오영환 팀장 법제연구팀 윤주연 양승설 책임연구원 법제연구팀 선임연구원 법제연구팀 박수현 김도연 선임연구원 법제연구팀 주임연구원 법제연구팀 김민태 김윤영 선임연구원 법제연구팀 주임연구원 법제연구팀 본자료의내용은한국인터넷진흥원의공식견해를나타내는것은아닙니다

인터넷법제동향 제 107 호 (2016 년 8 월 )

목차 Ⅰ. 국내입법동향. 국회제출법률안 정보통신망이용촉진및정보보호등에관한법률 일부개정법률안 ( 유승희의원대표발의, 2016. 8. 9. 제안 ) 정보통신망이용촉진및정보보호등에관한법률 일부개정법률안 ( 황주홍의원대표발의, 2016. 8. 22. 제안 ) 정보통신망이용촉진및정보보호등에관한법률 일부개정법률안 ( 황주홍의원대표발의, 2016. 8. 25. 제안 ) 개인정보보호법 일부개정법률안 ( 민경욱의원대표발의, 2016. 8. 10. 제안 ) 전자문서및전자거래기본법 일부개정법률안 ( 민경욱의원대표발의, 2016. 8. 12. 제안 ) 전자문서및전자거래기본법 일부개정법률안 ( 정부발의, 2016. 8. 25. 제안 ) 전자정부법 일부개정법률안 ( 문희상의원대표발의, 2016. 8. 18. 제안 ) 국가정보화기본법 일부개정법률안 ( 김성태의원대표발의, 2016. 8. 31. 제안 ) 전기통신사업법 일부개정법률안 ( 전해철의원대표발의, 2016. 8. 2. 제안 ) 통신비밀보호법 전부개정법률안 ( 전해철의원대표발의, 2016. 8. 2. 제안 ) 통신비밀보호법 일부개정법률안 ( 유승희의원대표발의, 2016. 8. 12. 제안 ) 통신비밀보호법 일부개정법률안 ( 최명길의원대표발의, 2016. 8. 19. 제안 ) 주민등록법 일부개정법률안 ( 진선미의원대표발의, 2016. 8. 23. 제안 ) Ⅱ. 해외입법동향 독일 전기통신단말기의선택및접속에관한법률발효 (2016. 8. 1.) 연방정부, 망중립성위반시과태료를부과하도록한전기통신법개정안입법예고 (2016. 8. 3.) 지방법원, 파일호스팅서비스제공자측의손해배상책임인정 (2016. 8. 10.) 고등법원, 페이스북계정소유자는제 3 자가자신의계정을사용하여작성한포스팅에 대해서책임을져야한다는판결선고 (2016. 8. 17.) 미국 캘리포니아주, 정보통신서비스제공자등기업에대한이용자의개인정보보호의무 신설등개정안재발의 (2016. 8. 8.) 국립표준기술연구소, 비기밀통제정보보호관련특별간행물초안발표 (2106. 8. 16.) 일본 일본내각사이버보안센터, IoT 보안대강령 ( 大綱領 ) 발표 (2016. 8. 26.) 프랑스 자율주행자동차법제현황

I 국내입법동향 출처 : 의안정보시스템 (http://likms.assembly.go.kr/bill/main.do)

출처 : 의안정보시스템 (http://likms.assembly.go.kr/bill/main.do)

그러나, 통신비밀보호법 상통신사실확인자료의제공요청시법원의허가가필요하고당사자에게제공사실을통지하여야함 이법률안은전해철의원이대표발의한 통신비밀보호법전부개정법률안 ( 의안번호제1357호 ) 의의결을전제로하므로, 같은법률안이의결되지아니하거나수정의결되는경우에는이에맞추어조정하여야할것임 출처 : 의안정보시스템 (http://likms.assembly.go.kr/bill/main.do) 1) 전기통신사업법 상 통신자료 는전기통신서비스의가입자를식별할수있는근거가되는자료를의미함

출처 : 의안정보시스템 (http://likms.assembly.go.kr/bill/main.do)

Ⅱ 해외입법동향 1) Entwurf eines Gesetzes zur Auswahl und zum Anschluss von Telekommunikationsendgeräten. 2) 또한라우터를통해통신사업자가빅데이터를수집할수있다는가능성이제기되었음 3) COMMISSION DIRECTIVE 2008/63/EC of 20 June 2008 on competition in the markets in telecommunications terminal equipment. 4) 무선장치및전기통신단말장치에관한법률 (FTEG) 과전기통신법 (TKG) 의관련규정을개정하는내용을담고있음

참고자료 http://www.cr-online.de/bgbl116s0106.pdf http://www.cr-online.de/45196.html https://www.bmwi.de/de/presse/pressemitteilungen,did=775276.html http://www.computerbild.de/artikel/cb-news-dsl-wlan-router-wechseln-kein-routerzwang-12756051.html https://www.routerzwang.de/ 5) 전기통신단말기가이용자및다른사람의건강및안전을보호할수있고, 전자기기의전자파적합성에관한법률 (EMVG) 제 4 조에규정된기본적요건을갖춘경우해당단말기가공중전기통신망에연결되는것을거부할수없음 6) 전기통신단말장치란통신을발송, 처리및수신하기위해공중전기통신망의인터페이스에직접또는간접적으로연결되는기기를의미함 (FTEG 제 2 조제 2 호 ) 7) 과거에일부통신사업자가인터넷가입자에게필요한인터넷접속정보를제공하지않아, 인터넷가입자는해당통신사업자가제공하는라우터를강제로구매해야했음. 또한통신사업자가통신망에서물리적으로지배할수있는영역에라우터를포함시켜라우터의판매를강제할수있었음 8) 이를위반하여인터넷접속및이용에필요한정보를제공하지않거나, 올바른정보를제공하지않거나, 규정된방식으로제공하지않거나적시에제공하지않는경우 1 만유로의과태료가부과될수있음 (FTEG 제 17 조제 1 항제 7 호 ) 9) 전기통신사업자 (ISP) 에서가입자의컴퓨터까지의통신선로는 ISP- 통신연결소켓 - 라우터 - 가입자의컴퓨터로단순화시킬수있음. 통신사업자는접속장치까지만물리적으로관할하므로통신연결소켓이후통신장치에서발생하는통신장애에대해서는법적책임을지지않고, 가입자가본인의라우터를통해다른사람들이무선랜을이용하게하는행위를규제할수없음 10) 이법률이발효된이후통신사업자들은라우터를강매하는방식에서임대하는방식으로노선을변경하여가입자들이자사제품을계속이용하게끔유도하고있음

유럽연합의법중에서규칙 (Regulation) 은국내법과같은효력을가지므로해당사안에곧바로적용되지만국내법률에위임한사안은국내법으로의이행과정을거쳐야함 1) 공중통신망을제공하거나공중이용전자적통신서비스를제공하는사업자 (Regulation (EU) 2015/20 제 2 조제 1 항 ) 2) Entwurf eines dritten Gesetzes zur Änderung des Telekommunikationsgesetzes. 3) REGULATION (EU) 2015/2120 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2015 laying down measures concerning open internet access and amending Directive 2002/22/EC on universal service and users rights relating to electronic communications networks and services and Regulation (EU) No 531/2012 on roaming on public mobile communications networks within the Union

참고자료 http://docs.dpaq.de/11149-160719-gesetzentwurf-tkg-_nderungsgesetz-sanktionen.pdf http://www.heise.de/newsticker/meldung/bundesregierung-will-verstoesse-gegen-die-netzneutr alitaet-scharf-sanktionieren-3286480.html https://netzpolitik.org/2016/netzneutralitaet-bundeswirtschaftsministerium-stellt-zahnlose-bussg eldregelungen-bei-verstoessen-vor/ 4) 인터넷접속서비스제공자의합리적인트래픽관리조치는허용된다. 트래픽관리조치가합리적으로되기위해서는이러한조치는투명하고, 비차별적이고비례적이어야하며, 상업적고려를기초로해서는안되고특정한트래픽범주의서비스요건이가지고있는객관적으로구별되는기술적품질을기초로해야한다. 이러한조치들은구체적인콘텐츠를모니터링해서는안되고필요이상으로장기간이어서도안된다.( 제 3 조제 3 항 ) 5) 제 4 조 ( 공개인터넷접속을보장하기위한투명한조치들 ) (1) 인터넷접속서비스제공자는인터넷접속서비스를포함하는계약은적어도다음각정보를포함하도록보장해야한다. (a) 이제공자가적용하는트래픽관리조치들이인터넷접속서비스의품질, 최종이용자의프라이버시그리고이들의개인정보의보호에어떠한영향을미치는지에관한정보. (b) 볼륨의제한, 속도또는그밖의통신서비스품질요소들이실제로인터넷접속서비스와특히콘텐츠, 애플리케이션, 서비스의이용에어떠한영향을미칠수있는지에대한명확하고이해하기쉬운설명. (c) 최종이용자가계약을체결한인터넷접속서비스가아닌제 3 조제 5 항에언급된다른서비스가실제로이자에게제공되는인터넷접속서비스에어떠한영향을미칠수있는지명확하고이해하기쉬운설명. (d) 유선네트워크의경우인터넷접속서비스의다운로드및업로드시최저속도, 보통속도, 최대속도그리고광고한속도또는모바일네트워크의경우인터넷접속서비스의다운로드및업로드시예상된최대속도및광고된속도가어떠하였는지그리고광고된다운로드및업로드속도의상당한편차가제 3 조제 1 항에규정된최종이용자의권리행사에어떠한영향을미치고있는지에대한명확하고이해하기쉬운설명. (e) 속도또는그밖의통신서비스품질요소들에인터넷접속서비스의급부와 (a) 내지 (d) 에서언급한급부사이의편차가지속적으로또는정기적으로되풀이하여발생하는경우, 국내법률에서소비자에게부여한구체적조치의명확하고이해하기쉬운설명

이링크주소는파일이업로드되면자동으로부여되고이용자는그주소를다른사람에게메일로보내거나복사해서보관할수있음 1) 이용자가파일을업로드하면, 이후이파일을다운로드받을수있도록링크주소를자동으로부여함. 링크주소만알면다시로그인할필요없이이주소를클릭해서바로파일을다운로드받을수있음 2) LG München vom 10.08.2016 21 O 6197/14 3) 이용자들은최신영화나음악등을파일호스팅서비스업체에업로드한후받은링크주소들을이사이트에올림

참고자료 http://www.gesetze-bayern.de/content/document/y-300-z-beckrs-b-2016-n-14540?hl=true http://www.heise.de/newsticker/meldung/urteil-filehoster-uploaded-muss-der-gema-schadens ersatz-zahlen-3295195.html http://www.golem.de/news/gema-sharehoster-uploaded-net-von-landgericht-muenchen-verurte ilt-1608-122648.html 4) 즉, 결과적으로 uploaded.net 은 uploaded.net 의고객이아닌다른인터넷이용자들에게도파일을공유할수있음 5) 피고는인터넷에서의저장플랫폼만을제공했을뿐이고, 점검의무도이행하였다고항변함 6) 독일에는파일호스팅서비스제공자가거의없어, 주로주변국가에서운영하고있는파일호스팅서비스제공자에대해소송을제기하는경우가많음 7) 지속적인저작권침해의방지는가능하고기대할수있음. 피고는프리미엄계정및제휴프로그램방식으로이용자들을유인해제 3 자를통해저작권이침해될수있는위험원을창설하였으므로감시보증인으로서보증의무를부담하여야함

1) LG Wiesbaden Urteil vom 14.10.2015 5 O 73/14.

참고자료 http://www.lareda.hessenrecht.hessen.de/lexsoft/default/hessenrecht_lareda.html#docid:7619424 http://www.heise.de/newsticker/meldung/gericht-inhaber-eines-facebook-accounts-haftet-fuer- Missbrauch-seines-Kontos-durch-Dritte-3300296.html?wt_mc=rs http://www.golem.de/news/olg-frankfurt-facebook-nutzer-haften-fuer-missbrauch-von-account- 1608-122749.html 2) 계정소유자에게제 3 자가해당계정을사용하여타인의권리를침해한경우책임이있다는원칙을제시 (BGH Urteil vom 11.03.2009 1 ZR 114/06, Rn.16.) 3) 아이디, 비밀번호등계정에접근할수있는정보

구분 개인정보의개념정의 합리적으로신중한보안준수침해유형분류보호조치마련자체평가제재수단 주요내용ㆍ이름, 성, 이름의이니셜등성명에관한정보ㆍ사회보장번호 (social security numbers), 운전면허번호, 여권번호, 주 ( 州 ) 신분증번호, 군 ( 軍 ) 신분증번호, 고용신분증번호, 납세번호ㆍ계좌번호, 의료정보, 건강보험관련정보ㆍ위치정보 (geolocation), 생체정보 (biometric) 를비롯하여, ㆍ위의정보등과결합하고일부분이암호화되지않은경우등을말함 ㆍ합리적으로신중하다고인정될만한이용자개인정보보호조치준수 ㆍ예측가능개인정보침해유형분류및각각의보호조치마련및이행 ㆍ기업규모, 보유개인정보및침해유형, 관련예산의자체평가및보완ㆍ주 ( 州 ) 검찰, 민사소송등의수단을언급하고있음 1) 민법제 1798.81.5 조 (Civil Code Section1798.81.5) 로제명은 An act to amend Section 1798.81.5 of the Civil Code, relating to personal data 이며, AB-83 법안으로부름 2) 이미상원사법위원회 (Senate Judiciary Committee) 의승인을얻음 (2015. 7. 5.) 3) 주의회의원인마이크가토 (Mike Gatto) 에의해지난해미발효처리 (2015. 9. 9.) 된본법안이상원에다시제출 (2016. 8. 8.) 되어계류중임 4) 사법위원회와상원본회의통과및주지사승인까지의절차를남겨두고있음

참고자료 https://leginfo.legislature.ca.gov/faces/billnavclient.xhtml?bill_id=201520160ab83 https://bol.bna.com/california-bill-would-add-security-standards-to-data-breach-law/ http://www.natlawreview.com/article/california-legislature-nearing-final-debate-biometric-and-g eolocation-data-security http://www.therecorder.com/id=1202765910950/california-wont-rush-dataprivacy-expansion?sl return=20160725012957

1) 법률, 규정, 정부정책에따른보호가필요하지만, 행정명령 13526 또는원자력에너지법에분류되지않은정보

당초 SP 800-171 은해당규칙을 2016 년에발표할것이라고언급한바있음 참고자료 http://www.arnoldporter.com/en/perspectives/publications/2016/08/nist-issues-revisions-to-special-pub http://csrc.nist.gov/publications/drafts/800-171r1/sp800_171r1_draft_markup.pdf http://www.thecre.com/fisma/?p=13064 http://www.nist.gov/itl/csd/20150618_sp800-171.cfm http://www.nist.gov/manuscript-publication-search.cfm?pub_id=918804

* IoT 시스템의기획ㆍ설계단계에서부터단계별로적절한보안성확보방안적용방식 일반ㆍ특별보안요구사항은각각사물이 망에접속 하는과정과망접속후사물간 상호 통신 ( 융합 ) 하는과정을기준으로구분하며, 본강령은전자에대한기본원칙ㆍ대응방침을 명확히밝힘 1 기본원칙주요내용 ㆍ IoT 시스템범위, 대상등을포함한개념정의ㆍ시스템유형분류를통해, 위험요소별대응방안등 2 ㆍ관련정보의기밀성, 완전성, 가용성및이용자안전성확보요건등 3 ㆍ정확한이동ㆍ활동등위치정보확보방안및장해복구등의요건등 4 ㆍ상위의조치이후에접속되는사물, 네트워크의법적안전성확보조치수준등 5 ㆍ기밀성, 완전성, 가용성, 안전성의항시확보및신속한장해복구관련사항등 6 ㆍ책임소재기준, 정보소유권을비롯하여관련정보의취급에관한사항등

세부대응방침주요내용 1 2 3 4 5 요구사항명확화 IoT 시스템모델화 위험요소관리ㆍ대응 기능 / 사양요구사항 지속적ㆍ단계별보완 ㆍ사물, 네트워크관련 1 법적요구항목, 2 명시되지않은필수조치사항, 3 업계의견수렴등추가요구사항등명확화필요 ㆍ기기, 네트워크, 인증플랫폼및서비스등의계층분석과검증이가능한모델화를통해보안사항을더논의할필요 ㆍ리스크평가제도 (Risk assessment) 를통해위험요소를적절하게관리하며, 위험요소가확산되지않도록시스템위험요소 (Systemic risk) 등의명확화필요 ㆍ일반적기능요구사항과사양요구사항등 2 개항목의명확화를통해급변하는 IT 환경에유동적대처가가능하도록구성 ㆍ기본적기능요건을정하고, IT 환경변화에따라단계적ㆍ계속적인접근을통해요구사항을보완함 6 민ㆍ관협력ㆍ관계자역할분담및연계ㆍ협력을통해책임분계점등의구체화 7 기타운용규칙등검토 ㆍ유관된각종행정규칙등을구체화하고기기인증방안등운용규칙명확화등에대해서주체와운용규칙을명확하게함. 참고자료 http://www.nisc.go.jp/materials/index.html http://www.nisc.go.jp/active/kihon/res_iot_fw2016.html http://www.nisc.go.jp/active/kihon/pdf/iot_framework2016.pdf http://www.jpcert.or.jp/tips/2016/wr163401.html

1) 지능형교통체계 (STI) 의구체적인사례로버스정류장의버스도착안내시스템, 교차로에서교통량에따라자동으로차량신호가바뀌는시스템, 내비게이션의실시간교통정보, 하이패스등을들수있다. (IT 용어사전, 한국정보통신기술협회, http://terms.naver.com/entry.nhn?docid=848997&cid=42346&categoryid=42346) 2) Directive 2010/40/UE du Parlement européen et du Conseil du 7 juillet 2010 concernant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d'interfaces avec d'autres modes de transport (http://eur-lex.europa.eu/legal-content/fr/txt/html/?uri=celex:32010l0040) 3) Ordonnance n 2012-809 du 13 juin 2012 relative aux systèmes de transport intelligents. 4) 에너지전환법률제 37 조는공공도로에서의자율주행자동차 (véhicules à délégation partielle ou totale de conduite) 의운행을허가하기위한법률영역에해당하는모든조치를법률명령 (ordonnance) 으로규정할것을명시하고있음

참고자료 https://www.legifrance.gouv.fr 5) 데크레는대통령또는수상이발동하는명령임데크레는제정절차에따라서국사원의심의를거친명령, 국무회의의심의를거친명령, 단순한명령으로나눌수가있음 ( 한국법제연구원, 프랑스법령용어집, 2008, 283 면.) 6) 추인법률안은다른표현으로국회결의가무산되지않는법률안이라는의미에서 projet de non caducté" 라는표현이사용되기도한다. 물론추인법률안이라고해서절대적으로국회에서통과되는것은아니지만, 추인법률안을제출하는것은제정된오르도낭스의효력을유지하는것을본질적인목적으로함 (Louis Favoreu/Patrick Gaïa/Richard Ghevontian/Jean-Louis Mestre/Otto Pfersmann/Guy Scoffoni/André Roux, Droit constitutionnel. Édition 2010-13e éd., pp. 857-858.)

참고웹사이트 [1] 의안정보시스템 (http://likms.assembly.go.kr) [1] http://www.cr-online.de [2] https://www.bmwi.de [3] http://www.computerbild.de [4] https://www.routerzwang.de [5] http://docs.dpaq.de [6] http://www.heise.de [7] https://netzpolitik.org [8] http://www.gesetze-bayern.de [9] http://www.golem.de [10] http://www.lareda.hessenrecht.hessen.de [11] https://leginfo.legislature.ca.gov [12] https://bol.bna.com [13] http://www.natlawreview.com [14] http://www.therecorder.com [15] http://www.arnoldporter.com [16] http://csrc.nist.gov [17] http://www.thecre.com [18] http://www.nist.gov [19] http://www.nisc.go.jp [20] http://www.jpcert.or.jp [21] https://www.legifrance.gouv.fr