[법무법인 민후 l 김경환변호사]개인정보의 국외이전 이슈에 대한 대응방안

개인정보의 국외이전 이슈에 대한 대응방안

법무법인 민후 김경환 대표변호사

INDEX

All rights reserved by Law Firm Minwho

• 개념 및 유형

• 개인정보 국외이전의 확대 현상

• 개인정보 국외이전 규제 필요성

• 국외이전 입법의 등장

• OECD 프라이버시 가이드라인

• 유럽 개인정보 자동처리 협정(Convention 108)

• UN 개인정보파일 가이드라인

• EU 개인정보보호지침

• EU-US 세이프하버

• APEC 프라이버시 프레임워크

INDEX


• PNR 협정

• Madrid Resolution

• ECOWAS

• EU-US FMD 협정

• EU 일반정보보호규정(안)

• 국외이전 규제에 대한 2가지 입장

• 국외이전 통제모델

• 우리나라의 정보통신망법

• 우리나라의 개인정보보호법

• 우리나라의 금융회사 정보처리 등 위탁규정

• 바람직한 방향


개인정보의 국외이전(TBDF, Transborder Data Flow)

개념 및 유형

• 정보통신망법 제63조, 개인정보보호법 제14조

• 개인정보가 국경을 넘어 이동하는 것 (OECD)

유형

• 정보주체 개인정보의 국외이전

-> 직접형 (예 : 구글가입, 아마존 쇼핑)

-> 간접형 (예 : 토익시험)

• 기업보관 개인정보의 국외이전

-> 위탁형

-> 제공형

-> 공유형


개인정보 국외이전의 확대 현상

세계 경제의 글로벌화

• 재화·자본의 유통뿐만 아니라 정보의 유통도 활발

• GATT, WTO 체제

인터넷·정보처리기술·클라우드의 발달

• 국경없는 개인정보의 흐름 발생

• 개인정보처리 산업의 급성장

전자상거래·SNS·검색엔진의 발달

• 기업뿐만 아니라 소비자·개인들의 국외이전 참여 활발

글로벌 기업의 급성장

• 국경을 초월한 기업 경계 안에서의 자유로운 정보 이동


개인정보보호 법제가 약한 나라로의 이전을 통한 규제 회피

개인정보 국외이전 규제 필요성

다른 국가에서의 데이터 처리에 따른 리스크 방지

자국민의 해외에서의 개인정보통제권이나 프라이버시권 보호의 어려움

규제에 따른 자국 소비자의 신뢰 형성


국외이전 입법의 등장

1970년대

유럽의 오스트리아 핀란드 스웨덴 아일랜드 프랑스 개인정보보호 입법에서 최초로

등장

개인정보보호법이 없는 나라로의 국외이전을 막고자 등장

-> 허가를 통한 국외이전


1980년 9월 OECD 프라이버시 가이드라인 등장

(Guidelines governing the protection of privacy and transborder flows of

personal data)

OECD 프라이버시 가이드라인

• 최초의 글로벌 단위의 규범, 그러나 강제성은 없음 (non-binding)

• 국가간 정보유통의 보장 원칙 / 프라이버시와 정보보호는 제한원리

규정 (Part 3. 제15조 내지 제18조)

• 제16조 : 회원국가는 단순한 통과를 포함한 개인정보의 국외이전이 방해받지 않고

안전할 수 있음을 보장할 수 있는 모든 합리적이고 적절한 수단을 강구하여야 한다.

• 제17조 : 회원국가는 자국 또는 다른 회원국가 사이의 개인정보 이전을 제한하지 않

아야 하지만, 다만 다른 회원국가가 가이드라인을 실질적으로 준수하지 않거나 개인

정보의 재수출이 그 나라의 프라이버시 법제를 회피하는 경우에는 예외로 한다.

• 제18조 : 회원국가는 프라이버시나 개인의 인권 보호라는 명목하에 개인정보의 국외

이전에 대한 제안요소를 창출할 수 있는 법률 정책 그리고 관행의 형성을 금하여야

한다.


OECD 선언 (Declaration on TBDF, 1985년 4월)


• 취지 : 기술발전에 따른 정보의 국외이전 촉진 목적

• 인식촉구

- 정보유통의 국제적 규모 인식 촉구

- 정보유통 주체 및 현상의 다양화 인식 촉구

- 정보유통의 중요성 및 정보유통의 효용에 대한 인식 촉구

• 목적

- 데이터, 정보 그리고 관련서비스에 대한 접근 촉진

- 개인정보의 국외이전에 영향을 주는 데이터·정보·통신 서비스에 대한 규제나 정책

에서 투명성 촉진

- 개인정보의 국외이전에 관련된 이슈를 다루는 공통된 접근법 개발 촉진


OECD 각료선언 (1998년 10월)


• 1980년의 OECD 프라이버시 가이드라인이 인터넷 공간의 프라이버시 보호의 기준

이 됨을 선언함

• 개인정보의 국외이전에 관련해서는 ‘국외이전에 관한 계약적 해결모델 개발’ 을 촉진

하고 있음 (EU의 영향을 받음)

OECD 국가간 데이터 유통에 관한 보고서

(OECD Working Party for Information Security and Privacy, 2000년 9월)

• 위 각료선언에서 언급한 ‘국외이전에 관한 계약적 해결모델 개발’을 구체화하기 위한

조치가 담겨 있음

• 기업과 기업, 소비자와 기업 사이에 계약 구조를 온라인에 적용함으로써 분쟁해결의

방법을 찾아보고자 함


OECD 권고

(OECD Recommendation on Cross-border Cooperation in the Enforcement

of Laws Protecting Privacy, 2007년 6월)


• 프라이버시 법제의 국제적 협조를 강조

• 국외이전 프라이버시법 집행 협조를 위한 국제적인 메카니즘 개발 강조

• 법집행에서의 상호 협조 강조


유럽평의회(EC)에 의해 1981년 성립, 프라이버시와 개인정보 유통 사이의 균형을

추구, 강제성 있음(binding)

유럽 개인정보 자동처리 협정 (Convention 108)

제12조

• 제2항 : 프라이버시 보호라는 단일한 목적으로, 개인정보의 국외 이전을 금지해서는

아니 된다.

• 제3항 : 다만 개인정보파일의 특성상 규제회피 목적이 있는 경우는 예외

Additional Protocol 181 (2001년 8월)

• 국외이전을 받는 국가나 단체가 보호의 적절한 수준 (adequate level of protection)

을 보장하는 경우에만 국외이전을 허용

• EU 개인정보보호지침 제2조에 기초함


UN 개인정보파일 가이드라인

1990년 12월, Guidelines for the regulation of computerized personal data

files

내용

• 프라이버시 보호에 대하여 필적할만한 정도를 제공하는 경우에만 정보는 자유롭게

유통될 수 있음

• OECD나 Convention 108의 내용과 크게 다르지 않음


유럽평의회와 유럽의회가 공동으로 1995년 제정 (95/46/EC Directive)

EU의 개인정보보호지침

• 유럽연합(EU)이 출범했으나, 서로 다른 입법수준이 개인정보의 자유로운 유통을 방

해하고 있기에 이 문제를 해결하기 위하여 제정됨

• 결과적으로 EU 국가의 시민들은 동등한 수준의 개인정보보호를 받게 됨

제25조 (원칙)

• 제3국이 적절한 보호 수준 (adequate level of protection)을 하는 경우에만 이전가능

• 보호의 적절성은 제3국으로의 정보이전 활동과 관련된 주변사정에 의하여 의하여 판단

제26조 (예외)

• 적절한 보호 수준을 갖추지 못한 경우라도 ① 정보주체가 명백하게 동의한 경우, ② 체

결된 계약이행에 필요한 개인정보의 이전, ③ 공익적 근거 소송 법적 근거가 있는 경우,

④ 정보주체의 중대한 이익 보호 등이 있는 경우에는 이전이 가능


Working Party 보고서 (1998년 7월)


• 적절한 수준의 보호에 대하여 구체적으로 밝히고 있음 (적절성 판단 기준)

• 제3국은 내용적 원칙과 절차적 원칙을 실현하고 있어야 함

• 내용적 원칙

- 복적제한의 원칙, 정보의 질·비례의 원칙, 투명성 원칙, 안전성 원칙, 접근·수정 및

거부의 권리, 정보이전의 제한(제1수령자는 제2수령자의 적절한 수준의 보호를 고

려하여야 함)

- 추가된 원칙 : 민감정보처리시 동의 획득, 다이렉트마케팅시 옵트아웃 보장, 자동화

된 정보 이전의 제한

• 절차적 원칙

- 정보보호를 위한 제반규칙의 준수 보장, 정보주체의 권리실행 보장, 원칙위반으로

인한 피해자 보호 및 적절한 보상

• 적절한 수준이 인정되지 않을 경우에는 표준계약서에 의한 이전을 하여야 함


표준계약서의 제정 (2001년 12월)


• EU 집행위원회에 의하여 표준계약서가 채택됨

• 계약당사자가 아니지만, 정보주체를 위한 조항이 있음

• 정보수출자와 정보수입자의 의무 및 책임 조항

• 분쟁해결방법 제시 : 조정, 재판, 중재

• 감독기관에 대한 협조의무 부과

• 준거법 : 수출자 회원국의 법률

• 임의적 수정·변경 금지


BCRs (Binding Corporate Rules, 기속력 있는 기업규칙, 2003년부터 시행)


• Working Party에 의하여 제정·개정됨

• 표준계약서 이전이나 세이프하버 이전에 대한 대체방법으로서, 간소한 이전 방법

• 한 회원국가의 감독관이 기업규칙 준수를 인정하면 다른 회원국가에서도 이를 인정함

• BCRs의 기준

- 기업규칙은 EU 회원국의 개인정보보호 기준을 준수하여야 한다

- 기업규칙은 기업의 모든 부문에 내부적으로 구속력을 가지고 있어야 하고, 실행할 수

있어야 한다

- 기업규칙은 기업의 모든 부분에 대외적으로 구속력을 가지고 있어야 하고, 실행할 수

있어야 한다

- 기업규칙은 정보주체에게 실행가능한 권리를 명시적으로 부여하여야 한다


EU-US 세이프하버

• 2000년 7월, 민간분야에 적용될 개인정보보호법이 없는 미국은 자국의 적절한 수준

의 개인정보보호제도를 만들어 유럽으로부터 인정을 받음 – 핵심은 ‘적절성’임

7원칙 준수 요망

• 수집 · 이용목적의 고지(notice) / 옵트아웃 기회의 부여 등 선택권 부여 (choice)

• 제3자 제공시 고지와 선택권 부여 (Onward Transfer)

• 개인정보 접근권 보장(access) / 보안 철저 (security)

• 데이터 온전성 보장 (data integrity) / 제재 및 구제 수단 보장 (enforcement)

절차

• EU와 정보유통을 하고자 하는 미국기업은 세이프하버 7원칙이 포함된 개인정보 처리

방침(privacy policy)를 상무부에 제출하며, 상무부는 그 결과를 홈페이지에 게재

• 홈페이지에 게재된 미국기업은 표준계약서, BCRs에 의하지 않고 정보유통할 수 있음

• 처리방침 불이행시 미국법에 의하여 처벌받고, 피해자 구제는 미· EU 감독기구가 해결


APEC 프라이버시 프레임워크

9원칙 제시

- 피해의 예방 (Preventing Harm)

- 고지 (Notice)

- 수집 제한 (Collection Limitations)

- 개인정보의 이용 (Use of Personal Information)

- 선택 (Choice)

- 개인정보의 온전성 (Integrity of Personal Information)

- 보안수단 (Security Safeguards)

- 접근과 수정 (Access and Correction)

- 책임 (Accountability)

• 2004년 11월, OECD 8원칙에 근거하여 작성함

- 개인정보의 적절한 보호 + 소비자의 신뢰 제고 + 전자상거래 촉진 목적

- 회원 국가의 개인정보보호법의 조화 및 자유로운 정보 유통의 활성화 추진


APEC 프라이버시 프레임워크

CBPRs

(Cross-border Privacy Rules, APEC Data Privacy Pathfinder Initiative, 2007년)

CBPRs의 4요소

- Self-assessment

- Compliance review

- Recognition/acceptance

- Dispute resolution and enforcement


EU · US PNR Agreement

PNR 협정

• 2004년, EU 시민의 승객정보(Passenger Name Record)를 유럽항공사가 테러방지

목적으로 미국에 제공하는 협상을 체결함

• 제공조건의 핵심은 ‘적절성’임

• 한시적으로 유효하게 체결하며, 2012년 4월 체결한 협정은 5년간 유효함

EU · Australia / EU · Canada PNR Agreement도 있음

• EU 시민의 승객정보를 오스트레일리아, 캐나다에 제공함


Madrid Resolution

• 2009년, International Conference of Data Protection and Privacy

Commissioner에 의하여 제정된 기속력 없는 세계적 기준

• 내용 : 개인정보의 국외이전에 관한 최소한의 보호기준 제시


ECOWAS

서부 아프리카 경제공통체에서 2010년 2월 제정

제36조

• 제1항 : 보호의 적절한 수준을 갖춘 경우에만 이전 가능

• 제2항 : 국외이전시는 개인정보보호 당국에 사전 고지를 하여야 함


2010년, 테러방지를 위하여 EU의 Fiancial Messaging Data를 미국에 제공하기롤

협정함

EU-US FMD 협정

5년 동안의 한시적 협정

• EU 시민의 승객정보를 오스트레일리아, 캐나다에 제공함


EU 일반정보보호규정(안)

적절성(appropriate safeguards)을 갖춘 경우에만 국외이전이 허용 (제42조)

- BCRs

- EU 집행위원회가 채택한 표준데이터보호조항

- EU 집행위원회가 유효하다고 인정하고 감독기관이 채택한 표준데이터보호조항

- 감독기관이 승인이 계약조항

2012년에 제정된 General Data Protection Regulation (proposal)


국외이전 규제에 대한 2가지 입장

2유형 : 원칙적 제한 + 예외적 허용

예) EU

1유형 : 정보의 유통 자유 원칙 + 그에 대한 제한


국외이전 통제모델

적절성(Adequacy) 통제 책임성(Accountability)

예 EU Adaquacy APEC CBPRs

목표 동일한 보호수준으로 보호 상이한 보호수준으로 보완

단위 국가 (geographical) 조직 (organizational)

특징 높은 진입장벽, 낮은 위험성 낮은 진입장벽, 높은 위험성

규율 공권적 규율 자율규율적 요소가 있음


우리나라의 정보통신망법

① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을

내용으로 하는 국제계약을 체결하여서는 아니 된다.

② 정보통신서비스 제공자등은 이용자의 개인정보를 국외로 이전하려면 이용자의 동의

를 받아야 한다.

③ 정보통신서비스 제공자등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항

모두를 이용자에게 고지하여야 한다.

④ 정보통신서비스 제공자등은 제2항에 따른 동의를 받아 개인정보를 국외로 이전하는

경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.

정보통신망법 제63조 (국외 이전 개인정보의 보호)


우리나라의 정보통신망법

① 법 제63조 제4항에 따라 개인정보를 국외로 이전하는 경우에 하여야 하는 보호조치

는 다음 각 호와 같다.

1. 제15조에 따른 개인정보보호를 위한 기술적 · 관리적 조치

2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 사항

3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

② 정보통신서비스 제공자등은 제1항 각 호의 사항을 개인정보를 국외에서 이전받는 자

와 미리 협의하고, 이를 계약내용 등에 반영하여야 한다.

정보통신망법 시행령 제67조(개인정보 국외 이전시 보호조치)


우리나라의 개인정보보호법

개인정보보호법 제17조(개인정보의 제공)

특징

- 이전으로 되어 있지 않고 제공으로 되어 있음

③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사

항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국

오 ㅣ이전에 관한 계약을 체결하여서는 아니 된다.


우리나라의 금융회사 정보처리 등 위탁규정

위탁의 허용범위

- 금융회사가 업무수행에 필요한 정보처리 업무를 국·내외 제3자에게 위탁할 수 있도

록 허용하되,

- 국외에 위탁할 경우에는 이용자 보호 및 감독가능성 확보를 위해 위탁 금융회사의 본

·지점 및 계열사에 한해 위탁을 허용

- 국·내외 위탁을 불문하고, 위탁받은 업무의 재위탁을 원칙적으로 금지 (예외적으로

금융 이용자 보호, 금융감독권한 행사 가능성을 저해하지 않는 범위 내에서 금융감독

원장이 인정하는 경우 재위탁 가능)

- 관련 법령에서 위탁이 금지되는 경우 또는 관련법령상 제재이력이 있는 경우에는 정

보처리 업무의 위탁을 제한

금융위원회는 2013. 6. 19 「금융회사의 정보처리 및 전산설비 위탁에 관한 규정」

제정안 등을 의결 → 6.25. 시행 예정



위탁의 절차

- 위탁 이후의 감독가능성 확보 및 이용자 보호를 위해 위·수탁 회사간 계약에 표준계

약내용을 의무적으로 반영토록 함

- 금융회사는 정보처리 업무를 위탁할 경우 금융감독원장에게 사전보고하여야 함

위탁정보

- 업무와 관련된 개인 · 금융정보에 대하여 위탁 가능

- 다만 개인고객의 주민번호는 국외로의 이전 자체를 금지



정보보호방안

- 정보처리 업무가 위탁되더라도, 개인정보보호법, 금융실명법, 신용정보법 등 모든 관

련법상의 보호조치를 이행해야 함

- 정보처리 위탁시 적용되는 안전성 확보조치 등에 대해서는 홈페이지 등에 공시해야

함

- 민감정보의 처리를 위탁할 경우에는 정보주체에 대해 별도로 고지해야 함

전산설비의 국외위탁

- 금융회사는 정보처리 관련 설비를 해외에 위탁하는 경우 금융위 승인을 받아야 하며

이 경우 국외의 본·지점 또는 계열사에 한해 위탁이 가능

- 금융이용자 보호 및 감독기능 수행을 위해 필요한 주요 설비에 대해서는 금융회사별

특성을 고려하여 위탁을 제한할 수 있음

(예컨대, 현행 전산실 및 재해복구센터의 국내소재 요건은 유지)



금융위원회의 감독

- 위·수탁회사에 대해 금융위원회 및 금융감독원의 감독 및 검사 수용 의무 부과

- 위·수탁회사가 본 규정 등 관계법령을 위반할 경우 금융위원장 및 금융감독원장의 변

경 권고 등 필요한 조치를 할 수 있음

전자금융감독규정과의 관계

- (현행) 외주업체의 금융정보 저장 금지

- (개정) 적법하게 위탁받은 경우 외주업체의 금융정보 저장을 허용하고, 그 외의 ‘무단’

저장은 금지


바람직한 입법방향

- 정보유통의 자유 / 프라이버시 보호

목표 : 두 마리 토끼를 모두 잡는 입법

(문제점) 경직되어 있고 흐름을 반영하지 못한 입법

(개선점) 기술발전, 글로벌화, 국제적 흐름에 맞는 유연한 입법

(문제점) 동의를 통한 이전 허용

(개선점) 여러 가지 허용 기준의 제시


•

•

•

법무법인 민후