온라인 마켓플레이스 및 클라우드 플랫폼을 위한 전자 증거: 알아야 할 사항

글쓴이 /
EU의 온라인 마켓플레이스 및 클라우드 플랫폼을 위한 전자 증거 규정 준수 그림

그리고 EU 전자 증거 규정(EU) 2023/1543 가 마치 통신사만의 문제인 것처럼 논의되는 경우가 많습니다. 그렇지 않습니다. 다음에서 2026년 8월 18일, 온라인 마켓플레이스, SaaS 플랫폼, 클라우드 스토리지 및 IaaS 제공업체, 호스팅 회사, 소셜 네트워크 및 협업 도구는 모두 명시적으로 범위 내에 있습니다. 플랫폼에서 사용자 데이터를 저장, 처리 또는 전송하고 EU 내 사용자에게 서비스를 제공하는 경우, 촉박한 규제 기한 내에 외교적 중개자 없이 직접 유럽 생산 명령(EPO) 및 유럽 보존 명령(EPOC-PR)을 접수하고 실행할 준비가 되어 있어야 합니다.

지금까지 데이터 요청을 가끔씩 임시적인 법적 문제로 처리해 온 플랫폼에게는 획기적인 변화입니다. 독일 연방 법무부에서만 대략 다음과 같이 추산합니다. 독일 내 9,000개 기업 가 해당 범위에 포함되며, 나머지 EU 국가에서도 비슷한 숫자가 적용됩니다. 이 가이드에서는 어떤 플랫폼이 영향을 받는지, 어떤 종류의 주문이 예상되는지, 특히 마켓플레이스와 클라우드 제공업체에 규정이 요구하는 사항과 규정을 준수하는 운영 모델을 제때 구축하는 방법을 정확하게 설명합니다.

어떤 온라인 플랫폼이 전자 증거의 범위에 포함되나요?

이 규정은 최신 온라인 서비스의 현실을 포착하기 위해 의도적으로 광범위하고 기술 중립적인 정의를 사용합니다. 플랫폼 운영자와 가장 직접적으로 관련된 범주는 다음과 같습니다:

  • 온라인 마켓플레이스 - B2C 마켓플레이스, P2P 거래 플랫폼, 티켓팅 플랫폼, 공연 및 주문형 마켓플레이스, 대여 플랫폼 등 제3자가 소비자에게 상품이나 서비스를 제공할 수 있도록 하는 모든 플랫폼입니다.
  • 클라우드 컴퓨팅 및 스토리지 제공업체 - IaaS, PaaS 및 SaaS 제공업체, 개체/파일 스토리지 서비스, 백업 및 재해 복구 제공업체, 관리형 데이터베이스 서비스.
  • 호스팅 제공업체 - 관리형 호스팅, 전용 서버, VPS, 콘텐츠 전송 네트워크, 엣지 플랫폼이 있습니다.
  • 소셜 네트워크 및 온라인 커뮤니티 - 포럼, 데이트 앱, 전문 네트워크, 소셜 기능이 있는 게임 플랫폼, 크리에이터/스트리밍 플랫폼 등이 있습니다.
  • 사용자 데이터를 저장하는 정보 사회 서비스 - 협업 제품군, 파일 공유 도구, 프로젝트 관리 플랫폼, 로우코드/노코드 플랫폼, 프롬프트 또는 결과물을 유지하는 AI 제품 등입니다.
  • 인터넷 도메인 및 IP 번호 지정 서비스 - 레지스트리, 등록기관, 개인정보 보호/프록시 서비스, RIR 및 DNS 공급업체를 포함합니다.
  • 숫자와 무관한 대인 커뮤니케이션 - 대형 제품에 내장된 오버더톱 메시징, 화상 회의 및 채팅 기능입니다.

결정적으로, 이 규정에서는 “실질적인 연결” 테스트EU에 위치한 사용자에게 서비스를 제공하고 현지화된 가격, 언어 또는 마케팅 등을 통해 EU 시장을 타깃으로 하는 경우, 법인 등록 위치와 관계없이 적용 대상에 포함됩니다.

당국은 어떤 종류의 데이터를 요청하나요?

규정은 전자 증거의 네 가지 범주를 구분하며, 각 범주마다 기준과 안전장치가 다릅니다:

  1. 구독자 데이터 - 신원, 연락처, 청구 정보, 사용한 서비스 유형 및 등록 날짜.
  2. 사용자 식별을 위한 목적으로만 요청된 데이터 - 개인 식별을 위해서만 사용되는 IP 주소 및 액세스 로그.
  3. 트래픽 데이터 (식별 데이터 제외) - 연결 로그, 거래 메타데이터, 디바이스 ID, 타임스탬프 및 라우팅 정보.
  4. 콘텐츠 데이터 - 목록, 메시지, 업로드된 파일, 사진, 문서, 거래 기록 및 기타 실질적인 콘텐츠를 포함합니다.

모든 범죄 행위에 대해 가입자 및 신원 데이터가 요청될 수 있습니다. 트래픽 및 콘텐츠 데이터는 최소 3년 이상의 구금형에 처해질 수 있는 범죄 또는 규정된 심각한 사이버 범죄, 테러, 아동 성 학대, 조직 범죄에 해당하는 범죄에 대해 유보됩니다. 마켓플레이스와 클라우드 플랫폼은 일반적으로 이 네 가지 범주를 모두 보유하고 있으므로 정확한 데이터 매핑은 기본적인 규정 준수 작업입니다.

마켓플레이스 및 클라우드 플랫폼의 일반적인 전자 증거 시나리오

온라인 마켓플레이스 사기

사기 범죄를 추적하는 수사관은 마켓플레이스 운영자에게 판매자의 신원, 등록 IP, 거래 내역, 피해자와의 메시지 스레드 등을 요청합니다. 가입자 및 트래픽 데이터는 표준 10일 이내에 제공되며, 메시지 및 사진과 같은 콘텐츠 데이터는 심각한 범죄에 대비하여 추가적인 안전장치가 필요합니다.

클라우드 플랫폼에서의 랜섬웨어 및 인프라 악용

랜섬웨어 공격을 수사하는 검찰은 클라우드 공급업체에 의심스러운 테넌트에 대한 컨트롤 플레인 로그, 인스턴스 메타데이터, 청구 신원 및 스토리지 액세스 로그를 요청합니다. 이러한 요청은 일반적으로 다음과 같이 도착하는 시간이 매우 중요한 요청입니다. 8시간 기한이 있는 긴급 EPO.

온라인 아동 안전 조사

소셜 또는 콘텐츠 플랫폼의 아동 성적 학대 관련 자료에 대한 조사는 일반적으로 신원 확인 명령과 콘텐츠 제작 및 보존 명령을 결합하여 진행됩니다. 이러한 사건은 규정의 신속 처리 채널의 혜택을 받지만 최고 수준의 무결성 및 관리 체계가 요구됩니다.

계정 탈취 및 대규모 피싱

당국은 조사 초기에 보존 명령(EPOC-PR)을 발령하여 생산 명령이 준비되는 동안 로그와 계정 데이터를 잠글 수 있습니다. 플랫폼은 정상적인 보존 또는 분석 워크플로우에 지장을 주지 않으면서 특정 데이터세트를 60일 동안 보존할 수 있어야 하며, 30일 더 연장할 수 있어야 합니다.

비 EU 제공자 챌린지: 지정 시설

EU 외부에 본사를 둔 플랫폼의 경우, 가장 중요한 요건 중 하나는 지침(EU) 2023/1544에 따라 다음을 지정해야 하는 의무입니다. 공식 기관 또는 법적 대리인 회원국에 있습니다. 이 지정된 법인은 모든 EPO 및 EPOC-PR의 서비스 주소이며 규정 준수에 대한 책임이 있습니다.

  • 지정된 사업장이 없으면 합법적으로 명령을 받을 수 없고, 이의를 제기할 수 없으며, 자동 미준수 및 최대 다음과 같은 벌금이 부과될 수 있습니다. 21조8천억 달러의 글로벌 연간 매출.
  • 지정된 법인은 관할 국가 기관에 등록해야 합니다(독일에서는 공정거래위원회; 다른 회원국에도 이와 동등한 규정이 있음).
  • 규정 기한 내에 주문을 처리할 수 있는 권한과 운영 능력이 있어야 합니다.
  • 글로벌 법무, 보안 및 엔지니어링 팀과 원활하게 협력해야 하며, 시간대가 다른 경우가 많습니다.

많은 비유럽연합 플랫폼의 경우 가장 효율적인 솔루션은 서비스형 시설 지정 합의: 규제를 받는 EU 파트너가 귀사의 연락 창구 역할을 하며 연중무휴 24시간 주문을 접수하고 주문을 검증 및 분류하며 플랫폼 측면의 지식이 필요한 실질적인 결정에 대해서만 사내 팀에 에스컬레이션합니다.

마켓플레이스 및 클라우드 플랫폼에 대한 운영 요구 사항

규정 준수는 단순한 서류 작업이 아닙니다. 10일의 표준 마감일과 8시간의 긴급 마감일을 안정적으로 지키기 위해 플랫폼은 일반적으로 다음이 필요합니다:

  • 안전한 인입 인터페이스 에 연결 전자 코덱스, 디지털 서명 및 발급 기관 자격 증명에 대한 자동화된 유효성 검사 기능을 제공합니다.
  • 시스템 간 데이터 검색 레거시 및 최신 데이터 저장소에서 구독자, 식별, 트래픽 및 콘텐츠 데이터를 찾을 수 있습니다.
  • 표준화된 내보내기 형식 데이터 형식에 대한 위원회의 이행법과 일치합니다.
  • 암호화된 배달 확인 가능한 영수증 및 감사 등급 로깅과 함께 e-CODEX를 통해 다시 전송합니다.
  • 조작이 명백한 감사 추적 증거 무결성 및 사후 규제 검토에 필수적인 접수부터 전달까지의 모든 작업을 포괄합니다.
  • 연중무휴 24시간 대기 중인 법률 및 엔지니어링 대응팀, 를 사용하여 긴급 명령을 위한 연습용 런북을 만들 수 있습니다.
  • 데이터 최소화 제어 GDPR 5조에 따라 구체적으로 주문된 사항만 공개하도록 합니다.
  • 투명성 보고 초대형 온라인 플랫폼(VLOP) 및 초대형 온라인 검색 엔진(VLOSE)에 대한 디지털 서비스 법에 부합합니다.

이 모든 기능을 자체적으로 구축하는 것은 대형 플랫폼의 경우 가능하지만, 대부분의 마켓플레이스와 클라우드 제공업체는 전용 솔루션의 이점을 누릴 수 있습니다. 그리고 ICS 전자 증거 규정 준수 플랫폼 는 수집부터 유효성 검사, 추출, 검토 및 전달에 이르는 전체 수명 주기를 다루며 기존 ID, 로깅 및 저장 시스템과 통합됩니다.

클라우드 서비스 제공업체를 위한 특별 고려 사항

클라우드 제공업체는 순수 콘텐츠 플랫폼이 직면하지 않는 여러 계층의 문제에 직면해 있습니다:

  • 멀티테넌시 및 격리: 프로덕션은 기술적으로나 계약상 다른 테넌트를 노출시키지 않고 단일 고객의 데이터를 타겟팅해야 합니다.
  • 고객이 제어하는 암호화: 고객이 자체 키(BYOK/HYOK)를 보유하고 있는 경우, 제공업체는 콘텐츠 데이터를 실제로 생성할 수 없을 수 있으며 이러한 제한 사항을 문서화하여 전달해야 합니다.
  • 공동의 책임: 계약 및 데이터 처리 계약에는 어떤 당사자가 어떤 데이터에 대한 법 집행 명령을 받고 집행할 책임이 있는지 명확하게 명시해야 합니다.
  • 고객 알림: 상업 고객, 특히 기업 B2B 고객은 발급 기관에서 부과하는 기밀 유지 의무에 따라 액세스 요청에 대한 알림을 받을 계약상의 권리가 있는 경우가 많습니다.
  • 지역 간 복제: 데이터는 여러 회원국 또는 제3국에 존재할 수 있으며, 이로 인해 EU 명령과 제3국 법률 간의 잠재적 충돌이 발생할 수 있습니다(“제17조 검토”).

온라인 마켓플레이스에 대한 특별 고려 사항

  • 판매자 인증 데이터 (KYC, 사업자 등록, 세금 ID)는 조사관에게 가장 가치가 높은 가입자 데이터인 경우가 많으며 쉽게 추출할 수 있어야 합니다.
  • 목록 및 메시지 는 일반적으로 콘텐츠 데이터이며 더 높은 위반 심각도 임계값을 생성해야 합니다.
  • 결제 데이터 는 시장 자체보다는 PSP와 함께 있을 수 있으므로 누가 어떤 주문에 응답하는지 명확히 하는 것이 필수적입니다.
  • 해외 판매자 소비자 보호, 부가가치세 및 DSA 의무와 중복될 수 있으므로 전자 증빙은 이러한 프로그램과 중복되지 않고 통합되어야 합니다.

규정 미준수에 대한 처벌

회원국은 효과적이고 비례적이며 설득력 있는 벌금을 부과해야 합니다. 이 규정은 다음에서 행정 벌금을 벤치마킹합니다. 공급업체의 전 세계 연간 매출액의 최대 2%. 중규모 SaaS 플랫폼의 경우 수천만 유로를 의미할 수 있으며, 하이퍼스케일러와 대형 마켓플레이스의 경우 헤드라인 수치가 재무 보고에 중요한 영향을 미칩니다. 반복적인 장애는 벌금 외에도 법원 명령, 규제 조치, 기업 고객, 파트너 및 투자자에게 심각한 평판 손상을 초래할 수 있습니다.

플랫폼을 위한 2026년 8월까지의 6개월 로드맵

  1. 1-2개월 - 범위 및 데이터 매핑. 범위 내에 있는 엔티티와 서비스를 확인하고, 구독자/식별/트래픽/콘텐츠 데이터를 시스템 간에 매핑하고, 격차를 파악합니다.
  2. 2-3개월 - 법적 기반. EU 사업장을 지정하고, 관할 기관에 등록하고, 계약, DPA, 약관 및 법 집행 지침을 업데이트하세요.
  3. 3-4개월 - 기술 빌드. e-CODEX와 통합하고, 수집/검증/추출 툴을 배포하고, 감사 로깅을 강화하세요.
  4. 4~5개월 - 운영 준비. 연중무휴 24시간 대응팀을 모집 및 교육하고, 런북을 완성하고, 긴급 도상 훈련을 실시하세요.
  5. 6개월 - 보증. 2026년 8월 18일 이전에 독립적인 규정 준수 감사, 이사회 차원의 승인 및 리허설이 진행됩니다.

자주 묻는 질문

자세한 내용은 전용 전자 증거 FAQ.

소규모 마켓플레이스와 클라우드 스타트업에도 전자 증거가 적용되나요?

예. 일반적인 중소기업 면제는 없습니다. EU 내 사용자에게 범위 내 서비스를 제공하는 경우 직원 수나 매출에 관계없이 범위 내에 포함됩니다. 소규모 플랫폼의 경우 규정 준수 범위를 비례적으로 축소할 수 있지만 핵심 의무인 지정 시설, 접수, 대응 능력은 여전히 적용됩니다.

기존의 법 집행 워크플로우를 그대로 사용할 수 있나요?

아마도 아닐 겁니다. 대부분의 기존 워크플로는 수동 이메일/포털 접수와 몇 주가 소요된다고 가정합니다. 전자 증거 규정은 기존 워크플로에서는 일반적으로 제공하지 않는 전자 코덱스 기반 접수, 시간 단위의 긴급 대응 및 변조 방지 감사 로그를 요구합니다.

데이터가 하위 프로세서 또는 당사 그룹의 다른 부서에서 보유하는 경우 어떻게 하나요?

주문을 받은 제공업체는 이를 실행할 책임이 있습니다. 하위 처리자 또는 계열사가 규정 기한 내에 데이터를 제공하도록 강제할 수 있도록 내부 계약과 데이터 처리 방식을 조정해야 합니다.

엔드투엔드 암호화 서비스는 어떤가요?

이 규정은 제공업체가 암호화를 약화할 것을 요구하지 않습니다. 고객이 보유한 키 또는 진정한 E2E 아키텍처로 인해 콘텐츠 데이터에 액세스할 수 없는 경우에는 이러한 제한 사항을 전달할 수 있지만 액세스 권한이 있는 구독자, 식별 정보 및 메타데이터는 여전히 생성해야 합니다.

ICS가 플랫폼의 준비를 돕는 방법

ICS는 기술 규정 준수 플랫폼지정 시설 서비스 빠르게 성장하는 SaaS 확장부터 글로벌 마켓플레이스 및 하이퍼스케일 클라우드 제공업체에 이르기까지 모든 규모의 플랫폼에 적합합니다. 당사의 통합 솔루션은 e-CODEX 접수, 자동화된 유효성 검사, 다중 시스템 데이터 추출, 암호화된 전송, 변조 방지 감사 로깅 및 연중무휴 관리 운영을 모두 포괄하며, 모두 통합된 프레임워크 내에서 제공됩니다. 전자 증거 규정 준수 프로그램.

지금 ICS에 문의하세요 를 통해 2026년 8월 18일 마감일에 대한 명확한 로드맵과 함께 플랫폼에 대한 독립적인 전자 증거 준비도 평가를 받을 수 있습니다.

관련 게시물

위로 스크롤
ICS
제공  GDPR 쿠키 규정 준수
개인정보 개요

본 웹사이트는 사용자에게 최상의 사용자 경험을 제공하기 위해 쿠키를 사용합니다. 쿠키 정보는 사용자의 브라우저에 저장되며, 사용자가 웹사이트에 다시 방문할 때 사용자를 인식하고 사용자가 가장 흥미롭고 유용한 웹사이트 섹션을 이해하는 데 도움을 주는 등의 기능을 수행합니다.