유럽연합(EU)은 2016. 5. 24. EU의 일반개인정보보호규정(GDPR)을 제정하여, 2018. 5. 25.부터 시행할 예정이다. 그 동안 유럽연합에서는 2013. 6. 미국의 스노든 사건과 이에 영향을 받아서 2015. 10.경 유럽사법재판소에서 세이프하버협정에 대해 무효판결이 내려졌다 ...

유럽연합(EU)은 2016. 5. 24. EU의 일반개인정보보호규정(GDPR)을 제정하여, 2018. 5. 25.부터 시행할 예정이다. 그 동안 유럽연합에서는 2013. 6. 미국의 스노든 사건과 이에 영향을 받아서 2015. 10.경 유럽사법재판소에서 세이프하버협정에 대해 무효판결이 내려졌다. 이 세이프하버협정에 갈음하여 2016. 7. 12. 유럽위원회에서 채택된 EU와 미국의 ‘개인정보보호 쉴드’(EU-US Privacy Shield) 협정은 2016. 8. 1.부터 시행되고 있다.
이처럼 EU는 미국과 대비해서 개인정보보호 수준이나 그 정책적 철학과 가치가 서로 다름에도 불구하고, 양 대륙간 상호운용성을 부여하는 글로벌 프레임워크의 재설정 과제를 적극적으로 실천하기 위해서 세이프하버협정의 무효판결에 갈음하여 2016년 ‘개인정보보호 쉴드’(EU-US Privacy Shield) 협정을 전격적으로 체결한 것으로 보인다. 이러한 EU의 최근 입법동향은 개인정보의 국외이전을 둘러싼 중요한 시사점을 우리에게 던져주고 있다.
우리나라 개인정보보호법과 정보통신망법에서는 개인정보의 국외이전을 제한하는 규정을 두고 있다. 그러나 동의에 의해서만 국외이전이 가능하도록 함으로써 현실적으로 클라우드컴퓨팅서비스 등을 이용하기 어렵다는 비판을 받고 있다. 나아가 동의만 받으면 어떤 국가로도 이전이 가능하도록 하여 국민의 개인정보를 제대로 보호하기 어렵다는 비판을 받고 있다.
개인정보 국외이전의 허용요건의 판단기준은 개인정보보호수준이 낮은 국가로 이전되었을 때 문제되는 것이므로, 이전 시 실질적 위험성을 기준으로 하여 허용여부를 판단하는 것이 타당하다. 개인정보의 국외이전은 원칙적으로 금지하도록 설정한 것이 현행법상 사전 동의모델이지만 그 외에도 다양한 예외적 허용요건을 확대하는 것이 필요하다.
또 우리 개인정보보호법에 의하면 개인정보처리자가 정보주체의 동의 없이 정보주체의 개인정보를 국외의 제3자에게 제공하는 경우에 대한 벌칙은 개인정보 보호법에 규정되어 있지 않다고 보아야 할 것이므로, 정보주체의 동의 없이 국외의 제3자에게 개인정보를 이전하는 경우 형사처벌 규정을 두는 것이 타당하다.
나아가 우리의 2016년 통합가이드라인은 EU의 개인정보보호법제의 최근 동향과 국제적 조화를 도모하는 방향으로 보다 진일보한 자세를 취하고 있다고 보여 진다. 다만 향후 새로운 2016년 통합 가이드라인에서 미처 예상하지 못한 문제점의 발생과 실제 운용과정에서의 미비점은 보완되어야 할 것이므로 그 추이를 면밀히 지켜보아야 하는 과제는 남아 있다.

Recently the discussion on the Personal Information Protection Legislation becomes active in U.S.A and European Union. The result brings an ‘EU-US Privacy Shield’ agreement. The engagement of the agreement replace with ‘Safe Harbor Agreement’. This ...

Recently the discussion on the Personal Information Protection Legislation becomes active in U.S.A and European Union. The result brings an ‘EU-US Privacy Shield’ agreement. The engagement of the agreement replace with ‘Safe Harbor Agreement’. This ‘EU-US Privacy Shield’ agreement shall apply from 1. August, 2016. Furthermore, The General Data Protection Regulation (GDPR) of the EU was provisionally agreed in December 2015. This Regulation is enacted in 24. May, 2016. And this Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. It shall apply from 25. May, 2018. So, EU require each of its member states to harmonize data protection rights for citizens at a high level with a set of legal standards. In short, the protection of the security of personal information will be enhanced by the This ‘EU-US Privacy Shield’ agreement &　The General Data Protection Regulation (EU-GDPR) stronger than before in EU.
In Korea, the Personal Data Protection Act(PIPA) and the Network Act are restricting the overseas transfer of personal data. On the other hand they have problems. One of the biggest problems is that they allow to transfer personal data abroad only by data subject’s consent. So companies can not use cloud computing services. In other words, As someone get data subject’s consent on the overseas transfer of his or her personal data, any nation also is possible. Accordingly, anyone can be a victim of identity theft. Therefore it is necessary to expand various exceptional acceptance requirements.
And, if someone transfer your personal information to a third party outside the country without the consent of the data subject, it is reasonable to put criminal penalties in our Personal Data Protection Act(PIPA).
In Short, it is also important that we will take a balanced stance of legitimate interests between owners and users of information in the enactment of legislation relating to Personal Information in Korea.

유럽연합(EU)은 2016. 5. 24. EU의 일반개인정보보호규정(GDPR)을 제정하였다. EU에서는 2014년 3월 개인데이터보호규정안(案)이 이미 유럽의회 본회의에서 가결된 바 있었으나, 우여곡절을 거쳐 다시 2016. 4. 14. 위와 같은 현재의 단일한 ‘개인정보보호규정’(GDPR)이 ...

유럽연합(EU)은 2016. 5. 24. EU의 일반개인정보보호규정(GDPR)을 제정하였다. EU에서는 2014년 3월 개인데이터보호규정안(案)이 이미 유럽의회 본회의에서 가결된 바 있었으나, 우여곡절을 거쳐 다시 2016. 4. 14. 위와 같은 현재의 단일한 ‘개인정보보호규정’(GDPR)이 EU의회를 통과하였다. 또 2013. 6. 미국의 스노든 사건과 이에 영향을 받은 2015. 10. 유럽사법재판소의 세이프하버협정 무효판결, 그리고 이 세이프하버협정에 갈음하여 2016. 7. 12. 유럽위원회에서 채택된 EU와 미국의 ‘개인정보보호 쉴드’(EU-US Privacy Shield) 협정은 2016. 8. 1.부터 시행되고 있다. 이처럼 EU는 미국과 대비해서 개인정보보호 수준이나 그 정책적 철학과 가치가 서로 다름에도 불구하고, 양 대륙간 상호운용성을 부여하는 글로벌 프레임워크의 재설정 과제를 적극적으로 실천하기 위해서 세이프하버협정의 무효판결에 갈음하여 2016년 ‘개인정보보호 쉴드’(EU-US Privacy Shield) 협정을 전격적으로 체결한 것으로 보인다.
우리나라 개인정보보호법과 정보통신망법에서는 개인정보의 국외이전을 제한하는 규정을 두고 있다. 그러나 동의에 의해서만 국외이전이 가능하도록 함으로써 현실적으로 클라우드컴퓨팅서비스 등을 이용하기 어렵다는 비판을 받고 있다. 나아가 동의만 받으면 어떤 국가로도 이전이 가능하도록 하여 국민의 개인정보를 제대로 보호하기 어렵다는 비판을 받고 있다.
개인정보 국외이전의 허용요건의 판단기준은 개인정보보호수준이 낮은 국가로 이전되었을 때 문제되는 것이므로, 이전 시 실질적 위험성을 기준으로 하여 허용여부를 판단하는 것이 타당하다. 즉 이러한 위험이 없는 국가 내지 이러한 위험을 방지하고 있는 기업에 대한 개인정보의 이전을 막을 이유가 찾아보기 어렵다 할 것이다. 그러므로 이러한 경우 원칙적으로 개인정보의 국외이전은 금지되지만, 현행법상 사전 동의모델 외에도 개인정보이전의 허용을 가능하게 하는 다양한 허용요건을 확대하는 것이 필요하다.
또 우리 개인정보보호법에 의하면 개인정보처리자가 정보주체의 동의 없이 정보주체의 개인정보를 국외의 제3자에게 제공하는 경우에 대한 벌칙은 개인정보 보호법에 규정되어 있지 않다고 보아야 할 것이므로, 이에 위반하여 동의 없이 국외의 제3자에게 개인정보를 제공하는 경우에도 처벌의 근거를 찾을 수 없다는 문제가 있다.
따라서 정보주체의 동의 없이 국외의 제3자에게 개인정보를 이전하는 경우 형사처벌 규정을 두되 그 제재 정도는 정보주체의 동의 없이 국내의 제3자에게 개인정보를 제공하는 경우에 준하는 벌칙 또는 그 이상의 벌칙이 제정되어야 할 것으로 보인다.
나아가 우리나라의 경우 종래 국제적으로 개인정보보호법의 보호 수준이 상대적으로 엄격하다고 평가받고 있음에도 불구하고, 보다 강화된 새로운 2016년 통합 가이드라인을 제시함으로써, EU의 개인정보보호법제의 최근 동향과 국제적 조화를 도모하는 방향으로 보다 진일보한 자세를 취하고 있다고 보여 진다. 다만 향후 새로운 2016년 통합 가이드라인에서 미처 예상하지 못한 문제점의 발생과 실제 운용과정에서의 미비점은 보완되어야 할 것이므로 그 추이를 면밀히 지켜보아야 하는 과제는 남아 있다.

1. 개인정보의 국외이전시 개인정보보호법 내지 정보통신망법상 예외적 허용요건인 ‘동의’ 요건 구비 여부와 별개의 대안적인 예외적 허용요건의 개발 등 적절한 해결방안 제시

- 우리나라 개인정보보호법과 정보통신망법에서는 개인정보의 국외이전을 제한하는 규정 ...

1. 개인정보의 국외이전시 개인정보보호법 내지 정보통신망법상 예외적 허용요건인 ‘동의’ 요건 구비 여부와 별개의 대안적인 예외적 허용요건의 개발 등 적절한 해결방안 제시

- 우리나라 개인정보보호법과 정보통신망법에서는 개인정보의 국외이전을 제한하는 규정을 두고 있음. 그러나 동의에 의해서만 국외이전이 가능하도록 함으로써 현실적으로 클라우드컴퓨팅서비스 등을 이용하기 어렵다는 비판을 받고 있음. 나아가 동의만 받으면 어떤 국가로도 이전이 가능하도록 하여 국민의 개인정보를 제대로 보호하기 어렵다는 비판을 받고 있음.
- 개인정보 국외이전의 허용요건의 판단기준은 개인정보보호수준이 낮은 국가로 이전되었을 때 문제되는 것이므로, 이전 시 실질적 위험성을 기준으로 하여 허용여부를 판단하는 것이 타당함. 즉 이러한 위험이 없는 국가 내지 이러한 위험을 방지하고 있는 기업에 대한 개인정보의 이전을 막을 이유가 찾아보기 어렵다 할 것임. 그러므로 이러한 경우 원칙적으로 개인정보의 국외이전은 금지되지만, 현행법상 사전 동의모델 외에도 개인정보이전의 허용을 가능하게 하는 다양한 허용요건을 확대하는 것이 필요함.
- 이러한 예외적 허용요건 확대모델과 관련하여, ① 적절한 수준의 보호를 하는 국가로만 이전을 허용하여, 개인정보에 대하여 적절한 수준의 보호가 이루어지는 국가의 목록(White List)을 작성하여 선별하는 방안, ② 적절한 수준의 보호가 이루어지지 않는 국가에 해당할지라도 표준계약서(SSC)나 BCRs(구속력 있는 기업규칙) 등의 안전장치를 통하여 적절한 보호수준을 보장하는 방안, ③ APEC에서 주관하는 CBPR(국경간 정보이전을 위한 프라이버시 규칙)과 같은 국제적인 인증제도를 도입하는 방안 등을 고려할 수 있음.
- 요컨대 법률적으로 동일한 개인정보보호수준을 보장하고 있는 국가이거나 법률적으로 동일한 개인정보보호수준을 보장하고 있지 않더라도 개별기업에서 계약법적으로 동일한 개인정보보호수준을 보장하고 있다면 개인정보보호에 문제가 없으므로 국외이전을 허용한다고 하더라도 별다른 문제가 없을 것임. 나아가 예외적 허용요건의 확대모델의 개발과 개정방향의 제시로, 규제당국에서 실질적 위험성이 있는 지 여부로 개인정보 국외이전의 허용요건의 판단기준을 설정할 것으로 기대됨.

2. 개인정보의 국외이전시 개인정보보호법 내지 정보통신망법상 예외적 허용요건인 ‘동의’ 요건을 구비하지 못한 정보처리자에 대한 적절한 제재 수단이 구비된 개정안 제시

- 개인정보 보호법 제71조 제1호에 의하면, 제17조 제1항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자에 대해서 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다고 규정하고 있음. 그러나 (1) 제17조 제1항은 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공할 수 있는 경우를 규정하고 있고, 제17조 제3항에서는 별도로 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 경우에 관하여 규정하고 있는 점에 비추어 볼 때, 동조 제1항의 규정은 국내의 제3자에게 개인정보를 제공하는 경우라고 보는 것이 적절하고, 이에 반해 동조 제3항의 규정은 국외의 제3자에게 개인정보를 제공하는 경우에 대한 규정이라고 볼 수 있는 점, (2) 또 벌칙규정에서 제17조 제1항을 특정하고 있으므로 벌칙규정은 개인정보를 정보주체의 동의 없이 국외의 제3자에게 제공하는 경우에 대해서는 적용되지 않는다고 보아야 할 것인 점에 비추어 보면, 결국 개인정보처리자가 정보주체의 동의 없이 정보주체의 개인정보를 국외의 제3자에게 제공하는 경우에 대한 벌칙은 개인정보 보호법에 규정되어 있지 않다고 보아야 할 것이므로, 이에 위반하여 동의 없이 국외의 제3자에게 개인정보를 제공하는 경우에도 처벌의 근거를 찾을 수 없다는 문제가 있음.
- 따라서 정보주체의 동의 없이 국외의 제3자에게 개인정보를 이전하는 경우 형사처벌 규정을 두되 그 제재 정도는 정보주체의 동의 없이 국내의 제3자에게 개인정보를 제공하는 경우에 준하는 벌칙 또는 그 이상의 벌칙이 제정되어야 할 것으로 보이므로, 이러한 취지의 개정안을 제시할 것이 필요함. 우리 개인정보보호법에서는 직접 벌칙을 규정하고 있음.
- 참고로 2018년 5월 25일부터 시행되는 EU　GDPR(2016)의 제84조(Penalties, 벌칙)에 따르면, 회원국들은 특히 과징금(administrative fines, 제83조)이 부과되지 않는 위반에 대해 단지 회원국에 대해 그 위반에 적용할 수 있는 벌칙에 관한 법률을 제정하도록 의무지우고 있는 점에 특색이 있음.