KCI등재
Compliance with the Gramm-Leach-Bliley Act and Negligence Liability : With Analysis of Guin v. Brazos = 미국의 聯邦金融現代化法의 遵守와 過失不法行爲責任에 관한 硏究 : Guin v. Brazo 판례를 중심으로
저자
발행기관
학술지명
권호사항
발행연도
2012
작성언어
English
주제어
KDC
360
등재정보
KCI등재
자료형태
학술저널
수록면
399-417(19쪽)
제공처
소장기관
미국의 聯邦金融現代化法(The Gramm-Leach-Bliley Act)은 금융기관의 경쟁력 강화를 위해 필요시 금융정보를 서로 교환할 수 있도록 하였다(우리나라의 금융지주회사법과 고객정보에 관해서 비교될 수 있을 것임.). 같은 법은 금융기관들의 고객정보가 유출되지 않도록 철저한 관리를 요구하고 있다.
그런데 문제는 금융기관이 같은 법에서 정한 안전관리규정(safe harbor rules)을 遵守하였음에도 불구하고 고객정보가 유출되었을 경우 과연 고객정보관리책임이 있는 금융기관에게 過失에 의한 불법행위 책임을 물을 수 있는지 여부이다. 특히, 금융기관에게 고객정보관리를 위한 注意義務는 있다고 볼 때 같은 법에 의한 안전규정을 준수하였을 때 주의의무(duty of care)를 다한 것으로 볼 것인지가 문제인데 본고에서 분석한 Guin 판례에서는 그렇다고 보았다.
Guin에서 被告금융회사의 직원이 고객정보를 담은 노트북을 분실함으로써 55,000명에 달하는 고객정보가 유출될 위험에 처했다. 실제로 유출된 증거는 없었으나 보안사고(security breach)가 발생한 것은 분명하였다. 법원은 피고 금융회사가 연방금융현대화법을 준수하였으므로 주의의무를 다했다고 판시하였다.
한편, 다수의 법원은 법률규정 준수 자체만으로 주의의무를 다했다고 보지 않고 다만 주의의무 이행에 관한 참고자료로 인정하고 있다. 따라서 상황에 따라서 피고는 추가적인 안전조치를 취할 필요가 있다. 미국 불법행위 法再錄또한 같은 견해를 나타내고 있다.
본고는 법률규정의 준수 자체를 주의의무 이행으로 보지 않고 다만 그에 관한 참고자료일 뿐이라고 주장한다. 이는 일반적으로 정부의 규제는 안전관리를 위해 충분하지 못한 경우가 많고 또한 현실에 맞게 現行化되지 않은 경우가 흔하기 때문이다. 특히, 클라우드 컴퓨팅 등 IT기술의 급속한 발전으로 정부나 의회가 이런 변화에 적시에 대응해서 법률을 제정한다는 것은 사실상 불가능 할 것으로 보인다. 또 법률의 준수만으로 불법행위 책임이 면책된다면 기업들은 법률의 준수에 만족할 뿐 더 이상의 안전을 위한 노력을 하지 않을 것이다. 끝으로 보안사고로 피해가 발생했음에도 불구하고 법률규정을 준수하였다하여 면책된다면 그 피해자는 손해를 보상 받기가 어려울 것이다.
마찬가지로 聯邦金融現代化法에 의한 안전규정 준수만으로 금융기관이 과실에 의한 불법행위책임으로부터 자유롭게 되는 것은 타당하지 않을 것으로 보이므로 일반원칙, 즉 단순한 주의의무 이행에 관한 자료로 인정함이 타당할 것이다. 본고를 통하여 우리나라의 금융기관의 고객정보에 대한 책임문제에 대해서도 참고가 되기를 바라며 특히 금융기관들이 클라우드 컴퓨팅을 통해서 고객정보를 관리할 경우 책임문제에 대해서도 논의를 시작하는 계기가 되었으면 한다. 클라우드 컴퓨팅을 통한 고객정보 관련 불법행위 책임에 대해서는 차후에 심도 있게 연구하여 발표할 예정이다.
The Gramm-Leach-Bliley Act was enacted to "enhance competition in the financial services industry." Congress allowed financial institutions to affiliate with one another and those institutions to share confidential information believing that this affiliation and sharing of information would enhance the competitiveness of the institutions.
A financial institution may not directly or indirectly disclose a consumer's nonpersonal information without prior notice that complies with certain requirements to the consumer with some exceptions.
The issue is whether a financial institution's compliance with the Act may exonerate it from negligence liability when a breach of information security occurs. The general rule is that it may not. It is well settled that statutory compliance is merely relevant evidence of reasonable care. According to the general rule, a financial institution's compliance with the Act may not take a role as the standard of care in protecting personal information. The Guin court deviated from the general rule holding that a financial institution did not breach its duty of care because it had complied with the Act.
This paper argues against the Guin court. First, statutory safety regulations are often inadequate in protecting consumers. Second, they are usually obsolete and not current due to today's rapidly changing technologies. This seems particularly to be the case in the context of information technology. Cloud computing provides a good example. Third, regulatory compliance defense hinders corporations from continuing their efforts to improve safety. Fourth, justice and fairness might require the court not to leave an injured party without a remedy. In conclusion, compliance with GLBA is mere evidence of reasonable care, but not the proof of due care.
분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)