'프랑스'에 해당되는 글 43건

  1. 2019.08.13 프랑스서 영상 감시와 관련된 첫 GDPR 벌금형 내려지다
posted by 알짜 정보 岳岩 2019.08.13 07:28

프랑스, 원래 영상 감시에 민감한 나라였으나 실제 법 집행은 저조
한 번역 회사, 직원들을 감시해오고 시정 명령 무시해 2만 유로 벌금


[보안뉴스 문가용 기자] 프랑스에서 한 작은 기업이 GDPR 감독기구인 CNIL로부터 꽤나 큰 GDPR 벌금형을 받았다. 직원들의 행동을 영상으로 감시해왔으며, 그 사실을 당사자들에게 알리지도 않았으며, 심지어 암호화 기술도 적용하지 않은 채 자료를 보관해왔기 때문이다. 영상 감시 문제로 인해 발생한 첫 GDPR 벌금이라는 점에서 이목을 끌고 있다.

[이미지 = iclickart]


사실 프랑스에서는 GDPR 이전부터 유독 영상 감시에 관한 규정이 엄격했었다. 공공재가 촬영되는 곳에 개인용 카메라를 설치하는 게 무조건적으로 금지된 곳, 회사에 의한 직원들의 감시가 금지된 곳이 바로 프랑스다. 유럽 국가 중에서도 영상 감시에 민감하게 반응했던 나라에서, GDPR 첫 영상 감시 관련 벌금형이 나온 것은 우연이 아니다.

그러나 법이 매우 엄격했음에도 실제로 영상 감시와 관련된 규정에 의거한 판결이 집행된 사례는 그리 많지 않았다. GDPR이 시행되기 전인 2017년 한 해 동안 영상 감시 규정 위반으로 벌금형을 받은 회사는 단 하나였다. 벌금도 1000유로, 즉 1100달러 정도에 그쳤다. 2018년에는 단 한 곳도 영상 감시 규정 위반으로 유죄 판결을 받지 않았다. 

심지어 이번 GDPR 판결을 내린 CNIL은 민원이 제기가 되어야만 조사를 시작하는 것을 방침으로 삼아온 기관이었다. 능동적으로 문제점을 찾아서 해결하는 곳이 아니었다는 것이다. 그렇기 때문에 유독 영상 감시에 민감했던 프랑스에서도 이번 GDPR 판결은 꽤나 충격적일 수 있다.

이 영광스러운(?) 업적을 기록한 회사의 이름은 파리의 번역 전문 회사인 유니옹트라(Uniontrad)다. 9명으로 구성된 작은 규모의 회사다. 2017년 총 수익이 100만 달러였으며, 영업 손실은 11만 달러였다. CNIL에 의하면 “유니옹트라에서 직원 감시에 대한 제보가 2013년부터 8차례나 접수됐고, 이에 조사를 시작했다”고 한다. “회사로 직접 문의를 보냈지만 아무런 답장이 없었습니다.”

CNIL의 첫 번째 수사는 2018년 2월에 시작됐다. 이 때 다음과 같은 사실을 밝혀낼 수 있었다.
1) 여섯 개의 책상과 한 개의 장을 촬영할 수 있는 카메라가 한 대 있었다. 이 카메라에 대해 직원들은 아무런 통보를 받지 못했다.
2) 촬영된 영상은 회사 내규에 명시된 것보다 긴 시간 동안 저장됐다.
3) 회사의 정보와 이메일 편지함을 안전하게 보호하기 위한 장치가 무용지물이었다.

같은 해 7월 CNIL은 위의 문제들을 전부 해결하라고 시정 명령을 내렸다. 기한은 두 달. 유니옹트라는 9월에 ‘모든 문제가 해결됐다’는 내용의 편지를 CNIL로 보냈고, 이에 CNIL은 10월에 확인을 위한 수사를 시작했다. 그리고 다음과 같은 사실을 추가로 발견했다.

1) 직원들을 촬영하던 카메라는 여전히 같은 작업을 수행하고 있었다. 2월의 수사에서 아무런 변화가 없었다. 
2) 영상 감시와 관련된 정보는 여전히 직원들에게 통보되지 않았다. 원래는 촬영과 저장의 목적, 기간, 담당자가 명시되어야 했다
3) 비밀번호를 반드시 사용하라는 정책은 도입되지 않았다. 직원들 그 누구도 회사 컴퓨터에 비밀번호를 걸어두지 않고 있었다.

유니옹트라는 “보안 카메라에 마스킹 테이프를 붙였고, 촬영 중이라는 안내판을 달았으며, 비밀번호 정책을 수립했으므로 법을 어기지 않은 것”이라고 주장했다. 그러나 이러한 주장을 접수한 CNIL이 조사했을 때, 문제의 카메라로 한 개의 책상이 꾸준하게 촬영되고 있었다. 게다가 시정 기한 두 달을 주었음에도 아무런 변화가 없었고, 사실상 감독 기관의 명령을 무시한 것이므로 뒤늦은 조치를 취했어도 벌금형은 피할 수 없었다고 CNIL은 설명했다.

CNIL은 “유니옹트라가 다음 네 가지 GDPR 조항들을 위반했다”고 말했다.
1) 5조 1항 : 개인정보의 수집과 처리는 항상 목적에 부합하고, 목적 안에서만 이뤄져야 한다. 이른 바 데이터 최소화의 법칙.
2) 12조 : 정보 주체의 권리를 행사함에 있어 정보, 통신, 양상의 투명성이 지켜져야 한다.
3) 13조 : 개인정보를 수집할 때는 정보의 주체에게 해당 사실을 알려야 한다.
4) 32조 : 데이터를 처리하는 과정 중, 데이터 보호가 끊임없이 이뤄져야 한다. 

GDPR 83조에 의거했을 때 유니옹트라에는 최대 2천만 유로(약 2250만 달러) 혹은 총 수익의 4%에 달하는 벌금형 중 높은 것으로 내려질 수 있었다. 처음에는 75000 유로(약 85000 달러)를 생각했었다고 한다. 이는 규모에 비해 파격적으로 높은 금액으로, CNIL은 “유니옹트라로부터 사실상의 협조나 시정 노력을 전혀 발견할 수 없었다”고 발표했다.

그러나 유니옹트라는 “GDPR 83조에 명시된 것과 같은 적절한 금액이 아니”라고 주장했으며, CNIL도 이를 받아들였다. 그리고 최종 벌금을 2만 유로(약 22500 달러)로 대폭 낮췄다. 대신 이 사건을 일반 대중에게 공개한다는 내용이 덧붙었다. 보도로만 소식을 접하면 2만 유로가 그리 크지 않은 금액일 수 있지만, 유니옹트라와 같은 작은 규모의 회사에는 치명적일 수 있다. 

2만 달러는 CNIL이 2011년부터 집행해온 영상 감시 관련 벌금형 중 가장 높은 금액이라고 한다. 그러나 프랑스 여러 매체들은 “유니옹트라에 기회는 충분히 있었다”고 분석하는 편이다. 첫 조사 후 두 달 동안 CNIL이 요구한 대로 조치를 취했더라면 벌금이 이렇게까지 커지지 않았을 거라는 것이다. 그러므로 GDPR이 아직은 ‘계도 기간’에 있는 것이라는 이야기들이 나오고 있다. 

영상 감시 전문 매체인 IPVM은 CNIL에 직접적으로 “이제 영상 감시 분야에 대한 규정 시행 강도를 높이는 것인가”라고 물었다고 보도했으며, “아니다”라는 답장을 받았다고 기사에 명시했다. 보안뉴스

3줄 요약
1. 프랑스의 한 번역 회사, 직원들을 영상으로 감시하다가 GDPR 감독기관에 걸림.
2. CNIL은 첫 조사 후 두 달의 기간을 주며 시정하라고 명령. 그러나 번역 회사는 무시.
3. 이에 CNIL은 2만 유로라는 벌금형을 내림. 원래는 75000 유로였지만 회사 규모가 작아 깎아준 것.