합법적인 해외 데이터 활용의 명확화를 위한 법률(CLOUD법) 설명

개요

2018년 3월 23일, 미국 의회는 합법적인 해외 데이터 활용의 명확화를 위한 법률(CLOUD법)을 통과시켜, 미국의 법 집행 기관에서 통신 서비스 공급자 보유 데이터를 요청할 수 있는 법적 프레임워크를 갱신했습니다. 이전 법률을 보다 분명히 한 CLOUD법은 미국의 법 집행 기관이 미국 및 해외에 저장된 데이터에 대한 제출 명령에 필요한 제한적인 법적 장치를 제공합니다. 또한 CLOUD법은 다른 국가의 법률 또는 국가적 이익과 상충하는 요청에 이의를 제기할 수 있는 공급자 권리를 인정하고 해당 정부에 현지 법규를 존중할 것을 요구하는 등 클라우드 콘텐츠를 보호하기 위한 추가적인 장치를 만든다는 점에서 중요합니다.

  • CLOUD법은 미국 법 집행 기관의 제출 명령이 효력을 지니는 지리적 범위를 명확히 규정하는 미국 법률의 갱신으로서, 서비스 제공업체가 다른 국가의 법률 또는 국익과 충돌하는 제출 명령을 거부할 수 있도록 새로운 법적 근거를 제공합니다. 앞으로도 고객 보호 조치가 필요한 경우에는 변함없이 보호에 나서겠습니다. AWS는 과도하거나 부적절하다고 판단되는, 정부의 고객 정보 제출 명령을 지속적으로 거부해 왔습니다.

  • 특별한 변화는 없을 것입니다. CLOUD법으로 인해 법 집행 기관이 범죄 수사의 일환으로써 데이터 제출을 명령하기 위한 절차 또는 요구 사항에는 변화가 없습니다. CLOUD법은 미국 법 집행 기관에게 데이터에 대한 무제한적인 또는 불가항력의 액세스 권한을 부여하지 않습니다. 미국 법 집행 기관은 다음의 두 경우에만 서비스 제공업체에게 콘텐츠 제출을 명령할 수 있습니다. (1) 고객의 동의가 있는 경우 (2) 미국 형사소송법에 따라 미국 법정에서 발부한 영장이 제시된 경우 영장이 발부되려면, 미국 법정이 범죄가 발생했다는 심증의 근거가 되는 잠재적 사유에 대한 확신 및 영장을 통해 찾아내려는 증거에 해당 범죄 행위와의 직접적 관련성이 있다는 확신을 지녀야 합니다. 또한 CLOUD법은 클라우드 콘텐츠에 대한 추가 보안 조치를 신설하여, 클라우드 서비스 제공업체가 다른 국가의 법률 또는 국익과 충돌하는 제출 명령을 거부할 수 있는 권리를 인정했습니다.

  • CLOUD법은 AWS 서비스 또는 AWS의 비즈니스 수행 방식에 영향을 미치지 않습니다. 지금까지 AWS가 미국 법 집행 기관으로부터 정보 제출 명령을 받은 사례는 매우 희박하며 AWS가 정보 제출 명령을 받은 횟수는 투명하게 정리되어 있습니다. AWS는 항상 고객의 개인 정보 보호와 보안에 최선을 다하고 있으며 고객이 AWS 제품 및 서비스를 이용함에 있어서 업계 최고의 개인 정보 보호와 보안 보호 조치를 제공하기 위해 힘쓰고 있습니다. 법 집행 기관으로부터 정보 제출 명령을 받는 경우, 해당 정보의 정확성을 세밀히 검토하여 관련 법률에 저촉되는 부분이 없는지 검증하고 있습니다. 앞으로도 고객 보호 조치가 필요한 경우에는 변함없이 보호에 나서겠습니다. AWS는 과도하거나 부적절하다고 판단되는, 정부의 고객 정보 제출 명령을 지속적으로 거부해 왔습니다. 고객 콘텐츠의 공개가 불가피한 경우, 법률에서 금지하지 않는 한, AWS는 고객이 정보 공개에 대한 자구책을 마련할 수 있도록 앞으로도 공개 전에 미리 고객에게 알릴 것입니다.

  • CLOUD법은 고객/파트너의 AWS 서비스 이용 방식에 전혀 영향을 미치지 않습니다.

  • AWS의 철학은 고객이 자신의 데이터에 대한 통제권을 가져야 한다는 것이며 AWS는 고객이 자신의 콘텐츠를 보호할 수 있도록 다양한 고급 암호화 및 키 관리 서비스를 제공하고 있습니다. 또한 고객이 AWS 서비스를 이용할 때 다양하게 지원되는 타사 암호화 솔루션 중에서 선택할 수 있습니다. 콘텐츠의 암호화도 적용 가능한 암호화 키 없이는 무용지물이 됩니다.

  • 아닙니다. CLOUD법은 해당 서비스 제공업체의 국적과 상관없이 미국 내에서 활동하는 (이메일 및 클라우드 서비스 제공업체 등) 모든 전자 통신 서비스 또는 원격 컴퓨팅 서비스 제공업체에게 적용됩니다.

  • 아닙니다. CLOUD법은 다른 국가의 현지 법률에 영향을 미치지 않습니다. 사실상 CLOUD법은 서비스 제공업체가 다른 국가의 법률 또는 국익과 충돌하는 요청을 거부할 수 있는 권리를 인정하고 있습니다.