Akamai Diversity

Akamai 블로그

한국의 개인정보 보호법 (PIPA, Personal Information Protection Act)

저는 수석 CIAM 솔루션 엔지니어입니다. 고객과의 미팅을 준비하고 조사하는 과정에서 유럽의 개인정보보호법(GDPR)이나 캘리포니아 소비자 개인정보 보호법(CCPA)만큼 자주 언급되지는 않지만 글로벌 기업들이 중요하게 고려해야 하는 몇가지 국제 데이터 보호법을 발견했습니다. 복잡한 글로벌 개인정보 보호 규정들에 대한 이해를 돕기 위해 제가 연구한 내용을 블로그 게시글을 통해 공유하고자 합니다.

먼저, 한국의 개인정보보호법(PIPA)과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)에 대해 알아보도록 하겠습니다.


한국의
개인정보보호법

한국의 개인정보보호법(PIPA)은 비즈니스 목적 또는 개인정보파일을 운영하기 위해 직간접적으로 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 지칭하는 '개인정보처리자(Personal Information Controller)에게 적용됩니다. 범위가 포괄적이기 때문에 한국의 모든 기업은 물론 한국 국민을 대상으로 사업을 하는 모든 기업들에게 직접적인 영향을 미칩니다. PIPA는 개인정보의 정의, 처리 방법, 동의가 필요한 시점, 데이터 주체의 법적 권리를 규정합니다. 또한 일반 대중을 보호하고, 법을 집행하며, 법에 따라 벌금을 부과하기 위해 설치되는 행정기관에 설명도 포함합니다.


PIPA - 1
, 4 (정보주체의 권리)

정보주체자는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가집니다.

1. 개인정보의 처리에 관한 정보를 제공받을 권리

2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함. 이하 같음)을 요구할 권리

4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리

5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제 받을 권리


데이터
침해에 대한 처벌

PIPA에 규정된 처벌은 데이터 침해 발생 시 부과되거나 징수되는 벌금에 중점을 둡니다. 정보통신망법이 추가되어, 정부는 적절한 동의 없이 국제적으로 데이터를 전송하는 경우에 벌금을 부과할 수 있습니다. 데이터를 해외로 무단 전송하면 기업 매출의 최대 3%를 벌금으로 부과할 수 있고 형사 처벌을 받을 수도 있습니다. 이는 매우 무거운 처벌로 GDPR이나 CCPA 같은 규정의 처벌과도 일치합니다.


기업에
미치는 영향

저는 국제법 전문가는 아니지만, 데이터 사일로 제거, 옴니채널 애플리케이션 접속 지원, 고객 경험 맞춤화, 데이터 프라이버시 규제준수 등 기업의 다양한 목표에 부합하는 고객 ID 및 접속 관리(CIAM) 시스템을 구현하기 위해 전 세계 많은 기업들과 협력해왔습니다.

제 경험에 비추어보면 많은 기업들은 PIPA나 정보통신망법 같은 현지의 데이터 개인정보 보호 규정을 준수하기 위해 마케팅 및 데이터 관리 관행을 조정할 필요가 있습니다. 그렇지 않으면 막대한 벌금, 형사 처분, 소비자 불신으로 이어질 수 있습니다. 많은 기업들은 정보주체가 권리를 행사하기 어렵게 만드는 데이터 사일로를 제거하기 위해 CIAM 솔루션을 도입합니다. CIAM 시스템을 통해 동의 관리, 사용자 및 다운스트림 애플리케이션에 대한 접속 범위 지정, 정보주체의 개인정보 검토, 수정 또는 삭제 요청에 대한 대응 방안을 보다 세부적으로 구현할 수 있습니다.

전 세계의 개인정보 보호 규제와 CIAM에 대한 보다 자세한 정보는 백서 'GDPR과 CCPA를 넘어서: ID 거버넌스는 기업의 규제 준수와 소비자 신뢰 향상을 어떻게 지원하는가'를 참고하시기 바랍니다.

참고자료: