세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
개인정보의 국외 이전, 주요 유의사항 짚어보기
  |  입력 : 2017-10-03 12:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보의 국외이전 증가...합리적인 규제 위한 논의 필요

[보안뉴스= 윤아리 김·장 법률사무소 변호사] IT 기술의 발전에 따라 재화나 자본의 국경간 거래뿐 아니라 정보의 국가간 이동도 활발하게 이루어지고 있다. 개인정보의 경우 개인의 프라이버시와 밀접한 관련이 있고 국가별로 전반적인 정보보호 수준에 차이가 있어 많은 국가에서 개인정보의 국경 간 이전에 대한 특별한 규제를 두고 있다. 우리 법의 경우 국외이전에 대해 기본적으로 정보주체의 사전 동의를 요구하고 있으나 적용법률, 국외 이전의 태양에 따라 세부적 차이가 발생하고 있으므로 실무상 주의가 필요하다.

[이미지=iclickart]


개인정보보호법 – 국외 제3자에 대한 제공
국외 제3자에 대한 개인정보 제공 동의
개인정보보호법은 개인정보를 국외의 제3자에게 “제공”할 때에는 아래의 사항을 정보주체에게 알리고 동의를 받도록 하고 있다(제17조 제3항).
-개인정보를 제공받는 자
-개인정보를 제공받는 자의 개인정보 이용 목적
-제공하는 개인정보의 항목
-개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
-동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

실상 개인정보가 국외로 이전되는 경우는 ①제3자 제공형(예컨대 해외 여행업을 하는 사업자가 외국 협력사의 사업목적으로 고객정보를 제공하는 경우, 다국적기업의 한국지사가 수집한 고객정보를 해외 본사의 마케팅 목적을 위하여 본사에 제공하는 경우), ② 해외 위탁형(예컨대 인건비가 저렴한 중국에 자회사를 설치하고 국내 고객DB를 이용한 콜센터 업무를 대행시키는 경우, 다국적기업의 한국지사가 임직원 및 고객 정보를 본사가 관리하는 해외 서버에 저장하는 경우), ③ 직접 수집형(예컨대 해외 쇼핑몰 사업자가 국내 소비자의 개인정보를 해외에서 직접 수집하는 경우) 등으로 구분될 수 있는데, 개인정보보호법은 이 중 ‘제3자 제공형’에 대하여만 명시적인 규정을 두고 있는 셈이다.

‘국외 제3자에 대한 제공 동의’를 ‘제3자 제공 동의’와 별도로 받아야 하는지
개인정보보호법은 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분해 각각 동의를 받아야 한다고 규정하고 있어(제22조), 국외의 제3자에게 개인정보를 제공하는 경우 제3자 제공 동의와 국외 제공 동의를 별도로 받아야 하는지가 문제될 수 있다.

이에 대한 명확한 이론이나 선례는 없으나, 실무상 위 조항은 개인정보의 제3자 제공 동의의 한 유형으로 규정되어 있고, 법상 민감정보나 고유식별정보의 처리에 대하여 명시적으로 별도의 동의가 요구되는 것과 달리 국외 제공에 대하여는 명시적인 규정이 없으며, 동의를 받을 때 고지해야 하는 사항도 제3자 제공과 동일한 탓에 별도의 구분동의를 받는 것으로 해석되지는 않고 있는 것으로 보인다.

즉, 국외의 제3자에게 개인정보를 제공하는 경우, 개인정보의 제3자 제공 동의를 받고 이에 더하여 개인정보의 국외 제3자에 대한 동의를 받는 것이 아니라, 개인정보의 제3자에 대한 동의를 받으면서 ‘개인정보를 제공받는 자’가 ‘국외의 제3자’라는 점을 명확히 알려 하나의 동의를 받으면 충분한 것으로 이해된다.

한편, 하나의 사업자가 국내의 제3자와 국외의 제3자 모두에게 개인정보를 제공하는 경우 이들을 구분하여 각각 별도의 동의를 받아야 하는지도 문제될 수 있는데, 같은 이유로 하나의 제3자 제공 동의 항목으로 구분하면 충분하다고 생각된다.

물론 구분동의 원칙을 엄격히 적용하여 각각의 제3자별 또는 이용 목적 별로 별도의 동의를 받아야 한다는 주장이 있으나(이에 의하면 이들은 당연히 구분되어 각각 별도의 동의를 받아야 한다), 아직까지는 동의 유형별로 한 번의 동의를 받는 형식 즉, 수집 및 이용에 대한 동의, 제3자 제공에 대한 동의 등 각각의 동의 항목에 대하여 동의를 받는 형식으로 동의를 받는 경우가 대부분이고 규제기관에서 이러한 동의 관행을 법 위반으로 제재한 예는 없는 것으로 보인다.

국외 제3자에 대한 위탁, 해외 사업자의 직접 수집
국외 이전의 나머지 두 유형(해외 위탁형과 직접 수집형)에 대하여는 개인정보보호법상 명시적인 규정이 없다. 따라서 이들 국외 이전 유형에 대해서는 별도의 추가적인 국외 이전 절차가 요구되는 것은 아니고, 일반적인 국내 제3자에 대한 위탁이나 국내 사업자의 수집과 동일하게 개인정보의 처리업무 위탁 요건과 수집 요건을 구비하면 될 것으로 보인다.

개인정보의 국외 이전에 관한 계약
한편, 개인정보보호법은 “이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다”고 하고 있다(제17조 제3항). 여기서의 ‘국외 이전’은 앞서 규정된 국외 제3자에 대한 ‘제공’ 보다는 넓은 개념으로 위탁 등도 포함되는 것으로 이해된다. 다만, 이를 위반한 경우에 대한 직접적인 제재 조항은 규정되어 있지 않다.

정보통신망법 – 국외이전(제공, 처리위탁, 보관)
정보통신망법(정보통신서비스 이용자의 개인정보 처리에는 개인정보 보호법에 우선하여 정보통신망법이 적용된다)의 경우 보다 폭넓게 개인정보의 국외이전을 규율하고 있다.

국외이전 동의 원칙
정보통신망법은 이용자의 개인정보를 국외에 ‘제공(조회되는 경우를 포함), 처리위탁, 보관’ 하는 경우 이용자의 동의를 받도록 하고 있다(제63조 제2항). 구법에서는 단순히 개인정보를 ‘국외로 이전’하는 경우 동의를 받도록 하여 국외 이전의 범위에 대한 논란이 있었으나, 작년 9월 23일 시행된 개정법에서는 국외이전의 범위를 ‘국외 제공, 처리위탁, 보관’으로 명확히 하였다. 특히, 종래 해석상 논란이 되어온 ‘조회’도 제공의 한 유형으로 명시했다.

국외이전 동의를 받을 때에는 아래 사항을 모두 이용자에 고지하여야 한다(제63조 제3항).
-이전되는 개인정보 항목
-개인정보가 이전되는 국가, 이전일시 및 이전방법
-개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처)
-개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

정보통신망법상 국외이전 동의의 경우 법상 명시적인 규정은 없으나, 실무상 다른 동의 사항과 구분하여 별도의 동의를 받아야 하는 것으로 이해되고 있다. 즉, 국내 제3자에게 개인정보를 제공하는 경우 개인정보의 제3자 제공 동의를 받으면 되지만, 국외의 제3자에게 개인정보를 제공하는 경우에는 개인정보의 제3자 제공 동의와 개인정보의 국외이전 동의를 각각 받아야 하는 것이다.

해외 사업자의 직접 수집에도 국외이전 동의가 필요한지
구법상으로는 ‘국외이전’의 개념이 명확하지 않아 해외 사업자가 직접 개인정보를 수집하는 경우에도 국외이전 동의를 받아야 하는지가 해석상 논란이 되어 왔다. 예컨대, 해외쇼핑몰 사업자가 해외에서 직접 개인정보를 수집하는 경우 개인정보의 수집 및 이용 동의와 별개로 개인정보의 국외이전 동의도 받아야 하는지가 문제되었는데, 방송통신위원회는 이러한 경우에도 국외이전 동의의 대상이 된다는 입장을 취해 왔다.

사실 ‘이전’의 사전적 의미를 고려하면 정보통신서비스제공자가 한국에서 처리하던 개인정보를 국외로 넘기는 것이 아닌 처음부터 해외에서 수집하는 정보를 ‘정보통신서비스제공자 등이 이용자의 개인정보를 국외로 이전하는 것’에 포함시키는 이러한 해석은 언뜻 이해되지 않는 부분이 있으나(물론 해외사업자의 직접 수집의 경우에도 국내에 존재하던 개인정보가 국외로 이전되는 측면이 있고 규제기관은 이러한 점에 주목한 것으로 보인다), 개정 정보통신망법이 ‘보관’을 국외이전의 태양으로 명시하고 있는 점에 비추어 현행법상으로는 적어도 해외사업자가 국외에서 직접 개인정보를 수집하여 국외 보관하는 경우 국외이전 동의의 대상이 되는 것이 명확해진 것으로 보인다.

국외이전 동의의 예외
개정 정보통신망법은 국외이전 동의의 예외를 새로이 도입했는데, 이는 국외이전 동의 규정 위반 시 과징금을 부과하는 규정을 신설하면서 정보통신서비스 제공에 반드시 필요한 국외이전의 경우 동의를 면제할 수 있는 길을 열어두어 개인정보 보호와 실무상 편의를 절충한 고려로 보인다.

즉, ‘개인정보 처리위탁과 보관’의 경우 ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용편의 증진 등을 위하여 필요한 경우’로서 법상 국외이전 동의를 받을 때 고지해야 하는 사항을 모두 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 국외이전 동의가 면제될 수 있다(제63조 제2항 단서).

여기서 ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우’는 기존 개인정보 처리위탁 동의 면제 사유와 동일하므로, 위탁 동의에 관한 규제기관의 기존 입장을 고려하면 아래의 경우에는 국외이전 동의도 면제될 수 있을 것으로 생각된다.

-고객의 불만 처리 접수 및 서비스 안내 등을 위해 해외 업체에 콜센터 운영 업무를 위탁하는 경우
-서비스 품질 평가를 위해 해외 리서치 업체에 고객정보를 제공하고 고객 만족도 조사를 진행하는 경우
-다국적 기업의 국내지사가 고객정보의 저장 및 관리를 해외 본사가 관리하는 해외 데이터 센터에 맡기는 경우

다만, 국외 제3자 제공의 경우 동의 면제 대상에 해당하지 않는 점을 유의할 필요가 있다.

개인정보의 국외이전에 관한 계약 및 보호조치
정보통신망법은 “이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다”고 규정하고(제63조 제1항), 이용자의 동의를 받아 개인정보를 국외로 이전하는 경우 개인정보보호를 위한 기술적·관리적 조치, 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 사항, 기타 이용자의 개인정보 보호를 위하여 필요한 조치를 취하도록 하고 있다(제63조 제4항).

또한, 국외에서 개인정보를 이전 받는 자와 위의 조치사항을 미리 협의하고 이를 계약 내용에 반영하도록 하고 있다. 다만, 이를 위반한 경우에 대한 직접적인 제재 조항은 규정되어 있지 않다.

사물인터넷, 빅데이터, 클라우드 컴퓨팅 기술의 발전은 개인정보의 국가간 이동 추세를 더욱 가속화할 것으로 보인다. 우리법의 경우 기본적으로 정보주체의 동의를 기준으로 국외이전을 허용하고 있는데, 개인정보의 적절한 보호와 자유로운 유통을 위해서는 동의 외의 다른 방식을 통한 국외이전을 허용할 필요가 있는지에 대한 검토가 필요해 보인다(동의는 정보주체의 자기결정권을 보장하는 유용한 방식이지만 때때로 너무 많은 동의 박스 앞에서 무의식적으로 동의에 체크하고 있는 필자의 모습을 발견할 때면 정보주체의 동의가 과연 개인정보의 보호를 위한 최선의 조치인지에 대한 의문이 들기도 한다).

이와 관련 EU가 채택하고 있는 표준계약서 모델이나 구속력 있는 기업규칙(BCR), APEC의 국경간 프라이버시 집행규칙(CBPR) 등을 참고할 수 있겠다. 한편, 개인정보 보호법과 정보통신망법 상 세부 규제의 차이를 줄이고 일관된 규율을 도모할 필요도 있다.

흔히들 4차 산업혁명 시대의 핵심은 정보라고 한다. 정보주체의 자기결정권을 보장하고 개인정보의 안전한 관리를 도모하면서도 거스를 수 없는 정보 이동의 흐름 속에서 거래환경의 변화에 따른 다양한 개인정보의 국외이전 수요에 유연하게 대처할 수 있는 합리적인 규제에 대한 논의가 요구되는 시점이다.
[글_ 윤아리 김·장 법률사무소 변호사]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)