공공정책 위키(Public Policy Wiki)에 오신 것을 환영합니다


공공정책 위키 시작하기

개인정보 국외이전제도

Public Policy Wiki
둘러보기로 이동 검색으로 이동

개인정보 국외이전제도 개요

국가별 개인정보 국외이전 규제 수준

개인정보 국외이전제도는 정보주체가 해외사업자가 운영하는 서비스를 이용하기 위해 자발적으로 자신의 개인정보를 제공하는 직접적 제공방식과 사업자와 사업자간 계약을 통해 개인정보를 해외로 이전하거나 해외에 서버를 두고 국내에서 수집한 개인정보를 관리하는 간접적 제공방식으로 나누어 볼 수 있다. 현재 국내법상 개인정보 국외이전에 대한 명확한 규정이 부재하여 관련 논의를 진행한 개별 연구마다 상이한 유형을 제안하는 상황이다. 행정안전부의 국외이전 유형 및 사례 조사에서 적용한 유형을 기초로 개인정보 국외이전의 유형을 크게 직접 수집형, 해외 위탁형, 제3자 제공형 등으로 구분하였다. 직접 수집형은 해외 사업자가 서비스 가입 동의 등을 통해 국내에서 수집한 우리나라 국민의 개인정보를 해외에서 직접 수집하여 다양한 목적으로 개인정보를 국외로 이전하는 경우이며 해외 위탁형은 해외 사업자가 자신의 업무와 직‧간접적으로 관련된 업무의 일부를 수행하기 위해 국내에서 수집한 개인정보를 본사의 해외 서버에 저장하여 통합 관리하도록 개인정보를 국외로 이전하는 경우에 해당하며 제3자 제공형은 해외 사업자가 자신의 이익을 위해 국내에서 수집한 개인정보를 수집한 목적과 무관하게 우리나라 국민들의 개인정보를 외국인, 외국기업, 다른 국가의 정부, 국제기관 등 제3자에게 이전하는 경우를 의미한다. 내 개인정보보호법은 제3자 제공에 대해서만 명시적인 규정을 두고 있어 실질적으로 발생하는 개인정보 국외이전의 범위를 모두 다루지 않는다는 한계가 지적되고 있다. 개인정보 국외이전 사례를 업종별로 살펴보면, 크게 온라인 업종, 여행업종, 쇼핑업종, 택배업종, 금융업종, 인사노무 업종으로 구분되며, 특히 국내 서버가 없는 해외 업체(온라인)의 경우 개인정보 국외이전이 가장 빈번한 것으로 파악되고 있다. 현재 개인정보보호법상 개인정보 국외이전과 관련하여 ‘제3자 제공’ 유형에 대해서만 명시적인 규정을 두고 있다. 현행법에 따르면 개인정보를 국외의 제3자에게 “제공”할 때에는 ① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익의 내용을 알리도록 하고 있으며, 동법 제17조제3항에서 제2항 각호에 따른 사항을 정보주체에게 알리고 동의를 받되, 개인정보보호법을 위반하는 내용으로 개인정보의 국외이전에 관한 계약을 체결하여서는 아니 된다고 규정하고 있다. 나머지 유형(직접 수집형, 해외 위탁형)에 대해서는 개인정보보호법을 직접 적용하면 되는데, 이때 직접 수집형의 경우 법정 고지사항을 알리고 동의를 받아야 하고, 해외 위탁의 경우 정보주체의 동의를 받을 필요는 없지만 처리위탁에 관한 규정(제26조)에 따라야 한다. 한편 개인정보보호법은 국외이전된 개인정보가 다시 제3국으로 재이전되는 경우에 대해서는 별다른 규정을 두지 않고 있다.

  • 개인정보 국외이전의 유형
구분 주요내용
자발적 제공형 국외에서 개인이나 기업이 운영하고 있는 사이트에 경제적 이유나 엔터테인먼트를 목적으로 개인정보를 제공
전자상거래형 외에서 운영되고 있는 쇼핑몰 등의 사이트에서 직접 물품이나 서비스를 구입하기 위해 개인정보를 해당 사이트에 제공하는 경우
중개형 외국 기업이 우리나라에 사무소를 두고 직접 소비자 마케팅을 수행하면서 수집한 고객정보를 본사의 데이터베이스에서 관리하는 형태
공유형 외국기업이 한국에 계열사 등을 설립하여 한국에서 소비자 마케팅을 행하면서 고객정보를 본사와 공유하는 형태를 의미
이전형 외국기업이 한국기업과 제휴를 맺고 사업상 필요한 고객 정보를 협력사 또는 제휴사를 통해 수집하는 경우
인수/합병형 한 기업이 기업을 인수 합병하는 경우에 개인정보가 이동하는 경우
제3자 제공형 개인정보를 수집한 기업의 성격이나 영업목적과는 무관하게 우리나라 사람의 개인정보를 외국인, 외국기업 혹은 다른 국가의 정부, 국제기관으로 이전하는 경우
출처 : KISA (2007.11.). APEC CBPRs가 국내에 미치는 영향 연구.

외부링크

근거법령

  • 개인정보보호법: 공포일 2023.03.14 시행일 2023.09.15
  • 제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4., 2023. 3. 14.> 1. 정보주체의 동의를 받은 경우 2. 제15조제1항제2호, 제3호 및 제5호부터 제7호까지에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ③ 삭제 <2023. 3. 14.> ④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률: 공포일 2024.01.23 시행일 2024.01.23
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령: 공포일 2023.12.26 시행일 2023.12.26

해외사례

  • 유럽연합: 2016년 5월 EU의회(European Parliament)에서 승인한 일반개인정보보호규정(General Data Protection Regulation, 이하 “GDPR”)은 EU 집행위원회(Commission)가 입법 절차를 진행한지 4년 만에 승인되었으며 2018년 5월부터 발효되었음, 역내 회원국 대표감독기관의 승인이 있어야 적절한 보호조치를 취한 것으로 인정되는 경우는 개인정보 국외이전 주체의 법적 성격에 따라 ①EU 자연인의 개인정보를 처리하는 처리자(관리자)가 역외 제3자와 체결한 상업적 계약 조항에 의하는 경우와 ② 역내 공공기관이 역외 공공기관과 체결한 행정협약(administrative arrangements) 조문에 의하는 경우 등 2가지로 구분됨, 하지만 상기와 같이 역내 회원국 대표감독기관의 승인을 요하는 경우에는 반드시 개인정보보호법 상의 ‘일관성 메커니즘(consistency mechanism)’을 거쳐야 최종적으로 EU 역내 자연인의 개인정보를 역외로 이전할 수 있음, 이는 민간기업 간 상업적 계약조항 및 공공기관 간 행정협약 조문에 따른 개인정보 국외이전에 대해서는 GDPR이 강화된 적정성심사 절차를 적용함을 의미함, GDPR은 ①해당 이전이 반복적이지 않고, ②제한된 인원의 정보주체에만 관련되며, ③정보주체의 이익 또는 권리와 자유보다 더 압도적으로 우월한 관리자의 정당한 이익을 위해 필요하고, 관리자가 그 이전에 관한 모든 상황을 평가한 후 그에 기초하여 정보보호에 관한 충분한 보호조치를 취한 경우에는 국외이전을 추가적으로 허용하고 있음, 다만, 이 경우 개인정보를 처리하는 자는 감독기구에 해당 이전 사실에 대하여 보고하여야 하며, 정보주체에게 그 이전의 사실과 정당한 이익에 대하여 통지하여야 함, GDPR은 개인정보 국외이전과 관련하여 정보주체의 명시적인 동의는 예외 사항으로 두는 등 개인정보의 처리에 있어 정보주체의 동의를 지양하고 있으며, 적정성 결정 등 동의 이외의 제도를 통한 개인정보처리를 지향하고 있음, EU와 제3국 등과의 관계에서 이루어지는 적정성 결정에 따른 이전과 그 이외에 사업체 단위별로 이루어지는 적절한 보호조치에 따른 이전, 이러한 방식들의 적용을 배제한 특정한 상황에서의 특례에 따른 이전을 GDPR 자체에서 비교적 상세히 규정하고 있음, 개인정보의 국외이전에 있어서 정보주체의 동의와의 관련성을 보면, GDPR에서는 EU의 집행기관인 유럽위원회가 적합성 결정이나 적절한 보호조치의 인정 등에 있어서 주도권을 가지고 결정하고 정보주체의 동의는 명시적으로 하는 경우에 예외적으로 인정되는 수단에 해당함, DPR 하에서 실질적·명시적 동의를 구하는 것이 우리나라 법제에서 동의를 구하는 것에 비하여 어려울 수 있다는 점을 차치하더라도, GDPR이 정보주체의 동의 이외의 국외이전 제도를 구비하고 있다는 점에서 우리나라 법제에 비하여 유연한 태도를 지닌 것으로 볼 수 있음
  • 영국: 영국은 EU 탈퇴 결정 이후에도 EU 개인정보보호 일반규정인 GDPR 규정을 영국 데이터보호법(Data Protection Act)에 반영하기 위해 2018년 5월 시행을 목적으로 데이터보호법 개정 작업을 진행, 영국 정보보호기관인 ICO는 본 법안에 대해 환영의 뜻을 표하고 2017년 10월 9일 이와 관련한 의견(Data Protection Bill, House of Lords second reading – Information Commissioner’s briefing)을 발표하였으며, 데이터보호법 개정의 GDPR을 수용하기 위한 일환으로 진행된 것이므로 영국의 EU 탈퇴(Blexit)가 GDPR 시행 준비에 영향을 주지 않을 것으로 전망한 바 있음, 동 법안의 구체적인 내용을 살펴보면 ①사람들이 자신의 개인정보를 보다 안전하게 통제하고, ②소위 잊힐 권리(right to be forgotten) 등을 통하여 개인정보를 보다 더 강력하게 관리하며, 소셜 미디어 플랫폼에 대해 아동용 또는 성인용 정보를 삭제하도록 요구할 수 있도록 하고 있음, 나아가 ③기업, 공공기관 등에 대해서는 개인정보를 보다 적합하게 관리하고 보안을 유지할 의무를 부과하고, 이를 위반한 경우 엄격하게 제재를 가할 수 있는 권한을 정보위원회(Information Commissioner’s Office, ICO)에 부여하고 있음, 또한 동 법안은 영국 정보위원회(ICO)의 과징금 부과 권한을 강화하고 과징금 액수는 1,700만 파운드 또는 전 세계 매출의 4%에 해당하는 금액으로 상향하여, 중대한 규정 위반에 대해 2,000만 유로 또는 전 세계 매출 4%에 해당하는 금액의 과징금을 부과하기로 한 GDPR 규정과 일치시킴
  • 호주: 호주는 연방법으로서 프라이버시법(Privacy Act 1988)을 두고 있으며, 6개의 자치주와 2개의 특별구별로 별도의 개인정보보호 법규를 제정, 한편, 프라이버시법의 경우 공공과 민간기관 모두에 적용되는 반면 6개 자치주에 적용되는 개인정보보호 법규는 공공 분야에 적용, 프라이버시법은 총 Part 9, Section 100 및 Schedule 1로 구성, 본법의 적용 범위는 호주 연방정부와 호주와의 연결성(Australia link)이 확인되는 소규모 사업자와 민간기관이 호주와 외부 영토(external territory)에서 등록된 APP 코드 및 등록된 CR(Credit reporting) 코드와 관련하여 행해진 행위나 관행에 확장 적용(Section 5A, Section 5B)되는데, 이때 해당 행위가 외국법에 적용받아야 되는 상황에서는 호주 프라이버시 원칙(Australia Privacy Principles, 이하 APP)이나 등록된 APP 코드를 침해하지 않는 것으로 판단(Section 6A, Section 6B), 호주 연결성은 ①호주 시민이나 ②거주 기간이 법적으로 제한되지 않는 호주에 거주하는 사람, ③호주나 외부 영토에서 설립된 사업자(partnership)나 ④신탁(trust), ⑤호주나 외부 영토에 설립된 법인, ⑥호주나 외부 영토에 중앙 관리/통제 조직이 있는 비법인 조합인 경우 해당, 한편, 앞서 언급된 APP 8(cross-border disclosure of personal information)의 Subclause 8.1에 따르면 APP 주체는 호주 및 외부 영토 바깥에 존재하는 주체나 개인이 아닌 해외 수취인*에게 개인정보를 공개하기 전 해외 수취인이 APP를 위반하지 않도록 합리적인 조치를 반드시 취해야 하는데(Subclause 8.1) 단, APP Subclause 8.2에서 명시하고 있는 아래와 같은 경우에는 APP 주체가 해외 수취인에게 개인 정보를 공개함에도 불구하고 Subclause 8.1이 적용되지 않음
  • 일본: 일본은 1990년대 말 이후 정보화 사회에 진입하여, 공공영역과 민간영역에서 보유하는 개인정보의 처리가 용이하게 되어 프라이버시권의 침해, 위험성이 높아지면서 사회적인 문제가 되었고, 민간부분에 대하여 당시 통산성에 의하여 ‘민간부분에 관한 전자계산기처리에 관한 개인정보보호에 관한 가이드라인’이 책정되어 있었고, 공공부분을 규율하는 ‘행정기관이 보유하는 전자계산처리에 관한 개인정보의 보호에 관한 법률’이 존재하였음, 그러나 ‘행정기관이 보유하는 전자계산처리에 관한 개인정보보호에 관한 법률’에는 벌칙규정이 없고, 민간부분을 대상으로 하는 가이드라인은 법적구속력이 없는 등 개인정보보호에는 부족한 상황이었기 때문에 결국, 일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정하였음, 이후 일본에서는 개인정보의 보호와 그 활용의 균형을 도모하면서 개인정보의 활용환경을 정비하여, 빅데이터 시대에 대응하기 위해 개인정보보호법을 전면 개정하여 시행하고 있음, 2015년 3월 10일 ‘개인정보보호법에 관한 법률 및 행정절차에 있어서 특정 개인을 식별하기 위한 번호의 이용 등에 관한 법률의 일부 개정 법률안’을 각의 결정으로 국회에 제출하였고, 이를 바탕으로 2015년 9월 개인정보보호법이 개정됨, 개인정보보호법 시행령, 시행규칙, 기준 등의 세부사항은 개인정보보호위원회에 의해서 만들어졌고, 이후 개인정보보호위원회 주도로 일본 개인정보보호 제공 기준, 익명정보처리기준 등이 마련되어 2017년 5월 30일에 일본 개인정보보호법이 전면 시행, 일본의 구법에서는 개인 데이터의 국외이전에 관한 특별 규정은 존재하지 않았으나, 구글 등의 다국적 기업이 방대한 개인 데이터를 국경을 넘어 이용하거나, 해외 서버에 개인 데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는 자가 국내의 사업자에 제공한 개인 데이터가 본인이 모른 채로 국외로 이전하는 경우가 증대하였음, 일본 개인정보보호위원회는 개인정보보호법에 의거한 사업자의 의무 중, 외국 소재 제3자에의 개인정보 제공에 관한 부분에 구체적인 지침을 제공하고자, ‘개인정보보호법가이드라인 (안): 외국소재 제3자에의 제공편’을 통하여 외국에 있는 제3자에의 개인정보 제공에 대한 구체적인 예시를 들고 있음
  • 싱가포르: 싱가포르에서 방대한 양의 개인정보가 수집·이용·제3자 기관에 전송되고 있어 자신의 개인정보의 수집·이용 및 공개를 관장하기 위한 개인정보보호 체제 수립의 필요성이 대두되어왔음, 싱가포르의 개인정보보호법(Personal Data Protection Act 2012, PDPA)은 2012년 12월 7일에 제정되어 총 4차례의 개정이 이루어졌으며, 개인정보를 다루는 기업들에 적용되는 전반적인 개정법규는 2014년 7월 2일 발효됨, 동 개정을 통하여 “2012년 개인정보보호법”의 핵심 개념 및 주제에 관한 권고적 가이드라인(the Advisory Guidelines on Key Concepts and Selected Topics of the PDPA)의 업데이트 및 2014년 개인정보보호 규칙(Personal Data Protection Regulations 2014)의 도입이 이루어짐, 개인정보보호 규칙에서는 개인정보보호법에서 정한 요건이나 예외에 대하여 보다 구체적으로 규정하고 있음, 싱가포르는 개인정보보호법에 따른 보호와 유사한 수준의 보호를 제공하도록 개인정보보호법에 명시한 요건을 따르는 경우 이외에는 원칙적으로 싱가포르 이외 지역으로의 개인정보의 이전을 금지하고 있음, 싱가포르 이외 지역으로 개인정보를 이전하기 위하여 필요한 조치로서 ①개인정보를 국외로 이전하는 기관은 여전히 통제하거나 보유하고 있는 개인정보와 관련하여 개인정보보호법을 준수하여야 하며 개인정보를 국외로 이전하는 기관은 개인정보를 이전받는 자가 싱가포르 개인정보보호법에 상응하는 정도의 법적 집행이 가능한 보호의무*를 부담하도록 적절한 조치를 취하여야 함
  • 미국: 미국의 개인정보보호체계는 시장 자율 규율(self-regulations) 방식에 입각하고 있으므로, 개인정보보호에 관한 일반법(GDPR)을 갖고 있는 EU 체계와 달리 미국은 공공 부문과 민간 부문을 아우르는 종합적이고도 포괄적인 입법방식을 채택하고 있지 않음, 연방 차원의 대표적인 개인정보보호 관련 법규는 연방정부기관이 보유하고 있는 개인정보 보호에 관한 1974년 프라이버시법(Federal Privacy Act of 1974)이 있으나 이는 공공 부문에만 적용, 연방법 규범이 개인정보를 보호하는 분야는 소비자 신용도 제공, 전기통신, 연방정부 기관의 기록, 교육기록, 은행기록, 케이블가입자 정보, 비디오대여 기록, 자동차 기록, 보건정보, 정보통신 가입자 정보, 온라인상의 어린이 정보, 고객의 금융정보 등에 국한됨, 미국의 경우 전통적으로 개인정보에 대하여 소비자 권리의 일종으로 파악하고 있으며, 이로 인해 일반적인 개인정보에 대한 규율은 연방법 차원에서 소비자 보호란 경쟁법적 측면에서 접근함에 따라 연방거래위원회(FTC)가 개인정보와 관련된 규제를 담당, 원칙적으로 (개별 기업은 어떤 구체적인 개인정보의 보호 방법을 해당 고지의 내용에 포함할지에 대한 자율적 판단이 가능하기 때문에 정보주체의 사전 동의를 반드시 약관의 내용에 포함할 필요가 없으므로) 연방법적 차원에서는 개인정보의 규제에 대해 정보주체의 사전 동의(Opt in)가 아닌 사후철회 방법(Opt out)이 허용된다고 평가되며, 합법적인 개인정보의 매매행위 또한 인정하고 규제하지 않음

연구동향

  • 최경진(2013)의 연구는 개인정보 국외이전에 관한 외국의 입법례로서 UN, OECD, EU, 영국, 미국의 법제와 국내 법제를 검토하고, 이를 바탕으로 합리적인 법제 개선방안을 제안하고자 하였다. 법제 개선방안으로서 개인정보 국외이전의 규율의 불가피성을 인정하면서도, 글로벌 유통에 대한 과도한 규제는 억제하는 방향으로 개선이 이루어져야 한다. 또한 규율대상으로서의 개인정보 범위의 명확화, 규율대상 행위의 명확화, 분리의 원칙 확립, 국외이전 내역 통지 제도의 도입, 공동규제체계의 정립, 당사자 합의에 기초한 규율의 촉진, 거버넌스의 일원화, 한국주도의 국제공조체제 확립, 자율규제 유도 등이 추진되어야 한다.
  • 구태언(2013)의 연구는 최근 급속도로 증가하고 있는 개인정보 국외 이전에 관련된 국·내외의 법제를살펴보고, 개인정보의 국외 이전 현황을 간략히 살펴본 뒤 관련된 문제점을 다양한 각도에서 검토하였다. 개인정보보호 측면에서 살펴보면 세 계 경제의 글로벌화에 더하여 인터넷을기반으로 한 클라우드나 빅데이타 등 정보통신 기술의 급속한 발전, 다국적기업의 독자적인 정보 생태계 구축 등이 상호작용하면서 온라인과 오프라인 양면에서 개인정보의 이전이 급속도로 증가하고 방법과 경로가 다양해졌다. 그러나 우리나라의 개인정보 보호법이나 정보통신망법은 개인정보의 보호에치우친 나머지 국 외 이전과 관련하여 정보주체의 사 전 동의를 요구함으로써법 과 현실의 괴리가 심화되고 있다. 우리나라의 경우 현실적으로 얼마나 많은규모의 개인정보 국외 이전이 발생하는지에 관한 현황도 파악되지 않은 실정이고,한·미 FTA와 한·EU FTA의 체결로 인하여 금융기관에서 보관하고 있는 금융정보가 국외로 이전될 것으로 보인다. 다른 정보들에 비하여 엄격한 규제를 받아왔던개인신용정보에 관한 국외 이전의 빗장이 풀릴 경우 다른 업종과의 차별이 함께문제될 것으로 보인다. 주지하다시피 개인정보의 국외 이전은 피할 수도, 무시할수도 없는 수준이고 개인정보의 국외 이전을 통한 소비자 편익의 증진이라는 긍정적 측면이 있음에도 불구하고, 우리나라는 개인정보 국외 이전의 긍정적 측면은 도외시한 채 개인정보의 보호에만 방점을 두고 국외 이전의 억제에 몰두하고 있다. 패러다임의 변화가 필요한 시점이다. 기본적으로 개인정보 보호법이나 정보통신망법등의 입법취지에 개인정보의 ‘적정한 이용’을 포함시키는 것과 동시에 개인정보의 국외 이전 문제에 관해서도 정보주체의 사전 동의 외에 일정한 조건 하에 자유롭게 이전할 수 있는 장치를 마련할 필요가 있다.
  • 김일환(2013)의 연구는 개인정보 국외이전에 대한 국제적 기준과 내용에 관해 고찰하였다. 구글, 페이스북과 같은 글로벌 사업자, 다(초)국적 기업 및 외국으로 개인정보가 이전됨에 따라서 정보주체의 개인정보자기결정권이 침해될 수 있는 경우에 대비한 권리보호방안을 이제 우리는 마련해야만 한다. 곧 우리는 지식정보사회에서 개인정보가 전 지구적으로 유통되거나 처리되는 상황에서 국외이전에 따른 정보주체 권리보호를 위한 추가적인 보호대책을 마련해야만 한다. 글로벌기업이나 다국적기업 및 각종 무역협정에 따른 개인정보 이전, 내국인개인정보를 이용한 해외 침해사고 등 개인정보가 국외로 이전되거나 유출될 가능성이 증가하고 있으며, 해킹 등에 의한 개인정보 국외유출사고로부터 우리나라 국민의 개인정보를 보호하기 위한 실태조사, 클라우딩 컴퓨팅이나 RFID 등 신기술에 따른 국외이전 보호방안, 해외 유출사고 모니터링 및 침해 대응, 국외이전에 따른 각종 안전지침 및 가이드라인 등 관련 법제의 정비, 국제기구 등과 공조체계를 구축해야 한다. 따라서 우리는 글로벌 사업자 등이 개인정보를 국외로 이전하는 경우 우리나라 개인정보보호법 등의 준수여부를 검토해야만 한다. 또한 글로벌 환경 변화와 서비스 진화에 따른 개인정보보호 수준 제고를 위해 관련 학계 및 업계, 전문기관 등이 개인정보 국외이전의 위험성을 상시 검토하도록 하며 글로벌 서비스 이 용과정에서 개인정보 수집ㆍ이용에 대한 법제정비, 가이드라인의 제시 등 적절한 규제체계를 마련해야만 한다. 그리고 외부적 독립기관인 개인정보보호위원회나 관련 국가기관이 글로벌 기업 등에 대한 감독과 법준수여부를 점검해야만 한다.
  • 김현경(2019)의 연구는 데이터 주권 확보를 위한 개인정보 국외이전 규범의 합리화 방안에 대하여 검토하였다. 데이터 주권의 확보를 위해서는 데이터 시장에서 국제 경쟁력을 득해야 한다. 뿐만 아니라 자국민 데이터에 대한 집행력이 뒷받침되어야 한다. 이를 위해서 자국민 개인정보의 국외이전에 대한 합리적 규범을 설정하는 것은 매우 중요하다. 그러나 이렇듯 중요한 사안에 대하여 현행 법령은 오로지 정보주체의 ‘동의’에 의존하여 개인정보의 국외이전을 규정하고 있다. 현재 국회에서 추진중인 개정안 역시 마찬가지다. 즉 우리나라는 개인정보의 국외이전을 오로지 당사자의 자유로운 의사에만 근거하며 국가가 사전적 통제를 하지 아니하고 있다. 그러나 정보주체의 실질적 의사를 존중하는 수단으로서 ‘사전 동의’는 이미 형식화·형해화 되어 그 실효성에 많은 의문이 제기되고 있다. 특히 개인정보의 국외이전을 정보주체의 ‘동의’에만 의존하는 현행의 규범체계는 유럽시장과의 데이터 교역을 곤란하게 할 수 있다. 따라서 개인정보 국외이전은 ‘데이터 주권 확보’와 ‘데이터 경제 부흥’ 측면에서 볼 때 상호적정성 모델에 따라 규율되는 것이 타당하다. 이러한 상호적정성 모델이 구현되기 위해서는 다음과 같은 입법과제가 해결되어야 한다. 첫째, 개인정보 보호에 대한 역외적용 규정을 신설하되, 상호적정성승인이라는 국가 간 협약을 통해 역외적용 규정의 실효성을 확보하여야 한다. 둘째, 개인정보 국외이전은 개인정보보호의 수준이 우리나라와 동등한 것으로 정부가 승인한 국가 또는 국외 개인정보처리자로의 이전만을 허용하는 것을 원칙으로 하여야 한다. 다만 예외적으로 개인정보가 이전되는 국가 또는 개인정보처리자가 우리 「개인정보 보호법」에 의한 적정성 승인을 득하지 못하였거나 적절한 안전조치를 승인받지 못하였다는 사실 및 이러한 적정성 결정 및 적절한 안전조치의 부재로 인해 정보주체에게 발생할 수 있는 위험이 사전에 명확히 고지된 경우에만 정보주체의 동의에 의한 국외이전을 허용하여야 한다. 한편 상호적정성 모델이 적용될 경우 그 이전대상 국가가 우리나라와 국가차원의 적정성 승인을 득한 경우이거나 이전 기업이 우리정부가 정하는 적절한 안전조치를 취하였다고 인정된 경우 국내에서의 제3자 제공과 동일하게 취급되어야 할 것이다. 그러나 그렇지 못한 국가나 개인정보처리자에게 이전되는 경우 ‘강한’ 동의 규정이 적용되어야 할 것이다. 따라서 「정보통신망법」은 처리위탁ㆍ보관에 의한 국외이전의 경우 ‘사전고지+이용자의 동의’를 득해야 함이 원칙이나, 적정성 결정을 득한 국가 혹은 개인정보처리자로의 이전에 대하여는 별도의 동의 없이 ‘사전고지’만으로 가능하도록 현행 규정은 수정되어야 할 것이다.
  • 신영진(2013)의 연구는 국민의 개인정보가 국경을 넘어 이동하더라도 안전하게 유통되고 보호받을 수 있는 정책과제를 정보주체인 정부, 기업, 국민을 중심으로 제시해 보았다. 이와 관련하여 개인정보보호를 위한 정책과제의 중요도를 조사한 전문가대상의 델파이분석 결과를 보면, 관리적 측면에서는 사이버범죄에 대응하는 초국가적 공조수사체계의 확대되어야 하며, 제도적 측면에서는 개인정보보호의 국제인증제도가 도입되는 것이 중요하다고 보았다. 또한, 정보수요자인 대학생을 대상으로 설문조사한 정보주체중심의 실천과제를 살펴보면, 정부는 개인정보의 국외이전에 따른 관련 법률과 제도를 정비하여야 하며, 기업은 개인정보보호수준을 높이기 위해 지속적인 보호기술을 개발하여야 하고, 국민은 개인정보보호의 중요성을 인식하기 위해 정기적인 교육이 우선되어야 한다. 이처럼 개인정보의 국외이전이 확산됨에 따라 우리나라의 개인정보보호가 강화된다면, 보다 안전한 국가사회를 구현하리라 본다

참고문헌

  • 개인정보보호위원회. (2020). 개인정보 국외이전제도 개선방안 연구. 개인정보보호위원회 연구용역보고서.
  • 최경진. (2013). 개인정보 국외이전에 관한 소고. 법학논총, 20(1), 31-63.
  • 구태언. (2013). 개인정보 국외 이전제도의 현황 및 개선방안 연구. 가천법학, 6(1), 277-312.
  • 김일환. (2013). 개인정보 국외이전에 대한 국제적 기준과 내용에 관한 고찰. 미국헌법연구, 24(1), 125-154.
  • 김현경. (2019). ‘데이터 주권’과 ‘개인정보 국외이전’규범 합리화 방안 연구. 성균관법학, 31(4), 587-631.
  • 신영진. (2013). 개인정보 국외이전에 따른 보호방안에 관한 연구: 정책과제 및 실천과제 도출을 중심으로. 한국지역정보화학회지, 16(4), 71-104.
원본 주소 "https://policywiki.kr/index.php?title=개인정보_국외이전제도&oldid=3871"