GDPR을 위반하기 위해 국제 호텔 그룹에서 호텔 산업 강원 랜드 거버넌스를 보는 것이 벌금이 부과됩니다

EU의 일반 강원 랜드 보호 규정 ( "GDPR")이 발효되었으므로 약 72 건의 공개 된 처벌이있었습니다.[1]최근에 정보위원회 (ICO)는 AIR B를 다루기 위해 두 가지 진술을 발표했습니다.[2]Hem International Hotel Group[3]1 억 8,300 만 파운드의 높은 벌금과 9,920 만 파운드가 발행되었습니다. 처벌은 아직 발효되지 않았으며, ICO는 회사의 진술을 처벌해야하며 다른 EU 회원국에 관련된 강원 랜드 보호 기관을 고려해야합니다.[4]의 의견 후에 이루어질 것입니다. 이 두 형벌이 마침내 시행되면 GDPR이 발효되기 때문에 최고 벌금이됩니다.

M International Hotel Group은 미국 메릴랜드에 본사를 둔 세계 최대의 국제 호텔 관리 회사 중 하나입니다. ICO는 2018 년 11 월 M International Hotel Group이 통보 한 사이버 보안 사건에 대해 M International Hotel Group을 처벌 할 계획입니다. 네트워크 보안 사고는 2014 년부터 존재했던 M International Hotel Group의 S 호텔 관리 시스템에 대한 해커 공격으로 인한 강원 랜드 취약성으로 조사되었지만 2018 년에 S Hotel Group을 인수했지만 2018 년에는 허점을 발견했습니다. ICO는 국제 호텔 그룹이 SHOLIT 그룹을 인수 할 때 충분한 실사를 수행하지 않았다고 생각합니다.

EU에 지사가있는이 유일한 국제 호텔 체인은 GDPR 대상입니까? 대답이 없다면 중국의 지역 호텔에도 GDPR이 적용될 수 있습니다. GDPR의 지리적 관할권은 전통적인 지리적 관할권과 다르며 EU 내의 법인이있는 기관에만 국한되지 않습니다. "지리적 범위"에 관한 GDPR 제 3 조에 따르면, GDPR은 "EU에서 설정된 강원 랜드 컨트롤러 또는 프로세서에 의한 개인 강원 랜드 처리에 적용 할뿐만 아니라 EU에서 설정되지 않은 강원 랜드 컨트롤러 또는 프로세서가"EU의 강원 랜드 주제에 상품 또는 서비스를 제공합니다 (이 제품 또는 서비스가 강원 랜드를 지불 해야하는 강원 랜드가 필요한지 여부에 관계없이"또는"EU에서 발생하는 강원 랜드 주제의 활동 모니터링"는 GDPR의 대상이됩니다.

"유럽[5]따라서 EU 회원국의 관광객이 중국으로 와서 온라인으로 예약하지 않고 현지 호텔로 직접 가서 EU 회원국 여권을 보유하고 있어도 체크인하는 경우 개인 정보는 물론 GDPR에 따라 다릅니다.

"EU의 강원 랜드 과목에 상품 또는 서비스 제공"의 의미를 이해하는 방법 및 "모니터링"은 GDPR에서 찾을 수 있습니다[6]유럽 ​​강원 랜드 보호위원회가 발행 한 "GDPR 공개 버전의 지리적 관할권에 관한 지침". 강원 랜드 컨트롤러 또는 프로세서가 EU 회원국의 강원 랜드 주제를 명확하게 대상으로하는지 여부를 결정함으로써 "EU 내 강원 랜드 주제에 상품 또는 서비스 제공"에 속하는지 여부는 판단 할 수 있습니다. EU 회원국이 사용하는 언어 또는 통화가 EU 강원 랜드 대상에게 상품 및 서비스를 주문할 가능성을 제공하는 데 사용되는지 여부와 같은 의도를 결정하는 고려 사항. EU 내에서 고객/사용자에 대한 언급이 있는지 여부.[7]예를 들어, EU에 지점이없는 중국 현지 호텔은 유럽 관광객을 자주 수용했기 때문일 수 있으며 호텔의 공식 웹 사이트에는 EU 회원국의 언어 버전이 있거나 EU 회원국의 통화로 온라인으로 지불 할 수 있습니다. 이러한 상황은 EU 회원국의 강원 랜드 주제를 대상 고객으로 타겟팅하는 것으로 간주 될 수 있으므로 GDPR이 관리해야합니다.

그것이 "EU에서 발생하는 강원 랜드 주제의 활동 모니터링"을 구성하는지 여부에 대해서는 강원 랜드 주제가 네트워크에 의해 네트워크에 의해 추적되는지, 특히 그/그녀와 관련된 결정을 내리기 위해 자연인을 분석하고 처리하는 것을 포함하여 네트워크에 의해 추적되는지 여부를 결정함으로써 결정될 수 있습니다.[8]예를 들어, 현지 호텔이 미래의 시장 확장 또는 상업적 통계 분석 요구, 아카이브 및 빅 강원 랜드 분석을 위해 EU 온라인의 자연인의 개인 강원 랜드를 수집하고 처리하는 경우,이 기사에서 "모니터링"을 구성 할 수 있으며, 따라서 GDPR의 관할하에있을 수 있습니다.

따라서 GDPR의 지리적 관할권에 따르면, EU의 실체 나 인력이없는 중국의 지역 호텔조차도 관할권에 처해 있으며 GDPR 준수에도주의를 기울여야합니다.

호텔 업계에는 많은 양의 고객 정보 수집 및 처리가 포함되어 있기 때문에 강원 랜드 거버넌스, 특히 다국적 호텔 그룹이 특히 중요하며 강원 랜드 아웃 바운드 문제와 개인 강원 랜드 보호 작업이 더 복잡합니다. 중국에 설립 된 호텔 (다국적 호텔 그룹 또는 지역 중국 호텔)의 경우, 중국의 관련 법률 및 규정 및 GDPR 준수 문제를 고려해야합니다.

호텔 업계의 실무자가 고려해야 할 첫 번째는 호텔 손님의 강원 랜드가 GDPR 또는 중국 규정에 의해 보호되는 것이므로 특별한주의가 필요합니다.

(1) GDPR에 따른 요구 사항

GDPR은 개인 강원 랜드를 보호하며 여기에서 "개인 강원 랜드"는[9]식별되거나 식별 가능한 자연인과 관련된 정보 (즉, "강원 랜드 주제"). 식별 가능한 자연인은 특히 자연인에게 고유 한 하나 이상의 신체적, 생리 학적, 유전 적, 영적, 경제적, 문화적 또는 사회적 정체성으로 직접 또는 간접적으로 식별 될 수있는 개인입니다. 이 정의를 바탕으로 호텔 예약 정보 및 지불 정보 (예 : 이름, ID 카드 또는 여권 번호, 주소, 전화 번호, 은행 카드 정보, 사회적 신원 등과 같은 지불 정보에서 거주자를 식별 할 수있는 정보는 개별 정보 만 식별 할 수 있으며, 이는 GDPR에 의해 확실히 보호됩니다. 그러나 거주자의 소비 습관과 같이 개인만으로 식별 할 수없는 다른 정보도 GDPR에 의해 보호 될 수 있습니까?

이 질문은 GDPR의 인용 부분에서 나올 수 있습니다[10]그리고 과거 법 집행 사건[11]에서 얻었습니다. GDPR의 맥락에서, 개인을 인식 할 수 있다는 의미는 개인을 인식 할 수있는 정보뿐만 아니라 다른 정보와 함께 개인을 인식 할 수있는 정보를 포함하여 매우 광범위합니다. 강원 랜드 컨트롤러는 개인을 인식 할 수있을뿐만 아니라 다른 사람이 개인을 인식 할 수있는 정보도 인식 할 수 있습니다. "여기에서는"일반인이 식별 할 수있을뿐만 아니라 당시 강원 랜드를 처리 할 수있는 합리적인 기술 수단을 사용하여 식별 할 수 있습니다. 예를 들어, 호텔에서 수집 한 손님의 직업 정보는 개별 손님을 개별적으로 식별 할 수 없을 가능성이 있지만, 다른 앱 (예 : 포지셔닝)에 대한 정보와 기술 수단을 사용하여 개인을 인식 할 수 있습니다. 기존 GDPR 법 집행 사건에 따르면 이메일, 로그인 정보, 예약/거래 세부 정보, 직업, 의료 기록 등은 모두 GDPR에 의해 보호되는 개인 정보입니다.

또한 GDPR은 "특수 유형의 개인 강원 랜드 처리"에 대한 특별 조항을 만듭니다[12]. 민감한 정보 (개인의 기본 권리와 자유에 중대한 위험을 초래할 것임), 특히 GDPR은 이러한 강원 랜드의 처리, 즉 인종, 정치 개념, 종교적 또는 철학적 신념, 노조 구성원의 개인 강원 랜드, 유전자 강원 랜드, 생체 인식 강원 랜드 및 개인 건강, 성적 지향과 관련된 강원 랜드의 처리를 금지합니다. 물론 강원 랜드 컨트롤러가 책임을 수행하는 데 특정 목적 으로이 강원 랜드의 처리 또는 처리를 승인하려는 강원 랜드 주체의 명시 적 동의와 같은 예외가 있습니다. 이를 고려할 때 호텔은 손님에 대한 위의 정보를 수집하지 않는 것이 가장 좋습니다. 손님에게 음식을 제공하거나 고객의 특별한 요구를 충족시키기 위해서도 손님에게 목적을 알리고 이러한 특수 유형의 정보를 수집하기 전에 명확한 동의를 구체적으로 얻어야합니다.

(2) 중국 법에 따른 요구 사항

중국 법에 따라 호텔 손님의 "개인 정보"및 "개인 민감한 정보"의 수집 및 사용에주의를 기울여야합니다. 중국 법에 따른 "개인 정보"[13]GDPR의 것과 유사하며, 둘 다 자연인의 개인적 정체성 만 또는 다른 정보와 함께 식별 할 수있는 다양한 정보를 포함합니다. 개인 정보의 예는 "정보 보안 기술 개인 정보 보안 사양"의 부록 A를 참조하십시오. 사례에 따르면, 호텔 업계의 실무자들은 우리의 상식의 기본 개인 정체성 정보 외에도, 보호되는 일부 정보는 손님의 가족 관계, 결혼 상태, 성적 지향, 생리 학적 특성, 직업, 직장, 웹 사이트 탐색 기록, 위치 정보 등과 같이 상상하기 어려울 수 있음을 주목해야합니다. 또한 "다른 정보와 결합"이라는 사실 때문에 중국 법에 따른 개인 정보의 의미도 매우 넓습니다. 호텔 손님의 예약 정보, 지불 정보, 소비 습관 등은주의해서 처리하고 중국 법에 따른 개인 정보에 대한 보호 규정을 준수해야합니다.

"개인 민감한 정보"수단[14]개인적으로 민감한 정보는 일단 유출, 불법 제공 또는 학대 일단 개인 및 재산 안전을 위험에 빠뜨릴 수있는 개인 정보를 말하며, 이는 개인적인 평판, 신체적, 정신적 건강 또는 차별적 치료에 쉽게 손상 될 수 있습니다. 일반적으로 14 세 미만의 어린이의 개인 정보와 자연인의 개인 정보 정보는 개인적인 민감한 정보입니다. 개인적으로 민감한 정보의 예는 개인 민감한 정보에 대한 엄격한 보호 규정과 특별한주의를 기울여야하는 "정보 보안 기술 개인 정보 보안 사양"의 부록 B를 참조하십시오.

손님이 보호하는 개인 강원 랜드의 범위를 지 웁니다. 손님이 이러한 개인 강원 랜드에 대한 권리, 즉 호텔 강원 랜드 관리자의 의무를 살펴 보겠습니다.

(1) GDPR에 따른 요구 사항

GDPR에 따라 우리는 주로 강원 랜드 종료에 대한 강원 랜드 주제의 권리 및 관련 규정에주의를 기울입니다.

GDPR에 따른 강원 랜드 과목의 권리와 관련된 용어는 주로 3 장에 집중되어 있으며, 이는 호텔 산업과 더 관련이 있습니다.[15], 액세스 권한[16], 수정 권한[17], 잊을 권리/잊을 권리[18], 강원 랜드 이식성[19]. 이러한 권한을 위해 호텔 강원 랜드 관리자는 개인 정보 보호 정책, 회원 코드, 사용자 계약 및 기술 운영과 같은 네트워크 운영에서 GDPR의 특정 조항을 반영해야합니다. 그중에서도 가장 최근에 논의 된 것은 잊혀 질 권리와 강원 랜드의 이식성에 대한 권리가 있습니다.

"잊을 권리"는 강원 랜드 주제에 강원 랜드 컨트롤러가 강원 랜드 주제에 따라 개인 정보를 삭제하도록 요구할 권리를 부여합니다. 개인 강원 랜드가 공개 되더라도 강원 랜드 주제는 강원 랜드 컨트롤러가이를 삭제하기 위해 합리적인 조치를 취해야 할 수도 있습니다. 중국의 호텔의 경우이 규정을 준수하기가 어려울 수 있습니다. 공공 안보국 처벌법 및 기타 법률 및 규정에 따르면 호텔은 거주 신분 정보를 수집하여 공공 보안 시스템에 직접 기록해야합니다. 중국 맥락 에서이 권리를 구현할 수있는 정도는 실제로 테스트되어야합니다.

"Data Portability"는 강원 랜드의 오른쪽을 대상으로 구성된 보편적 인 기계식으로 읽을 수있는 형식으로 개인 강원 랜드를 복사 할 것을 요청합니다. 강원 랜드 과목은 또한 강원 랜드를 다른 강원 랜드 컨트롤러로 전송할 수도 있습니다. 호텔의 강원 랜드 관리자는 호텔 시스템이 위 사업을 수행하고 손님의 위의 강원 랜드 권한을 보장 할 수 있도록해야합니다. 예를 들어, 손님의 강원 랜드 이식성을 보장하기 위해 호텔에는 손님의 메타 강원 랜드를 저장할 수있는 시스템이 있어야 요청할 때 일반적이고 기계로 읽을 수있는 강원 랜드를 제공 할 수 있어야합니다. 스캔 파일/PDF 형식 만 제공되면 요구 사항을 충족하기가 어려울 수 있습니다.

이 GDPRS는 강원 랜드 주제에 권리를 부여하여 고객에게 개인 정보를 독립적으로 결정할 수있는 큰 자유를줍니다. 특정 조건에서, 그들은 호텔에 수년간 보관 한 손님의 개인 정보를 삭제하도록 요청할 수 있으며 (잊을 권리/권리) 호텔에 주민의 개인 정보를 경쟁 업체에 전송하도록 요청합니다 (휴대 성). GDPR에 따라 손님이 즐기는 권리에 의해 호텔에 제기 된 위에서 언급 한 의무 외에도 호텔 강원 랜드 컨트롤러/프로세서는 유출 될 때 개인 강원 랜드를 알릴 의무, 즉 개인 강원 랜드 유출이 발생한 경우, 강원 랜드 컨트롤러는 72 시간 이내에보고해야합니다. 강원 랜드 주제의 권리와 자유에 높은 위험을 초래할 수 있다면, 강원 랜드 주제에 즉시 알려야합니다.

또한 국제 호텔 체인의 경우 강원 랜드 아웃 바운드는 피할 수없는 주제입니다. 국경 간 강원 랜드 전송의 경우, GDPR의 원칙은 개인 강원 랜드가 EU에서 제 3 국가로 전송 될 때 EU의 자연인에 대한 강원 랜드 보호 수준이 줄어들지 않아야한다는 것입니다 (제 3 국가에서 다른 제 3 국가로의 양도 포함).[20]그래서 GDPR의 국경 간 강원 랜드 전송 요구 사항은 중국 회사와 밀접한 관련이 있습니다. 유럽 예를 들어, 중국의 M 호텔은 손님 또는 직원 강원 랜드를 미국 본부로 전달합니다. 위의 국경 간 전송 원칙을 구현하는 두 가지 방법이 있습니다. 하나는 적절한 수준의 보호 결정을 내리는 것입니다. 다른 하나는 적절한 보호 수단을 만드는 것입니다.

27105_27304[21]. 여기 "개인 정보 보호 방패 프레임 워크"[22]EU와 미국 간의 상업적 목적으로 개인 강원 랜드 교환을 규제하는 메커니즘을 말합니다. 주요 목적은 미국의 회사에 신뢰할 수있는 메커니즘을 제공하여 EU에서 미국으로 전송 된 개인 강원 랜드를 수락 할 수 있도록하는 것입니다. 개인 정보 보호 방패 원칙의 혜택을 받기 위해 미국 기업은 미국 상무부가 발행 한 개인 정보 보호 방패 원칙을 준수해야합니다. 개인 정보 보호 실드에 가입하려는 회사는 미국 상업부 (개인 정보 보호 실드 공식 웹 사이트를 통해)와 자체 인증해야하며 개인 정보 보호 실드 프레임 워크 규칙을 준수하기 위해 공개적으로 노력해야합니다. 개인 정보 보호 방패 프레임 워크에 가입하는 것은 자발적이지만 일단 가입하면 약속 위반에 대한 법적 결과가있을 것입니다. 중국은 아직 "화이트리스트"에 있지 않기 때문에 EU에서 중국으로의 전송과 관련된 개인 강원 랜드는 "재구성 보호 수준"식별 조항에 따라 이전 될 수 없습니다.

"적절한 보호 조치"는 강원 랜드 아웃 바운드 수신자가 충분한 보호 수준을 갖는 "화이트리스트"내에 있지 않으면 컨트롤러 또는 프로세서가 "적절한 보호 장치"가 제공되는 경우에만 개인 강원 랜드를 국가로 전송할 수 있음을 의미합니다. 중국의 법적 관행과 함께 이러한 차이는 이해하기 쉬울 수 있습니다. "적절한 보호 조치"는 규제 기관이 사례 승인에 필요한지 여부에 따라 두 가지 범주로 나눌 수 있습니다. (예 :) 특정 승인이 필요하지 않은 적절한 보호 수단 및 (ii) 규제 기관의 특정 승인이 필요한 적절한 보호 장치.

첫 번째 주요 범주는 EU 회원국 강원 랜드 보호 규제 기관의 사례 승인을 요구하지 않는 적절한 보호 조치입니다. "규제 당국에 의해 승인 된"기업 규칙 ","표준 계약 조항 ", 유럽위원회에 의해 공식화 된 표준 계약 조항,"행동 규범 ","인증 메커니즘 "등[23]

A. "바인딩 내부 기업 규칙"은 EU 내에 설립 된 다국적 기업의 강원 랜드 전송에 대한 내부 규칙을 말하며, 이로 인해 다국적 기업은 적절한 수준의 보호를 제공하지 않는 국가로 국제적으로 동일한 그룹 내에서 개인 강원 랜드를 전송할 수 있습니다. 이러한 내부 기업 규칙은 승인을 위해 EU의 공인 강원 랜드 보호 기관에 제출해야합니다.[24]이 국경 간 규정 준수 전송 규칙은 국제 호텔 그룹에 대한 가치가 있습니다. 이 그룹은 내부 회사 규칙을 제정하고 승인을 위해 EU 강원 랜드 보호 기관에 제출했습니다. 승인 후, EU에서 다른 국가로의 그룹 내의 전송에는 더 이상 추가 제한이 적용되지 않으며, 이는 그룹의 내부 관리에 훨씬 편리합니다.

B. "표준 강원 랜드 보호 용어"는 국제적으로 전송 된 강원 랜드를 보호하기 위해 유럽위원회의 표준 계약 조항을 공식화하는 것을 말합니다. 지금까지 유럽위원회는 EU에서 다른 지역의 강원 랜드 컨트롤러에 대한 강원 랜드 컨트롤러에 대한 2 개의 표준 강원 랜드 보호 조항과 다른 지역의 강원 랜드 프로세서를위한 표준 강원 랜드 보호 조항 세트를 발행했습니다.[25]이 표준 계약 조건은 국경 간 전송 요구 사항이있는 국제 호텔 그룹에 매우 유용합니다. 그룹 내 호텔 간, 호텔 및 타사 예약 시스템 간의 강원 랜드 전송 및 온라인 여행사는이 표준 용어에 따라 고려할 수 있습니다.

C. "행동 강령"은 특정 유형의 컨트롤러 또는 프로세서를 대표하는 협회 및 기타 기관이 적용 가능한 GDPR을 개선하기 위해 개인 강원 랜드를 제 3 국가로 전송하는 행동 강령을 포함하여 특정 산업에 대한 행동 강령을 작성할 수 있음을 의미합니다.[26]. 산업 별 규범은 주 기관, 이해 단체, 기업 등 혜택을 줄 수 있습니다. 유럽위원회가 승인 한 행동 강령은 강원 랜드 컨트롤러 또는 프로세서가 GDPR을 준수하고 있음을 증명하는 중요한 수단 중 하나입니다. EU 강원 랜드 보호위원회는 등록 된 모든 행동 강령을 확인하고 적절한 방식으로 대중에게 액세스 할 수 있도록합니다. 현재, 우리는 GDPR의 국경 간 전송에 관한 중국 호텔 산업 협회 공표 산업 지침을 보지 못했습니다.

D.. 인증은 유능한 규제 기관이 인정하는 인증 기관에 의해 발행되어야합니다. 컨트롤러 또는 프로세서에 발행 된 인증 기간은 최대 3 년입니다. EU 강원 랜드 보호위원회는 등록 된 모든 인증 메커니즘, 강원 랜드 보호 씰 및 마크를 확인할 책임이 있습니다. 그러나이 인증을 얻는 것은 GDPR 의무의 컨트롤러 또는 프로세서를 완화하지는 않지만, 대중이 관련 제품 및 서비스의 강원 랜드 보호 수준을 신속하게 판단하여 브랜드에 대한 신뢰를 높일 수 있습니다. GDPR은 그러한 인증 기관이 특정 자격을 충족시키고 유능한 규제 기관에 의해 인정되어야합니다[27]. 고도로 인정 된 GDPR 검증[28]。

두 번째 주요 범주는 특정 승인이 필요한 적절한 보호 조치 (즉, 규제 기관의 사례 승인)입니다. 호텔 산업과 관련하여 호텔 강원 랜드 컨트롤러 또는 프로세서와 강원 랜드 수신자 간의 계약 용어입니다. 이 보증 조치는 국경 간 전송을 구현하기 위해 강원 랜드 보호 규정의 사례 승인이 필요합니다[29]。

호텔이 위의 "전체 보호 인식"또는 "적절한 보호 수단"을 충족하지 않으면 국경을 넘어 강원 랜드를 전송하려면 특정 손상 조건 만 수행 할 수 있습니다. 소위 손실 감소 조건은 특정 상황에서 국경 간 전송 규칙에 대한 요구 사항을 줄이는 것으로 이해 될 수 있습니다. 예를 들어, 강원 랜드 주제는 국경 간 전송에 대한 충분한 보호 또는 적절한 보호 장치가 없으며 예상 강원 랜드 전송이 위험에 처해 있지만 강원 랜드 주제는 여전히 강원 랜드 전송에 대한 계약을 명확하게 표현합니다. 또는 강원 랜드 주제와 컨트롤러 간의 계약 성능 또는 계약에 서명하기 전에 강원 랜드 주제가 제시 한 요구 사항의 성능에 전송이 필요합니다. 또는 공익 등의 실현을 위해서는 이전이 필요합니다.[30]。

또한, 충분한 보호 인식 또는 적절한 보호 조치에 대해서는 위에서 언급 한 장애 조건을 충족시키지 못하거나 다음과 같은 예외적으로 전달 될 수 있습니다. 전송은 반복적이지 않으며 강원 랜드 주제의 작은 부분의 권리에 대한 권리를 깨닫기 위해서는 적법한 관심사가 필요합니다. 강원 랜드 주제의. 과학 및 사회 연구 목적으로 강원 랜드의 국경 간 전송과 같이 고려 될 수있는 상황. 지역 중국 호텔의 경우 EU의 손님이 참여할 수 있습니다[31]에 대한 강원 랜드 비교적 제한적 이며이 예외는 적용될 수 있습니다. 그러나이 기사에 따라 국경 간 전송이 수행되기 전에 규제 기관 및 강원 랜드 주제에 알려야합니다.[32]。

(2) 중국 법에 따른 요구 사항

중국 법에 따라 강원 랜드 주제의 권리, 호텔 강원 랜드 관리자의 의무 및 국경 간 전송 요구 사항에주의를 기울여야하는 많은 호텔 강원 랜드 관리자도 있습니다. 우리는 GDPR에 규정 된 관련 권리와 의무에 따라이를 분석합니다.

법적 차원에서 호텔 손님의 개인 정보 보호에 관한 법률은 주로 "사이버 보안법", "전자 상거래 법"및 "소비자 권리 보호법"입니다. "소비자 권리 보호법"은 실제로 소비자 개인 정보를 수집하고 사용할 때 운영자가 따라야하는 원칙을 주로 규정하는 소비자 개인 강원 랜드 권리에 대한 한 가지 유형의 보호를 가지고 있습니다. 정보를 수집하고 사용하기위한 소비자의 권리를 알고 동의 할 권리; 운영자는 소비자 개인 정보를 공개해서는 안됩니다.[33]. "전자 상거래 법"은 전자 상거래 운영자가 쿼리, 수정, 수정, 삭제 및 사용자 정보를 취소 할 권리를 보장해야한다고 명시하지만, 전자 상거래 운영자가 법률 및 행정 규정의 규정에 따라 관련 유능한 당국에 보존 또는 제출 해야하는 경우 전자 상거래 운영자는 보존 또는 제출해야한다고 명시하고 있습니다.[34]"사이버 보안법"은 개인 정보 수집 및 사용 원칙, 알 수있는 권리, 동의, 정보 삭제 권리, 수정 권리, 정보 유출을 방지하고 관할 권한을 즉시 알리기위한 개인 정보의 의무에 대한 자세한 조항을 만듭니다.[35]。

중국 법에 따른 이러한 권리와 의무는 GDPR의 권리와 유사하지만 세부 사항도 다릅니다. 예를 들어, 개인 정보 주제의 "삭제 권한". 중국 법에 따라 개인이 네트워크 운영자가 법률, 행정 규정 또는 양 당사자 간의 계약을 위반하여 개인 정보를 수집하거나 사용한다는 것을 알게 된 경우에만 네트워크 운영자에게 개인 정보를 삭제하도록 요청할 권리가 있습니다. GDPR에 따라 강원 랜드 주제는 삭제할 권리가 더 큽니다. 예를 들어, 호텔이 마케팅 목적으로 게스트 강원 랜드를 처리하는 경우 강원 랜드 주제는 무조건 강원 랜드 관리자가 강원 랜드를 삭제하도록 요구할 수 있습니다. 예를 들어, 유능한 당국에 정보 유출에 적시에 정보를 제공 할 의무를 위해 GDPR은 강원 랜드 컨트롤러가 누출을 알기 72 시간 이내에 규제 당국에보고해야합니다. 사이버 보안법은 또한 관련 관할 당국에 정보를 제공해야하지만 통지의 특정 시간 제한은 명확하지 않습니다.

사이버 보안법은 "중요한 정보 인프라"운영자에 대한 추가 보안 보호 의무를 규정하고 있다고 언급 할 가치가 있습니다. 예를 들어, 특수 보안 관리 기관 및 보안 관리 담당자를 설립하고 1 년에 한 번 이상 네트워크 보안 검사 및 평가를 수행하거나 일년에 한 번 이상 네트워크의 보안 검사 및 평가를 수행하고 규제 당국에 검사 및 평가 상태 및 개선 측정을 제출하고 중요한 시스템 및 강원 랜드베이스에 대한 재해 복구 지원을 수행해야합니다. 호텔 업계의 정보 시스템이 주요 정보 인프라입니까?

사이버 보안법은 주요 정보 인프라를 "공공 커뮤니케이션 및 정보 서비스, 에너지, 운송, 수자원 보존, 금융, 공공 서비스, 전자 정부 및 손상된 다른 산업뿐만 아니라 국가 안보, 국민 경제 및 공공의 관심을 심각하게 위험에 빠뜨릴 수있는 다른 산업과 같은 주요 정보 인프라를"중요한 산업 및 정보 또는 강원 랜드 누출과 같은 산업으로 설명합니다. 이 규정에 따르면 일반 호텔은 중요한 정보 인프라에 속해서는 안되며 특정 판단은 관련 지원 문서를 참조해야합니다. 2016 년 중국의 중국 사이버 공간 관리가 발행 한 "중요한 정보 인프라 사이버 보안 검사에 대한 운영 지침"은 중요한 정보 인프라의 판단을위한 세 단계를 결정합니다. 먼저, 주요 정보 인프라에 속하는 주요 비즈니스를 결정하고, 둘째, 비즈니스를 지원하는 정보 시스템을 결정하고, 세 번째는 정보 시스템에 대한 의존성 및 정보 시스템의 보안 사고로 인한 가능한 손실을 기반으로 중요한 정보 인프라를 결정합니다. 호텔 산업은 주요 비즈니스 판단 목록의 첫 번째 단계에 나타나지 않으므로 호텔 산업은 일반적으로 중요한 정보 인프라에 속하지 않는 것으로 여겨집니다. 그러나 손실 정량적 판단 프로세스의 세 번째 단계에서 네트워크 보안 사고가 발생하면 백만 명이 유출 될 수있는 정보 시스템이 중요한 정보 인프라로 식별되어야한다고 언급됩니다. 따라서 오프닝 챕터에서 언급 된 사고에서 전 세계적으로 약 3 억 3,300 만 명의 고객 정보가 유출 된 M 호텔과 같은 대규모 호텔 그룹은 중요한 정보 인프라로 식별 될 가능성을 배제하지 않습니다.

법적 조항 외에도 호텔 업계의 강원 랜드 관리자를위한 "개인 정보 보안 코드"는 중국 법률을 준수 할 때주의를 기울여야하는 중요한 문서입니다. 그중에는 개인 정보 보안의 기본 원칙, 수집, 스토리지, 사용, 시운전 처리, 공유, 전송, 공개 공개, 개인 정보 보안 사고 처분, 개인 정보 및 개인 민감한 정보의 정의 및 개인 정보 정책 템플릿에 대한 자세한 지침이 제공됩니다. "개인 정보 보안 사양"은 법률이나 규정이 아니며 법적 지위는 "권장 국가 표준"입니다. 그러나 "개인 정보 보안 사양"은 매우 실용적이기 때문에 국가가 "사이버 보안법"과 같은 법률 및 규정의 진정한 구현을 보장하는 중요한 방법이며, 관련 정부 당국이 개인 정보 처리 활동을 감독, 관리 및 평가하기위한 중요한 참조 기반이기도합니다. 더욱이 "국가 표준화 시스템 건설 개발 계획 (2016-2020) 발행에 관한 국영 협의회의 통지"에 따르면, 우리 나라의 표준 시스템 건설의 목표 중 하나는 "결론에 따라 의무 표준의 역할을 완전히 수행하고 기본 표준을 확보하는 데있어 기준 표준을 권장하는 것"입니다. 권장 표준으로서 개인 정보 보안 사양은 기업을위한 일반적인 신청을위한 실용 안내서로 간주되어야합니다.

개인 정보의 출구와 관련하여 중국의 중국 사이버 공간 행정부는 2019 년 6 월에 "개인 정보 출구 보안 평가 조치 (주석 초안)"를 발표했으며, 이는 개인 정보가 국가를 벗어나기 전에 네트워크 운영자가 자신이 위치한 지방 인터넷 정보 부서에 개인 정보 출구 보안 평가를 신청해야합니다.[36]. 의견을 요청하기위한 초안이 발효되면 국내 기업을 빠져 나가는 강원 랜드의 어려움이 크게 증가합니다. 규제 기관이 제출 한 보안 평가에 대한 요구 사항은 이전에 중요한 정보 인프라 운영자로 제한되지 않고 모든 네트워크 운영자에게 확대됩니다.[37]. 이러한 규정은 호텔 강원 랜드 관리자와 같은 네트워크 운영자가 국가에 개인 강원 랜드를 저장하도록 요구하지는 않지만, 국가를 떠나기 전에 사례 평가 및 승인이 필요하기 때문에 실제로 국가를 떠나는 강원 랜드에 큰 어려움이 더해집니다.

이전 기사는 호텔 업계가주의를 기울여야하는 강원 랜드 보호 (강원 랜드 아웃 바운드 포함)와 관련하여 GDPR 및 중국 법에 따른 주요 조항을 분석합니다. 따라서 위의 조항의 규정 준수 작업이 제대로 수행되지 않으면 호텔 업계 (호텔 관리 회사, 호텔 소유자, 타사 플랫폼)의 강원 랜드 보호를 담당하는 사람은 누구입니까? 우리는 여전히 GDPR과 중국 법의 관점에서 그것을 살펴 봅니다.

(1) GDPR에 따른 요구 사항

GDPR에 따른 호텔 강원 랜드 보호에 대한 책임있는 당사자를 명확히하려면 먼저 강원 랜드 컨트롤러, 공동 컨트롤러, 프로세서[38]. 이 세 가지 개념은 GDPR의 주요 조항에 정의되어 있지만 유럽위원회의 공식 웹 사이트에서 설명하는 것이 더 간결합니다.

"강원 랜드 컨트롤러"개인 강원 랜드를 처리하는 목적과 방법을 결정하므로 비즈니스가 개인 강원 랜드를 처리하는 "이유 및"방법 "을 결정하면 강원 랜드 컨트롤러입니다. 비즈니스가 하나 이상의 조직과 협력하여 "이유"및 ""개인 강원 랜드를 처리하는 방법 "을 결정하면 이러한 비즈니스/조직은"공동 통제 자 "입니다. 공동 컨트롤러 간의 내부 관계는 두 당사자에 의해 마련되지만 강원 랜드 주제에 대한 공동 책임과 공동 책임이 있습니다. "강원 랜드 프로세서"는 컨트롤러 커미션에 따라 개인 강원 랜드를 프로세스하며 강원 랜드 프로세서는 일반적으로 기업 외부의 타사 기술 회사입니다. 컨트롤러에 대한 강원 랜드 프로세서의 책임은 계약에 지정되어야합니다. 예를 들어, 계약은 계약이 종료 된 후 개인 강원 랜드를 폐기 해야하는 방법을 지정해야합니다. 프로세서의 일반적인 활동은 클라우드 스토리지를 포함한 IT 솔루션을 제공하는 것입니다.[39]둘 이상의 컨트롤러 또는 프로세서 또는 컨트롤러 및 프로세서가 동일한 강원 랜드 보호 위반 처리에 관여하면 각 컨트롤러 또는 프로세서는 강원 랜드 주제에 대한 효과적인 보상을 보장하기 위해 손실에 대한 몇 가지 책임을 부여해야합니다.[40]

호텔 손님을위한 예약은 일반적으로 다음 채널로 나뉩니다. (1) 가장 일반적인 것은 호텔 관리 회사의 공식 웹 사이트에서 직접 예약하는 것입니다.이 가격은 일반적으로 가장 낮은 가격이지만 호텔 관리 회사는 각 예약에 대해 호텔 소유자에게 특정 수수료를 청구합니다. (2) GDS (Global Distribution System)와 같은 타사 호텔 예약 시스템을 통해 예약하십시오. GDS를 통해 예약하는 경우 GDS는 호텔에 대한 각 예약에 대해 특정 수수료를 청구합니다. (3) 온라인 여행사/OTA (온라인 여행사)를 통해 예약을합니다. 예를 들어, CTRIP는 호텔에 대한 각 예약에 대해 특정 요금을 청구합니다. (4) 호텔 손님은 호텔 프론트 데스크에서 직접 체크인합니다. 관리 해야하는 예약 시스템의 강원 랜드 외에도 호텔 금융 시스템에는 손님에 대한 많은 양의 정보가 포함됩니다. 호텔 게스트 강원 랜드 저장에 대한 대략 두 가지 모드가 있습니다. 하나는 강원 랜드가 호텔의 로컬 서버 시스템에 저장된다는 것입니다. 관리 계약이 종료되면 소유자는 여전히 메모리에 게스트 정보를 유지합니다. 다른 하나는 순수한 클라우드 스토리지입니다. 모든 게스트 강원 랜드는 호텔 관리 회사 또는 가능한 빨리 위탁하는 타사 클라우드 서버에 업로드됩니다. 경영 계약이 종료되면 호텔 관리 회사가 모든 강원 랜드를 마스터하고 소유자는 거의 보유 할 강원 랜드가 없을 수 있습니다.

호텔 업계의 공통 강원 랜드 운영 모드와 결합하여 호텔 관리 회사가 호텔 관리 회사의 웹 사이트 또는 경영 회사가 맡은 제 3 자 예약 시스템과 같은 강원 랜드 제어가 분명히 강원 랜드 제어를 할 때, 강원 랜드가 자체적으로 저장된 것과 같은 강원 랜드가 관리자가 제어 할 수 있음)라고 생각합니다. 이 경우 호텔 소유자가 공동 강원 랜드 컨트롤러인지 여부는 호텔 관리 회사와 공동으로 손님의 개인 강원 랜드를 처리하는 "방법"과 공동으로 결정할 수 있는지 여부에 따라 다릅니다. 이 경우 호텔 관리 계약에서 강원 랜드 수집 및 사용이 합의되는 방법에 따라 달라질 수 있습니다. (1) 관리 계약에 호텔 소유자가 호텔 손님의 개인 강원 랜드를 수집, 사용, 처리 또는 저장할 수 없다고 말하면 소유자는 강원 랜드의 컨트롤러가되어서는 안됩니다. 강원 랜드 보안에 대한 책임이 발생하면 관리 회사가 책임을 전적으로 부담해야합니다. 강원 랜드 보안 사고가 발생하면 강원 랜드 과목은 호텔 관리 회사 또는 타사 시스템 공급 업체가 책임을지고 관리자와 제 3 자 사이의 내부 책임 부서는 계약간에 결정됩니다. (2) 호텔 관리 계약이 소유자가 호텔 관리자와 협력하여 게스트 강원 랜드를 공동으로 파악하고 게스트의 강원 랜드 수집 및 사용을 결정할 수 있다고 규정하면 호텔 소유자는 공동 강원 랜드 컨트롤러로 간주됩니다. 이런 식으로 보안 사고가 발생하면 강원 랜드 주제는 호텔 관리자, 호텔 소유자 또는 타사 시스템 공급 업체가 책임을 질 수 있습니다. 강원 랜드의 공동 컨트롤러로서 호텔 관리자와 호텔 소유자 간의 내부 책임 부서는 계약에 따라 결정됩니다. 이 경우 책임 부서는 게스트 강원 랜드에 대한 실제 통제를 기반으로 호텔 관리자와 호텔 소유자 간의 계약에 명확하게 규정되어야합니다.

(2) 중국 법에 따른 요구 사항

중국 법에 따라 호텔 강원 랜드 보호에 대한 책임있는 기관을 명확히하려면 네트워크 운영자, 전자 상거래 운영자, 개인 정보 컨트롤러 및 공동 개인 정보 컨트롤러의 여러 개념을 구별해야합니다.

"네트워크 운영자"는 "Cybersecurity Law"의 개념이며 네트워크의 소유자, 관리자 및 네트워크 서비스 제공 업체를 나타냅니다.[41]이를 바탕으로 사이버 보안법에 따른 강원 랜드 보안의 책임있는 사람을 판단하는 사람은 호텔 시스템의 강원 랜드를 소유하고 관리하는 사람에 따라 다릅니다.

"전자 상거래 운영자"는 "전자 상거래 법률"의 개념으로, 전자 상거래 플랫폼 운영자, 플랫폼 내 운영자 및 자체 판매 웹 사이트 및 기타 네트워크 서비스를 통해 상품을 판매하거나 서비스를 제공하는 전자 상거래 운영자를 포함하여 정보 네트워크를 통해 상품을 판매하거나 서비스를 제공하는 자연인 및 조직을 지칭합니다.[42]많은 호텔에 자체 웹 사이트 예약 채널이 있다는 점을 고려할 때이 호텔은 자체 제작 된 웹 사이트를 통해 서비스를 제공하는 전자 상거래 운영자 여야합니다. 호텔 관리 회사 나 호텔 소유자가 전자 상거래 운영자이든, 예약 서비스를 제공하는 자체 제작 된 웹 사이트를 소유 한 사람에 따라 다릅니다. 일반적으로 국제 호텔 체인 브랜드의 웹 사이트 시스템은 관리 회사가 운영합니다.

"개인 정보 컨트롤러"및 "공통 개인 정보 컨트롤러"는 "개인 정보 보안 사양"의 개념입니다. "개인 정보 컨트롤러"는 개인 정보를 처리하는 목적과 방법을 결정할 권리가있는 조직 또는 개인을 말합니다. GDPR과 마찬가지로 "개인 정보 보안 사양"에는 공통 개인 정보 컨트롤러의 개념이 있습니다. 구체적인 정의는 없지만 개인 정보 컨트롤러와 제 3자가 공동 개인 정보 컨트롤러 일 때 개인 정보 컨트롤러는 계약 및 기타 양식을 통해 제 3 자와 충족 될 개인 정보 보안 요구 사항뿐만 아니라 개인 정보 보안에있어서 각각의 책임과 의무를 공동으로 결정해야한다고 규정합니다. 따라서 호텔 소유자가 호텔 관리자와 고객의 개인 정보 처리의 목적과 방법을 공동으로 결정할 수 있다면 호텔 소유자는 일반적인 개인 정보 컨트롤러이며 고객은 강원 랜드 보안 손해에 대한 보상을 청구 할 수 있습니다. 그러나 소유자는 호텔 관리자와의 계약에서 내부 책임 부서에 동의 할 수 있습니다. 개인 정보 보안 코드에는 강원 랜드 프로세서 개념이 없기 때문에 타사 기술 도구 제공 업체 (예 : 웹 페이지 또는 애플리케이션에 통계 분석 도구를 배포하는 웹 사이트 운영자 및 타사 플러그인과 같은)도 예에서 일반적인 개인 정보 컨트롤러로 간주됩니다. 따라서 호텔 관리자 또는 소유자가 사용하는 제 3 자 시스템은 일반적인 개인 정보 컨트롤러로 간주 될 수 있습니다[43]

위의 복잡한 강원 랜드 보안 준수 요구 사항 및 잠재적 규정 준수 책임을 고려할 때 호텔 업계의 강원 랜드 관리자는 계획을 조기에 만들어야합니다.

• 호텔에서 개인 강원 랜드 보호의 현재 상태를 정렬합니다. 호텔 산업은 개인 강원 랜드 집약적 인 산업이므로 개인 정보 보안의 영향을 평가하고 정리하는 데 좋은 일을하는 것이 좋습니다. "개인 정보 보안 사양"은 개인 정보 컨트롤러가 "개인 정보 보안 영향 평가 시스템을 설정하고 개인 정보 보안 영향 평가를 정기적으로 (적어도 1 년에 한 번) 수행해야한다고 언급했습니다.[44]대형 체인 호텔의 경우, 중국 법이 요구하는 전임 강원 랜드 보호 공식 직책 및 개인 정보 보호 업무 조직의 설립에 해당하는 전용 강원 랜드 보호 공식 직책을 설립 해야하는 GDPR의 범위에 빠질 수 있습니다.

   

• 개인 정보 보호 정책, 회원 계약 및 손님과의 기타 계약, 호텔 및 공급 업체 및 타사 강원 랜드 처리 기관 간의 계약에주의를 기울이고, 수집, 개인 강원 랜드 처리 등에주의를 기울입니다. 필요한 최소 게스트 정보를 수집하고 GDPR의 요구 사항에 따라 명확하고 명확하며 이해하기 쉬운 방법으로 표현하십시오.

   

• 게스트 강원 랜드의 수집 및 처리에 대한 의무 당사자 및 책임 당사자는 호텔 소유자와 호텔 관리자 간의 계약에 명확하게 규정되어 있습니다.

   

• 호텔의 기술 수단이 GDPR에 따라 손님의 권리를 실현할 수 있도록 호텔 정보 기술 시스템을 확인하고 업그레이드하십시오.

   

• 강원 랜드 유출보고 시스템 및 비상 계획을 수립하고 향상시킵니다. 개인 강원 랜드의 유출과 관련하여 GDPR은 규제 당국에보고하고 발생할 수있는 위험의 정도에 따라 강원 랜드 주제에 알릴 것을 규정합니다. 그렇지 않으면 처벌됩니다. 따라서 기업은 합리적인 기술 및 조직 위험 관리 조치가 필요합니다.

   

• 네트워크 보안 수준 보호 시스템의 요구 사항에 따라 보안 보호 의무를 수행합니다. 대형 체인 호텔의 정보 시스템은 대규모 고객 강원 랜드를 저장하며 "사이버 보안법"의 요구 사항에 따라 강원 랜드 보호 전략을 수립해야합니다. "정보 보안 기술의 네트워크 보안 수준 보호를위한 기본 요구 사항"에 따라 강원 랜드 보호를 구현하는 것이 좋습니다.

   

• 강원 랜드 보안 실사의 필요성. 호텔 업계에서 GDPR 및 중국 법률의 개인 정보 보호 및 법 집행에 중점을 두어 인수 당사자의 대상 회사 강원 랜드 거버넌스의 규정 준수 실사는 점점 더 중요한 입장에서 언급되어야합니다. M International Hotel Group의 처벌에 대한 ICO의 태도와 마찬가지로 인수자는 인수 한 대상 회사에서 개인 강원 랜드를 보호 할 책임이 있습니다. 이를 위해서는 인수자가 합병 및 획득 거래 중에 충분한 강원 랜드 준수 실사를 수행하고이를 기반으로 합병 및 획득 거래에서 적절한 책임 메커니즘을 설정해야하므로 획득 및 좋은 시스템을 설계 한 후 강원 랜드 규정 준수 관리를위한 견고한 토대를 마련해야합니다.

[1]http://www.enforcementtracker.com/ (액세스 : 2019 년 9 월 2 일) 참조

[2]ICO 공식 웹 사이트 https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intustion-to-fine-british-wayways/ (Accessed : 2019 년 8 월 30 일)의 관련 진술을 참조하십시오.

[3]ICO 공식 웹 사이트 https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-tintention-ton-ton-marriott-international-ninc-more-than-than-than-million- undergdpr-frocrech/----과-S-S-s- S-s- S-s- S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S- S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-SPREATE 2019)

[4]GDPR 제 51 조는 각 회원국이 GDPR의 이행을 감독 할 책임이있는 하나 이상의 독립적 인 공공 기관을 설립해야한다고 규정하고있다. GDPR 제 56.1 조 및 60.1 조에 따르면, 강원 랜드 컨트롤러 또는 프로세서의 주요 비즈니스 조직 또는 단독 비즈니스 조직이 위치한 규제 기관은 주요 규제 기관으로 작용해야합니다. 주요 규제 기관은 다른 관련 규제 기관과 협력하고 합의에 도달하기 위해 노력해야합니다.

[5]유럽 강원 랜드 보호위원회의 공식 웹 사이트 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en (Accessed : 2019 년 8 월 30 일)

[6]GDPR에는 총 99 개의 주요 기사 (기사)와 173 개의 인용 (Recital)이 있습니다. 인용 조항은 본문이 아니지만 본문 조항에 대한 배경 설명과 구체적인 설명이 설명되고 설명됩니다.

[7]GDPR 제 23 조를 참조하십시오.

[8]GDPR 제 24 조를 참조하십시오.

[9]GDPR 정의 기사 제 4 조를 참조하십시오.

[10]GDPR 제 26 조를 참조하십시오.

[11]http://www.enforcementtracker.com/ (액세스 : 2019 년 8 월 30 일) 참조

[12]GDPR 제 9 조 및 51 조를 참조하십시오.

[13]사이버 보안법 제 76 조를 참조하십시오.

[14]"정보 보안 기술 개인 정보 보안 사양"의 부록 B를 참조하십시오.

[15]GDPR 제 13 조 13 조를 참조하십시오.

[16]GDPR 제 15 조 참조.

[17]GDPR 제 16 조를 참조하십시오.

[18]GDPR 제 17 조를 참조하십시오.

[19]GDPR 제 20 조를 참조하십시오.

[20]GDPR 제 101 조를 참조하십시오.

[21]유럽위원회 공식 웹 사이트 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimensional-protection/adequacy-decisions_en (Access Date : August 30, 2019)의 관련 내용을 참조하십시오.

[22]유럽위원회의 공식 웹 사이트 관련 콘텐츠 정보 https://www.privacyshield.gov/program-overview (액세스 날짜 : 2019 년 8 월 30 일)

[23]GDPR 제 46 조를 참조하십시오.

[24]유럽위원회 공식 웹 사이트의 관련 내용 참조https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en（访问日期：2019年8月30日）

[25]유럽위원회의 공식 웹 사이트 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimensional-data-protection/standard-contractual-plauses-sccc_en (Accessed : 2019 년 8 월 30 일)

[26]GDPR 제 40 조 41 조 참조.

[27]제 42 조, 제 43 조, 제 10 조 GDPR 소개.

[28]참조https://www.trustarc.com/products/gdpr-validation/（访问日期：2019年8月30日）

[29]GDPR 제 46.3 조 참조.

[30]GDPR 제 49 조를 참조하십시오.

[31]"EU 내의 강원 랜드 주제"에 대한 위의 판단에 주목하십시오.

[32]GDPR 제 49.1 조 113 조 참조.

[33]소비자 권리 보호법 제 29 조를 참조하십시오.

[34]"전자 상거래 법"제 24 조 및 제 25 조를 참조하십시오.

[35]사이버 보안법 4 장을 참조하십시오.

[36]"개인 정보의 출구 보안 평가 조치 (의견 초안)"제 3 조를 참조하십시오.

[37]사이버 보안법 제 37 조, "개인 정보 및 중요한 강원 랜드의 출구 보안 및 중요한 강원 랜드 (주석 초안) 조치 조치 (주석 초안)"및 "정보 보안 기술 강원 랜드 종료 보안에 대한 지침 (주석 초안)"의 제 9 조를 참조하십시오.

[38]GDPR 제 4 조 26 조 참조.

[39]https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and 조직/의무/컨트롤러 ---processor/what-data-controller-or-data-processor_en을 참조하십시오.

[40]GDPR 제 82.4 조 참조.

[41]사이버 보안법 제 76 조를 참조하십시오.

[42]"전자 상거래 법"제 9 조를 참조하십시오.

[43]"개인 정보 보안 사양"제 3.4 조 및 제 8.6 조를 참조하십시오.

[44]"개인 정보 보안 사양"제 10.2 조를 참조하십시오.