법에 대해서 무지한지라... 여기 계신 능력자분들은 알거 같아 문의드립니다...
최근, 다양한 방법으로 임직원들의 기술 유출 사례가 화두가 되고 있고
예를 들어, 이에 따라 임직원의 휴대폰 등이 사내에서는 사진촬영이 안 되도록
막는 앱을 설치하고자 할 때 ...
또는 법상으로 퇴직 예정자에 대해서 보안검사를 하도록 되어 있어 퇴직 전 접근로그를 보는것이
개인정보와 관련하여 또 상충하는 등....
법상으로는, 개인정보보호법이 우선할까요....아니면 산업기술보호법이 우선일지요...
아니면 동등한 관계라 하면...애매한 사항이 많이 생기지 않을까 해서 문의드립니다.ㅎㅎ...
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
6개의 답변이 있습니다.
일단 대부분의 기업이 지금 말씀하신 정도는 다 하고 있습니다.
입사할때 이런 부분에 대한 서약서 쓰고 이것저것하면 문제 없는것으로 알고 있고요.
법에 대한 고민보단 어떤 솔루션으로 위에 말씀하신 보안 활동을 할지가 더 신경이 쓰이실꺼에요.
예를 들면 mdm 깔면 개인 폰에 MDM 설치하면 좀 그래서 완벽한 통제를 위해서 회사폰주는게 맞아서요.
아니면 오피스 365처럼 앱안에만 파일이 있게 하는 방법도 있고요.
제 결론은 법적인건 컨설팅 받으면 분명하게 나올일이고 어떻게 보안활동을 구현할지를 좀더 고민하시는게 맞을거 같습니다.
우선근로계약서 자체가 근로자의 지위를 보장 해야 합니다.
전문법률회사에 자문하여 처리를 하시는것이 비용이 발생 하겠지만
안녕하세요
문의남기신 글에 도움이 될까하여 몇 자 적어봤습니다.
개인정보보호법 , 산업기술유출방지 및 보호에 관한 법률의 우선순위가 무의미 하다고 생각됩니다.
개인정보보호법은 일반법적 성격을 갖고 있으며, 산기법은 분야별 개별법 입니다.
산자부 장관이 지정 고시하는 산업기술에 분류가 되는 내용이라면 산기법 적용이 우선이겠지만,
그러는 가운데 개인정보 침해요소가 있다면 개인정보보호법이 적용된다고 보시면 될 것 같습니다.
귀사에서는 "산기법"에 해당하는 중요기술 또는 핵심기술을 취급하고 있기에
MDM , 출입보안 등을 구성하여
로비 스피드게이트에 사원증이 태그되면 → 출근 이벤트가 발생 → MDM 매니저 서버에서 클라이언트 APP 제어 (녹음 , 카메라, Wi-fi , 블루투스 emd) 를 하고 있는 것으로 예상됩니다.
또한 "퇴직징후자" 라는 단어를 언급하실것으로 보아 SIEM 또는 SOAR 까지도 운영중이지 않을까 생각됩니다.
여기서
■출/퇴근 로그 , MDM 이벤트 로그 , DLP 정보유출로그 , DRM 반출 록 등과 같은 보안솔루션에서 발생되는 로그는 '개인정보'와 전혀 무관하다는 의견 입니다.
■회사와 임직원은 입사 , 보직변경, 연 1회, 퇴직시 보안서약서를 징구하고 있고 그 내용에는
" 회사는 영업비밀, 기술자료 유출 방지 목적으로 보안 솔루션을 운영하고 있으며 위 내용에 저촉될 시 형사고발 될 수 있습니다." 라고 꾸준히 안내하고 교육하고 있습니다
■그럼에도 불구하고 해당 솔루션의 로그등에서 퇴근 후 이동경로와 같은 위치정보를 수집한다든가,
ㅇㅇ 직원이 근무시간에 성인/도박 사이트를 들어간다고 주변에 공공연히 알게하는 행위는 개인정보보호법이 아닌 헌법상 사생활 침해 소지는 있습니다.
※ 결론,
영업비밀/주요 기술을 보호하기 위해 기업은 꾸준한 비용과 인력 및 시간을 투입하여 부경법 (부정경쟁방지 및 영업비밀 보호에 관한 법률) , 산기법 등의 보호를 받고자 노력하고 있습니다.
그로 인해 수집되는 정보중 목적에 맞는 정보만 활용한다면 문제될 것이 없다는 의견이며,
그 가운데 민감정보 (성향, 취향 등) , 개인정보, 위치정보, 신용정보와 같은 불필요한 정보가 수집되고 있진 않은지 검토 필요성은 있어 보입니다.
수고하세요~
산업기술보호법')는 개인정보보호법 등 관련 법령상의 개인정보보호 규정을 준수하며, 개인정보처리방침은 아래와 같습니다. 이 개인정보처리방침은 시행일로부터 적용이면
한국 산업기술보호법 아래 개인정보보호법이 있는거네요
산업기술보호법을 기준으로 정하시면 되겠습니다
근로계약서와 계약간의 특수 관계를 우선적으로 적용받는다고 보시면 될것 같습니다.
관련 내용에 대해 계약시에 같이 고지가 되었고, 업무적으로 확인에 대해 사전에 동의를 받았는지가 주요 내용일 것으로 보입니다.
이런 문제들 때문에 회사가 업무용으로 제공하는 장비, 소프트웨어의 계정, 저장공간은 다 회사의 자산으로 잡는거라고 보시면 됩니다.
개인이 노트북을 가져와서 일을 하다가 나가는 순간, 작성된 자료 파일을 넘겨주는 부분에 대해선 민사가 가능하지만 그 노트북을 강제로 회수하여 뭘 하는건 형사쪽으로 갈때나 가능 할 수 있는 부분입니다.
위에 적으신 로그 관련으로는 앱을 설치하여 해당 앱 사용 기록은 회사의 자산을 이용하였고 자산을 이용한 로그를 보는 것으로 보기 때문에 개인정보 보호법으로 보기가 어렵지 않나 생각됩니다.
미생 | 일 년 이상 전
또한 개인정보 보호법은, 개인을 유추 가능한 특정성을 가진 정보에 대한 보호가 주 목적이기 때문에 이름+생년월일, 이름+전화번호 같은 정보를 보호하거나 관리에 대한 부분을 가져오는 목적이 크기 때문에 해당하는 내용에 대한 부분은 개인정보 보호법 보다는 개인의 사적 장비인 스마트폰에 대해 강제적으로 회사가 무엇을 하는것이 가능하냐 라는 쪽으로 접근해야 하는게 맞다고 보입니다.
단 해당 스마트폰이 회사 내의 무선네트워크등을 이용했다면 그 기록에 대해서는 회사가 열람하는데 있어서 공정한 목적이 있을 경우 문제가 없다고 판단할겁니다.
위에 말씀하신 부분들이 성립된다면 단순하게 Google Workspace 정도에서만 봐도 볼 수 있는 이메일 감사 관련 내용조차 다 개인정보보호법 대상이 될 수 있을겁니다. 단순 사용로그나 필요에 의한 열람에 대해서는 개인정보보호법이 타겟이 아니라고 알고 있습니다.
법률간의 우선 순위를 정할때...
상위법 우선법칙으로 상위법이 우선 적용되는데... 개인정보 보호법과 산업 기술 보호법 간에는 상위법, 하위법 관계는 아니겠고...
일반법과 특별법 간에는 특별법이 우선 적용되게 되는데.... 개인벙보 보호법과 산업 기술 보호법 둘 모두 일반법으로 우선 관계가 적용되지는 않을 것 같고...
그리고, 신법 우선 법칙이 있는데...
산업기술 보호법이 개인정보 보호법 보다 조금 더 뒤에 나온 법으로 보이는데요.
정확한 내용은 법 전문가에게 문의해 보아야 하겠지만...
제 견해는 산업 기술 보호법이 좀 더 우선되지 않을까 싶어 보이네요.