법무법인(유) 화우

기업 활동의 무대가 국경을 넘어 전 세계로 확장되면서, 개인정보의 국외 이전은 필수적인 비즈니스 활동이 되었습니다. 하지만 각국의 상이한 개인정보 보호 규제와 이에 따른 과징금과 같은 제재 등은 기업들의 개인정보 국외이전에 심각한 도전이 되기도 하였습니다. 현재 국내 개인정보보호법 개정과 EU와의 적정성 결정, APEC CBPR 확장 등 개인정보의 국외이전과 관련한 국제 협력 강화 움직임이 진행되고 있는 상황이므로, 기업들은 이러한 사항을 잘 이해하여 글로벌 사업활동에 적절히 활용하는 것이 필요합니다.

1. 배경

2. 개인정보 국외이전 정책 및 국제 협력 동향

   가. 개인정보 국외 이전 규제 현황

   나. 국제 협약을 통한 국외 이전 

3. 시사점

1. 배경

기업 비즈니스의 글로벌화로 개인정보의 국외이전은 상시 발생하는 필수적 활동이 되었습니다. 해외 여러 국가에 지사를 두거나 사업 특성상 국제거래가 높은 비중을 차지하는 기업활동, 특히 전자 상거래, 클라우드 서비스 이용, 해외 국가와의 공동 연구 개발 등을 수행할 경우 개인정보의 국외이전은 상시 발생하나, 국가별 국외이전 규제 사항에 따라 상당한 수준의 과징금 처분 등 행정 제재를 받을 수 있는 문제가 있기에, 국내 법과 해당 국가의 규제 현황을 잘 살펴야 합니다.

2. 개인정보 국외이전 규제 및 국제 협력 동향

 가. 개인정보 국외 이전 규제 현황

   1)  대한민국

2020년 개인정보 보호법은 개인정보 국외 이전에 대한 정보주체의 동의를 요건으로 하였으나, 2023년 개정을 통해 개인정보 국외 이전 규정에 운영상 나타난 일부 미비점을 개선ㆍ보완하여 국제기준에부합하도록 국외이전 요건을 확대하였습니다. 즉 정보주체의 동의를 받은 경우 외에도 ① 법률, 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우, ② 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우, ③ 개인정보를 이전받는 자가 개인정보 보호 인증을 받은 경우, ④ 개인정보가 이전되는 국가 또는 국제기구가 국내법과 실질적으로 동등한 개인정보 보호 수준을 갖춘 경우에는 국외이전을 허용하고 있습니다.

2)  EU

EU GDPR은 유럽 시민의 개인정보를 역외로 이전하는 것을 제한하되, 적정성 결정을 통해 해당 국가의 개인정보 보호 수준이 EU와 동등하다고 인정되는 경우에는 자유로운 이전을 허용하고, 적정성 결정이 없는 경우에도 표준계약조항(SCCs)이나 구속력 있는 기업규칙(BCRs)과 같은 적절한 보호 조치를 마련할 때 개인정보의 국외 이전을 허용합니다. 2021년 3월, 대한민국은 EU 집행위원회로부터 적정성 결정을 위한 초기 긍정적 평가를 받았으며, 현재 적정성 평가의 첫 정기 검토를 앞두고 있는 상황입니다. 2025년 5월에는 GDPR 개정안이 제안되어 중소기업의 보고 요건을 완화하는 등 규제 간소화를 모색하고 있습니다.

3)  미국

미국은 연방 차원의 개인정보 보호법이 존재하지는 않습니다. 그 대신 EU-U.S. Data Privacy Framework (DPF)가 승인되어 EU와 미국 간 개인정보의 원활한 이전을 다시 가능하게 했으며, APEC (Global) CBPR을 통한 개인정보 국외 이전을 허용하고 있어 상대적으로 관대한 규제를 하고 있는 상황입니다. 그러나 2024년 3월에는 바이든 행정부가 해외 우려국가로부터 미국인의 민감한 개인정보를 보호하기 위한 행정명령(Executive Order)을 발표하여 특정 국가와의 데이터 거래를 제한하였고, 트럼프 2기 행정부에서도 특정 국가를 견제 및 제한하는 기조는 유지될 것으로 보입니다.

4)  일본

일본의 개인정보 보호법(ACT on the Protection of Personal Information: APPI)은 개인정보의 국외 이전에 대해 정보주체의 동의 또는 이전받는 국가가 일본과 동등한 수준의 보호 체계를 갖춘 경우에만 이전을 허용합니다. 참고로 2020년 개정되어 2022년부터 시행된 APPI는 정보주체의 권리를 강화하고, 개인 데이터 유출 시 보고 및 통지 의무를 확대하며, 벌칙을 대폭 강화했습니다. 2024년 4월에는 시행규칙이 개정되어 정보 유출 시 보고 의무 대상을 '개인정보'까지 확대하고 안전 관리 조치를 강화하는 등 개인정보 보호를 더욱 엄격하게 적용하고 있습니다.

  나.  국제 협약을 통한 국외 이전

개인정보의 국외 이전은 모든 국가에서 규제하나 각 국마다 개인정보 보호 수준이 차이가 있고 세계적으로 통일된 규범이 존재하지 않으나, 개인정보 이전을 위한 양자 간 혹은 다자간 협정이 이루어지고 있습니다.

1)  한-EU (개인정보 국외이전을 위한 동등성 인정 제도)

‘동등성 인정’제도는 제3국의 개인정보 법체계‧보호수준을 포함한 전반적인 개인정보 보호체계가 대한민국 개인정보 보호법의 요구 수준과 실질적으로 동등한지 검토 및 결정하여 인정하는 제도로서 EU의 적정성결정(Adequacy Decision)과 유사한 방식입니다. 우리나라는 23.3 개인정보 보호법(제28조의8제1항제5호)을 개정하여 법적 근거(동등성 인정)를 마련하였습니다.

[표 1 한-EU 동등성/적정성 제도 비교(출처: 한국인터넷진흥원 한/EU 동등성 인정에 따른 경제적 효과 분석]

2)  APEC CBPR 협약 (Global CBPR 확장)

APEC 프라이버시 보호 원칙을 기반으로 기업의 개인정보 보호 체계를 평가하여 인증하는 글로벌 인증제도입니다. 초기 CBPR(Cross Border Privacy Rules)은, 2011년 APEC 회원 9개국이 APEC Privacy 9 원칙을 근거로 개발한 개인정보호호 인증 체계로 APEC 회원국 간 자유롭고 안전한 개인정보 이전을 지원하기 위해 APEC 회원국이 공동으로 개발하였습니다. CBPR체제 인증을 취득한 기업은 CBPR체제 참여국들 사이에서 정보주체의 별도 동의나 표준계약 등 별도의 안전장치 없이 개인정보를 이전받을 수 있습니다. APEC CBPR은 6개 구분, 50가지 항목을 이용해 인증을 수행하고 있으며, 25년 6월 2일부터 Global CBPR 제도로 변경/시행되어 영국, 버뮤다, 두바이, 모리셔스가 추가되었고 그 대상은 더욱 확대될 것으로 예상됩니다.

3)  ASEAN 프레임워크 (ASEAN Framework on Digital Data Governance)

아세안(동남아시아 국가 연합) 내에서 데이터 관리 및 개인정보 보호를 위한 노력으로 ASEAN 회원국마다 개인정보 보호 법제가 다르므로, 이를 조화시키고 역내 데이터 흐름을 원활하게 하기 위해 통합적인 프레임워크를 구축하려는 논의 입니다. 크게는 조직이 데이터 거버넌스 및 시스템을 구축할 수 있도록 단계별 지침을 제공하는 DMF, 아세안 각국이 자국 개인정보 보호법 하에 개인정보 국외 이전을 적법하게 실행하기 위해 참조 가능한 법률 계약 표준 문서인 MCC으로 이루어져 있습니다. 동남아시아 시장 진출 또는 해당 지역과의 데이터 교환이 많은 기업에게는 ASEAN 차원의 데이터 규제 동향 및 협력 프레임워크를 주시하는 것이 필요합니다. 아직 EU의 GDPR처럼 통합된 규제는 아니지만, 점진적으로 발전하고 있습니다.

4)  역내포괄적경제동반자협정 (Regional Comprehensive Economic Partnership, RCEP)

RCEP(역내포괄적경제동반자협정)은 한국을 포함한 15개 아시아-태평양 국가 간의 포괄적인 자유무역협정입니다. 정보 이전/처리 측면에서 각 당사자가 자국만의 규제 요건을 가질 수 있고, 자국에서 데이터를 임의로 이용하지 못하도록 규정하였으며, 전자 상거래 측면에서 온라인 소비자 보호, 개인정보 보호, 스팸 메시지 방지 등 규정을 두고 있습니다. RCEP은 EU의 적정성 결정이나 APEC CBPR처럼 직접적인 개인정보 이전 승인 메커니즘을 제공하는 것은 아니지만, 국내 기업이 RCEP 회원국으로 개인정보를 이전할 때 개인정보 보호 관련 정책 및 절차를 공표하도록 장려하고, 국가간 개인정보 보호를 위해 협력하는 내용이 규정되어 있습니다.

3. 시사점

오늘날 기업 활동의 글로벌화와 디지털 전환은 개인정보의 국외 이전을 필수적인 요소로 만들었지만, 국가간 개인정보 관련 규제가 상이하므로, 국내 기업은 국외 이전의 법적 근거와, EU의 한국에 대한 적정성 결정, APEC CBPR/Global CBPR 제도 활용, 그리고 RCEP 협정이 제시하는 데이터 흐름 원칙 등 주요 국제 협력 제도를 이해하고 적극적으로 활용할 필요가 있습니다.

화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.