한국인터넷진흥원

요약

1. 연구 필요성 및 목적

전 세계가 데이터 경제를 기반으로 하는 사회에 진입한 현금, 개인정보 이전 규모가 증가하고 유형이 다양화하고 있다. 이처럼 디지털경제의 진전에 따라 국경 간에 행해지는 디지털경제의 규모가 급속하게 증대되면서, 자국민의 개인정보를 보호하기 위한 차원의 개인정보의 국외이전을 제한하는 등의 ‘데이터 보호주의(data protectionism)’에 대한 관심이 고조되고 있다. 그러나 개인정보의 국외이전을 제한하는 등 데이터의 국가 간 자유로운 흐름을 제한하는 조치는 원칙적으로 국가간 물품과 서비스의 자유로운 이동을 통해 국가간 무역을 증진하고자 하는 자유무역협정(FTA)이나 근본적으로 상품･서비스무역을 관할하는 WTO 협정의 이념에 반하여 국제통상의 관점에서 글로벌 경제에서의 개인정보 유통 환경을 분석할 필요가 있다.

또한, 개인정보 국외이전과 관련하여 원칙적으로 자유로운 데이터이전을 표방하면서 이를 허용하는 국가에서부터 엄격한 제한을 하는 국가까지 그 스펙트럼이 다양한 바, 각 국가에서 국경 간 개인정보 이전에 대응하기 위한 정책 및 법제를 조사하여 분석할 필요가 있다. 

이러한 국제규범과 각 국가 개인정보 국외이전법제의 주요 유형별 특징과 국제 데이터 환경 변화의 시사점을 반영하여 한국정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 정보통신망법이라 한다) 개인정보 국외이전법제의 대응 방향을 제시할 필요가 있다.

이러한 필요성에 입각하여, 본 연구는 주요 다자간과 양자간 FTA에 나타난 개인정보 국외이전 규범과 주요국의 개인정보 국외이전 제도를 분석해 시사점을 도출하고, 주요 부문별 기업들의 의견을 반영하여 국내 정보통신망법 국외이전제도 개정방안과 한국형 적정성 평가제도 기준을 마련하고자 한다.

이러한 정보통신망법 개정방안을 마련함에 있어서는 개인정보 국외이전제도의 데이터보호법적 차원뿐만 아니라 국제통상법적 차원에서도 함께 검토 분석하여 국익에 도움이 되면서도 국제통상 마찰을 최소화할 수 있는 국내법의 개인정보 국외이전제도 개선방안을 제안하고자 한다.

2. 연구 범위

다음을 본 연구의 주요 내용 및 범위로 한다.

o 주요 국제협정 내 데이터이전 조항 조사 및 분석
- 한미 FTA, CPTPP, TiSA, GATS, RCEP, WTO(동향 분석)
- 각 협정문 내 데이터 이전 관련 조항의 국문/영문 조문
- 데이터 이전 규정 관련 각 협정문 별 주요 내용 및 특징
- 협정문을 통한 데이터 이전 동향 및 시사점 등

o 주요국의 개인정보 국외이전법제 조사 
- EU, 미국, 일본, 중국, 러시아, 베트남, 영국, 대만, 호주 등 9개국
- 각 국 개인정보 국외이전 조항의 국문/영문 조문
- 각 조문의 주요 내용 및 국가별 국외이전 규정의 특징

o 주요 기업에 대한 FGI 수행
- FGI 대상 : 주요 기업 개인정보보호 책임자(혹은 담당자)
- 방법: 사전 질문지 작성 및 답변 요청 후 이에 기반한 인터뷰 진행
- 횟수 : 5개 분야 10여개 기업

o 정보통신망법 개정안 방향성 확정
- 현행 정보통신망법 국외이전 조항 관련 개선 방안 반영
- 한국형 적정성 제도 도입 및 관련 기준 마련 

3. 결론

위에서는 데이터이전에 관한 주요 국제협정의 관련 조항의 조사․검토, 해외 주요국의 국경 간 개인정보 이전에 대응하기 위한 법제를 조사․검토함과 아울러, 해외에 개인정보를 이전하는 주요 부문별 기업들의 의견 조사와 시사점 도출을 토대로, 국내 정보통신망법 국외이전제도 개정방안과 한국형 적정성 평가제도 기준을 마련하였다.

먼저, 한미 FTA, CPTPP, TiSA, GATS, RCEP, WTO 등 주요 국제협정문 내의 데이터이전 조항을 조사하고 분석하였다(제2장). 각 협정문 내 데이터 이전 관련 조항의 국문/영문 조문을 제시하고, 데이터 이전 규정 관련 각 협정문 별 주요 내용 및 특징과 아울러 협정문을 통한 데이터 이전 동향 및 시사점을 도출하였다. 대다수의 협정문들은 공통적으로 데이터 이전의 필요성과 함께 이에 대한 개별국의 통제권한을 인정하고 있으나 구체적으로 그 통제권한의 내용과 범위에 관해서는 차이가 있었다. 특히 미국이 주도하였거나 영향이 컸던 CPTPP 및 일미 FTA는 데이터의 국외이전을 적극적으로 규정하여 이를 의무화하는 한편 제한의 구체적인 요건을 제시하여 원칙적으로 자유로운 국외이전을 가능케 하고 있다. 이에 반해 국외이전에 대해 엄정한 요건을 부여하는 EU의 입장은, EU가 참여하고 있는 다른 협정 등을 통해 제시되고 있어 이에 관한 대립이 표면화되고 있다. 또한 WTO 차원의 거시적인 데이터 이전에 관한 협의도 근시일 내로 이뤄지기 어려울 것으로 예상한다. 

둘째, EU, 미국, 일본, 중국, 러시아, 베트남, 영국, 대만, 호주 등 주요국의 개인정보 국외이전법제 조사하여 각 국 개인정보 국외이전 조항의 국문/영문 조문을 제시하고, 각 조문의 주요 내용 및 국가별 국외이전 규정의 특징과 아울러 이들 법제의 비교검토를 통한 시사점을 도출하였다(제3장).

개인정보 국외이전과 관련하여 원칙적으로 자유로운 데이터이전을 표방하면서 국내법에서도 별다른 제한을 두고 있지 않은 입법례에서부터 강한 제한을 하는 입법례까지 각 지역이나 국가마다 스펙트럼이 다양하였다.

미국은 포괄적인 개인정보보호법이 부재하고 개별법들이 산재해 있으며 데이터의 국외이전 요건에 대한 별다른 규제를 두고 있지 않다. 개인정보의 국외이전과 관련해서는 미국과 유럽간에 프라이버시 쉴드가 있고 APEC의 CBPR에 가입하고 인증기관(AA) 승인을 받고 있다. 이처럼 미국은 개인정보보호에 비교적 관대한 입법을 보유하고 있으나 EU와의 프라이버시 쉴드를 통한 각종의 의무 부과를 부과함으로써 유럽 정보주체의 개인정보를 예외적으로 보다 광범위하게 보호한다는 점에 법제의 특징이 있다. 그러나 프라이버시 쉴드에 불구하고 유럽 정보주체의 데이터이동권은 보장되지 않는다는 점에서 유럽 정보주체의 관점에서는 GDPR 보다는 정보보호에 미흡한 점이 있다고 할 것이다.

대만의 경우 미국과 유사하게 원칙적으로 데이터의 자유로운 국외이전을 허용하는 입장이다. 대만 개인정보보호법에서 중앙 관할 당국이 국경 간 정보 이전을 금지하거나 제한하는 명령을 발하지 않는 이상, 국경 간 개인정보 이전을 허용한다. 

반면, EU GDPR은 정보주체의 권리를 강조하고 개인정보의 국외이전에 대하여 적정한 보호수준을 갖출 것을 요구하고 있으며, 구체적으로 적정성 결정에 따른 이전(제45조), 적정한 안전조치에 의한 이전(제46조), 특정상황의 예외(제49조)로 나누어 규정한다. 제46조가 규정하는 적정한 안전조치에는 ⅰ)공공당국 또는 기관 사이의 법적 구속력이 있고 집행가능한 문서, ⅱ)구속력 있는 기업규칙(BCR), ⅲ)유럽위원회가 채택한 표준개인정보보호조항, ⅳ)감독당국이 채택하고 유럽위원회가 승인한 표준개인정보보호조항, ⅴ)승인된 행동 규약(Approved Code of Conduct), ⅵ)승인된 인증체계(Approved Certification Mechanism)를 규정하고 있다.

호주의 경우 개인 정보 국외 이전에 관하여 규정하는 프라이버시원칙(APPs) 8이 EU GDPR과 유사한 규정을 가지고 있다고 판단되며, 영국의 경우 2018년 데이터보호법이 EU GDPR를 수용하고 있고, 브렉시트 이후에도 국외이전에 관하여 현재의 법률이 그대로 존속될 것으로 보인다. 

일본은 미국과 같이 국경 간 데이터의 자유로운 이동을 보장하는 원칙에 동조하면서도 EU GDPR의 역외 데이터이전 규제에 대응하여 국내법을 개정하고 GDPR 적정성 평가를 취득함과 아울러, APEC의 CBPR에 가입하고 인증기관(AA) 승인까지 받는 등 여러 지역 내지 국가 간 입장이나 법제 차이를 고려하여 실리적으로 대응하고 있는 모범 사례라 할 것이다. 개인정보보호법과 개인정보보호위원회규칙에서 국외의 제3자가 일본과 동등한 수준에 있다고 인정되는 개인정보보호 법제도를 가진 외국에 소재하고 있는 경우와 국외의 제3자가 개인정보 처리에 대해서 개인정보처리자가 마련해야 하는 조치에 상당하는 조치를 계속적으로 강구하기 위해서 필요한 기준에 적합한 체제를 정비하고 있는 자를 구체화하고, 개인정보 가이드라인의 외국 제3자 제공편, 개인정보보호법에 관한 EU 역내에서 적합성 인증을 통해 이전받은 개인정보의 취급에 관한 보완적 규칙, EU로부터 일본의 민간 사업자에게 이전된 개인정보에 대해 형법집행과 국가안보 목적으로 일본의 행정기관이 수집·사용하는 경우의 당해 개인정보의 취급에 관한 일본의 법제도 설명 문서가 존재한다. 

이처럼 일본의 개인정보 국제이전에 관한 법제는 가장 국제적이고 포괄적이라는 평가를 할 수 있다. 우리나라가 개인정보호법 등 데이터 3법을 개정하고 또 그 하위 규정을 입법함에 있어 큰 참고가 될 것이다. 다만 개인정보를 적정하게 보호하는 외국으로 결정하는 요건에 일본에 있어서 새로운 산업의 창출과 활력 있는 경제사회 및 풍요로운 국민생활의 실현에 이바지한다고 인정될 것을 추가하고 있어 그 기준이 추상적이고 자의적이라는 비판이 가해질 수 있다.

반면 중국의 네트워크안전법, 베트남의 사이버정보보호법은 자국의 권리를 중시하여 자국에서 생성된 데이터의 국내 저장을 강제하고 자국 내의 인터넷 통제를 강화하고 있는데, 개인의 권리에 초점을 맞추기보다는 정부가 정보의 흐름을 통제하고 핵심 인프라를 보호할 수 있도록 하는데 초점이 맞추어져 있다는 점에서 유사하다. 

러시아는 연방차원의 개인정보보호법이 존재하며, 러시아가 가입한 개인정보 자동 처리에 관한 개인 보호 협약(Convention of the Council of Europe for the Protection of Individuals with regard to Automatic Processing of Personal Data) 가입국에 대하여 명시적으로 개인정보 이전을 허용하고 있는 점에 특징을 발견할 수 있으며, 개인정보의 적절한 보호를 제공하지 않는 국가로의 이전이 예외적으로 허용되는 범위가 다른 국가에 비하여 넓은 특징이 있다. 다만, 개인정보의 국외이전을 허용하면서도 데이터 지역화 조치에 관한 규정(제18조)으로 중국이나 베트남과 같이 개인정보의 국외이전에 상당한 제약이 가해지고 있다. 

EU의 적정성 평가를 앞두고 있는 우리나라의 입장에서 EU의 적정성 평가를 얻은 일본의 입법례는 특히 도움이 된다고 할 것이고, 유럽과의 사이에 프라이버시 쉴드가 있는 미국법, 영국법계에 속하면서 개인정보의 국외이전이 가능한 적정성 기준을 설정하고 있는 호주의 경우도 도움이 된다. 아울러 CBPR AA 인증을 위하여도 일본법상의 개인정보 국외이전 제도가 참조가 된다고 할 것이다.
  
셋째, 전자상거래, ICT, 제조, 금융 등 개인정보 국외이전이 이뤄지고 있을 것으로 생각되는 주요 산업 분야를 선정하여 해당 분야에 종사하고 있는 기업을 중심으로 사전 질문지 작성 및 답변 요청 후 이에 기반한 인터뷰 진행을 진행한 결과를 정리하고, 시사점을 도출하였다(제4장). 주요 질문 항목인 국외이전 관련 현황, 국외이전 관련 법제도에 대한 의견 및 기타 일반의견 청취의 순으로 나누어, 첫째, 국외이전 관련 현황의 세부질문으로는 개인정보 국외이전의 요인과 목적, 개인정보 국외이전 수행의 주체, 개인정보 국외이전의 주요 내용, 방법 및 경로, 개인정보 국외이전의 대상국, 개인정보 국외이전 관련 내규 및 절차, 개인정보 국외이전 관련 분쟁의 경험, 및 개인정보 관리전문부서 및 인력의 구비 여부, 둘째, 관련 법제도에 대한 의견으로는 현행법상 개인정보 국외이전의 개념, 현행 개인정보 국외이전 관련 법제의 문제점, GDPR 등 개인정보 국외이전 관련 외국 법제에 대한 이해와 상대국과의 법제도 차이로 인한 한계 등, 셋째, 일반의견으로 국외이전뿐 아니라, 개인정보 제도 전반에 관한 기업의 자유로운 의견을 정리한 결과 개인정보 국외이전 관련 법제의 정합성 확보, 실효성 있는 개인정보 정책의 도입, 기업 개인정보 관리역량 강화를 위한 정책적 지원의 필요, 국제적 기준에 부합하는 개인정보 제도 도입이 필요하다는 시사점을 도출하였다.

넷째, 현행 정보통신망법 국외이전 조항 관련 개선 방안과 한국형 적정성 제도 도입 및 관련 기준을 마련하였다(제5장). 먼저, 현행 개인정보보호법제의 국외이전 조항 현황을 살펴보고 그 문제점으로서 개인정보에 관한 법제 분산과 정합성 문제, 동의 중심 개인정보보호체제의 한계, 상호주의 조항의 규정의 국제규범 위반 문제, 개인정보 국외이전 정보 내용의 미비, 국제적 정합성 문제, 컨트롤 타워 부재 문제를 다루었다. 다음, 정보통신망법 개선방안 마련에 있어서 고려사항으로 동의중심에서 적격성 결정/적절한 보호조치 체제로의 변경, 개인정보 국외이전 정보의 충실화, 국제적 수준에 맞는 법체제 정비, 개인정보보호법 개정안의 통과 (여부)에 따른 고려를 다루었다. 마지막으로 정보통신망법령의 “국외이전 조항” 개정안으로 법 제63조 제2항 신설 및 제3항 내지 제5항의 수정, 법 제63조의2(상호주의)의 수정과 아울러 정보통신망법 시행령 조항 신설을 통하여 우리나라와 동등한 수준에 있다고 인정되는 개인정보의 보호에 관한 법제도를 가지고 있는 외국과 국외의 제3자가 개인정보 처리에 대해서 정보통신서비스 제공자등이 마련해야 하는 조치에 상당하는 조치의 기준을 제시한 후 한국형 적정성 제도 도입 및 관련 기준에 대한 해설을 붙였다.

이와 같이 정보통신망법 개정안에서는 개인정보 보호를 위한 적절한 수준의 보호제도를 가지고 있는 국가나 기업에 국외이전을 허용하는 데이터 규제 기준을 설정하면서도 동시에 국제사회에서 다루는 국경 간 데이터 이동에 관한 논의의 흐름에 역행하지 않는 무역친화적인 한국형 적정성 평가에 관한 법제도를 마련하고자 하였으며, 이러한 개정안이 우리나라가 현재 준비 중인 GDPR 적정성 평가 취득과 아울러, APEC CBPR의 인증기관(AA) 승인에 도움이 되기를 기대한다.

목차

Ⅰ. 서론 1
1. 연구 필요성 및 목적 1
2. 연구 범위 2

Ⅱ. 주요 국제 협정문 내 데이터 이전 조항 비교·분석 3
1. 주요국 FTA의 데이터 이전 조항 3
가. 한미 FTA 3
나. 한EU FTA 4
다. 미일 FTA 5
2. 주요 국제협정의 데이터 이전 조항 7
가. CPTPP 7
나. TiSA 9
다. 서비스무역협정(GATS) 11
라. RCEP 13
마. WTO에서의 전자상거래 협상 14
3. 협정문을 통한 데이터 이전 동향 파악 및 시사점 도출 14

Ⅲ. 주요국 개인정보 국외이전 법제 현황 파악 16
1. 일반 16
2. 주요국의 법제 현황 17
가. EU 17
나. 미국 37
다. 일본 47
라. 러시아 55
마. 중국 63
바. 베트남 67
사. 영국 71
아. 대만 74
자. 호주  76
3. APEC CBPR(Cross-Border Privacy Rule)  82
가. 도입 배경  82
나. 기대효과 83
다. 주요내용 84
라. 한국의 CBPR 추진 경과 85
마. APEC CBPR 인증기관 85
4. 비교 및 시사점 도출 92

Ⅳ. 국내 기업들의 개인정보 국외이전 현황 및 애로사항 파악 101
1. 조사의 대상 및 방법 101
가. 조사대상의 선정 101
나. 조사방법 101
2. 조사의 결과 103
가. 개인정보 국외이전 현황 103
나. 개인정보 국외이전 관련 규범의 인식 105
다. 개인정보 및 개인정보 국외이전 제도에 대한 일반 의견 107
3. 분석 및 시사점의 도출 108
가. 개인정보 국외이전 제한의 필요성에 대한 이해의 제고 108
나. 개인정보 국외이전 관련 법제의 정합성 확보 108
다. 실효성 있는 개인정보 보호 정책의 도입 108
라. 기업 개인정보 관리역량 강화를 위한 정책적 지원 109
마. 국제적 기준에 부합하는 개인정보 제도 도입의 필요성 109

Ⅴ. 국외이전 조항 개선 내용을 반영한 법률 개정안 제안 111
1. 현행 개인정보보호법제의 국외이전 조항 현황과 그 문제점 111
가. 개관 111
나. 현행 개인정보보호법제의 국외이전 조항 현황 111
다. 문제점 117
2. 정보통신망법 개선방안 마련에 있어서 고려사항 120
가. 동의중심에서 적격성 결정/적절한 보호조치 체제로의 변경 120
다. 국제적 수준에 맞는 법체제 정비 121
다. 개인정보보호법 개정안의 통과 (여부)에 따른 고려 121
3. 국내 정보통신망법 도입 방안 마련: 정보통신망법 “국외이전 조항” 개정안 (초안) 122
가. 개정의 취지 122
나. 참고 입법례 123
다. 정보통신망법 개정안 125
4. 정보통신망법령 신구 대비표 128
가. 정보통신망법 128
나. 정보통신망법 시행령 130
5. 한국형 적정성 제도 도입 및 관련 기준 134

Ⅵ. 결론 140