초록

본 연구는 데이터 주권 확보를 위한 개인정보 국외이전 규범의 합리화 방안에 대하여 검토하였다. 데이터 주권의 확보를 위해서는 데이터 시장에서 국제 경쟁력을 득해야 한다. 뿐만 아니라 자국민 데이터에 대한 집행력이 뒷받침되어야 한다. 이를 위해서 자국민 개인정보의 국외이전에 대한 합리적 규범을 설정하는 것은 매우 중요하다. 그러나 이렇듯 중요한 사안에 대하여 현행 법령은 오로지 정보주체의 ‘동의’에 의존하여 개인정보의 국외이전을 규정하고 있다. 현재 국회에서 추진중인 개정안 역시 마찬가지다. 즉 우리나라는 개인정보의 국외이전을 오로지 당사자의 자유로운 의사에만 근거하며 국가가 사전적 통제를 하지 아니하고 있다. 그러나 정보주체의 실질적 의사를 존중하는 수단으로서 ‘사전 동의’는 이미 형식화·형해화 되어 그 실효성에 많은 의문이 제기되고 있다. 특히 개인정보의 국외이전을 정보주체의 ‘동의’에만 의존하는 현행의 규범체계는 유럽시장과의 데이터 교역을 곤란하게 할 수 있다. 따라서 개인정보 국외이전은 ‘데이터 주권 확보’와 ‘데이터 경제 부흥’ 측면에서 볼 때 상호적정성 모델에 따라 규율되는 것이 타당하다. 이러한 상호적정성 모델이 구현되기 위해서는 다음과 같은 입법과제가 해결되어야 한다. 첫째, 개인정보 보호에 대한 역외적용 규정을 신설하되, 상호적정성승인이라는 국가 간 협약을 통해 역외적용 규정의 실효성을 확보하여야 한다. 둘째, 개인정보 국외이전은 개인정보보호의 수준이 우리나라와 동등한 것으로 정부가 승인한 국가 또는 국외 개인정보처리자로의 이전만을 허용하는 것을 원칙으로 하여야 한다. 다만 예외적으로 개인정보가 이전되는 국가 또는 개인정보처리자가 우리 「개인정보 보호법」에 의한 적정성 승인을 득하지 못하였거나 적절한 안전조치를 승인받지 못하였다는 사실 및 이러한 적정성 결정 및 적절한 안전조치의 부재로 인해 정보주체에게 발생할 수 있는 위험이 사전에 명확히 고지된 경우에만 정보주체의 동의에 의한 국외이전을 허용하여야 한다. 한편 상호적정성 모델이 적용될 경우 그 이전대상 국가가 우리나라와 국가차원의 적정성 승인을 득한 경우이거나 이전 기업이 우리정부가 정하는 적절한 안전조치를 취하였다고 인정된 경우 국내에서의 제3자 제공과 동일하게 취급되어야 할 것이다. 그러나 그렇지 못한 국가나 개인정보처리자에게 이전되는 경우 ‘강한’ 동의 규정이 적용되어야 할 것이다. 따라서 「정보통신망법」은 처리위탁ㆍ보관에 의한 국외이전의 경우 ‘사전고지+이용자의 동의’를 득해야 함이 원칙이나, 적정성 결정을 득한 국가 혹은 개인정보처리자로의 이전에 대하여는 별도의 동의 없이 ‘사전고지’만으로 가능하도록 현행 규정은 수정되어야 할 것이다.

키워드

데이터 주권, 개인정보 국외이전, 상호적정성 모델, 유럽 일반개인정보보호법, 정보주체의 동의

참고문헌(22)open

  1. [학술지] 강철하 / 2017 / 클라우드 환경에서 개인정보 국외이전의 법적 쟁점과 개선방향 / 경제규제와 법 10 (2) : 301 ~ 327

  2. [학술지] 구태언 / 2013 / 개인정보 국외 이전제도의 현황 및 개선방안 연구 / 가천법학 6 (1) : 277 ~ 312

  3. [학술지] 김기창 / 2012 / 클라우드 서비스와 개인정보보호 / 정보법학 16 (3) : 151 ~ 173

  4. [학술지] 김현경 / 2017 / 데이터 속성과 국지화 규범의 법적 쟁점에 대한 고찰 / 토지공법연구 78 : 213 ~ 260

  5. [학술지] 김현경 / 2016 / 기술혁신환경에서 프라이버시와 공권력의 충돌과 조화 / 가천법학 9 (3) : 81 ~ 124

  6. [학술지] 김현경 / 2014 / ICT규제원칙에 기반한 온라인서비스 비대칭규제의 개선방안에 관한 연구 / 성균관법학 26 (3) : 487 ~ 521

  7. [학술지] 박광배 / 2014 / 개인정보 국외이전에서의 표준계약제도 동향과 시사점 / 개인정보주간동향

  8. [학술지] 박선욱 / 2019 / 미국과 EU의 개인정보보호에 관한 법제 비교분석 / 동아법학 (83) : 269 ~ 310

  9. [학술지] 박완규 / 2012 / 클라우드 컴퓨팅 환경에서의 개인정보의 미국 이전에 따른 문제점 및 대응방안 연구 - 미국 정부기관에 의한 개인정보 누출 위험을 중심으로- / 법학논고 (38) : 455 ~ 478

  10. [학술지] 송영진 / 2018 / 미국 CLOUD Act 통과와 역외 데이터 접근에 대한 시사점 / 형사정책연구 29 (2) : 149 ~ 172

  11. [학술지] 오태현 / 2018 / EU 개인정보보호법 발효: 평가 및 대응방안 / 오늘의 시계경제

  12. [학술지] 이성환 / 1998 / 국민국가의 변천과 헌법의 과제 / 법학논총 (10)

  13. [보고서] 이용규 / 2006 / 개인정보 국외이전 관련 국가간 협력방안 연구

  14. [학술지] 이한영 / 2018 / 역외적용 및 로컬서버요건의 통상규범양립성에 관한 고찰 / 정보통신정책연구 25 (4) : 101 ~ 135

  15. [학술지] 조소영 / 2011 / 인터넷 주권과 통제에 관한 연구 / 공법학연구 12 (4) : 353 ~ 372

  16. [학술지] 최경진 / 2013 / 개인정보 국외이전에 관한 소고 / 법학논총 20 (1) : 31 ~ 63

  17. [학술지] 함인선 / 2016 / EU의 2016년 일반정보보호규칙(GDPR)의 제정과 그 시사점 / 법학논총 36 (3) : 411 ~ 453

  18. [학술지] 허진성 / 2014 / 데이터 국지화(Data Localization) 정책의 세계적 흐름과 그 법제적 함의 / 언론과 법 13 (2) : 289 ~ 309

  19. [학술지] 황성연 / 1997 / 국가관할권의 역외적 적용과 그 제한 / 고시계

  20. [학술지] Graham Greenleaf / 2018 / Japan and Korea: Different paths to EU adequacy / PRIVACY LAWS & BUSINESS

  21. [단행본] Paul R. Viotti / 1993 / INTERNATIONAL RELATIONS THEORY: REALISM, PLURALISM, GLOBALISM

  22. [학술지] Stephan Wilske / 1997 / International Jurisdiction in Cyberspace: Which States May Regulate the Internet? / Fed. Comm. L.J 50 : 117