제2차 개정 개인정보보호법에 도입된 국외이전 규정 관련 실무현장에서의 문의사항을 정리했습니다. 23. 3. 23.에 발표했습니다.

1. “기업 입장에서 바라본”
개정 개인정보보호법상 국외이전 규정
…에 관한 일곱 개의 궁금한 지점
네이버주식회사
개인정보보호책임자 이진규 상무

2. 국외 이전 규정(제28조의8) 살펴보기
이번 법 개정으로 국외이전 요건을 다양화 화여 법의 유연성을 제고하는 한편,
중지명령권으로 국외이전에 따른 안전망을 강화할 수 있을 것으로 기대된다고 합니다.
원칙 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함)·처리위탁·보관하여서는 아니 된다.
예외 ① 정보주체로부터 국외 이전에 관한 별도의 동의*를 받은 경우
② 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우
③ 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁·보관이 필요한 경우
1) 법이 정한 사항*을 제30조에 따른 개인정보 처리방침에 공개한 경우, 또는
2) 전자우편 등 대통령령으로 정하는 방법에 따라 법이 정한 사항*을 정보주체에게 알린 경우
④ 개인정보를 이전 받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우
로서 일정한 조치를 모두 한 경우
1) 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치, 그리고
2) 인증 받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치
⑤ 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에
따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우
* (1) 이전되는 개인정보 항목, (2) 이전되는 국가/시기/방법, (3) 이전 받는 자의 성명(법인의 경우, 명칭과 연락처), (4) 이전 받는 자의 개인정보 이용목적/보유·이용 기간, (5) 이전을 거부하는 방법, 절차 및 거부의 효과

3. 중지명령권(제28조의9) 규정 살펴보기
특히, 개인정보의 국외 이전에 관하여 도입된 중지명령권은 처음 시행되는 제도인 동시에
법 문언상 그 내용을 충분히 파악하는데 어려움이 있어 현장에 어떻게 적용될지 예상이 어렵습니다.
내용 (일정한 요건에 해당하는 경우,) 보호위원회는 개인정보처리자에게 개인정보의 국외 이전을 중지 명령 할 수 있음
요건 국외 이전이 계속되고 있거나, 추가적인 국외 이전이 예상되는 경우로 다음 어느 하나에 해당하는 경우
① 법 제28조의8제1항, 제4항, 제5항을 위반한 경우
1) 제1항: 개인정보의 국외이전에 관한 사항
2) 제4항: “개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른
규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다.”
3) 제5항: 개인정보보호법을 위반하는 사항을 내용으로 하는 국외 이전에 관한 계약을 체결한 경우
② 개인정보를 이전 받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비하여 개
인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우
※ 명령을 받은 후, 7일 이내 이의 제기 가능함. 국외 이전 중지 명령의 기준 및 불복 절차는 대통령령으로 정하게 됨

4. 상호주의 및 Onward Transfer 규정(제28조의10, 제28조의11) 살펴보기
상호주의 및 제3국으로 추가 이전되는 경우에 관하여 새로운 규정이 신설되었는데,
표면상 명확한 것으로 보이지만, 실무상 적용에 있어 다양한 의문점을 야기하고 있습니다.
상호주의 제28조의8에도 불구하고 개인정보의 국외 이전을 제한하는 국가의 개인정보처리자에 대해서는 해당 국가
의 수준에 상응하는 제한을 할 수 있다. 다만, 조약 또는 그 밖의 국제협정의 이행에 필요한 경우에는 그러하
지 아니하다.
제28조의8제1항 각 호 외의 부분 단서에 따라 개인정보를 이전 받은 자가 해당 개인정보를 제3국으로 이전
하는 경우에 관하여는 제28조의8 및 제28조의9를 준용한다. 이 경우 “개인정보처리자”는 “개인정보를 이전
받은 자”로, “개인정보를 이전받는 자”는 “제3국에서 개인정보를 이전받는 자”로 본다.
준용규정

5. 현장에서 궁금한 지점, 첫번째
개인정보의 자유로운 흐름을 촉진하고 보장하는 것은 위험한 것이며,
개인정보의 국외 이전은 가급적 지양되어야 한다는 전제하에 관련 규정이 만들어진 것은 아닌가?
GDPR (Recital 6) Natural persons increasingly make personal information available publicly and globally.
Technology has transformed both the economy and social life, and should further facilitate
the free flow of personal data within the Union and the transfer to third countries and
international organisations, while ensuring a high level of the protection of personal data.
(Article 1(1)) This Regulation lays down rules relating to the protection of natural persons with
regard to the processing of personal data and rules relating to the free movement of
personal data.
보호법 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함)·처리위탁·보관하여서는 아니 된다.

6. 현장에서 궁금한 지점, 두번째
해외는 Privacy Policy에 대한 동의로 개인정보 처리에 대한 동의가 수렴되고 있는데,
우리는 유독 개인정보 국외 이전에 대한 동의를 ‘별도의 동의’로 구성한 이유는?
규정 정보주체의 동의 습관화를 고착시킨다는 지적에도 불구하고, 개정법에 ‘별도의 동의’를 요건으로 담았음
개인정보 처리에 관하여 다양한 동의에 개인정보 국외 이전에 대한 동의가 추가되어 UI/UX 구성 복잡화
현실
개인정보 수집 및 이용에 대한 동의 (필수)
민감정보 처리에 대한 동의
고유식별정보 처리에 대한 동의
개인정보 수집 및 이용에 대한 동의 (선택)
개인정보 제3자 제공에 대한 동의 (필수)
개인정보 국외 이전에 대한 동의 (필수)
□
□
□
□
(예시) 회원가입에 필요한 개인정보 처리 전체 동의 (선택 포함)
□
>>
>>
>>
>>
□
□
>>
>>

7. 현장에서 궁금한 지점, 세번째
개인정보가 이전된 국가 등 관련 정보 공개로 인해 발생한 불필요한 오해와 사회적 비용에도 불구하고
개정된 법에서 오히려 더 많은 정보를 공개하도록 한 것에 대한 실익이 얼마나 큰 것일까요?
공개대상 ① 이전되는 개인정보 항목
② 이전되는 국가/시기/방법
③ 이전 받는 자의 성명(법인의 경우, 명칭과 연락처)
④ 이전 받는 자의 개인정보 이용목적/보유·이용 기간
⑤ [기존 대비 추가] 이전을 거부하는 방법, 절차 및 거부의 효과
문제점 ✓ 개인정보에 포섭되지 않는 정보가 거의 없는 상황 (=폭 넓은 개인정보의 정의)
✓ 특정 국가 정부의 접근이 가능하다는 이유로, 현지에 적용된 보호조치와 무관하게 사회적 이슈화
✓ SaaS 서비스 활용에서의 제약 (=초 대형 해외 수탁자 선택의 필연성 vs. 법 준수 부담)
✓ BCP 목적의 데이터 해외 소산(저장) 등에 대한 이전 거부 요청 대응 방안 불명확

8. 현장에서 궁금한 지점, 네번째
정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁·보관이 필요한 경우엔
개인정보의 해외이전이 가능합니다. 그런데, 이런 경우는 구체적으로 어떤 경우를 의미하나요?
규정 ⚫ 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서
정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 (법 제15조 제1항 제4호)
⚫ 정보주체와의 계약의 체결 및 이행을 위하여
개인정보의 처리위탁·보관이 필요한 경우 (제28조의8 제1항 제3호)
의문점 ✓ 법 제15조 제1항 제4호에 따른 계약 체결/이행과 법 제28조의8 제1항 제3호는 같은 의미인가?
✓ ‘계약 체결/이행’에 개인정보 처리위탁·보관이 필수는 아니지만, 부수적으로 수반되는 경우에는?
✓ 계약 체결/이행에 필요한 경우라는 점을 어떻게 입증하는가?
✓ 계약 체결/이행은 반드시 ‘서면‘에 의한 경우에만 가능한 것인가?
✓ 국내 사업자의 해외 관계 법인이 해외에서 국내 정보주체의 개인정보를 직접 수집하는 것은 무엇인가?
VS.
같은 것
다른 것
알 수 없음

9. 현장에서 궁금한 지점, 다섯번째
제3국으로의 추가이전에 대한 규정과 관련하여, 제3국으로 이전된 개인정보가
같은 국가의 다른 개인정보처리자에게 재 이전 된 경우엔 어떤 규정이 적용되는 것일까요?
사안 대한민국 → 제3국 개인정보 처리자에게 이전 → 같은 국가의 다른 개인정보 처리자에게 재 이전
EU …controllers and processors, which are not established in the EU, may be subject to the GDPR
pursuant to Article 3(2) for a given processing and, thus, will have to comply with Chapter V
when transferring personal data to a controller or processor in the same or another third
country or to an international organization (para. 13, Guidelines 05/2021, Ver. 2.0)
A B C
대한민국 제3국
재 이전
3자 제공
D, E…

10. 현장에서 궁금한 지점, 여섯번째
제3국에서의 조회도 개인정보 국외이전에 해당하는데,
실무상 발생하는 출장 시 일시 접속 등과 같은 상황에 대한 예외가 없는 것은 문제가 아닌가?
이슈 개인정보의 국외 이전 개념에 “국외로 제공(조회되는 경우를 포함)”하는 것이 포함됨
EU GDPR은 Derogations for specific situations (Article 49(1)(a) to (g))를 통해 적정성 결정이 부재하거나,
BCRs 등 적절한 보호조치가 적용되지 않는 상황에서도 “예외적으로” 국외 이전이 가능한 7가지 기준을 마련
해 놓는 등 변화하는 글로벌 데이터 유통 상황을 적극적, 능동적으로 고려하여 유연성을 확보했음
출장중에 접속

11. 현장에서 궁금한 지점, 일곱번째
개인정보 처리에 관하여 국제적으로 그 활용이 증가하고 있는
Binding Corporate Rules(BCRs)에 대한 고려를 하지 않은 이유는 무엇인가?
BCRs 일정한 요건을 준수할 것을 확약한 기업 그룹 집단 사이의 개인정보 국외 이전을 허용하는 메커니즘
① 사업 특성상 개인정보를 처리하는 domestic multinational business를 제도적으로 지원
② U.K., Singapore, Brazil, South Africa 등이 BCRs를 국외 이전 메커니즘으로 인정
→ 또한, 이를 고려하는 국가들이 점차 증가세인 것으로 확인
③ BCRs 자체에 거버넌스, 개인정보보호책임자 지정, 정보주체 권리, 교육, 의사소통, 감사, 평가 등의
구체적 요구사항을 담을 수 있고, 이를 위원회가 승인하는 방식으로 강한 grip을 확보할 수 있음
→ tech-giants를 대상으로 한 법집행 실행력의 강화를 기대할 수 있음
④ 향후 BCRs-based transfer를 전략적으로 활용하는 경우, 법제 상호 운영성을 강화할 수 있음
⑤ 국외 이전 요건을 다양화 하여 법의 유연성을 제고하기 위한 당초 목적을 달성할 수 있음
필요성

12. 청취해 주셔서 감사합니다.