개인정보 보호가 '새로운 치아 성장'을 기대하는 이유는 무엇입니까?

"여행 중인 항공편에 문제가 있어 이륙할 수 없습니다. 변경이나 환불을 처리하려면 정보를 받는 즉시 핫라인 4008162378로 연락하세요..." Mr. Liang, 시민 푸저우(Fuzhou)는 Tongcheng.com에서 난닝(Nanning)에서 푸저우(Fuzhou)까지의 항공권 2장을 예약했지만, 비행기 탑승 이틀 전에 항공권의 '취소 또는 변경'이라는 문자 메시지를 받았는데, 여기에는 자신의 실명, ID 번호 및 항공편이 명확하게 표시되어 있습니다. 정보.

"누가 내 항공편 정보를 유출했나요?" 문자 메시지로 보낸 번호가 항공사 고객센터 전화번호가 아니라는 사실을 확인한 량 씨는 사기 문자 메시지임을 알아차렸다. 그는 속지 않았습니다. 하지만 그는 상대방에게 자신의 정보를 어떻게 알릴 수 있는지 전혀 알 수 없었습니다.

인터넷 기술의 급속한 발전으로 온라인 쇼핑, 모바일 결제, 빅데이터 등은 국민의 삶에 큰 편리함을 가져다 주었지만, 동시에 개인정보 보안에 전례 없는 위험을 가져오고 국민의 권리를 침해하고 있습니다. 개인정보 범죄가 계속 증가하고 있습니다. 개인 정보 유출로 인한 정보 거래, 부당한 괴롭힘 및 통신 사기에 직면하여 시민들은 여전히 ​​조심하고 예방해야 하며, 개별 사건에 대한 공안 기관의 단속도 이러한 범죄를 억제하는 데 일정한 역할을 합니다. 그러나 정보보안 감독 자체에 허점이 있을 경우 국민의 안전 위협과 재산 피해로 직결돼 우리나라 국민의 개인정보 보안 시스템은 더욱 가혹한 시험대에 오르게 된다.

낯선 사람에 의해 항공편이 취소되었습니다

승객 정보 보안에 허점이 있습니다

'민간항공 승객 예약 시스템'(Eterm 시스템)은 China Civil Aviation Information Network Co., Ltd.의 자회사입니다. 회사가 개발한 예약 시스템(이하 "TravelSky")입니다. 이 시스템의 운영 인터페이스는 검정색 배경, 녹색 및 노란색 글꼴을 가지고 있기 때문에 업계 관계자는 "블랙 스크린 시스템"이라고도 합니다.

'블랙스크린 시스템'은 현재 국내 주요 항공사의 예약 시스템으로 항공사, 공항, 항공권 판매 대행사 및 기타 기관을 대상으로 하며 주로 항공여객운송사업, 항공여행 등의 서비스를 제공하고 있다. 전자 유통.

올해 2월, 린 씨는 한 항공사의 공식 앱을 통해 베이징에서 영국 런던까지 가는 항공권을 예약했습니다. 4월 19일, 갑자기 APP에서 자신이 예약한 티켓이 성공적으로 환불되었다는 메시지를 받았습니다. 린 씨는 환불을 신청한 적이 없다고 주장했지만 항공사 고객 서비스의 확인을 받은 후 이러한 행동은 린 씨가 APP 소프트웨어를 통한 자체 작업으로 인해 발생한 것이었습니다. 린 여사는 확인을 위해 다시 앱을 열어 '자주 이용하는 승객'에 낯선 사람의 정보가 여러 명 있다는 사실을 발견했다. 이 사람들의 이름, 연락처, ID 번호, 은행 계좌, 카드 번호가 모두 한 눈에 명확합니다. 또한 Lin 씨의 소유가 아닌 탐색 기록도 12 개가 넘습니다. 관련자 중 한 명이 Lin 씨의 티켓을 취소했습니다.

관련자는 베이징발 영국행 비행기에 대한 알림을 받았지만 항공권을 구매하지 않은 것을 발견하고 취소하기로 결정했습니다. 안전하고 비밀이 보장되어야 하는 티켓 예매 정보는 낯선 사람 앞에서 예약 없이 제시되며, 상대방은 손가락의 움직임만으로 이 정보를 마음대로 수정, 취소 및 기타 작업을 수행할 수 있습니다.

항공권 대리점 담당자에 따르면 승객의 비행 정보를 열람하고 잠재적으로 유출할 수 있는 권한을 가진 출처는 항공권 대행사, 항공사 직원, TravelSky 직원, 해커. 다양한 채널과 기관을 통해 Eterm 시스템에 승객의 ID 번호만 입력하면 해당 항공편에 대한 승객의 좌석, 객실, 전화번호 및 기타 세부 정보를 확인할 수 있으며 승객의 확인은 전혀 필요하지 않습니다.

따라서 정보 유출 경로는 다양하지만 출처는 이텀 시스템을 지목하고 있다. 시스템에 로그인하려면 특정 계정과 비밀번호가 필요하지만 정보 사기꾼은 타오바오, QQ 등 온라인 플랫폼을 통해 티켓 판매원과 항공사 직원으로부터 계정 비밀번호를 구매하거나 소프트웨어를 통해 계정을 전환하는 '해킹' 방법을 직접 사용합니다. 여러 개의 작은 계정을 생성하면 TravelSky의 데이터베이스에 원활하게 액세스할 수 있습니다.

이후 항공사 APP 직원은 항공권 취소가 소프트웨어 시스템 취약점으로 인한 것이라고 답변했지만, 시민 개인정보 유출은 단순한 우발적인 사고가 아니었습니다.

정보 유출 방지가 어렵다

보안 감독의 균형이 필요

2013년 말 현재 4,500개 이상의 호텔에 네트워크 서비스를 제공하는 회사 이로 인해 전국 최대 2천만 건의 호텔 숙박 기록이 유출됐다.

딩은 2015년 초부터 2016년 6월까지 불법 웹사이트에서 호텔 숙박 기록 등 시민들의 개인정보를 불법적으로 다운로드해 획득한 뒤 이를 자신의 '비밀번호 스니핑' 웹사이트에 업로드했다.

이 웹사이트에서는 숙박 기록을 확인할 수 있을 뿐만 아니라 사용자 QQ와 일부 포럼 계정 및 비밀번호 검색 기능도 제공합니다. 약 2,000만 개의 숙박 기록이 있습니다*** 회원으로 등록한 후, 사용자는 웹 페이지의 "객실 확인" 열에 키워드 이름이나 ID 번호를 입력하여 웹사이트 데이터베이스의 호텔 숙박 기록을 조회할 수 있습니다( 표시). 이름, 주민등록번호, 휴대전화번호, 주소, 체류시간 등 기타정보) 딩은 2015년 5월부터 홈페이지 회원가입을 통해 수수료를 받기 시작했다. 1년 동안 "비밀번호 스니핑" 웹사이트 ***에는 49,698건의 쿼리 기록이 있었고 191,440.92위안의 회원비를 징수했습니다. 사건이 심리된 후 Ding은 시민의 개인정보를 침해한 혐의로 징역 3년과 벌금 20,000위안을 선고받았습니다.

공안부 네트워크 기술 R&D 센터 소장 Xu Jianzhuo는 시민의 개인 정보를 침해하는 범죄가 강탈이든 다른 유형의 범죄에 대한 전제 범죄가 되었다고 분석했습니다. , 통신사기, 기타 범죄의 대부분은 개인정보 취득이 전제조건입니다.

최고인민법원 연구실 소장 얀 마오쿤(Yan Maokun)은 빅데이터 시대에 개인정보를 포함한 데이터가 흐름, 공유, 심지어 거래를 통해서만 사회적, 경제적 가치를 온전히 발휘할 수 있다고 믿습니다. 흐름과 거래 과정에서 개인정보가 확산되어 통제력을 잃기 쉽습니다. 따라서 빅데이터 발전의 현실적 요구와 국민 개인정보 보호 사이의 관계를 다루려면 두 가지 핵심 단어가 있어야 합니다. 하나는 균형이고, 다른 하나는 균형입니다.

Yan Maokun은 소위 균형이 빅데이터를 개발하는 동안 시민의 개인정보 보안이 법에 따라 보호되어야 함을 의미한다고 믿습니다. 개인정보를 포함한 데이터가 법의 보호를 받으며 안전하고 신속하게 수집, 유통될 때에만 우리나라 정보산업의 지속가능한 발전이 진정으로 촉진될 수 있습니다.

소위 균형이란 둘 사이의 결합과 균형점을 찾아 법적인 차원에서 개인정보의 거래와 흐름을 위한 일정한 공간을 확보하는 것입니다. Yan Maokun은 예를 들어 네트워크 운영자가 수집한 개인 정보를 유출, 변조 또는 손상시킬 수 없으며 수집 대상자의 동의 없이 개인 정보를 타인에게 제공할 수 없다고 규정하고 있습니다. 처리 후 특정 개인을 식별할 수 없어 복원이 불가능한 경우. Yan Maokun은 "이 규정은 시민의 개인 정보를 엄격하게 보호하고 네트워크 운영자에게 요구 사항을 부과하는 것이지만 데이터 제공에 대한 여지를 남겨두는 것"이라고 말했습니다.

?“수집하는 사람이 책임이 있습니다”

법적 책임에 대한 정의가 점점 더 명확해지고 있습니다.

현재 많은 네트워크 운영자는 자신의 업무를 수행하기 위해 법을 숙달해야 합니다. 업무를 수행하거나 서비스를 제공하는 데에는 국민의 개인정보가 방대하게 존재하며, 이러한 정보가 유출되면 사회적으로 부정적인 영향을 미칠 뿐만 아니라 심각한 유해한 결과를 초래할 수 있습니다.

'법률일보' 기자는 시민 개인정보 유출이 정보 수집 출처부터 정보 재판매까지 여러 경로에서 자주 발생한다고 지적했다. 항공권 정보 유출의 경우, Eterm 시스템의 출처부터 승객까지 TravelSky, 항공사, 제3자 항공 APP, 항공권 대리점, 온라인 예약 웹사이트 등 많은 링크를 거쳐 왔으며, 모든 링크에서 정보가 유출될 가능성이 있어, 개인정보 유출 피해자의 권리 보호와 책임추구도 어렵게 됩니다.

증거 확보와 추궁이 어려운 상황에 대해 사이버보안법은 네트워크 정보보안에 대한 책임주체를 명확히 하고 '누가 수집하고, 누가 책임을 지는가'라는 기본 원칙을 정하고 있다. 그 중 제40조는 "네트워크 운영자는 수집한 사용자 정보에 대해 엄격히 비밀을 유지해야 하며, 사용자 정보 보호 시스템을 구축 및 개선해야 한다"고 명확히 규정하고 있습니다.

5월 9일 최고인민법원은 기자회견을 열고, 최고인민법원과 최고인민검찰원이 공민의 개인정보 침해 형사사건 처리에 관한 법률 적용에 관한 여러 쟁점에 대한 해석(이하 '해석'이라 한다)을 발표했다. 「해석」 제13조에서는 국민정보 침해범죄에 대한 유죄판결 및 양형기준, 관련법령의 적용을 더욱 명확히 하고, 국민의 개인정보보호 관리 의무 이행을 거부하는 경우의 처리방법을 명시하고 있습니다. .

안마오쿤은 정보통신망 보안 관리 의무 이행을 거부한 범죄의 주체는 네트워크 서비스 제공자라고 밝혔다.

'해석'에서는 네트워크 서비스 제공자가 법률, 행정법규에서 규정한 정보네트워크 보안 관리 의무를 이행하지 않고, 규제기관의 시정조치 명령에도 불구하고 이를 거부하여 이용자의 개인정보가 훼손될 수 있다고 규정하고 있습니다. 유출되어 심각한 결과를 초래할 경우, 관련 규정에 따라 처벌됩니다. 정보 네트워크 보안 관리 의무를 이행하지 않는 자는 형사 책임을 집니다.

그리고 국민 개인정보 침해범죄와 관련된 또 다른 범죄로는 정보통신망 불법이용죄가 있다. Yan Maokun은 실제로 일부 행위자가 다른 사람들이 시민의 개인 정보를 교환, 유통, 판매할 수 있도록 웹사이트, 커뮤니케이션 그룹 등을 설립하여 불법적인 이익을 취한다고 말했습니다.

형법 규정에 따르면 불법 범죄행위를 목적으로 하는 웹사이트나 통신단체를 개설하는 행위는 사안이 엄중한 경우 정보통신망 불법이용죄에 해당한다. 대법원 조사 결과, 국민의 개인정보를 타인에게 불법적으로 취득, 판매, 제공하도록 허용하는 웹사이트 및 통신단체는 사실상 “불법·범죄 행위를 수행하는 데 이용되는 웹사이트 및 통신단체”에 해당한다고 판단된다.

따라서 '해석'에서는 국민의 개인정보를 불법적으로 취득, 판매, 제공하는 불법범죄행위를 목적으로 홈페이지나 통신단체 등을 개설한 자, 사안이 엄중한 경우에는 유죄를 선고받아 처벌한다고 규정하고 있다. 정보통신망 불법이용죄에 해당하는 경우에는 국민개인정보 침해죄에 준하여 처벌합니다.

Xu Jianzhuo는 '해석'이 6월 1일부터 시행될 예정이므로 공안 기관은 시민의 개인 정보 침해 원인을 단속하기 위해 시민의 개인 정보 보호에 중점을 둘 것이라고 말했습니다. 개인 정보를 보호하고 네트워크 서비스 제공업체의 네트워크 보안 보호 책임을 구현합니다. 작업은 구매, 판매, 거래 방지, 전체 관심 사슬에 걸쳐 플랫폼 및 커뮤니케이션 그룹 구축 지원이라는 세 가지 측면에서 수행됩니다.

국민 개인정보 유출 사건에 연루된 업계 '내부자'에 대한 처벌을 효과적으로 강화하기 위해 '해석'에서는 '중대한 상황'이 발생한 경우 업계 '내부자'가 유출하는 정보의 양을 명확히 하고 있다. 결정되면 금액 기준을 절반으로 줄여 범죄화 기준을 낮춰야 한다. Xu Jianzhuo는 "이는 이러한 유형의 범죄에 더 잘 대처할 수 있는 법적 근거를 제공합니다. 따라서 다음 단계는 출처를 추적하고 업계 '내부자'를 깊이 파헤치는 것입니다."라고 말했습니다.

동시에 “일부 모바일 앱은 시민의 소재나 통화 기록 등 업무와 관련 없는 정보를 수집합니다. 이러한 상황은 이러한 서비스 제공업체에서 관련 보안 보호 조치를 취하지 않는 경우가 많습니다. Xu Jianzhuo는 “다음으로 사이버 보안법 시행과 함께 보안 감독을 더욱 강화하고 이러한 서비스 제공업체에 관련 규제 의무를 이행하도록 요구할 것입니다. 국민의 개인정보가 유출될 경우 본 사법해석 및 사이버보안법의 규정에 따라 엄중 단속하겠습니다."