개인정보 국외이전 허용요건의 검토 - 유럽연합의 개인정보보호에 관한 일반규칙(GDPR)을 중심으로 -

정애령 한국비교공법학회 2019 공법학연구 Vol.20 No.2

정보통신기술의 지속적인 발전으로 인해 개인정보가 사이버 경제, 사이버 커뮤니티등에서 필수적인 요소로 활용될 수밖에 없다는 것은 이제 누구나 알고 있는 사실이다. 개인정보를 이용한 사이버 환경에서의 정보유통은 증가할 것이며, 그로 인한 국가 간의정보이동도 빈번히 이뤄질 것이다. 그러나 각 국가마다 개인정보보호의 인식수준과 대응방안이 다른 상황에서 외국으로 이전된 개인정보는 국내에서 유통되는 정보와 달리그 통제는 더 어렵다. 디지털 정보의 속성상 개인정보가 수집. 이용됨에 있어서 국경은별 의미가 없으나, 국가는 여전히 법과 제도를 만들고 그 행사를 감독하는 권한을 가지며 사이버 공간에 대한 정책을 실행하는 역할을 수행한다. 각 국은 개인정보의 활용과 보호의 조화를 위한 다양한 장치를 마련하는데 먼저 데이터 국지화 정책을 들 수 있다. 데이터 국지화 정책은 말 그대로 데이터의 국가 간, 지역간 이동에 제약을 두려는 움직임으로 이해할 수 있다. 중국과 같이 네트워크안전법을 제정하고 만리방화벽을 이용하여 자국민의 정보를 관리하는 강한 데이터 국지화 정책에서, 개인정보의 유럽연합의 역외이전을 원칙적으로 금지하고 적정한 보호장치를 갖추었을 때 예외적으로 승인하는 것 역시 데이터국지화 정책으로 이해할 수 있다. 데이터 국지화 정책은 국가 차원에서 자국의 데이터 산업을 보호하고 국민의 개인정보 자기결정권의 강화를 위하여 데이터 주권에 그 근거를 둔다. 데이터 주권은 특정한 국가 내의 정보통신 질서 유지, 외부적 간섭이나 통제로부터 자유로운 정보생산 및 이용 권리 보장등을 포함하는 정보화 시대의 기본적인 국가주권이다. 현행 우리 법제에 따르면 개인정보 국외이전의 요건으로 정보주체의 사전 동의를 요구한다. 그러나 국내법 규정에 의하면 개인정보가 이동되는 국가의 개인정보 보호수준이 국내법의 기준보다 낮은 경우라도 정보주체의 동의를 얻음으로써 국외로 개인정보를이전가능하다. 이러한 동의는 개인정보 국외이전으로 발생할 수 있는 개인정보 유출 및침해의 문제에 대하여 서비스 기업 등이 면책되는 근거가 될 수 있다. 반면 기업의 입장에서도 동의 이외에 정보를 이전할 다른 방법이 없어 국제적 차원에서의 규범간 상호운용성 증진이 필요하다. OECD 개정안에서도 밝힌 바와 같이 국제적 기준의 수용과 상호운용성은 무엇보다 정보의 유통과 보호의 경계설정에 중요하다. 유럽연합의 개인정보보호일반규정은 전 세계 정보보호의 기준을 제시하고 있는 상황이므로, 유럽연합의 규정을 검토하며 개인정보 국외이전 관련규정에 대한 시사점을 도출하였다. 우리도 개인정보의 국외이전에 있어 현재 동의를 원칙으로 하되 유효한 동의를 위한 고지의무 및 사업자의 의무를 강화할 필요가 있다. 또한 데이터가 이전된 국가의 법체계에 따라 정보보호가 실현되는 것이므로 이전국의 보호수준의 적절성 여부를 판단하여 동의이외의 국외이전 방안을 모색해야 한다. 이와 더불어 분산된 개인정보보호 감독기구를 일원화 하고권한을 확대하여 개인정보국외이전에서 발생할 수 있는 문제를 책임지고 처리할 수 있도록 개인정보보호 감독기구가 개편되어야 한다. 현재 무엇보다 유럽연합의 개인정보보호에 관한 일반규칙에 따른 적정성 결정의 획득하는 것은 유럽연합을 상대로 하는 기업의 부담을 줄여주는 정부의 중 ... It is a common knowledge that personal information is inevitably used as an essential element due to the continuous development of information and communication technology. The issue is how to maximize economic profit by handling as much personal information as possible and minimize the infringement of the data subject to balance with privacy protection. Due to the nature of digital information, the border has little meaning in collecting and using personal information. However, each country has a different level of protection and discipline regarding personal data, and it has set different requirements to allow this, especially in the case of transferring abroad. Therefore, the regulation on the transfer of personal data abroad is an important issue that results in the question of whether the protection of national sovereignty can be guaranteed to the data subject in the country. Each country has different policies for harmonizing the use and protection of personal information. First, the data localization can literally be understood as a movement to restrict the movement of data between countries and regions. The data localization policy is based on the data sovereignty in order to protect the data industry in the country and strengthen the people's right to self determination. According to the current Korean legislation, the requirement to transfer the personal information abroad requires prior consent of the information subject. However, according to the provisions of domestic law, even if the level of personal information protection in the country where personal information is transferred is lower than the standard of domestic law, it is possible to transfer personal data outside the country by obtaining the consent of the data subject. We also need to strengthen the obligation of notices and operators to increase the effectiveness of consent. Furthermore, it is necessary to determine whether the level of protection of the country in which the information is transferred is appropriate and to seek a transfer method other than consent. The Personal Information Protection Commission should be the authority expanded. At the present time, it is important for the government to reduce the burden on companies by acquiring the adequacy decision in accordance with the GDPR of the EU.

‘데이터 주권’과 ‘개인정보 국외이전’ 규범 합리화 방안 연구

김현경 성균관대학교 법학연구원 2019 성균관법학 Vol.31 No.4

This study examined the rationalization of the transfer of personal information overseas to secure data sovereignty. To secure data sovereignty, it is necessary to acquire international competitiveness in the data market by acquiring and utilizing high-quality and large-scale data. In addition, enforcement of national data must be supported. To this end, it is very important to establish reasonable norms for the international transfer of personal information. However, on such important matters, the current legislation prescribes the transfer of personal information overseas based solely on the consent of the data subject. However, as a means of respecting the actual intention of the information subject, 'pre-consent' has already been formalized·deformed and many questions are raised about its effectiveness. In particular, a “consent” dependent model of the data subject can make data trade with the European market difficult. Therefore, the transfer of personal information overseas is appropriately governed by the mutual adequacy model in terms of 'data sovereignty' and 'revival of data economy'. The following legislative tasks need to be resolved in order to implement this model of mutual adequacy. First, the establishment of offshore application regulations on the protection of personal information should be established, but the effectiveness of the offshore application regulations should be secured through the agreement between countries, which is mutually appropriate. Second, overseas transfer of personal information should be allowed only in the following cases : countries or personal data controller or processor approved by the government that the level of personal information protection is equivalent to that of Korea. The only exception to this is the transfer of personal information overseas with the consent of the data subject only if the following matters are clearly notified in advance: i) The lack of adequacy approval or the lack of appropriate safety measures; and ii) risks to the data subject due to the lack of such adequacy and appropriate safety measures. 본 연구는 데이터 주권 확보를 위한 개인정보 국외이전 규범의 합리화 방안에 대하여 검토하였다. 데이터 주권의 확보를 위해서는 데이터 시장에서 국제 경쟁력을 득해야 한다. 뿐만 아니라 자국민 데이터에 대한 집행력이 뒷받침되어야 한다. 이를 위해서 자국민 개인정보의 국외이전에 대한 합리적 규범을 설정하는 것은 매우 중요하다. 그러나 이렇듯 중요한 사안에 대하여 현행 법령은 오로지 정보주체의 ‘동의’에 의존하여 개인정보의 국외이전을 규정하고 있다. 현재 국회에서 추진중인 개정안 역시 마찬가지다. 즉 우리나라는 개인정보의 국외이전을 오로지 당사자의 자유로운 의사에만 근거하며 국가가 사전적 통제를 하지 아니하고 있다. 그러나 정보주체의 실질적 의사를 존중하는 수단으로서 ‘사전 동의’는 이미 형식화·형해화 되어 그 실효성에 많은 의문이 제기되고 있다. 특히 개인정보의 국외이전을 정보주체의 ‘동의’에만 의존하는 현행의 규범체계는 유럽시장과의 데이터 교역을 곤란하게 할 수 있다. 따라서 개인정보 국외이전은 ‘데이터 주권 확보’와 ‘데이터 경제 부흥’ 측면에서 볼 때 상호적정성 모델에 따라 규율되는 것이 타당하다. 이러한 상호적정성 모델이 구현되기 위해서는 다음과 같은 입법과제가 해결되어야 한다. 첫째, 개인정보 보호에 대한 역외적용 규정을 신설하되, 상호적정성승인이라는 국가 간 협약을 통해 역외적용 규정의 실효성을 확보하여야 한다. 둘째, 개인정보 국외이전은 개인정보보호의 수준이 우리나라와 동등한 것으로 정부가 승인한 국가 또는 국외 개인정보처리자로의 이전만을 허용하는 것을 원칙으로 하여야 한다. 다만 예외적으로 개인정보가 이전되는 국가 또는 개인정보처리자가 우리 「개인정보 보호법」에 의한 적정성 승인을 득하지 못하였거나 적절한 안전조치를 승인받지 못하였다는 사실 및 이러한 적정성 결정 및 적절한 안전조치의 부재로 인해 정보주체에게 발생할 수 있는 위험이 사전에 명확히 고지된 경우에만 정보주체의 동의에 의한 국외이전을 허용하여야 한다. 한편 상호적정성 모델이 적용될 경우 그 이전대상 국가가 우리나라와 국가차원의 적정성 승인을 득한 경우이거나 이전 기업이 우리정부가 정하는 적절한 안전조치를 취하였다고 인정된 경우 국내에서의 제3자 제공과 동일하게 취급되어야 할 것이다. 그러나 그렇지 못한 국가나 개인정보처리자에게 이전되는 경우 ‘강한’ 동의 규정이 적용되어야 할 것이다. 따라서 「정보통신망법」은 처리위탁ㆍ보관에 의한 국외이전의 경우 ‘사전고지+이용자의 동의’를 득해야 함이 원칙이나, 적정성 결정을 득한 국가 혹은 개인정보처리자로의 이전에 대하여는 별도의 동의 없이 ‘사전고지’만으로 가능하도록 현행 규정은 수정되어야 할 것이다.

중국의 데이터 국외 이전(移轉) 법적 절차에 관한 소고

임종천,한지민 현대중국학회 2022 現代中國硏究 Vol.24 No.3

중국은 최근 인터넷 네트워크 기술이 국가 경제발전의 큰 원동력이 되면서 ‘인터넷 네트워크망(網)을 규율하는 법령’과 ‘데이터(정보) 등을 규율하는법령’을 다양하게 규정하기 시작했다. 대표적으로, 네트워크안전법 ㆍ 데이터안전법 ㆍ 개인정보보호법 등의 네트워크 및 데이터 보호 기본 법률을제정하였고, 이러한 기본 법률들의 구체적 시행 사항을 규율하기 위해 핵심정보기반시설안전보호조례 ㆍ 네트워크 안전심사방법 ㆍ 데이터 국외이전 안전평가방법 등의 행정법규와 부문규장을 마련하였다. 특히, 데이터 국외 이전과 관련하여, ‘데이터의 원칙적 중국 역내 보관ㆍ 예외적 안전평가를 통한 국외 이전 가능’의 원칙을 확립하였으며, 하위 법령인 데이터 국외 이전 안전평가방법 을 통해 데이터 국외 이전을 위한구체적 사항을 규정하였다. 나아가 데이터 국외 이전 안전평가 신고 가이드라인(제1판) 을 제정해 실무적으로 필요한 절차를 확립하였다. 데이터국외 이전과 관련한 법적ㆍ실무적 절차에 대한 이해는 중국과의 교류가상당한 비중을 차지하는 우리에게 의미하는 바가 크다. 하지만 중국의 현행 네트워크 및 데이터 관련 법령들은 지나치게 보호와 통제에 치중하고 있으며, 데이터 국외 이전을 담당하는 정부 부처의재량권도 자의적으로 행사될 가능성이 크다. 따라서 우리나라 기업 및 국민의 관련 피해를 미연에 방지하기 위해서는 ‘한중 간 데이터 이용 협정’ 을 체결하여 데이터의 합리적인 이용 및 이전을 확대하는 방안을 강구해볼 수 있을 것이다. Recently, as Internet network technology has become a major driving force for national economic development, China has begun to stipulate various laws regulating internet networks and laws regulating data (information). Representatively, network and data protection basic laws such as the Cybersecurity , Data Security Law , and Personal Information Protection Law were enacted, in order to regulate the specific implementation of these basic laws, administrative regulations and sector regulations such as Regulation on Protecting the Security of Critical Information Infrastructure , Measures for Cybersecurity Review , Measures for the Security Assessment of Outbound Data Transfer were prepared. In particular, in relation to overseas transfer of data, the principle of ‘data can be stored in China in principle and transferred abroad through exceptional safety evaluation’ has been established, and specific details for overseas data transfer were stipulated through the sub-statute Measures for the Security Assessment of Outbound Data Transfer . Furthermore, the Guidelines of the Cyberspace Administration of China for Application of Data Exit Security Evaluation (First Edition) was enacted to establish practically necessary procedures. Understanding the legal and practical procedures related to data transfer abroad in China means a lot to us, whose exchanges with China account for a significant proportion. However, China's current network and data-related laws are too focused on protection and control, and there is a high possibility that the discretionary powers of government departments in charge of overseas transfer of data will be exercised arbitrarily. Therefore, in order to prevent related damages to Korean companies and citizens in advance, it is possible to devise a plan to increase the use of data by concluding a ‘Korea-China Data Use Agreement’.

개인정보보호법상의 국외이전 개정방안 연구

안정민 서울대학교 법학연구소 2020 경제규제와 법 Vol.13 No.1

With the world moving toward a hyper-connected society, personal information functions as the most valued resource to the success of innovative services. In the absence of international regulations that can be applied universally, countries have adopted different cross-border regulation or data localization for different purposes. The Personal Information Protection Act of Korea also has regulation on cross-border transfer of personal information in order to protect privacy and data security. However, inadequate rules and discrepancy in regulations act as barrier to global digital trade and cross-border data flows. Most of the recent services or applications require the collection and process of users' personal information. And even if these services are only provided within a certain country, many service providers are using global cloud services which inevitably transfer personal information to oversea servers. The articles on cross-border transfer under the Korean Personal Information Protection Act is very tightly interpreted allowing only few types of cross-border data transfer is permitted. And although it is heavily regulated, it does not have sufficient regulatory system for the management nor remedies against the infringement of the already transferred personal information. And due to the recent revisions of the data related Acts, confusion over the application and the interpretation of the cross-border regulation is expected to grow. It is the goal of this paper to present a number of recommendations on the regulations of cross-border transfer of Korea that align with the laws in other jurisdictions. Measures and provisions suggested will reduce controversy and confusion on cross-border regulations while ensuring sufficient privacy protection and still maintain the benefits of cross-border data flows. 전 세계가 초연결사회로 나아가고 있는 지금 개인정보는 새로운 서비스의 성패를 가늠하는 핵심 자원으로서 기능하고 있다. 보편적으로 적용될 수 있는 국제규범이 없는 상태에서 나라마다 다른 개인정보 국외이전에 대한 규제나 보호수준은 시장에 대한 진입장벽이나 역차별 요소로 작용하고 있는 동시에, 현실과 맞지 않는 현행 개인정보 국외이전 제도는 법이 추구하는 바와는 달리 정보주체를 충분히 보호하지도 못하고 있는 상황이다. 최근 등장하는 대부분의 서비스는 이용자의 개인정보 수집 및 처리가 필수적이고, 많은 서비스제공자가 글로벌 사업자의 클라우드 서비스를 사용하고 있다. 이와 같이 개인정보의 국외이전이 불가피하게 발생함에도 불구하고 개인정보보호법상의 국외이전제도는 법적으로 허용하는 범위도 제한적이고 이전되는 개인정보의 관리나 보호에 대해서도 충분한 규제체계를 가지고 있지 못하다. 특히 최근 법의 개정으로 개인정보보호법 내에서 국외 이전을 일반적인 경우와 정보통신서비스를 통한 국외 이전과 구별하고 있어 법의 적용이나 해석에 대한 혼란이 예상된다. 개인정보보호를 강화하는 다른 나라에서도 이미 동의 이외의 방법으로 국외이전이 허용되고 있고, 개인정보보호와 산업 활성화의 균형을 추구하는 현실적인 대안이 실행되고 있는 상황이다. 이에 본 연구에서는 강력한 개인정보보호제도를 갖춘 EU를 비롯해, 우리나라의 법제와 유사한 일본, 주요 무역국인 미국의 개인정보 국외이전에 관한 규제를 비교해보면서 현행 개인정보보호법상의 국외이전의 개정방향을 연구해보고자 한다.

개인정보 국외이전에 대한 규제 현황과 개선 방안 - 유럽사법재판소의 세이프하버 무효 판결을 계기로

류승균 서울대학교 기술과법센터 2015 Law & technology Vol.11 No.6

유럽사법재판소(ECJ)가 2015년 10월 미국 -EU 간 세이프하버 제도를 무효라고 판결하였 다. 동 판결에 따라 이제 미국 기업들은 이용자들 로부터 개별적인 동의를 얻는 등의 다른 방안을 강구해야 한다. EU 회원국 국민의 개인정보를 미 국으로 이전하는데 왜 이러한 절차가 있는 것인 가? 그것은 EU와 미국의 개인정보 보호 수준이 다르기 때문이다. 이러한 상황에서 개인정보 국외 이전의 규제는 규제회피를 막는 기능을 한다. 아 울러 정보주체에게 국외이전에 따른 위험을 고지 하고 그 여부를 스스로 결정할 수 있도록 한다. 이 는 EU-미국 간으로 한정되는 논의가 아니다. 우 리나라에서도 수많은 사람들이 다국적 인터넷 기 업의 서비스를 이용하며, 우리 국민의 개인정보가 매일 마다 국외로 이전되고 있다. 우리나라 개인 정보 관련법들도 국외이전을 규제한다. 그러나 규정이 애매하여 해석상 논란을 일으키는 대목이 많 다. 우리법체계의 가장 큰 문제는 모든 책임을 정 보주체 개인에 지운다는 점이다. 어느 개인이 자 신의 개인정보가 이전되는 특정 국가의 규제 수준 을 알 수 있겠는가. 관계당국이 개인정보가 적절 히 보호되는 제3국을 조사하여 고시하고, 그러한 국가로의 이전은 통상의 제3자 제공과 같은 절차 만 준수하면 되도록 제도를 개선하여야 한다. 정 보주체의 프라이버시는 실질적으로 보호하고, 사 업자들의 규제 부담은 줄이는 길이다.

클라우드 서비스에서 개인정보 국외 이동의 개념에 관한 연구

노현숙 ( Hyeon Sook Roh ) 고려대학교 법학연구원 2015 고려법학 Vol.0 No.79

클라우드 서비스는 이용자가 인터넷을 통해 하드웨어와 소프트웨어 및 정보 데이터베이스 등의 컴퓨팅 자원을 언제 어디서든지 필요에 따라 이용할 수 있도록 하는 새로운 컴퓨팅 패러다임을 바탕으로 한 서비스이다. 이용자가 필요한 때에 필요한 컴퓨팅 자원에 편리하게 접근하여 이용할 수 있도록 하는 클라우드 서비스에서 분산화 및 가상화 기술은 클라우드 서비스 이용자에게 언제 어디서든지 필요한 서비스를 제공하는 핵심적 기술인 반면, 클라우드 서비스 서버 또는 데이터센터에 저장된 개인정보가 국외로 이동하게 하는 주요한 원인이 되기도 한다. 분산화 및 가상화 기술에 의하여 클라우스 서비스 데이터센터에 저장된 데이터는 여러 국가에 위치한 데이터센터에 저장되기도 하고 실시간에 걸쳐 여러 데이터센터로 이동하기도 하는 등 클라우드 서비스 데이터센터에 저장된 개인정보 등의 데이터는 국경을 초월하여 이동한다. 개인정보가 한 국가에서 다른 국가로 이동하는 경우, 이동된 개인정보에 다른 국가의 법이 적용될 수 있으며 이로 인하여 기존의 국가에서 보호되는 수준만큼 개인정보가 보호되지 못하기도 하므로 개인정보가 국경을 초월하여 이동하는 문제는 클라우드 서비스와 관련한 중요한 법적 문제의 하나이다. 개인정보의 보호와 관련한 주요한 국내법인 개인정보 보호법과 정보통신망법은 개인정보의 국외 이동과 관련한 동의 규정을 두고 있으나, 국외 이동의 명확한 의미와 범위 등이 정의되어 있지 않으므로, 법적용상의 문제가 있다고 본다. 클라우드 서비스에서의 개인정보 국외 이동에 개인정보 보호법 및 정보통신망법 등의 적용범위를 명확하게 하기 위해서는 개인정보 국외 이동을 가리키는 ‘국외 제공’과 ‘국외 이전’의 의미가 정의될 필요가 있다. 국외의 제3자에게 개인정보를 제공하는 경우와 국외의 제3자가 국내에 저장된 개인정보에 접근할 수 있는 상황이거나 접근하는 경우는 ‘국외 제공’으로 정의하고, 개인정보가 단순히 국외의 서버나 데이터센터에 이동되는 경우와 국외로부터 제3자가 아닌 동일주체가 국내에 저장된 개인정보에 접근하는 경우는 ‘국외 이전’으로 정의하는 것이 적절할 것으로 본다. Cloud computing can be defined as a new computing paradigm which gives users ubiquitous access to computing resources, such as networks, servers, storage and applications through the Internet, without their purchasing and managing their individual resources. That is, cloud computing lets users enjoy the immediate and convenient cloud service according to their needs without their having to own computing resources. However, the definition neither has a consensus nor is confirmed. A cloud service functions on the basis of critical cloud computing`s technologies such as virtualization and decentralization. While virtualization and decentralization allow the cloud service to supply an ubiquitous, low cost, and stable service, uploaded data in the cloud service may be stored in the cloud service provider`s datacenters abroad and move from one datacenter to another. With various data, personal data are also transferred abroad and, therefore, personal data transferred abroad may not be protected or be infringed because countries have various laws regarding personal data. The issue of transferring personal data beyond borders is one of the critical issues in cloud services, as the user`s personal data cannot help but move from a datacenter in this country to another datacenter in that in the event a user uses the cloud service. Korea has some laws regarding personal data, notably the Personal Information Protection Act and the Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.. However, the two laws do not have any clear definitions of transferring personal data abroad. To appropriately apply the two laws to transferring the personal data abroad in the process of cloud service provision, the definition of transferring personal data abroad should be stated clearly, distinguishing transfers of personal data to third parties and just movements of such data.

개정된 개인정보보호법상 개인정보의 국외이전에 관한 규정의 분석: GDPR을 참조하여

박노형 고려대학교 법학연구원 2023 고려법학 Vol.- No.109

세계화 시대에서 국가 간 개인정보 이전은 국제무역과 국제협력의 확대에 필수적이다. 기업 활동에 있어 개인정보 국외이전의 중요성은 최근 EU-미국 사이의 개인정보 이전에 대한 규제의 미국 기업 Meta의 사업에 대한 영향에서 확인된다. EU사법법원은 각각 2015년 10월 및 2020년 7월 Safe Harbour와 Privacy Shield 체제가 미국에서 GDPR이 요구하는 개인정보보호의 동등한 수준을 충족하지 않는다고 해당 적정성 결정을 무효라고 판단하였다. 이후 2022년 3월 25일 EU와 미국은 Privacy Shield 체제를 대체하는 ‘대서양 양안 정보프라이버시 프레임워크(Trans-Atlantic Data Privacy Framework)’를 채택하기로 합의하였다. 그러나, 2023년 5월 22일 아일랜드 개인정보보호위원회(DPC)가 Meta에게 개인정보 역외이전이 GDPR을 위반하였다고 1조7천억원의 과징금을 부과하였다. 이제 유럽위원회가 GDPR에 일치하도록 동 프레임워크를 미국과 협상하지 못하면, Meta의 Facebook 등 미국 기업은 유럽을 상대로 더 이상 사업을 할 수 없게 된다. 한국 개인정보보호법(이하 ‘법’)은 개인정보 국외이전을 개인정보의 제3자 제공에 관한 법 제17조 제3항에서 단순하게 규정하다가, 2020년 2월 4일 정보통신망법의 개인정보 국외이전에 관한 규정을 이 법에 통합하였다. 이후 2023년 3월 14일 개정에서 개인정보의 처리에 관한 제3장에 개인정보 국외이전에 관한 제4절을 신설하였다. 이번 개정으로 정보주체의 별도의 동의를 포함한 다양한 법적 근거를 통하여 국외이전이 허용되게 되었다. 이 법의 개정으로 개인정보 국외이전을 위한 다양한 법적 장치가 마련되어 개인정보를 포함한 데이터의 국경간 이전 및 그 결과로서 디지털통상을 증대할 수 있게 된 것은 긍정적으로 평가해야 한다. 또한, 한국의 APEC CBPR체제와 글로벌 CBPR체제 가입 및 EU의 한국에 대한 적정성 결정 등으로, 한국의 국경간 개인정보 이동을 통한 디지털통상이 크게 성장할 것으로 기대된다. 그럼에도 불구하고, 이 법의 개정된 국외이전에 관한 규정은 역외이전에 관한 GDPR 제5장의 상응하는 규정과 비교할 때 좀더 과감하게 개선될 필요가 있다.

클라우드 서비스와 개인정보보호

김기창(Kim, Keechang) 한국정보법학회 2012 정보법학 Vol.16 No.3

클라우드 컴퓨팅 기술은 최종 이용자 뿐 아니라, 사업자들에게도 여러 장점들이 있기 때문에 앞으로 더욱 많은 서비스들이 클라우드 컴퓨팅 기술을 이용하여 제공될 것으로 예상할 수 있다. 최종 이용자나 사업자가 클라우드 서비스를 이용할 경우, 종래 자신이 물리적으로 통제할 수 있던 저장 설비에 데이터가 저장되었던 것과는 달리, 이용자의 데이터가 사업자 자신의 클라우드 저장 설비 또는 그 사업자에게 클라우드 서비스를 제공하는 자의 저장 설비에 보관되며, 물리적/지리적으로 어디에 위치한 데이터 센터에 해당 정보가 저장되는지는 기술적으로 무의미 해진다. 이 논문은 클라우드 서비스를 두가지로 나누어 고찰한다. 최종 이용자들이 자신의 사적 데이터를 저장, 접근, 편집, 재생하는데 사용되는 ‘개인용 클라우드’와 사업자가 필요로 하는 전산 설비를 서비스로서 제공하는 ‘서비스 클라우드’가 그것이다. 개인용 클라우드의 경우, 클라우드 서비스의 특성에도 불구하고 개인정보 보호와 관련된 문제들은 별로 새로울 것이 없다는 점을 설명한다. 개인정보와 사적정보는 분명히 구분되는 개념이며, 최종 이용자가 클라우드에 보관하는 정보는 사적 정보일 뿐, 개인정 보는 아니다. 한편, 서비스 클라우드의 경우, 개인정보의 ‘국외 이전’이 문제될 수 있다. 본 논문은 개인정보의 ‘국외 제3자 제공’과 ‘국외 이전’을 구분하고자 한다. 개인정보의 ‘제3 자 제공’은 제공받는 자(국내의 제3자 이건, 국외의 제3자 이건)가 그 개인정보를 일정한 범위에서 ‘이용’할 수 있음을 전제로 하는 개념임에 반해, ‘국외 이전’은 제3자가 ‘이용’할 수 있는지 없는지와 무관하므로 국외 제3자 제공 뿐 아니라, 국외에 위치한 클라우드 저장 설비에 개인정보가 저장되는 경우까지를 포함하는 개념이다. 서비스 제공자가 국내 고객의 개인정보를 국외에 위치한 데이터 센터에 저장하게 될 경우, 국내 고객의 개인정보가 국외로 ‘이전’되는 것은 맞지만, 국외의 제3자에게 ‘제공’되는 것은 아니다. 서비스 클라우드 제공자가 서비스 클라우드 이용자(서비스 클라우드를 이용하여 자신의 전산 자원을 확보하고 자신의 최종 고객을 상대로 사업을 펴는 자)로부터 최종 이용자들의 개인정보 처리를 위탁받았다고 파악할 근거도 없다. 하지만, 클라우드 서비스는 서비스 제공자 또는 서비스 클라우드 제공자가 최종 이용자의 개인정보뿐 아니라 사적정보까지 사법 당국에 제출하게 될 ‘현실적’ 가능성을 높이는 것이므로, 개인의 자유와 사생활 보호를 위하여 보다 면밀한 검토가 필요한 것은 사실이다. Cloud computing technology offers many advantages for both end-users and service providers. It is expected that an increasing number of services would be using cloud computing technology. If end-users or service providers use cloud service, user data will be stored in data centres operated by cloud service providers. This is a significant change compared to the conventional manner of storing one’s data on a device controlled by end-users or service providers themselves (rather than cloud service providers). The cloud computing makes geographical or physical location of the storage facilities technically irrelevant. This paper examines issues relating cloud computing by distinguishing ‘personal cloud’ and ‘service cloud’. Personal cloud is a service which enables end-users to store private data in the cloud storage and to access, retrieve, edit or play them. Service cloud enables service providers to obtain computing resources ‘as a service’ so that they can provide service to their customers using the computing resources which are extensible or scalable depending on the level of demand. In the case of personal cloud, the issues relating to protection of personal data are not different from conventional service models. Users’ private data must be distinguished from users’ personal data. ‘Private data’ would include all sorts of information (not necessarily personal data) which is under the user’s control. Personal cloud provider should not be required to sift through users’ ‘private data’ stored in the personal cloud to determine which of those data are ‘personal data’. The protection of ‘personal data’ would be applicable only to the ‘subscriber information’. Service cloud, on the other hand, poses complex issues relating to ‘overseas transfer’ of personal data. This paper proposes a distinction between ‘supplying personal data to a third party located overseas’ and ‘transfer of personal data overseas’. ‘Supplying personal data to a third party’ means that the recipient (whether located within the country or out of the country) is provided with the data so that it can use them for a given purpose. ‘Overseas transfer’ of personal data, on the other hand, means not only ‘supply of personal data to an overseas recipient’ but also storing personal data at overseas data centres operated by cloud service provider who has no right to ‘use’ such personal data. Where a service provider stores personal data of domestic users at overseas data centres operated by a cloud provider (such as Amazon), it is true that domestic users’ personal data are ‘transferred overseas’. But it is wrong to say that those data are ‘supplied to a third party’ as the cloud provider is not allowed to use such data. Nor is it possible to argue that the overseas cloud provider is ‘entrusted with the processing of personal data’ by the service cloud users (service providers who use service cloud to obtain computing resources to do their business vis-a-vis end-users).However, increasing popularity of cloud computing and storage of ‘private data’ in data centres operated by cloud providers would tend to increase the likelihood of ‘voluntary cooperation’ of cloud providers to the demand of law enforcement agencies even if the demand is not adequately supported by proper judicial mandate. A more careful study is needed to ensure more robust protection of individual’s freedom and privacy in connection with the use of cloud service.

개정 개인정보 보호법과 일본법의 비교 연구 - 데이터의 국내외 이전을 중심으로 -

손형섭(Son, Hyeung-Seob) 한국비교공법학회 2020 공법학연구 Vol.21 No.2

데이터 3법의 개정으로 한국도 EU의 GDPR의 시행과 4차 산업혁명의 ICT 사회의 변화에 발맞출 개인정보 보호법 버전 3.0으로의 개혁이 시작되었다. 이미 일본은 2015년에 개인정보보호법을 대폭으로 개정하여 버전 3.0으로의 변화를 추진했고, 이 법의 단계적인 전면 시행, 그리고 2019년의 EU로부터의 적정성 평가 인정으로 그 효과를 입증했다. 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다 추구해야 하는 대한민국의 개인정보 보호법 버전 3.0로의 개혁에서 일본법은 효과적인 벤치마킹이 될 수 있다. 2019년 말과 2020년 초 시점에 관련 법이 ICT 산업 생태계에 미치는 영향을 중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법 등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 필요가 있다. 이 논문은 일본의 개정 개인정보보호법과 그 실태를 분석하여, 데이터 3법 중 개정 개인정보 보호법의 적합성과 변화 방향을 연구했다. 일본 개인정보보호법에서는 제24조에서는 “개인정보취급사업자의 외국에 있는 제3자에게 개인데이터를 제공하는 경우에 관한 규정을 두고, 일본과 개인정보 보호의 동일 수준을 충분히 인정하는 국가와 제3자에게 동의 없이 개인정보 제공을 인정하고 있다. 이후 EU와 일본은 적정성 평가를 위한 노력을 하여, EU는 2018년 9월 5일 EU는 추가적 조치 규정을 정하여 일본에 요구했으며, 2019년 1월에 EU와 일본은 상호 적정성 평가를 인정했다. 반면 2020년 한국의 개정법에서도 국외 이전에 관한 규정을 두어야 했는데 개정법에는 해당 규정이 입법되지 않았다. 다만 개정법 제39조의13에 상호주의 조항만을 두었다. 결국 우리는 이러한 규정의 불비가 EU의 적정성 평가에 부정적인 영향이 없도록 후속 조치를 진행해야 한다. 한편, 일본에는 제23조(제3자 제공의 제한) 제5항 제3호에 의해 공동이용 규정이 있어 EU로부터 적정성 평가를 통과한 일본의 기업이 EU에 있는 자회사 등과의 데이터를 자유롭게 이용하는 데 기여하고 있다. 우리 법에서도 개인데이터의 합리적인 유통을 위해 공동이용 조항의 도입이 검토되어야 한다. 대한민국은 데이터의 활용과 보호라는 양날의 날개를 동시에 사용하게 되는 개인정보보호법 3.0으로의 버전업을 위하여 지속적인 검토와 후속 법령의 추가 작업을 계속 진행해야 한다. The Republic of Korea began reforming the Personal Information Protection Act(PIPA) of version 3.0 to keep pace with the implementation of the EU GDPR and the changes in the ICT society of the Fourth Industrial Revolution. Japan has already amended the Personal Information Protection Act in 2015 and pushed for a change to version 3.0, proving its effectiveness through the phased implementation of GDPR and recognized adequacy decision from the EU in 2019. In the South Korea, the reform of PIPA was amended in 2020, but the reform should continue to promote to Version 3.0 to enable international change, the development of the ICT industry environment and privacy. Japan act can be an effective benchmark. Therefore, it is necessary to compare and analyze the Korean Personal Information Protection Act and the Japanese Personal Information Protection Act, focusing on the ecosystem on the transfer of data in and out of Countries in 2020. Article 24 of the Personal Information Protection Act of Japan states “A personal information handling business operator obtains a principal’s consent to the effect that he or she approves the provision to a third party in a foreign country, excluding those prescribed by rules of the Personal Information Protection Commission as a foreign country establishing a personal information protection system recognized to have equivalent standards to that in Japan in regard to the protection of an individual’s rights and interests”. And the EU and Japan made efforts to assess adequacy level. In January 2019, the EU and Japan recognized mutual adequacy decision. On the other hand, in the amended act of Korea in 2020, there was no provisons regarding mutual adequacy decision, to provide for the transfer of overseas. However, there is only the principle of reciprocity clause in article 39-13 of the amended act. In the end, we should follow up to ensure that the deficiencies in these regulations have no negative impact on the EUs adequacy decision. On the other hand, Japan has a provision for joint use in accordance with paragraph 5 of article 23 (Limitation of Third Party Provisions), cases in which personal data is provided accompanied by a personal information handling business operator entrusting a whole or part of the handling of the personal data within the necessary scope to achieve a utilization purpose and personal data to be jointly utilized by a specified person contributes to the free use of data by Japanese companies that have passed the adequacy assessment from the EU. The Republic of Korea should continue to review and further work on subsequent acts to upgrade to the Personal Information Protection Act 3.0, which uses both wings of data and protection simultaneously.

중국 온라인플랫폼의 데이터 관련 규제 연구

서의경 한국유통법학회 2022 유통법연구 Vol.9 No.2

중국의 온라인플랫폼 기업들은 중국 정부의 지원에 힘입어 괄목할만한 성장을 계속해 왔으며 특히 세계 제1위의 인구를 바탕으로 데이터 관련 산업 분야가 급속하게 발전하였다. 그러나 데이터 독점, 개인정보의 보호, 데이터의 보안 및 국외이전 등의 문제점이 부각되면서 최근 정부의 전방위적인 규제를 받아 성장에 제동이 걸린 상태이다. 먼저 데이터 독점과 관련하여 중국정부는 2021년 2월과 2022년 8월에 각각 「플랫폼 경제 분야에 관한 반독점 지침」과 「반독점법」을 시행하여 플랫폼 시장의 특성을 반영하여 반독점 규정을 보완하였다. 둘째, 개인정보의 보호와 관련해서는 2021년 11월 1일부터 「개인정보보호법」을 시행하여, 플랫폼 기업들의 무분별한 개인정보 수집 및 처리를 제한하고 있다. 특히 개인정보보호법은 대형 온라인 플랫폼 기업에 대하여 특별한 의무를 부과하여 개인정보보호에 있어서 일종의 ‘문지기’의 역할을 맡기고 있다. 마지막으로, 데이터의 보안 및 국외이전과 관련해서는 「네트워크안전법」, 「데이터안전법」, 「개인정보보호법」 등을 통해 규제하고 있는데, 핵심정보기반시설의 데이터와 개인정보의 국외 이전을 엄격하게 통제하는 것이 그 특징이다.