Chap 10. 서비스 정책서와 요구사항 정의서 (2) 법률

1. 정책서 작성을 위해 고려해야 하는 법률

1)  서비스 정책서 작성 방법 

① 관련 법령 파악 : 국내법은 대륙법 계통의 열거주의로 대다수 법에서 정하고 있기 때문에 서비스 기획 시 관련 법령을 먼저 찾아보는 것이 중요함

② 산업 생태계 파악 : 대기업이 아니고서야 산업 생태계를 단숨에 바꾸기 어렵기 때문에 산업 생태계를 살핌

③ 경쟁사 분석 : 경쟁사를 살펴보며 Pain point를 분석하고, 관련 법령 및 타사 정책을 살피고, 경쟁력 등을 확보

④ 내부 환경 및 리소스 고려 : 개발, 디자인 리소스 등

• 불가항력적인 요소를 우선 고려하며 정책을 결정하고 문서로 작성, 작성된 정책 문서를 공유하며 합의를 이룰 때까지 수정 및 피드백을 반복함

---

2)  법령 및 직업윤리 교육의 필요성 

• IT서비스 기획자에게 법령 및 직업윤리 교육이 필요한 이유는 서비스 기획이 법의 테두리 안에서 현행법을 준수하며 수많은 정책을 만들고 가치 판단을 해야 하는 과정의 연속이기 때문
• 인터넷 산업 진흥, 촉진 관련
  • 정보통신산업 진흥법, 전자문서 및 전자거래 기본법, 전자금융거래법, 전자무역 촉진에 관한 법률, 콘텐츠산 업 진흥법, 이러닝(전자학습)산업발전법, 게임산업 진흥에 관한 법률, 신문 등의 진흥에 관한 법률, 인터넷 멀 티미디어 방송사업법, 위치정보의 보호 및 이용 등에 관한 법률, 유비쿼터스도시의 건설 등에 관한 법률, 정보 통신 진흥 및 융합 활성화 등에 관한 특별법. 공공데이터의 제공 및 이용 활성화에 관한 법률 등
• 인터넷 서비스 기반 조성 관련
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자서명법, 정보통신 진흥 및 융합 활성화 등에 관한 특별법, 전기통신사업법, 전기통신기본법, 인터넷주소자원에 관한 법률, 국가정보화 기본법 등
• 인터넷 정보보호 관련
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 정보통신기반 보호법, 전자정부법, 산업기술의 유출방지 및 보호에 관한 법률 등
• 인터넷 이용자 보호 관련
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보 보호법, 위치정보의 보호 및 이용 등에 관한 법률, 전자상거래 등에서의 소비자보호에 관한 법률, 소비자보호법, 약관의 규제에 관한 법률, 국가정보화 기본법, 통신비밀보호법, 신용정보의 이용 및 보호에 관한 법률, 저작권법, 전자정부법, 전자금융거래법, 특정 금융거래정보의 보고 및 이용 등에 관한 법률, 전기통신금융사기 피해금 환급에 관한 특별법 등

• 이러한 법령에 대한 이해도가 없다면 현재 우리의 서비스를 운영하는데 약관을 작성해야 하는지, 개인정보 동의를 받아야 하는지, 약관에 어떤 내용이 들어가야 하는지 모를 수 있음
• 당장 PMF를 찾는 동안에는 세세한 정책에 대한 법적 준수를 다 하면서 가기는 어렵지만, 찾은 이후에는 성장과 동시에 이러한 정책 준수를 위한 계획을 세워야 함

---

3)  성문법 vs 불문법 

• 한국은 독일과 프랑스서 시작한 대륙법을 따라 발전하게 됨
• 대륙법은 성문법 형식의 법의 구조로서 로마에서 시작한 후 발전해서 독일의 바이마르 헌법을 기반으로 법률을 관리하는 것을 뜻함
• 대륙법은 열거법이라고 하는데 법에 열거되어 있는 것을 기반으로 판단함
• 기존에 열거되어 있는 것을 어떻게 해석하느냐에 따라서 법률의 규정이 바뀔 수도 있음
• 만약 법에 없으면 기존의 법을 광의적으로 해석해서 끼워 맞추는 형태로 진행됨

---

2. 커머스 서비스를 기획하기 위한 기본, 전자상거래법

1)  개념 설명 

• 기획자가 기본으로 알고 있어야 하는 법률 중 하나는 전자상거래법임
• 전자상거래법 = 전자상거래 등에서의 소비자보호에 관한 법률
  • 우리의 서비스가 규정한 것에 맞게 소비자 보호를 위해 지켜야 하는 법률임

---

2)  전자상거래법 개정안 주요 내용 

① 전자상거래 적용 대상 확대

• 서비스를 직접 제공하는 업체뿐 아니라 당근마켓처럼 각 소비자와 판매자를 이어주는 중개업자도 전자상거래법 대상으로 포함
• 온라인 플랫폼 운영사업자, 이용사업자도 포함

② 소비자 피해 발생시 연대 책임

• 입점 업체 및 플랫폼 사업 선택해 배상 청구 가능

③ 소비자간 거래시 발생한 피해 구제

• 플랫폼운영사업자 피해 구제신청 장치 마련

④ 사업방식 분리 고지

• 플랫폼 운영사업자 중개거래 또는 직매입 분리 표기

---

3. 데이터 3법으로 바뀌는 미래와 서비스 기획

1)  개념 설명 

• 데이터 3법 : 개인정보 보호법·정보통신망법·신용정보법 개정안을 일컫는 말
• 개인정보 보호법, 정보통신망법, 신용정보법 세 가지 법률에 대한 중복규제를 없앰
• 개인정보와 개인정보가 아닌 정보로 구분해서 가명정보를 활용해서 데이터를 활용할 수 있게 함
• 본인이 개인정보에 대한 주체가 되어서 관리할 수 있게끔 하는 마이데이터 사업의 근간이 된 법률임
• 데이터 3법을 통해 만들어진 마이데이터 사업은 다양한 비즈니스 기회를 만들어 줄 것으로 예상됨

---

2)  데이터 3법의 주요 특징 

① 가명정보 개념 도입

• 추가정보 없이는 특정 개인을 알아볼 수 없는 ‘가명정보’ 개념 도입

② 개인정보보호 거버넌스 체계 효율화

• 개인정보의 유출 등을 감독할 감독기구는 개인정보보호위원회로 일원화

③ 개인정보처리자 책임 강화

• 향후 특정 개인을 식별할 가능성이 증가될 우려가 있어 데이터 활용 시 준수해야 할 필수 안전조치 사항을 명확히 함

④ 개인정보의 판단기준 명확화

• ‘개인정보’ 범위를 보다 명확히 하고 요건에 해당하지 않는 익명화된 정보는 ‘개인정보보호법’을 적용하지 않음을 명확히 함

---

4. 큰 IT회사에서는 꼭 거쳐야 하는 관문, ISMS

1)  개념 설명 

• ISMS(Information Security Management System) : 기업이 민감한 정보를 안전하게 보존하도록 관리할 수 있는 체계적 경영시스템
• 정보 보호 정책을 짜고 위험에 대응하는 등 여러 보안 대책을 유기적으로 통합해서 관리하는 것이 ISMS의 목적임
• 회사의 기술적, 물리적 보호조치를 포함한 종합관리체계가 방송통신위원회에서 고시한 기준에 적합한지를 한국인터넷진흥원 KISA에서 인증하는 것임
• ISMS 인증을 받았다는 것은 그만큼 정보보호에 안정적이라는 것이기 때문에 각 IT 회사에서는 ISMS 인증을 받은 사실만으로도 보도자료를 뿌림
• 2023.10 기준 ISMS 인증받은 기업은 총 1230건임

---

2)  ISMS의 단계 

① 계획

• 조직이 가진 위험을 관리하고 정보 보안이라는 목적을 달성하기 위한 전반적인 정책을 수립함
• 업무의 프로세스를 위한 입력과 출력, 프로세스의 책임자를 규정하고, 프로세스 네트워크에 대한 전반적인 흐름과 구상도를 전개해야 함

② 수행

• 수립된 정책을 지금의 업무에 적용해서 각 프로세스를 위한 자원을 분배하고 직접 시행하고 거기에 대한 자료를 수집함

③ 점검

• ISMS에 대한 모니터링과 검토
• 적용된 정책이 실제로 잘 동작하는지에 대해서 확인해야 함
• 정확한 프로세스의 측정과 이행을 모니터링하고 수집된 정보를 분석하고 평가함

④ 조치

• 점검받은 후 시정되고 예방 조치에 대해서 시행하는 것
• 잘못 운영이 되고 있는 경우에는 원인을 분석하고 개선하는 것까지 포함됨

---

3)  특금법 

• 특금법 시행으로 인해 코인 거래소라고 불리는 가상화폐 사업자들에게 ISMS 인증 의무를 지도록 한 것이 이슈가 됨
• 특금법에 따라서 기존의 거래소가 계속 영업을 하기 위해서는 2021년 9월 24일까지 모두 금융위원회 산하 금융정보 분석원에 신고해야 하는데 이것을 신고하기 위해서는 ISMS 인증을 먼저 획득해야 함
• 특금법(특정 금융정보법) : 외국환거래 등 금융 거래를 이용한 자금세탁 행위와 공중 협박 자금 조달 행위를 규제하는 데 필요한 특정 금융거래정보의 보고 및 이용 등에 관한 사항을 규정함으로써 범죄 행위를 예방하고 나아가서 건전하고 투명한 금융거래 질서를 확립하는데 이바지하는 것을 목적으로 하는 법률
• 개정된 특금법에는 기존에 은행과 같은 금융기관에만 강제하던 자금세탁 방지 AML과 테러자금 조달 방지 CFT의 의무를 암호화폐 거래소 등 가산 자산 사업자에게도 부여한다는 것이 핵심임

---

5. 해외의 인증 사례 - PCI-DSS

• PCI-DSS(Payment Card Industry-Data Security Standard) : 지불 카드 산업 데이터 보안 표준으로서 카드 소유자의 데이터를 저장하고 처리하고 전송하는 모든 이해관계자가 준수해야 할 규칙을 정의한 표준
• 최근에 카드 정보에 대한 노출이나 사고 규모와 빈도가 늘어나게 되면서 개인정보보호에 대한 중요성이 강조되고 있음
• 이에 대한 공동 대응으로 American Express, Discover, JCB, MasterCard, Visa 다섯 개 글로벌 카드사가 2016년 9월에 협력해서 만든 위원회임
• 이 위원회에서는 카드 소유자 데이터 보호를 위해 데이터, 응용 프로그램, 하드웨어, 암호화라고 하는 네 가지 표준을 수립했는데 이 중에서 데이터와 관련된 보안 표준이 PCI-DSS임
• PCI-DSS는 개별적으로 관리되던 카드 데이터의 보안을 강화시키고 국제적으로 일관된 보안 평가 기준을 적용해서 관리하기 위해 민간 카드사가 연합해서 제정한 표준임
• 법적인 준수는 없지만 해외에서 이 5개 카드사와 관련된 비즈니스를 하려고 하면 안따를 수가 없음
• PCI-DSS에서 보호하고자 하는 데이터는 크게 카드 소유자의 데이터와 민감 인증 데이터임
  • 카드 소유자의 데이터 : 카드 소유자 이름, 카드번호, 유효기간 만료일, 서비스 코드 등
  • 민감 인증 데이터 : 마그네틱, 칩의 데이터, CVC 데이터 등
• 해외에서는 PCI-DSS 인증을 받지 못하면 카드 비즈니스 자체를 할 수 없기 때문에 해외 진출을 계획하고 있거나 진출을 한 업체라면 꼭 인증을 받아야 함

---

6. 해외의 인증 사례 - GDPR

1)  개념 설명 

• GDPR(General Data Protection Regulation) : 유럽연합의 일반개인정보보호법
• 2016년 5월에 EU에서 디지털 단일시장에서 EU 회원국 간의 개인정보의 자유로운 이용을 보장하는 동시에 정보 주체의 개인정보보호 권리를 강화하는 내용의 일반정보 보호법을 발표함
• 이를 통해 2018년 5월 25일부터 적용함
• GDPR은 자연인에 대한 개인정보 보호권을 보장하면서도 동시에 EU 내에서 개인정보에 대한 자유로운 이동을 보장하기 위해서 제정됨

---

2)  GDPR의 처리 원칙 

• 적법성, 공정성, 투명성의 원칙
• 목적 제한의 원칙
• 개인정보 최소화의 원칙
• 정확성의 원칙
• 보관기간 제한의 원칙
• 무결성, 기밀성의 원칙

• 개인정보는 필요에 의해서 마음대로 처리되는 것이 아니라 반드시 법적 근거에 의해서만 처리를 하게 됨
• 개인정보를 처리하기 전에는 어느 근거에 의한 처리인지 먼저 확인하고 처리 목적은 해당하는 근거에 의해서 결정이 되어야 함

---

3)  GDPR과 데이터 3법 연관에 관한 장점 

• 한국의 많은 서비스가 한국의 개인정보위원회의 권한이나 독립성이 부족하다는 이유로 지금까지는 EU의 평가를 통과하지 못했음
• 기존에는 각 부서에서 관리하는 개인정보 주체가 불명확했기 때문에 개별 기업이 일일이 GDPR의 평가를 받아야 했음
• 이런 상황에서 데이터 3법에 의해 개인정보 감독 기관이 개인정보 위원회로 일원화되면서 이런 관리 기관의 적정선에 대한 신뢰성이 올라갈 것임

---

4)  GDPR과 데이터 3법 연관에 관한 단점 

• 문제는 가명 정보 도입에 대한 이슈임
• 데이터 3법에서 가명이라고 하는 보호 장치를 쓰겠다고 했지만 개인정보라고 하는 것에 대한 범위를 너무 축소했다고 GDPR은 판단하고 있음
• 개인정보 처리자가 직접적으로 개인 식별하는 것이 힘들다면 개인정보가 아닌 것으로 간주를 하긴 했지만 제삼자가 개인 식별이 가능한 결합 정보를 가지고 있다면 이것도 개인정보로 봐야 한다고 하는 것이 EU의 시각임
• 새로운 기술이나 제품, 서비스의 개발에 대한 범위를 과학적인 연구로 보고 다른 기업에 대한 고객 정보와 공공기관이 결합하고 다시 또 반출을 하게 되면 이것 역시 개인정보에 대한 판매가 합법화될 수 있다고 GDPR에서 판단을 하고 있음
• 이것은 우리나라의 데이터 3법은 개인정보 활용에 포커싱을 맞췄고, GDPR은 소비자보호와 디지털 인권에 대한 부분에 포커싱해서 생겨난 충돌임

---