 판단되는 모든 개인 데이터 유출에 대한 모든 기록도 유지해야 한다. 보안 위반이 의심되는 컨트롤러에 대한 규제 당국의 조사를 받을 때 이러한 기록의 공개를 규제 당국이 요구할 것을 예상할 수 있다.

마지막으로 제33조 (2)항은 프로세서의 입장을 ​​제공한다. 프로세서는 과도한 지연 없이 개인 데이터 유출을 컨트롤러에게 알려야 한다. 여기에는 사고 탐지 수단에 대한 동일한 묵시적 의무가 포함되어야 한다.(제28조 (3)항 (f) 참조)

제34조 – 위반 사항을 데이터 주체에 전달

제34조는 개인 데이터의 침해가 개인의 권리와 자유에 큰 위험을 초래할 가능성이 있는 경우 컨트롤러가 데이터 주체에게 이를 알릴 것을 요구한다. 따라서 제34조에는 제33조와 구분되는 심각성 임계값이 있다. 예를 들어, 제3자에 대한 이름 및 개인 사업장 전자 메일 주소의 침해는 위험을 야기하고 DPA에 고지를 유발할 수 있지만, 많은 사람들이 공개적으로 자신의 비즈니스 이메일 계정을 공유하기 때문에, 높은 위험은 없다.

제33조 (3)항은 이 규칙의 예외 사항을 규정하고 있다. 첫 번째 예외는, 예를 들어, 암호화를 사용하여 개인 데이터를 이해할 수 없게 만드는 조치가 취해진 경우이다. 보안 제어를 적용하면 통보 의무로부터 컨트롤러가 해제되므로 이를 ‘암호화 피난항’이라고도 한다. 다시 말해서 암호화 기술의 사용은 규제 완화 효과가 있다. 두 번째 예외는 컨트롤러가 높은 위험 요소가 발생하지 않도록 조치를 취한 경우 작동한다. 이는 양질의 사고 대응 전략의 또 다른 근거이다. 위반에 신속하게 대응하고 완화하기 위한 계획이 있는 경우, 위반 후 데이터 주체에게 알릴 필요가 거의 없다.

세 번째 예외는 위반 공개가 불균형한 노력을 수반하는 경우이며, 컨트롤러가 위반으로 인해 영향을 받는 모든 개인을 식별할 수 없는 경우에 발생할 가능성이 가장 높다. 그러한 경우에는 보도자료나 웹 사이트의 성명을 통해 공개적으로 발표해야 한다.

제34조 (4)항에 따라, 규제 기관은 컨트롤러에게 이러한 커뮤니케이션에 관여하도록 명령할 수 있다. 그러한 명령에 대한 가장 확실한 경로는 제33조에 의거하여 규제 당국에 위반 공개를 제공하는 것이다. 물론 규제 당국은 중대한 사건에 대한 심리를 듣고 제34조 권한을 행사할 가능성이 크다. 그들은 또한 제33조 (5)항에 따라 유지되는 개인 데이터 유출 기록의 일부가 비밀로 잘못 유지되었다는 것을 발견한다면, 이를 고려한 뒤 커뮤니케이션을 하도록 명령할 가능성이 있다.

그렇다면 개인의 권리와 자유에 대한 높은 위험은 무엇인지에 대한 고민이 필요할 수 있다. 우리는 규제 지침 및 시행 활동에서 도움을 받을 수도 있지만, Recital에서도 도움을 얻을 수 있다. Recital 75는 잠재적인 ‘물리적, 물질적 또는 비물질적 피해’에 대한 사례를 제시하며, Recital 76은 리스크 평가의 필요성을 확인하고, 그에 따라 ‘처리의 성격, 범위, 맥락 및 목적’을 참조하여 객관적으로 리스크가 평가되도록 한다.

총체적 맥락에서, ‘높은 위험’이 되는지 여부는, 많은 수의 데이터 주체에 대한 영향 또는 특정 개인에 대한 특히 많은 양의 피해, 이 2가지 맥락에서 결정될 수 있다.

보안 이행 및 사고 대응 등에 대해서는 이어지는 기사에서 상세히 설명할 예정이다.

GDPR의 개인 데이터 보안(2)(바로가기)

%d bloggers like this: