남아공 개인정보보호법(POPIA)
남아공 개인정보보호법의 주요 조항 준수
2013년 11월 남아프리카 공화국 의회는 개인정보보호법(POPIA)을 제정했습니다.
공공 기관 및 민간 기관에서 처리하는 개인정보의 보호를 촉진합니다. 개인 정보 처리에 대한 최소 요건을 설정하기 위한 특정 조건을 도입합니다. 이 법 및 2000년 정보접근촉진법에 의거하여 특정 권한을 행사하고 특정 의무와 기능을 수행하는 정보 규제 기관을 설립합니다. 행동 강령을 발행할 근거를 마련합니다. 원치 않는 전자 커뮤니케이션 및 자동화된 의사 결정에 관련하여 개인에게 권리를 제공합니다. 남아프리카 공화국 국경을 넘어가는 개인 정보의 흐름을 규제합니다. 이와 관련된 문제를 해결합니다.
규정 비준수로 인한 잠재적 결과
POPI 법의 제100~106항은 당사자가 “규정을 위반한 것으로” 판단되는 경우를 다룹니다. 구체적으로, 제105항(계좌 번호와 관련된 책임 있는 당사자의 불법 행위)에서는 “책임 있는 당사자는... [개인 데이터를 침해하는 행위]가 데이터 주체에게 상당한 피해를 입히거나 고통을 줄 수 있다는 것을 알았거나 알았어야 했다”라고 명시하고 있습니다.
또한 제106항(계좌 번호와 관련된 제3자의 불법 행위)에서는 “책임 있는 당사자의 동의 없이 고의로 또는 부주의하게 데이터 주체의 계좌 번호를 취득하거나 공개하거나...데이터 주체의 계좌 번호를 타인에게 공개하는 것은...위법 행위”라고 규정하고 있습니다.
제107항에서는 각 위반에 적용되는 처벌을 자세히 설명하고 있습니다. 구체적으로 “범죄로 유죄 판결을 받은 자는 누구나...벌금형이나 10년 이하의 징역형 또는 벌금형과 징역형 모두에 처해질 수 있다. 또는...벌금형이나 12개월 이하의 징역형 또는 벌금형과 징역형 모두에 처해질 수 있다.”와 같습니다.
법의 제109항에 상세히 기술된 바와 같이, 최고 벌금은 "1천만 란드를 초과할 수 없습니다".
- 클릭하여 선택
규정
다음 자료는 남아프리카 공화국의 POPI 법안에서 직접 발췌한 것입니다.
개인정보의 무결성 및 기밀성에 대한 보안 조치
19. (1) 책임 있는 당사자는 소유하거나 제어하는 개인 정보의 무결성과 기밀성을 확보하기 위해 적절하고 합리적인 기술적 및 조직적 조치를 취함으로써 다음을 방지해야 합니다.
- 개인 정보의 손실, 손상 또는 무단 파기 및
- 개인 정보에 대한 불법적인 접근 또는 처리.
제(1)항을 실시하기 위해 책임 있는 당사자는 다음과 같은 합리적인 조치를 취해야 합니다.
- 소유하거나 제어하는 개인 정보에 대해 합리적으로 예측 가능한 모든 내외부 위험 식별
- 식별된 위험에 대한 적절한 보호 조치 수립 및 유지
- 보호 조치가 효과적으로 구현되고 있는지 정기적으로 확인
- 이전에 구현된 보호 조치의 새로운 위험이나 결함에 대응하여 보호 조치를 지속적으로 업데이트
운영자가 처리하는 정보에 대한 보안 조치
21. (1) 책임 있는 당사자는 책임 있는 당사자와 운영자 간의 서면 계약에 따라 책임 있는 당사자를 대신하여 개인 정보를 처리하는 운영자가 제19조에 언급된 보안 조치를 수립하고 유지 관리하도록 보장해야 합니다.
(2) 운영자는 데이터 주체의 개인 정보가 권한이 없는 자에 의해 액세스 또는 획득되었다고 믿을 만한 합리적인 근거가 있는 경우 즉시 책임자에게 통지해야 합니다.
보안 침해 통지
22. (1) 데이터 주체의 개인 정보가 권한이 없는 자에 의해 액세스 또는 획득되었다고 믿을 만한 합리적인 근거가 있는 경우 책임 있는 당사자는 즉시 다음 대상에게 통지해야 합니다.
- 규제 기관 및
- 제(3)항에 따른 데이터 주체(그러한 데이터 주체의 신원을 확인할 수 없는 경우 제외)
(4) 데이터 주체에게 보내는 통지는 반드시 서면으로 작성되어야 하며 다음 방법 중 하나 이상을 통해 데이터 주체에게 전달해야 합니다.
- 데이터 주체의 마지막으로 알려진 실제 또는 우편 주소로 우편 발송
- 데이터 주체의 마지막으로 알려진 이메일 주소로 이메일 전송
- 책임 있는 당사자의 웹사이트에서 눈에 띄는 위치에 배치
- 뉴스 매체에 게시 또는
- 규제 기관의 지시에 따라
민사 책임
99. (1) 데이터 주체 또는 데이터 주체의 요청에 따라 규제 기관은 책임 있는 당사자의 의도나 과실 여부에 관계없이 제73조에 명시된 대로 이 법의 조항을 위반한 책임 있는 당사자에 대해 사법권을 갖는 법원에 손해에 대한 민사소송을 제기할 수 있습니다.
(3) 제(1)항에 따른 법원 심리 절차에서는 다음을 포함하여 정당하고 공평한 금액을 지급할 수 있습니다.
- 이 법의 규정을 위반하여 데이터 주체가 입은 재산적 손실 및 비재산적 손실에 대한 보상으로서의 손해 배상,
- 법원의 재량에 따라 결정되는 합계의 가중 손실;
- 이자 및
- 법원이 결정할 수 있는 규모의 소송 비용.
규정 준수
POPIA를 준수하고 데이터 침해 알림 요건을 방지하도록 지원하는 Entrust nShield® HSM
POPIA에서는 주체 데이터의 액세스 및 획득으로 간주되는 항목을 명확히 명시하고 있지 않지만 개인 정보 보호를 다루는 전 세계 규정에 따르면, 데이터가 익명화되거나 불법적으로 획득한 사람이 읽을 수 없게 되면 데이터 침해가 발생했다고 신고할 필요가 없습니다. 이 경우 도난당한 민감한 데이터는 도둑에게 쓸모 없으며 데이터 주체에게 해를 끼치지 않는 것으로 간주됩니다.
익명화를 위해 널리 사용되는 두 가지 모범 사례 접근 방식은 암호화와 토큰화입니다. 둘 다 암호화 키를 사용하여 일반 텍스트를 읽을 수 없는 암호 텍스트로 변환하고, 다시 원래대로 변환합니다. '사이버 도둑'이 암호화되거나 토큰화된 데이터와 함께 키를 훔치는 경우 데이터를 다시 일반 텍스트로 변환할 수 있습니다. 따라서 보호하는 데이터에서 키를 분리하고 키 자체에 추가 보안을 제공하는 것이 중요합니다.
암호화 키 보안을 위한 Entrust 솔루션
암호화 키 보안을 위한 모범 사례는 하드웨어 보안 모듈(HSM)에 해당 키를 저장하는 것입니다. Entrust nShield HSM은 데이터의 암호화 및 암호 해독에 사용되는 키를 생성, 보호 및 관리하고 디지털 서명 및 인증서를 생성하여 암호화 프로세스를 보호하는 강화된 변조 방지 하드웨어 장치입니다. 이러한 HSM은 FIPS 140-2 및 공통 기준을 포함한 최고 보안 표준에 따라 테스트, 검증 및 인증됩니다. Entrust nShield HSM을 통해 조직은 다음을 수행할 수 있습니다.
- 데이터 개인정보 보호에 대한 기존 규정 및 새로운 규정 표준 충족 및 초과 달성
- 더 높은 수준의 데이터 보안 및 신뢰 달성
- 높은 서비스 수준 및 비즈니스 민첩성 유지
nShield as a Service는 FIPS 140-2 레벨 3 인증을 받은 전용 nShield Connect HSM을 사용하여 민감한 데이터와 별도로 암호화 키 자료를 생성, 액세스 및 보호하기 위한 구독 기반 솔루션입니다. 이 솔루션은 온프레미스 Shield HSM과 동일한 기능 및 클라우드 서비스 배포의 이점을 모두 제공합니다. 이를 통해 고객은 클라우드 우선 목표를 달성하고 이러한 어플라이언스의 유지 관리를 Entrust 전문가에게 맡길 수 있습니다.
리소스
규정 준수 요약: 남아프리카 공화국 POPIA
남아프리카 공화국 POPIA는 개인 정보 보호와 위반 시 발생할 수 있는 벌금 및 민사 소송을 다룹니다.
브로슈어: Entrust nShield HSM 제품군 브로슈어
Entrust nShield HSM은 안전한 암호화 처리, 키 생성 및 보호, 암호화 등에 적합한 강력한 변조 방지 환경을 제공합니다. FIPS 140-2 인증을 받은 세 가지 폼 팩터를 사용하는 Entrust nShield HSM는 다양한 배포 시나리오를 지원합니다.
데이터시트: nShield HSM 서비스
nShield as a Service는 FIPS 140-2 레벨 3 인증을 받은 전용 nShield Connect HSM을 사용하여 암호화 키 자료를 생성, 액세스 및 보호하기 위한 구독 기반 솔루션입니다.
관련 제품
안전한 암호화 처리 및 키 관리를 위한 강화된 변조 방지 환경.
PKI 등을 위한 Cryptography as a Service에 쉽고 효율적으로 액세스할 수 있습니다.