개인정보의 국외이전이란 개인정보가 국경을 넘어 이동하는 것을 의미한다(OECD). 개인정보의 국외이전이라는 용어는 정보통신망법 제63조, 개인정보보호법 제14조에 언급되고 있으며, TBDF(Transborder Data Flow)라고도 한다.
개인정보의 국외이전은, 개인정보보호 법제가 약한 나라로의 이전을 통한 규제 회피 목적에서 이루어졌기에 과거에는 특이하고 예외적인 현상이었을지 모르나, 지금은 빈번하게 발생하는 흔한 현상이 되었다. 기업이 아닌 개인들이 외국의 포털에 가입하거나, 외국의 서점에서 책을 주문하는 등의 행위가 일상 생활이 되었기 때문이다.
이렇게 개인정보의 국외이전이 빈번하게 된 원인으로는, ① GATT, WTO 등의 영향을 받은 세계 경제의 글로벌화, ② 인터넷ㆍ정보처리기술ㆍ클라우드의 발달 및 개인정보처리산업의 급성장, ③ 전자상거래ㆍSNSㆍ검색엔진의 발달 및 소비자들ㆍ개인들의 국외이전 참여 활발, ④ 국경을 초월한 글로벌 기업의 급성장 등이 꼽히고 있다.
위 원인으로 인하여 개인정보의 국외이전이 빈번해지고 일반화되었다고 하더라도, 법적ㆍ정보보호적 관점에서는 개인정보의 국외이전에 대하여 어느 정도의 규제를 하지 않을 수는 없다.
개인정보의 국외이전에 관한 입장으로는, ① 정보의 유통을 보장하는 차원에서 원칙적으로 개인정보의 국외이전을 허용하면서 예외적으로 개인정보통제권이나 프라이버시권의 보호 차원에서 제한하는 태도와 ② 원칙적으로 개인정보의 국외이전을 제한하면서 예외적으로 일정한 요건이 만족되면 개인정보의 국외이전을 허용하는 태도로 나눌 수 있다. 전자에 해당하는 것이 OECD이고, 후자에 해당하는 규제가 EU이다.
어떠한 태도를 취하든지 중요한 것은 ① 개인정보의 국외이전 및 정보의 유통 보장이라는 것이 경제발전과 정보서비스 발달에 기여하는 바가 크다는 점, 그러나 ② 정보주체의 개인정보통제권이나 프라이버시권의 보호라는 것도 반드시 수호되어야 한다는 점이다.
이 두 가지 목표를 달성하기 위해서 필요한 것은 ‘유연한 규율’이다. 유연한 규율이라는 것은 ① 다양한 법현상을 포섭하면서, ② 바람직한 개인정보 국외이전을 제한하지 않으면서, ③ 정보주체의 개인정보통제권이나 프라이버시권을 보호하는 것을 의미한다.
우리나라 입법의 개인정보 국외이전에 대한 태도는 대단히 경직되어 있다. 우리나라 기업이 외국으로 개인정보를 이전시키려면 반드시 동의를 얻어야 하며, 동의 외의 다른 절차로는 개인정보의 국외이전을 할 수 없게끔 규정되어 있기 때문이다(정보통신망법 제63조, 개인정보보호법 제17조).
우리나라는 기업의 형태에 상관없이, 상태에 상관없이, 이전 목적에 상관없이 오직 동의를 받아야 개인정보의 국외이전을 할 수 있게 되어 있다. 실제로 이미 수집한 고객의 개인정보를 해외로 이전하여야 하는 필요성이 큼에도 불구하고, 동의를 받아야 하는 절차 수행이 어려워 이를 포기하는 기업도 속출하고 있다.
EU의 경우 개인정보보호가 매우 엄격하다고 알려져 있지만, 개인정보의 국외이전에 대하여는 엄격함뿐만 아니라 유연성도 갖추고 있다.
개인정보의 국외이전에 관한 입법은 현재 시행 중인 95년도 개인정보보호방침(95/46/EC Directive)과 앞으로 시행을 기다리는 일반정보보호규정안(General Data Protection Regulation. 2012년 발표)이 존재하는데, 후자를 검토해 보기로 한다.
먼저, EU 집행위원회가 이전될 국가가 적절한 수준의 보호(adequate level of protection)를 갖추고 있다고 판정을 하면 가능하다(Transfer with adequacy decision).
둘째, 기업이나 조직이 위 규정안에 열거된 적절한 보호기준을 갖추고 있으면 개인정보의 국외이전이 가능하다(Transfer by way of appropriate safeguards). 열거된 적절한 보호기준으로는 BCRs(Binding Corporate Rules), EU 집행위원회가 채택한 표준데이터보호조항, EU 집행위원회가 유효하다고 인정하고 감독기관이 채택한 표준데이터보호조항, 감독기관이 승인한 표준계약조항이 있다.
여기서 BCRs란 2003년도부터 시행된 ‘기속력 있는 기업규칙’이라는 국외이전 기준으로서, 한 회원국가의 감독관이 개인정보의 국외이전을 하는 기업이 이 기준을 준수하고 있음을 인정하면, 다른 회원국가에서도 이를 인정하여 개인정보의 국외이전을 허용해 주고 있다.
셋째, 적절수준의 판정(adequacy decision)이나 적절한 보호기준(appropriate safeguards)을 갖추지 않은 경우라도, 정보주체가 충분한 설명을 받고 동의를 한 경우, 국외이전이 계약이행에 필요한 경우, 정보주체의 이익을 위하여 필요한 경우, 공익을 위하여 필요한 경우, 법적 공방을 위하여 필요한 경우, 정보주체의 동의를 얻지 못하는 상황에서 정보주체의 이익을 위하여 필요한 경우 등의 조건하에서는 개인정보의 국외이전은 허용된다(Derogations).
넷째, 세이프하버 약정이 체결되어 있고 그 기준을 준수한 경우에도 개인정보의 국외이전은 허용된다(Safe Harbor). 자국의 적절한 개인정보보호법제가 없는 미국은 EU와 세이프하버 약정을 맺어 개인정보보호 7원칙을 지킨 자국의 기업을 상무부 홈페이지에 공지하고 있는데, 이러한 기업의 개인정보 국외이전은 허용된다.
다섯째, EU 의회에서 승인한 경우에도 개인정보의 국외이전이 가능하다. EU 의회는 미국에 대한 승객정보 제공에 대하여 승인한 적도 있으며(EU-US PNR 협정), 테러방지를 위한 금융정보 제공에 대하여도 승인한 적도 있다(EU-US FMD 협정).
위 EU의 법제와 비교해보아도, 우리나라 개인정보 국외이전 법제가 얼마나 제한적이고 경직되어 있는지 파악할 수 있다. 개인정보 국외이전시 개인정보보호의 과제는 반드시 동의를 거치게 하여야만 이루어지는 것은 아니다. 물론 동의 대신 고지만 하면 국외이전이 가능하게 한다든지 하여 관문 자체를 없애는 것도 위험하지만, 동의라는 관문만을 통과하게끔 하고 다른 관문을 막아 놓게 되면 기업은 개인정보의 국외이전을 제대로, 제때 하지 못하여 경제발전이나 정보서비스ㆍ정보산업의 발달은 어렵게 되고, 그로 인하여 국부의 축적이 어려워지게 된다.
기술발전ㆍ글로벌화ㆍ국제적 흐름에 맞으면서도 실질적인 보호를 제공할 수 있는 유연한 입법이 그 어느 때보다 시급하다. 법이 경제발전이나 기술발전의 발목을 잡아서는 아니 될 것이다.
* 법무법인 민후 김경환 변호사 작성, 보안뉴스(2013. 7. 15.), 리걸인사이트(2016. 2. 17.) 기고.
