1. 클라우드 컴퓨팅 발전법 개요
전 세계적인 클라우드 컴퓨팅의 확산과 이용자 정보 보호 추세를 반영하여 2015년 3월 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하, 클라우드컴퓨팅 발전법)’이 국회를 통과하여 2015년 9월 시행된다. 이 글에서는 클라우드컴퓨팅 발전법의 도입 취지와 개요 및 법률에 정의된 이용자 정보 보호 방안에 대해서 살펴보고자 한다.
2. 제정 배경 및 경과
전 세계적인 클라우드 컴퓨팅의 성장에도 불구하고 국내에서는 공공부문의 클라우드 컴퓨팅 서비스 이용제한으로 인해 국내 클라우드 컴퓨팅 관련 기업의 공공 시장 참여가 저조한 상황이었으며 클라우드에서의 보안에 대한 우려 및 이용자·제공자 간의 신뢰 부족으로 인하여 민간 기업의 클라우드 서비스 이용 또한 매우 저조하여 클라우드 컴퓨팅의 해외 기술에 대한 의존도가 심화되고 있는 실정이었다. 이와 함께 클라우드 컴퓨팅에서의 다양한 개인정보 보호에 관한 논점과 더불어 클라우드 컴퓨팅의 이용자에 대한 보호 방안이 절실한 상황이었다. 특히 2011년 제정되어 시행중인 개인정보보호법을 비롯하여 정보통신망법, 위치정보법 등 정보보호에 대한 개별 법률 들은 개인정보의 보호 일변도로 새롭게 성장하는 클라우드 컴퓨팅에서의 이용자 정보를 보호하고 신뢰를 담보하기 위해서는 법률안의 개선이 요구되는 실정으로. 성장가치가 높은 클라우드 컴퓨팅 산업의 활성화와 개인정보를 포함한 클라우드 이용자 정보를 보호할 수 있는 법·제도에 대한 개선이 요구되어 왔다.
이러한 이유로 정부의 클라우드 컴퓨팅 산업 육성의 지원 근거를 마련하고 클라우드 산업 발전을 저해하는 기존 규제를 개선하며 안전한 클라우드 컴퓨팅 서비스 이용환경을 조성하기 위하여 2013년 10월 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’이 국회에 상정되었고 2015년 3월 국회 본회의 의결을 거쳐 당해 9월 시행되게 되었다.
3. 법안의 주요 내용
클라우드 컴퓨팅 발전법은 제1조에 클라우드 컴퓨팅 발전 및 이용촉진과 안전한 이용환경 조성을 목적으로 정의하고 있다. 제2조에는 클라우드컴퓨팅에 관한 법적 정의가 확립되어 있는데, 대통령령으로 클라우드컴퓨팅 기술을 정하도록 하고 있으며, 이러한 기술을 이용하여 정보통신 자원을 제공하는 서비스를 클라우드컴퓨팅 서비스로 정의하고 있다. 이와 함께 클라우드의 이용자가 클라우드에 저장하는 정보를 ‘이용자 정보’로 명확하게 규정하고 있다.
- 클라우드 컴퓨팅
- 집적ㆍ공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원(이하 “정보통신자원”이라 한다)을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계
- 클라우드 컴퓨팅 기술
- 클라우드컴퓨팅의 구축 및 이용에 관한 정보통신기술로서 가상화 기술, 분산처리 기술 등 대통령령으로 정하는 것
- 클라우드 컴퓨팅 서비스
- 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스로서 대통령령으로 정하는 것
- 이용자 정보
- 클라우드컴퓨팅서비스 이용자(이하 “이용자”라 한다)가 클라우드컴퓨팅서비스를 이용하여 클라우드컴퓨팅서비스를 제공하는 자(이하 “클라우드컴퓨팅서비스 제공자”라 한다)의 정보통신자원에 저장하는 정보(「국가정보화 기본법」 제3조제1호에 따른 정보를 말한다)로서 이용자가 소유 또는 관리하는 정보
그리고, 국가와 지방자치단체, 서비스제공자 및 이용자의 책무를 제3조에 규정하고 있으며, 제4조에서는 타법률과의 관계를 규정하고 있다. 특히, 클라우드컴퓨팅 발전과 이용 촉진 및 이용자 보호에 관하여서는 클라우드컴퓨팅 발전법이 다른 법률에 우선하지만 클라우드에서의 개인정보보호에 관해서는 ‘개인정보 보호법’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 등 관련 법에서 정하는 바에 따른다고 명확하게 규정하고 있다. 이와 더불어 클라우드 컴퓨팅 산업 진흥을 위한 내용과 이용 촉진 및 이용자 보호에 관한 내용으로 법률이 구성되어 있다.
4. 이용자 정보 보호 규정
클라우드컴퓨팅 발전법에서는 기존의 클라우드에서의 개인정보보호에 관한 논점을 반영하여 다음과 같이 이용자 보호를 위한 방안을 규정하고 있다.
4.1 이용자 보호를 위한 정보공개
제26조에서는 이용자가 클라우드컴퓨팅서비스 제공자에게 이용자 정보가 저장되는 국가의 명칭을 알려주도록 요구할 수 있음을 규정하고 있다. 이와 더불어 정보통신서비스 제공자에게 클라우드컴퓨팅 서비스 이용 여부와 자신의 정보가 저장되는 국가의 명칭을 알려주도록 요구할 수 있음을 규정하고 있다.
4.2 제3자 제공, 정보 반환 및 파기
제27조에서는 법원의 제출명령이나 법관이 발부한 영장에 의하지 아니하고는 이용자의 동의 없이 이용자 정보를 제3자에게 제공하거나 서비스 목적 이외의 이용할 수 없도록 규정하고 있는 등 제3자 제공 여부에 대한 규정을 명확하게 하고 있다. 이와 더불어 사업 종료 시 이용자 정보를 반환하거나 파기하여야 한다고 규정하고 있다.
5. 맺음말
이상으로 클라우드컴퓨팅 발전법에 대한 개요 및 법률에 정의되어 있는 이용자 정보 보호 방안에 대해서 살펴보았다. 기존의 클라우드에서의 개인정보보호관련 논점에 대해서 개인정보에 관해서는 개인정보보호법과 정보통신망법을 따르도록 규정하고, 기존의 법률에 정의되지 않은 클라우드에 저장된 개인정보의 물리적 저장 위치 및 해외 이전에 관한 사항, 사생활 보호, 수사기관과 제3자 제공에 관한 사항 및 클라우드 저장 정보의 반환, 보존 및 파기 등에 관한 사항은 클라우드컴퓨팅 발전법에 규정하여 클라우드 서비스 제공자가 개인정보를 포함한 이용자 정보 보호에 노력하도록 하고 있다.
(참고) 국가법령정보센터에서 법률 전문을 볼 수 있다.
