<11>개인정보를 국외로 이전하고자 한다면[정세진 변호사의 알쓸데이터법]

파이낸셜뉴스 2024. 4. 20. 10:00
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

<11>개인정보를 국외로 이전하고자 한다면[정세진 변

<11>개인정보를 국외로 이전하고자 한다면[정세진 변

개인정보 국외 이전하려면

다음 중 개인정보 보호법에 위반되는 경우는 어느 것일까?
①회사가 보유하고 있던 고객의 개인정보를 고객의 동의 없이 해외에 있는 제3자에게 제공하는 경우
②회사가 보유하고 있던 고객의 개인정보를 고객으로부터 제3자제공 동의를 받아서 해외에 있는 제3자에게 제공하는 경우
정답은 '①, ② 모두 개인정보 보호법에 위반된다'이다.

9, 10편에서 살펴본 바와 같이 개인정보를 제3자제공하는 경우에는 고객의 동의를 받아야 하므로 제3자제공 동의가 없는 ①은 개인정보 보호법에 위반되는 것이 맞는데, ②의 경우에도 왜 개인정보 보호법에 위반되는 것일까?
이는 개인정보 보호법에서 개인정보가 국외로 이전되는 경우에 대한 별도의 제한규정을 두고 있기 때문이다. 개인정보 보호법에 따르면 원칙적으로 정보주체의 동의를 받은 경우에만 개인정보의 국외 이전이 가능한데, 국외 이전 규정은 우리나라와는 개인정보 보호에 대한 법적 체계가 다른 해외 국가로 개인정보가 이전됨으로 인해 개인정보의 침해 위험성이 증가한다고 보아 추가적으로 동의를 받도록 한 것이므로 수집∙이용 동의나 제3자제공 동의와는 다른 새로운 유형의 동의이다.

개인정보 국외 이전 시 동의 받을 수 없는 경우는?

그렇다면 회사가 개인정보를 국외 이전하는 경우로서 불가피하게 동의를 받을 수 없는 경우가 생길 수 있는데, 이때에는 어떻게 하여야 할까? 개인정보 보호법에서는 동의가 없이도 개인정보를 국외로 이전할 수 있는 몇 가지의 예외사유를 정하고 있는데 다음 세 가지 사유가 중요하니 잘 알아둘 필요가 있다.

①개인정보의 처리위탁을 위해 국외 이전하는 경우
제3자에게 개인정보의 처리를 위탁하면서 정보를 이전하는 경우에는 동의 없이 정보의 이전이 가능하다는 점은 9편에서 상세히 설명한 바 있다. 처리위탁은 개인정보에 대한 관리권이 이전하는 자에게 계속 남아 있는 것인데 이러한 성격은 국외로 이전한다고 하여 달라지지 않는다. 따라서 국외로 이전되었다고 하더라도 국내에 있는 개인정보를 이전한 자가 관리하는 정보이므로 동의 없이 이전이 가능하다고 보고 있는 것이다. 다만, 이러한 경우에도 국외 이전과 관련된 내용을 개인정보 처리방침(privacy policy)에 기재하여야만 동의 없이 국외 이전이 가능하다. 동의를 받지않지만, 정보 주체가 언제든지 자신의 정보가 해외로 이전된 사실을 알게 하기 위한 것이다.

②개인정보를 이전받는 자가 개인정보보호위원회가 정한 인증을 받은 경우
보호위원회가 정한 인증을 받은 자인 경우에는 이미 충분한 개인정보 보호체계를 갖추고 있다고 보아 동의 없이 국외 이전이 허용된다. 현재에는 ISMS-P 인증만 여기에 해당되는데 향후 허용되는 인증의 종류가 계속 늘어날 예정이다.

③개인정보가 이전되는 국가의 개인정보 보호수준이 국내와 동등한 수준을 갖추었다고 개인정보보호위원회가 인정하는 경우
보호위원회에서 평가를 거쳐 국내와 동등한 개인정보 보호수준을 갖춘 국가를 정하는데, 아직까지는 인정된 국가가 존재하지는 아니하다.

고객 개인정보 국외 이전하려면 동의 받아야

그렇다면 회사가 고객의 개인정보를 국외로 이전해야 할 경우에는 어떻게 하여야 할까?
고객으로부터 국외 이전 동의를 받는 것이 가장 좋은 방법이다. 국외 이전 동의는 수집∙이용동의 및 제3자제공 동의와 다른 동의이므로 별도의 동의란을 만들어서 동의를 받아야 한다. 또한 동의를 받을 시 알려야 하는 항목에도 차이가 있다. 따라서 법에서 정하고 있는 항목을 꼼꼼히 확인하고 동의서를 작성하여야 한다.

처리위탁에 해당하는 경우에는 동의를 받을 필요는 없지만 개인정보 처리방침에 동의를 받을 시 알려야 하는 항목을 기재하여야 한다. 따라서 개인정보 처리방침에 해당 내용이 기재되어 있는지를 확인한 이후에 개인정보를 국외로 이전하도록 하자.

또한 정보를 이전받는 자가 보호위원회에서 정한 인증을 받은 자인지 또는 국내와 동등한 개인정보 보호 수준을 갖췄다고 인정되는 국가에 개인정보를 이전하는 경우인지도 확인할 필요가 있다. 이에 해당하는 인증 및 국가는 계속 증가할 것이므로 국외 이전을 하기 전에 해당 내용을 확인해 볼 필요도 있다.

한편, 내 정보의 국외 이전 여부를 확인하고 싶은 경우에는 어떻게 하여야 할까?
회사의 개인정보 처리방침에 국외 이전에 관한 사항이 기재되어 있는데, 이는 회사 홈페이지 첫 화면 하단에 링크로 연결되어 있는 경우가 일반적이다. 따라서, 내 정보를 처리하고 있는 회사의 홈페이지에 방문하여 개인정보 처리방침을 확인한다면 내 정보가 국외로 이전되고 있는지 여부를 확인할 수 있다. 이전되는 것을 원치 않는다면 개인정보 처리 동의를 철회하는 방법으로 이전을 중지시킬 수 있을 것이다.

[필자 소개]
정세진 율촌 변호사(43·변호사시험 3회)는 핀테크·데이터 전문 변호사다. 카드 3사 유출사건 등 주요 개인정보 유출 관련 사건을 수행했으며, 빅데이터, 마이데이터, 클라우드, 혁신금융서비스, AI, 가상자산, 토큰증권 등 핀테크 산업과 관련된 다양한 법률 자문을 제공하고 있다.

전문분야인 디지털 금융의 기본법률을 다룬 책 '디지털금융 기초 법률상식' 개정판을 올해 2월 출간했다. '디지털금융 기초 법률상식'은 2022년 초판이 나온 이래 주요 금융회사와 금융연수원, 대학교 등지에서 디지털금융 강의 교재로 쓰이는 등 법조인과 금융종사자 사이에서 실무서로 통하고 있다.

성균관대 법학전문대학원과 한국금융연수원에서 겸임교수로도 활동 중인 정 변호사는 다양한 디지털 금융 관련 강의도 진행하고 있다.

정세진 법무법인 율촌 변호사

정세진 법무법인 율촌 변호사

Copyright © 파이낸셜뉴스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
파이낸셜뉴스에서 직접 확인하세요. 해당 언론사로 이동합니다.