데이터 요청 개요

본 번역 텍스트는 정보 제공 목적으로만 사용되며, 영어 버전과 일치하지 않는 부분이 있는 경우 영어 버전이 적용됩니다.

Slack은 신뢰와 투명성을 지키기 위해 노력합니다.

다음 문서 및 FAQ에서는 정부 및 사법 집행 기관에서의 데이터 요청, 그리고 민간 제3자로부터의 데이터 요청에 대한 당사의 정책 및 지침을 찾을 수 있습니다. 또한 당사가 받은 요청의 수 및 이에 대한 당사의 응답에 대한 연간 보고서도 찾을 수 있습니다.

데이터 요청 정책

신뢰와 투명성을 위한 당사의 노력의 일환으로, 데이터 요청 정책에서는 고객 데이터 요청에 대응하는 Slack의 정책 및 절차를 설명합니다. 이 정책은 제3자 데이터에 대한 요청, 사법 당국으로부터의 요청, 고객 통지 및 데이터에 대한 국제 요청과 관련된 당사의 관행을 안내합니다.

투명성 보고서

Salesforce는 Slack을 포함한 Salesforce 계열사가 전년도에 받은 법 집행 기관 및 정부의 요청에 대한 정보를 매년 게시합니다. 이러한 투명성 보고서에는 고객 비밀유지에 대한 Salesforce의 기본 원칙, 연간 받은 요청 수 및 응답에 관한 데이터가 요약되어 있습니다. 이전 년도의 투명성 보고서는 Slack의 법적 아카이브에서 찾을 수 있습니다.

자주 묻는 질문

Slack은 정부 및 법 집행 기관으로부터의 요청을 어떻게 처리하나요?

Slack은 개인정보 처리방침서비스 약관에 설명된 것처럼 온라인 업무환경 생산성 플랫폼입니다. 정부 또는 사법 집행 기관으로부터 유효한 법적 절차를 받는 경우, 해당 법률에 따라 사용자 데이터를 제공할 의무가 있을 수 있습니다. 당사의 데이터 요청 정책에는 이러한 요청과 관련된 당사의 요구 사항이 설명되어 있으며, 투명성 보고서에는 당사가 매년 정부 및 법 집행 기관으로부터 받는 요청의 유형 및 분량이 표시됩니다.

법적 절차는 어디에 보내야 하나요?

사법 집행 및 정부 기관(국제 정부 및 사법 집행 기관 포함)으로부터의 모든 요청은 다음과 같은 당사의 법적 절차 이메일 별칭으로 보낼 수 있습니다. legalprocess@slack.com

Slack이 내 요청을 처리하기 위해 필요한 정보는 무엇인가요?

모든 조건 및 해당 법적 요구 사항에 더해, 모든 법적 절차 요청에는 다음 정보가 포함되어야 합니다. (가) 정부 기관 또는 사법 집행 기관, (나) 관련된 범죄 또는 민사 사건, (다) 관련된 고객 및 사용자 이름, 날짜 범위, Slack 워크스페이스 URL(slackname.slack.com), 그리고 구하려는 데이터의 유형을 포함하는 Slack 워크스페이스에 대한 정보 식별. 또한 요청은 정부에서 발행한 이메일 주소로부터 발신되어야 하며 요청하는 관료의 완전한 연락처 정보가 포함되어야 합니다.

Slack이 법 집행 요청을 받으면 어떻게 되나요?

당사는 사용자 개인 정보 보호를 고려하여 모든 요청에 대해 법적 충분성을 면밀히 검토합니다. Slack은 분명하지 않거나, 지나치게 광범위하거나, 적절하지 않은 요청을 거부하거나 이의를 제기할 수 있습니다.

정부 및 사법 집행 기관에 얼마나 자주 데이터를 제공하나요?

당사의 투명성 보고서에는 당사에서 매년 받는 요청의 수가 설명되어 있습니다. 현재 보고서는 2019년 1월 1일부터 12월 31일까지를 다루며 해당 연도에 받은 소환장, 영장 및 기타 데이터 요청의 수가 명시되어 있습니다. 보고서에는 콘텐츠 및 비콘텐츠 데이터 등, 당사에서 제공한 정보의 유형도 포함되어 있습니다.

통신 감시를 수행하는 데 사법 집행 기관 및 정부 기관을 지원하나요?

Slack은 고객에 대해 실시간 감시를 수행하거나, 자발적으로 정부 기관에게 감시 목적을 달성하기 위해 데이터를 액세스하는 권한을 제공하지 않습니다. 자세한 정보는 당사의 투명성 보고서를 읽어보세요.

Slack은 FISA § 702에 따라 “업스트림” 또는 일괄 감시 명령을 받을 자격이 있나요?

아니요. 미국의 다른 모든 커뮤니케이션 플랫폼과 마찬가지로, Slack은 고객에게 서비스를 제공할 때 ECS(Electronic Communications Service) 또는 RCS(Remote Computing Service)(각각 Title 18 U.S.C.의 Section 2510 및 2711)에 해당합니다. 따라서 미국 정부는 FISA § 702에 따라 Slack을 대상으로 한 지침을 적용할 수 있습니다.

하지만 Slack은 “업스트림” 감시에 대해 702 명령을 받을 자격이 없습니다. 미국 정부가 FISA § 702를 적용함에 따라, 미국 정부는 제3자를 위해 트래픽을 운반하는 인터넷 백본 제공자를 통해 흐르는 트래픽을 대상으로만 업스트림 명령을 사용합니다. https://fas.org/irp/offdocs/pclob-702.pdf에서 Foreign Intelligence Surveillance Act(2014년 7월 2일) pp. 35-40의 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702를 참조하세요. Slack은 자체 고객과 관련된 트래픽만 운반하므로 그러한 백본 서비스를 제공하지 않습니다. 따라서, Schrems II 결정에서 기본적으로 다루며 문제가 있는 것으로 간주되는 유형의 주문을 받을 자격이 없습니다.

Slack은 Executive Order 12333에 따른 미국 당국의 정보 일괄 수집을 지원하나요?

Slack은 행정명령 제12333호(Executive Order 12333)에 의거해 감시 활동을 수행하는 미국 정부 기관들에게 어떠한 지원도 제공하지 않습니다. 또한 행정명령 제12333호는 이러한 활동에 대한 지원을 민간 회사에 강제할 수 있는 권한을 미국 정부에게 부여하지 않으며, Slack은 이러한 지원을 자발적으로 제공하지 않을 것입니다. 따라서, Slack은 행정명령 제12333호에 따른 대규모 감시를 조장하는 조치를 취하지 않으며, 이러한 조치를 취하도록 명령받을 수도 없습니다.

Slack은 전송 중인 데이터 및 유휴 상태의 데이터를 어떻게 보호하나요?

Slack은 전송 중인 데이터를 승인 없이 가로채거나, 감시하거나, 다른 방법으로 액세스하려는 노력을 무효화하기 위해 다양한 기술적 및 조직적 방법을 활용합니다. 예를 들어, Slack은 데이터의 모든 전송을 암호화하여 데이터가 이동하는 중에 전송 메커니즘에 물리적인 액세스를 획득할 수 있는 정부 기관 등의 제3자가 이러한 데이터를 획득하지 못 하도록 방지합니다. Slack은 HTTPS에서 TLS 1.2를 통한 안전한 데이터 전송만을 활용합니다. 이 기능은 항상 활성화되어 제3자가 두 엔드포인트(Slack 및 당사의 고객) 간의 데이터 전송에 간섭하거나 도청하는 것을 제한합니다.

당사의 Enterprise Key Management 워크스페이스는 변경할 수 없는 감사 로그를 만들어 데이터에 액세스할 때마다 고객에게 알림으로써 추가적인 예방 대책을 제공합니다. EKM 콘텐츠를 보존하거나 생성하면 고객이 사용할 수 있는 액세스 로그에 관찰 가능한 항목이 트리거됩니다. 고객은 또한 암호화 키를 철회하여 암호화되지 않은 콘텐츠에 대한 액세스를 방지할 수도 있습니다.

미국 CLOUD Act의 통과로 인해 Slack이 미국 정부의 법적 요청에 대응하는 방법에 영향이 있나요?

아니요. 2018년에 제정된 CLOUD Act는 미국 사법 집행 기관의 요청에 대한 지리적 범위를 명시했으며 Slack과 같은 회사가 특정 상황에서 해외 법과 상충하는 요청에 이의를 제기하는 법정 기반을 만들었습니다. CLOUD Act는 사용자 데이터에 대한 기존 법적 및 개인 정보 보호를 변경하지 않았으며, Slack은 CLOUD Act에 따라 발행된 것을 포함하여 모든 법적 절차에 대해 동일하게 엄격한 검토를 적용합니다.

사법 집행 기관 또는 정부 기관으로부터의 법적 절차에 대응하여 어떠한 유형의 데이터를 공개할 수 있나요?

콘텐츠 데이터에는 공개 및 비공개 메시지, 게시물, 파일 및 다이렉트 메시지 등 사용자가 생성한 데이터가 포함됩니다. Slack은 사법 집행 기관에 그러한 데이터를 제공하기 위해서는 수색 영장을 요구합니다.

비콘텐츠 데이터는 기본 계정 정보(예: 이름, 이메일 주소, 프로필 정보, 등록 정보, 로그인 이력 및 청구 주소) 및 기타 비콘텐츠 메타데이터(예: 날짜, 시간 및 메시지의 발신인/수신인 또는 파일)입니다. 요청된 데이터의 유형에 따라, Slack은 이 데이터를 제공하기 위해 의무적인 소환장 또는 법원 명령을 요구할 수 있습니다.

수색 영장, 법원 명령 및 사법 집행 기관 소환장 사이의 차이점은 무엇인가요?

수색 영장은 가능성 있는 원인 발견 시 법관이나 치한 판사가 발급한 명령입니다. 통신 내용을 입수하려면 수색 영장이 필요합니다.

법원 명령은 법원에서 구하려는 데이터가 진행 중인 범죄 수사와 연관성이 있으며 중대하다고 믿을 만한 합리적인 근거가 있음을 정부가 보여준 것을 찾는 경우입니다. 정부는 법원 명령이 있으면 워크스페이스에 대한 메타데이터 및 기본적인 비콘텐츠 데이터를 취득할 수 있지만, 콘텐츠 데이터는 취득할 수 없습니다.

사법 집행 기관 소환장은 승인된 범죄 수사에 대한 지원으로 고객의 이름, 주소, 서비스의 기간, 또는 결제 수단 및 출처 등 제한된 정보의 제공을 위해 정부 기관에서 발행한 의무적인 요구입니다.

정부 및/또는 사법 집행 기관이 Slack에서 삭제된 데이터를 취득할 수 있나요?

일반적으로 그렇지 않습니다. 고객이 삭제된 데이터를 그 보존 설정에 따라 보존하는 경우가 아니라면, 데이터는 삭제 즉시 Slack의 시스템에서 제거됩니다. 데이터가 삭제되면 보안 백업에 제한된 기간(최대 14일이지만 더 짧을 수도 있음) 동안 유지됩니다. 백업 기간이 끝나면 Slack은 당사의 생산 시스템으로부터 모든 정보를 영구적으로 삭제합니다. 완전히 삭제되면 Slack은 정부 및 사법 집행 기관의 요청에 응답하는 목적을 포함하여 그 어떠한 목적으로도 데이터를 가져올 수 없습니다.

Slack은 긴급 요청을 어떻게 처리하나요?

사망 또는 심각한 신체적 부상과 관련된 긴급 상황이며 Slack에 해당 위험을 완화하는 데 필요할 수 있는 데이터가 있다고 생각되는 경우, 인증된 사법 집행 기관 직원은 legalprocess@slack.com으로 문의해야 하며 해당 요청을 평가할 것입니다.

정부 또는 사법 집행 기관에 데이터를 제공하기 전에 고객에게 알리나요?

Slack은 고객에게 알리지 못 하도록 금지되거나 불법적 행위 또는 피해의 위험이 명백하게 나타나는 경우를 제외하고, 고객이 법적인 구제책을 신속하게 구할 수 있도록, 데이터를 공개하기 전에 일반적으로 주 소유자에게 이메일을 보내 고객에게 알립니다.

제3자 또는 민간 기관의 데이터 요청은 어떻게 처리하나요?

데이터를 요청하는 제3자는 Slack 워크스페이스 소유자에게 직접 문의해야 합니다. 가능한 경우 항상, 당사자는 Slack의 개입 없이 요청을 처리하도록 권장됩니다. 워크스페이스 소유자는 적절한 법적 요청을 준수하기 위해 각자의 내보내기를 실행할 수 있어야 합니다. 해당 내보내기와 관련하여 도움이 필요한 경우, 주 소유자는 당사에 문의하여 법적인 필요로 인해 내보내기할 수 있는지 확인할 수 있습니다.

Stored Communications Act, 18 U.S.C. § 2701(이하 참조)는 Slack과 같은 제공자가 통신 콘텐츠를 제3자에 공개하지 못 하도록 엄격하게 제한한다는 점을 참고하세요. 민사 소환장 또는 민사 법원 명령은 SCA에 따라 Slack 워크스페이스에서 콘텐츠를 취득하는 데 충분하지 않습니다.