오늘날 전 세계는 인공지능, 사물인터넷, 빅테이터, 웨어러블 등 첨단 정보통신기술(ICT) 기반의 4차 산업 혁명 시대에 직면하고 있다. 정보통신기술의 비약적인 발달로 인하여 어느 때보다도 많은 양의 정보가 국경을 넘어 유통·처리되고 있으며, 이에 따라 필연적으로 개인정보 또한 이 거대한 정보의 흐름 속에 동반하여 국내를 넘어 국외로까지 이전되고 있다. 따라서 개인정보 보호의 측면에서의 4차 산업 혁명은 ‘개인정보의 활용을 통한 산업의 발전’과 ‘개인정보의 안전성 보장’ 사이에서 균형점을 모색하여야 하는 과제를 제기하였다. 이에 각국은 개인정보 보호 법체계의 정비에 박차를 가하였고 국가마다 추구하는 가치에 따라 개인정보의 국외 이전에 대한 대응 방안도 차이를 보이고 있다.
EU는 예로부터 정부 주도적인 개인정보 보호 체계를 형성해 왔으며 개인정보 보호를 기본권의 영역으로 인지했다. 이를 바탕으로 EU는 EU 전반에 구속력을 갖는 일반정보보호규칙(GDPR)을 2018년 5월 25일부터 시행하여 개인정보 보호 제도를 통일적으로 체계화 하였으며, GDPR의 제정 목적으로 기본권인 개인정보 보호 권리의 보장과 함께 개인정보의 자유로운 유통에 대한 보장을 명시하였다. 이러한 목적 아래 EU는 개인정보 국외이전에 대하여 적정성 평가 제도를 도입하여 EU가 추구하는 개인정보 보호 수준을 보장하는 국가에 대하여만 개인정보를 이전하는 방안을 마련하였다. EU는 현재 개인정보 보호 법체계에 있어 새로운 기준을 선도하는 주도국의 지위에 있다. 이에 일본은 개인정보 국외이전 관련하여 EU와 유사한 적정성 평가 제도를 도입하는 등 개인정보 보호법의 전반적인 개정을 통하여 최근 EU의 적정성 평가 결정을 통과하였으며, 우리나라도 적정성 평가를 신청하여 EU와 협의 중에 있다. 정부 주도의 개인정보 보호 보다는 시장의 자율성을 중시하는 미국의 경우도 EU의 적정성 기준에 부합하기 위하여 EU와 미국 간의 자유로운 개인정보 이전을 위한 프라이버시 쉴드 협약을 2016년 8월 1일부터 발효한 바 있다.
개인정보의 보호와 국외로의 이전에 있어서 국가들이 취하고 있는 다른 방향성으로는 데이터 국지화(Data Localization) 전략이 있다. 이는 특히나 중국과 러시아가 시행 중인 방안으로 개인정보를 국외로 이전하기 위해서는 중국과 러시아 자국에 개인정보 데이터 센터를 두어 개인정보를 저장할 것을 의무화하고 있으며, 당국의 검열과 규제에 대한 강화를 명시하고 있다. 중국은 이를 내용으로 하고 있는 네트워크 안전법을 2017년 6월 1일부터 시행 중에 있으며, 러시아는 기존의 개인정보 보호법을 개정하여 일명 데이터 국지화법으로 불리는 Federal Law No. 242-FZ를 2016년 9월 1일부터 시행 중에 있다. 이들은 데이터 국지화를 통하여 자국민의 개인정보를 보호하고 국가안보와 질서를 유지하며 무엇보다도 다국적 IT 기업들로부터 데이터 시장의 주도권을 탈환하려는 목적을 갖는다.
이처럼 세계 각국이 개인정보의 유통과 보호 사이의 균형점을 찾기 위한 과제 앞에 각기 자국의 실정에 맞는 방안의 구축을 시도 중에 있다. 우리나라 역시 우리 법제가 추구하여야 할 방향성에 대하여 지속적인 논의가 이루어져야 하는 바, 세계 각국의 정세 속에서 우리나라 실정에 맞는 합리적인 법제 정비 방안이 검토되어야 한다. 따라서 본 논문에서는 우리나라 개인정보 국외이전 법제의 문제점에 대하여 제언하고 이에 대한 법제 정비 방안을 제시하고자 한다.
국내법제의 문제점은 첫째, 개인정보 국외이전의 정의 규정 부재와 용어 혼동에 따른 불명확성의 문제가 있다. 둘째, 다수의 개별법 및 특별법 제정으로 인한 일반법인 개인정보 보호법과의 정합성 문제가 있다. 셋째, 현행법상 개인정보를 국외이전의 원칙으로 작용하는 동의 규정에 대한 비탄력성과 그 고지사항의 불충분 문제가 있다. 넷째, 개인정보 보호를 위한 독립기관으로서의 현행 개인정보보호위원회의 위상 문제가 있다. 마지막으로 국내법의 국제적 호환성 결여 문제점이 있다.
이에 대한 대응방안으로 본 논문에서는 개인정보 국외이전 관련 국내법의 재정비의 우선적 선행을 제안하고자 한다. 개인정보 국외이전에 대한 국내법의 보호범위를 보다 명확히 하고, 국내법 간 체계 정합성을 확립하여 그 적용에 있어 혼선을 감소하여야 한다. 또한 현행법은 개인정보를 국외로 이전할 경우 정보주체의 동의를 원칙으로 하고 있기 때문에 정보주체의 동의를 받을 경우 정보주체에게 알려야할 고지사항을 강화하여 정보주체의 자기결정권을 보장하는 한편 .개인정보 유통의 활성화를 위한 대안을 도입하고, 이러한 국내법의 재정비를 토대로 개인정보 국외이전에 대한 통일적인 법적용과 국제협력을 담당하기 위한 독립 감독기관으로서의 개인정보보호위원회의 기능과 권한을 강화하고, 국내법의 국제적 상호호환성 확보를 위한 지속적인 모니터링과 연구 계획을 수립할 것을 제의하고자 한다.
제1장 서론 1
제1절 연구의 목적 1
제2절 연구의 범위 및 방법 3
제2장 개인정보 국외이전의 개관 5
제1절 개인정보 국외이전 개념 5
제2절 개인정보 국외이전 유형 5
1. 직접적 제공 방식 6
2. 간접적 제공 방식 6
가. 제3자 제공 방식 6
나. 중개·공유 방식 6
다. 협력·제휴 방식과 인수·합병 방식 7
제3절 개인정보 국외이전 관련 국내 법제도 현황 7
1. 국내 개인정보 보호 입법체계 7
2. 개인정보 국외이전 관련 국내법 8
가. 개인정보 보호법 8
1) 국외의 제3자 제공 8
2) 목적 외 제공 11
나. 정보통신망법상 이용촉진 및 정보보호 등에 관한 법률 13
1) 정보통신망법상 개인정보 국외이전 13
2) 정보통신망법 개정 16
다. 신용정보의 이용 및 보호에 관한 법률 18
라. 국제협정 21
1) 한-미 자유무역협정(FTA) 21
가) 개인정보 국외이전 관련 내용 21
나) 국내법과의 비교 및 검토 22
2) 한-EU 자유무역협정(FTA) 23
제3장 개인정보 국외이전의 비교법적 검토 25
제1절 국제기구 및 국제협의체 25
1. 국제연합(UN) 25
2. 경제협력개발기구(OECD) 26
3. 아시아태평양경제협력체(APEC) 30
가. APEC 프라이버시 프레임워크(APF) 30
나. APEC 프라이버시 프레임워크(2015) 9원칙 31
제2절 유럽연합 32
1. 유럽연합 개인정보 보호 법체계 32
2. 1995년 정보보호지침(2018. 5. 25 폐지) 34
가. 제정목적 34
나. 개인정보 국외이전 관련 내용 34
1) 제3국으로의 개인정보 이전의 원칙 34
2) 제3국으로의 개인정보 이전의 예외 35
다. 1995년 정보보호지침의 의의 37
3. EU-미국 세이프하버 협약의 무효와 프라이버시 쉴드 협약 37
가. 미국의 개인정보 보호 법제 38
나. 세이프하버 협약 38
다. 유럽사법재판소의 세이프하버 협약 무효판결 39
1) 사건개요 39
2) 판결요지 40
3) 판결효과 41
라. 프라이버시 쉴드 협약 42
마. 검토 및 시사점 43
4. 2016년 EU 일반정보보호규칙(GDPR) 44
가. 제정배경과 목적 44
나. 주요내용 44
다. 개인정보 국외이전 관련 내용 45
1) 개관 45
2) 제44조 이전의 일반 원칙 46
3) 제45조 적정성 판단에 근거한 이전 46
가) 적정성 판단 결정의 내용 46
나) 적정성 판단 결정 현황 48
4) 제46조 적절한 안전장치에 근거한 이전 49
5) 제47조 구속력 있는 기업규칙(Binding corporate rules) 51
6) 제48조 EU법에 의하지 않은 이전 또는 공개 52
7) 제47조 특별한 상황에서의 예외적용 53
8) 제50조 개인정보 보호를 위한 국제협력 55
라. 검토 및 시사점 57
제3절 아시아권 및 기타 국가 58
1. 일본 58
가. 일본 개인정보 보호법 개정 58
나. 제3국으로의 국외이전 관련 내용 59
1) 외국에 있는 제3자에의 제공 59
2) 일본-EU 적정성 평가 60
다. 검토 및 시사점 62
2. 중국 62
가. 네트워크 안전법(中华人民共和国网络安全法) 62
나. 개인정보 국외이전 관련 내용 64
1) 개인정보 국내 저장 및 국외이전의 제한 64
2) 개인정보와 중요 데이터의 국외이전에 대한 보안평가 65
다. 검토 및 시사점 67
3. 러시아 68
가. 데이터 국지화법(Federal Law No. 242-FZ)의 제정 68
나. 개인정보 국외이전 관련 내용 69
다. 검토 및 시사점 69
제4장 개인정보 국외이전 법제개선 71
제1절 개인정보 국외이전 관련 국내법의 문제점 71
1. 개인정보 국외이전 관련 국내법의 불명확성 71
가. 개인정보 국외이전에 관한 정의 불명확 71
나. ‘제3자 제공’과 ‘국외의 제3자 제공’의 구별 문제 73
2. 일반법과 특별법 사이의 정합성 문제점 74
가. 일반법인 개인정보 보호법의 위상 문제 74
나. 중복규제 법률 간 우선 적용의 문제 76
다. 법률 간 차이로 인한 문제 77
1) 개관 77
2) 개인정보 국외이전 관련 규정의 형식 78
3) 목적 외 제공 79
4) 국외의 제3자 제공에 대한 동의 시 고지사항 80
5) 국외의 제3자 제공에 대한 동의규정의 예외 81
6) 보호조치 82
7) 벌칙 규정 84
3. 개인정보 국외이전에 대한 동의 규정의 문제점 85
가. 동의제도의 유일성 85
나. 동의규정에 대한 예외 사항의 협소 87
다. 동의 시 알려야 할 고지사항 88
4. 개인정보보호위원회의 독립성 문제 88
5. 국제적 호환성 문제 90
제2절 개인정보 국외이전 관련 법제 정비 방안 91
1. 개인정보 국외이전 관련 국내법의 명확성 확립 91
가. 개인정보 국외이전의 범주 명확화 92
나. ‘제3자 제공’과 ‘국외의 제3자 제공’ 구별 명확화 93
2. 개인정보 국외이전 법률 간 정합성 확립 94
가. 개인정보 보호법의 위상 강화 94
나. 우선적용 문제의 해소 96
다. 개인정보 국외이전 관련 법률 간 정합성 확립 97
1) 정합성 확립 방안 97
2) 구체적 방안 98
3. 정보주체에 대한 실질적 보호 수단 확립 99
가. 동의 없는 개인정보 국외이전 범위의 확대를 통한 정보 유통 활성 100
나. 이전 국가 및 위험성 고지 의무화 102
4. 개인정보보호위원회 권한 강화 104
5. 국내 법제의 국제적 호환성 제고 106
제5장 결론 108
참 고 문 헌 111
ABSTRACT 116