클라우드 관련법제의 현황과 과제

법무법인 민후 김경환 변호사

- 2 -

클라우드 서비스의 구조

서비스제공자(cloud provider) 보조계약자= (sub-contractor)

| |

기업이용자(cloud user) 개인이용자(cloud user)

| or

엔드유저(cloud end user) 기업이용자(cloud user)

[B2B2C] [B2B] [B2C]

- 3 -

클라우드 서비스의 문제점

데이터의 통제권 상실○

데이터처리에 대한 투명성 약화○

정보보안 및 프라이버시 문제○

글로벌 분쟁으로 인한 이용자 보호의 문제○

- 4 -

법적 이슈

재판관할 준거법(Jurisdiction) | (Governing Law)○

SLA(Service Level Agreement)○

개인정보의 국외이전(Transborder Data Flow)○

데이터 이동성(Portability)○

상호운용성(Interoperability)○

프라이버시 보호(Privacy Protection)○

책임성(Accountability)○

공권력의 집행(Government Access)○

서비스제공자와 엔드유저와의 관계(B2B2C)○

저작권과 일시적 복제 생략( )○

- 5 -

재판관할(Jurisdiction)

행정청 서비스제공자 글로벌사업자- ( )○

방송통신위원회는 스트리트 뷰 사건에서 구글본사가 개인- 2014. 2. 18. ‘ ’

정보를 불법수집한 행위에 대하여 억 만원의 과징금을 부과하였고2 1,230 ,

방송통신위원회 직원은 구글본사에 파견되어 해당 개인정보의 파기를 확

인하였음

- 6 -

이용자 서비스제공자 글로벌사업자- ( )○

소비자계약 국제재판관할권 합의가 있는 경우는 서면 형식 요건- & 1) [ ], 2)

분쟁발생 이후 합의 시기 요건 부가적 재판관할권 합의 내용 요건 을[ ], 3) [ ]

갖추었을 때만 유효 국제사법 제 조 제 항( 27 6 ) 결국 서비스약관에 있는,⇒

재판관할권 합의 조항은 무효

소비자계약 국제재판관할권 합의가 없는 경우는 소비자는 우리나라- & 1)

에서 소를 제기할 수 있고 글로벌사업자는 우리나라에서만 소를 제기, 2)

할 수 있다 국제사법 제 조 제 항 제 항( 27 4 , 5 ) 이용자는 우리나라 법원에⇒

소제기 가능

소비 목적이 아닌 기업이용자는 소비자에 해당하지 않음- ‘ ’ 서비스약관에⇒

있는 재판관할권 합의 조항은 유효

- 7 -

사례 구글에 대한 개인정보제공내역 요청 사건 서중지법 가합[ ] ( 2014 38116)○

본 약관 또는 서비스와 관련하여 발생되는 모든 소송은 독점적으로 미국- “

캘리포니아주 산타클라라 카운티의 연방 또는 주 법원에서 다루어지며 귀

하와 구글은 이러한 법원이 인적 관할을 갖는 것에 동의한다 는 재판관할”

권 합의 조항은 무효

소비자이고 이용자인 원고들이 우리나라 법원에 구글본사를 상대로 개인정-

보제공내역의 요청을 청구한 것은 적법

- 8 -

준거법(Governing Law)

이용자 서비스제공자 글로벌사업자- ( )○

국제사법 조 당사자 자치 계약은 당사자가 명시적 또는 묵시적으로- 25 ( ) ①

선택한 법에 의한다. 준거법 합의는 유효⇒

국제사법 제 조 대한민국 법의 강행적 적용 입법목적에 비추어 준거법에- 7 ( )

관계없이 해당 법률관계에 적용되어야 하는 대한민국의 강행규정은 이 법

에 의하여 외국법이 준거법으로 지정되는 경우에도 이를 적용한다. 기⇒

업이용자인 경우라도 대한민국의 강행규정이 적용됨

국제사법 제 조 소비자계약- 27 ( ) ① 소비자가 직업 또는 영업활동 외의 목적

으로 체결하는 계약이 다음 각호에 해당하는 경우에는 당사자가 준거법을

선택하더라도 소비자의 상거소가 있는 국가의 강행규정에 의하여 소비자

에게 부여되는 보호를 박탈할 수 없다.

- 9 -

사례 구글에 대한 개인정보제공내역 요청 사건 서중지법 가합[ ] ( 2014 38116)○

구글본사 서비스 약관에는 본 약관 또는 서비스와 관련하여 발생되는 분- “

쟁에 대해 미국 캘리포니아주 법률이 적용 된다고 되어 있음”

그럼에도 불구하고 개인정보 열람청구 등을 규정하고 있는 정보통신망법-

제 조는 소비자들을 보호하기 위한 것으로서 국제사법 제 조 제 항이30 27 1

규정하는 준거법 선택에 의하더라도 박탈할 수 없는 소비자에게 부여되는‘

보호에 관한 강행규정에 해당한다고 봄이 상당하다’ .

결국 미국 캘리포니아주 법률이 적용되는 것이 아니라 우리나라 정보통신- ,

망법 제 조가 적용됨30

- 10 -

SLA(Service Level Agreement)

개념○

업체가 이용자에게 제공하는 서비스의 수준을 정량화 등을 통해 명확하게-

제시하고 이에 미달하는 경우 손해를 배상토록 하여, 서비스의 품질을 보

장하기 위한 약정 방통위 가이드라인( )

예- ) EU : Cloud Service Level Agreement Standardisation Guidelines

(2014. 6.)

법적지위○

법적 구속력 있음-

약관으로 볼 수 있고 약관에 포함시켜도 됨- ,

- 11 -

내용○

서비스가용성- (99.9% ~ 99.99%)

성능 예- ( : maximum response time)

데이터 백업 준수율-

고객 요청 처리율-

위약금-

예 아마존 는 와 각각을 모든 월 대금) : AWS Amazon EC2 Amazon EBS

청구주기 동안 최소 의 월별 가동시간 비율 하기 정의됨 로 제99.95% ( )

공하기 위하여 상업적으로 합리적인 노력 본건 서비스 책임 을 기울인(“ ”)

다 또는 가 본건 서비스 책임을 충족하지. Amazon EC2 Amazon EBS

않을 경우 고객은 하기 정의된 서비스 크레딧을 수령할 자격이 있다, .

- 12 -

우리나라 클라우드발전법○

클라우드컴퓨팅서비스의 품질 성능에 관한 기준 제 조 제 항- · ( 23 2 )

표준계약서 제 조- ( 24 )

- 13 -

개인정보의 국외 이전(Transborder Data Flow)

스노든 폭로 이후 인터넷 환경○

인터넷의 개방성과 광역성이 갖는 문제에 대한 회의- ‘ ’ ‘ ’

기업들에 의하여 수집된 정보가 특정 정부에 제공될 수 있다는 것을 인- IT

식하기 시작함

인터넷 넘어 국경 넘어 일어나는 현상에 대한 불신 고조- ,

데이터 분권화 정보주권 강화 현상 인터넷에 보이지 않은 국경 형성- , ⇒

및 자국민 보호

- 14 -

각국의 자국민 보호 노력○

영국은 이용자들의 인터넷 접속기록을 개월 동안 보관하도록 의무화함- 12

러시아는 데이터센터를 반드시 자국 안에 두도록 하는 사생활보호법을 통-

과시킴

유럽사법재판소는 회원국 국민으로부터 수집한 개인정- 2015. 10. 6. EU

보가 미국 내부에서 어떻게 사용되는지에 대하여 신뢰할 수 없다는 이유

로 미국 간 세이프하버 협정을 무효화함EUㆍ

작업반은 유럽사법재판소의 잊혀질 권리 판결이 집행되어- EU 2014. 11.

야 하는 범위는 미국의 구글본사에도 미친다는 가이드라인을 발표함

미국 법원은 압수 수색 영장의 범위는 의 이메일 서버가- 2014. 7. MSㆍ

있는 아일랜드의 더블린에도 미친다고 판시함

- 15 -

정보의 자유로운 국외이전과 규범의 상호운용성○

정보의 자유로운 국외이전에 대한 위험은 자국민 보호 강화로 제거하면서-

도 경제적인 이유로 정보의 자유로운 국외이전 자체를 금지시킬 수 없는,

한계가 있음 기술적 개방성 규범적 개방성[ ]⇒

이 문제는 규범의 상호운용성 증진으로 해결해야 함- (interoperability)

상호운용성 상호 상이한 규범체계간의 마찰을 줄이고 국경을 넘어서 상- :

호협력하는 것

예 이 추진하는 세이프) APEC CBPR(Cross Border Privacy Rules system),

하버협정 과 사이의 조정, BCR CBPR

글로벌 사업자에 대한 의무 부과 및 국내사업자와의 역차별 제거를 위해-

서도 규범의 상호운용성 증진 노력은 필요함

- 16 -

우리나라의 과제○

정보의 자유로운 이전 증진 현행 정보통신망법 개인정보보호법은 동의를- ( ,

얻어 이전하도록 하고 있으나 다양한 이전 방안을 마련해야 함)

자국민 보호 노력 인터넷 너머 발생하는 정보 악용 문제에 대하여 국가가- (

적극적으로 대처해야 함)

예 클라우드발전법 제 조 저장 국가 명칭 공개 요구권) 26 :

규범의 상호운용성 증진 정보의 자유로운 흐름을 보장하면서도 기업의 컴- (

플라이언스 부담을 줄여주고 동질의 보호체계로 인하여 정보주체의 권리,

보호에도 긍정적이며 비용절감을 통한 혁신달성에 기여할 수 있는 장점이,

있음)

- 17 -

데이터 이동성(Portability)

의 회피‘Vendor lock-in’○

- 제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 이용자와27 ( ) ③

의 계약이 종료되었을 때에는 이용자에게 이용자 정보를 반환하여야 하고

클라우드컴퓨팅서비스 제공자가 보유하고 있는 이용자 정보를 파기하여야

한다 다만 이용자가 반환받지 아니하거나 반환을 원하지 아니하는 등의. ,

이유로 사실상 반환이 불가능한 경우에는 이용자 정보를 파기하여야 한다.

클라우드컴퓨팅서비스 제공자는 사업을 종료하려는 경우에는 그 이용④

자에게 사업 종료 사실을 알리고 사업 종료일 전까지 이용자 정보를 반환

하여야 하며 클라우드컴퓨팅서비스 제공자가 보유하고 있는 이용자 정보

- 18 -

를 파기하여야 한다 다만 이용자가 사업 종료일 전까지 반환받지 아니하. ,

거나 반환을 원하지 아니하는 등의 이유로 사실상 반환이 불가능한 경우

에는 이용자 정보를 파기하여야 한다.

제 항 및 제 항에도 불구하고 클라우드컴퓨팅서비스 제공자와 이용자3 4⑤

간의 계약으로 특별히 다르게 정한 경우에는 그에 따른다.

제 조 이용자 정보의 임치 클라우드컴퓨팅서비스 제공자와 이용자는- 28 ( ) ①

전문인력과 설비 등을 갖춘 기관 이하 수치인 이라 한다 과 서로[ " "( ) ]受置人

합의하여 이용자 정보를 수치인에게 임치 할 수 있다( ) .任置

이용자는 제 항에 따른 합의에서 정한 사유가 발생한 때에 수치인에게1②

이용자 정보의 제공을 요구할 수 있다.

- 19 -

과제○

반환권 서비스제공자간 직접 이동 요구권⇒

- 20 -

상호운용성(Interoperability) 출처[ : EU]

- 21 -

우리나라 클라우드발전법 기술적 조직적 상호운용성:○ ㆍ

제 조 상호 운용성의 확보 미래창조과학부장관은 클라우드컴퓨팅서비스- 22 ( )

의 상호 운용성을 확보하기 위하여 필요한 경우에는 클라우드컴퓨팅서비

스 제공자에게 협력 체계를 구축하도록 권고할 수 있다.

과제 규범적 상호운용성:○

권역별 또는 다자간 국제규범 형성-

집행기관 사이의 정보 공유-

상호 협조-

세부 규정의 공개-

- 22 -

프라이버시 보호(Privacy Protection)

우리나라 클라우드발전법○

제 조 침해사고 등의 통지 등 클라우드컴퓨팅서비스 제공자는 다음- 25 ( ) ①

각 호의 어느 하나에 해당하는 경우에는 지체 없이 그 사실을 해당 이용

자에게 알려야 한다. (Data Breach Notification 등)

제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 이용자- 27 ( ) ②

정보를 제 자에게 제공하거나 서비스 제공 목적 외의 용도로 이용할 경우3

에는 다음 각 호의 사항을 이용자에게 알리고 동의를 받아야 한다 다음.

각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

그 밖에 개인정보보호법 정보통신망법 적용됨- ㆍ

- 23 -

과제○

기업이용자는 정보주체가 아니기에 엔드유저의 프라이버시 보호 측면에서- ,

문제가 발생함

서비스제공자 기업이용자 엔드유저 의 경우 서비스제공자가 직접 엔- [ - - ] ,

드유저 정보주체 에게 프라이버시에 관한 의무 규정을 부담하는 것이(= ) ‘ ’

바람직함

정보보안 역시 법적 이슈이나 제 발제 분야이므로 생략함* ‘ (Security)’ 1

- 24 -

책임성(Accountability)

우리나라 클라우드발전법○

조 손해배상책임 이용자는 클라우드컴퓨팅서비스 제공자가 이 법의 규- 29 ( )

정을 위반한 행위로 인하여 손해를 입었을 때에는 그 클라우드컴퓨팅서비

스 제공자에게 손해배상을 청구할 수 있다 이 경우 해당 클라우드컴퓨팅.

서비스 제공자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면

할 수 없다.

형사처벌 제 조 과태료 제 조- ( 34~36 ), ( 37 )

- 25 -

과제○

그간 글로벌 사업자들은 인터넷의 개방성으로 막대한 수익을 올리면서도-

국경과 주권이라는 커튼 뒤에서 의무를 회피하였음

글로벌 사업자의 불완전한 의무 이행이나 책임 부담 때문에 이용자 보호-

에 큰 구멍이 발생하고 있음

자국민 보호 및 국내사업자의 역차별 극복을 위하여 글로벌 사업자에 대-

한 동일한 책임과 의무의 부과 노력이 필요

예 공정거래법 제 조의 와 같은 역외적용 조문 필요 이 법은 국외에서- ) 2 2 (

이루어진 행위라도 국내시장에 영향을 미치는 경우에는 적용한다.)

- 26 -

공권력의 집행(Government Access)

우리나라 클라우드발전법○

제 조 이용자 정보의 보호 클라우드컴퓨팅서비스 제공자는 법원의- 27 ( ) ①

제출명령이나 법관이 발부한 영장에 의하지 아니하고는 이용자의 동의 없

이 이용자 정보를 제 자에게 제공하거나 서비스 제공 목적 외의 용도로3

이용할 수 없다 클라우드컴퓨팅서비스 제공자로부터 이용자 정보를 제공.

받은 제 자도 또한 같다3 .

- 27 -

과제○

자국민 보호 추세에 따라 일부 국가는 국외 서버에까지 영장의 효력을 미-

치게 하고 있음

한 국가의 노력으로 글로벌적으로 형평성 있는 집행이 불가능한바 결국- ,

상호운용성 노력을 통한 이 필요함‘ ’ harmonization

- 28 -

서비스제공자와 엔드유저와의 관계(B2B2C)

관계B2C○

서비스제공자는 정보통신서비스제공자 및 개인정보처리자에 해당함-

관계B2B2C○

기업이용자는 정보통신서비스제공자 및 개인정보처리자에 해당함-

서비스제공자는 수탁자에 해당함-

- 29 -

과제○

관계에서 서비스제공자는 수탁자로서 책임을 부담하지만 제한된- B2B2C

책임을 부담하고 있음

하지만 서비스제공자를 일반 에서의 수탁자로 보기에는 정보의 집중도- IT

및 서비스제공자의 지배력이 지나치게 높은바 그 만큼 엔드유저의 통제권,

상실이 두드러짐

따라서 엔드유저의 법적지위 보장이 필요함-

서비스제공자가 직접 엔드유저에게 책임을 부담할 수 있는 길을 열어두는-

것이 바람직함 예컨대 프라이버시 보호 영역( , )

- 30 -

감사합니다.

oalmephaga@minwho.kr