업무 현장에서 궁금해 할 만한 개인정보 관련 법‧제도‧정책‧사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 분들께는 현안, 이슈를 두루 살펴볼 수 있는 유용한 창구가 되기를 기대합니다. 소재에 관한 제언이나 그 이외의 의견은 언제든지 환영합니다. pipcpr@korea.kr 로 연락주시기 바랍니다.
[2. 5.(수) 발행]
1. 해외 기업의 개인정보 직접 수집 VS 국외 이전
우리나라의 이용자가 구글·메타·알리익스프레스와 같은 해외 서비스를 이용하기 위해 글로벌 사업자에게 성명, 주소, 전화번호, 이메일 등 개인정보를 제공하는 사례가 점점 늘어나고 있습니다. 따라서 이 경우, 「개인정보 보호법」 제28조의8에서 정하고 있는 개인정보의 국외 이전 조항을 적용받는 것인지에 대한 문의가 많았습니다.
결론부터 말씀드리자면, 해외 사업자가 국내 정보주체의 개인정보를 직접 수집하는 경우 「개인정보 보호법」상 개인정보 ‘국외 이전’에는 해당하지 않습니다. 다만, 직접 수집한 해외 사업자는 개인정보처리자로서 개인정보 보호법의 적용을 받을 수 있으며, 직접 수집한 개인정보를 해외의 제3자에게 이전하는 경우에는 개인정보 보호법 제28조의8 ‘국외 이전’ 조항의 적용을 받게 됩니다. 이번 편에서는 국외 이전 제도에 대해 설명하고, 개인정보 직접 수집과의 차이점에 대해 설명하겠습니다.
2. 「개인정보 보호법」 상 국외 이전 제도
「개인정보 보호법」에서 국외 이전에 관한 규정을 둔 이유가 무엇일까요?
국내에서 수집된 개인정보가 국경을 넘어 국외로 이전되는 경우, 우리 법의 관할권이 미치지 않는 곳에서 처리됨에 따라 국내에서와 같은 보호 수준이 확보되지 않을 위험이 있어서, 이를 고려하여 마련된 제도입니다. 따라서, 국외 이전의 요건(정보주체 동의 등), 보호조치 등 규정을 마련하여 국외 이전 후에도 국내에서와 유사한 수준의 보호가 유지될 수 있도록 한 것입니다.
개인정보 보호법 제28조의8을 보면, 개인정보처리자가 개인정보를 국외로 제공(조회 포함)·처리위탁·보관하는 경우를 ‘국외 이전’이라고 규정하고 있습니다. 즉, 국외 이전이 성립하려면 세 가지가 충족되어야 합니다. 첫째, 개인정보가 국경을 넘어 국외로 이전되거나 국외에서 조회되어야 합니다. 둘째, 개인정보를 이전하는 자가 개인정보 보호법의 적용을 받는 개인정보처리자여야 합니다. 셋째, 개인정보를 국외의 제3자(이전받는 자)에게 제공·위탁·보관하여야 합니다.
제28조의8(개인정보의 국외 이전) ① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)‧처리위탁‧보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다. |
따라서 해외사업자가 국내 정보주체로부터 개인정보를 직접 수집하는 경우, 해당 해외사업자는 우리 법을 직접 적용받게 되므로, 그 수집 행위는 개인정보 보호법상 '국외 이전'에 해당하지 않습니다.
우리 법과 유사한 체계인 유럽연합(EU)의 일반 개인정보 보호법(General Data Protection Regulation, 이하 GDPR) 역시 해외 사업자의 개인정보 직접 수집을 ‘역외 이전(transfer)’에 해당하지 않는다고 해석하고 있습니다.
3. 직접 수집 시 「개인정보 보호법」 적용
앞서 살펴본 것처럼 해외사업자가 한국 정보주체의 개인정보를 직접 수집하는 단계에서는 개인정보 보호법 제28조의8에 따른 국외 이전 규정이 적용되지 않습니다. 따라서, 구글, 메타, 알리익스프레스가 계정 생성 시에 이용자의 정보를 직접 수집하는 행위는 국외 이전에 해당하지 않습니다. 그렇다면 해외에서 한국 정보주체의 개인정보가 처리되는 것에 대한 보호조치가 없는 것일까요? 그렇지 않습니다.
2024년 4월 개인정보 보호위원회(이하 ‘위원회’)가 발간한 「해외사업자 개인정보 보호법 적용 안내서」에 따르면 ① 해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우, ② 해외사업자의 개인정보 처리가 한국 정보주체에게 영향을 미치는 경우, ③ 해외사업자의 사업장이 한국 영토 내에 존재하는 경우 우리 법이 적용될 수 있습니다.
따라서 한국의 정보주체의 개인정보를 직접 수집하여 우리 법의 적용을 받는 해외 사업자는 합법적 처리 근거에 기반하여 개인정보를 수집·이용하고, 적절한 안전성 확보 조치를 하는 등 우리 법에 따른 의무를 준수하여야 합니다.
또한, 해외에서 개인정보를 직접 수집하는 경우 보호 수준이 담보되지 않는 국가에서 처리될 수 있음을 고려하여, 위원회는 2024년 3월「개인정보 보호법 시행령」을 개정하여 개인정보를 국외에서 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명을 개인정보 처리방침에 명시하도록 규정하였습니다. (시행령 제31조 제1항 제4호)
<시행령 개정 전후 비교>
| 종 전 | 개 정 |
제31조(개인정보 처리방침의 내용 및 공개방법 등) ① 법 제30조제1항제8호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다. 1. 처리하는 개인정보의 항목 2. 삭제
3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항 < 신 설 > | 제31조(개인정보 처리방침의 내용 및 공개방법 등) ① 법 제30조제1항제8호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다. 1. (좌동) 2. 법 제28조의8제1항 각 호에 따라 개인정보를 국외로 이전하는 경우 국외 이전의 근거와 같은 조 제2항 각 호의 사항 3. (좌동)
4. 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명 |
4. 직접 수집 후 국외 이전
지금까지 설명한 것처럼 한국 정보주체의 개인정보를 직접 수집하는 단계는 국외 이전이라고 볼 수 없지만, 한국 정보주체의 개인정보를 직접 수집하여 개인정보 보호법의 적용을 받는 해외사업자가 다른 해외사업자에 이 개인정보를 제공‧처리위탁‧보관하면 국외 이전에 해당합니다.
이때 개인정보를 이전하는 해외사업자(개인정보 보호법 적용을 받는 경우)와 이전받는 해외사업자가 동일한 국가에 있더라도 우리 법이 직접 적용되지 않는 사업자에게 이전될 수 있으므로 역시 국외 이전에 해당하게 됩니다. 즉, 해외 이커머스 사업자인 알리익스프레스가 직접 수집한 정보주체의 개인정보를 상품 배송을 위해 같은 중국에 위치한 입점 판매자에게 제공하는 경우에는 국외 이전 규정을 적용받게 됩니다.
개인정보를 국외 이전하는 해외사업자는 개인정보 보호법 제28조의8을 준수하여야 합니다. 제1항에 따라 정보주체 동의, 인증, 동등성 인정 등과 같은 국외 이전 근거를 갖추어야 하고, 제4항에 따라 안전성 확보 조치와 고충 처리 및 분쟁 해결에 관한 조치를 하여야 하고, 개인정보 보호법 시행령 제31조 제1항 제2호에 따라 개인정보 처리방침에 국외 이전의 근거를 밝히고 법정 고지 사항*을 고지하여야 합니다.
* 고지사항: ① 이전되는 개인정보 항목 ② 개인정보가 이전되는 국가, 시기 및 방법 ③ 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처) ④ 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간 ⑤ 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
5. 맺음말
위에서 살펴본 바와 같이 위원회는 해외에서 우리 국민들의 개인정보를 직접 수집하는 해외사업자에 대해서는 「개인정보 보호법」을 직접 적용하고, 수집한 개인정보를 국외의 다른 자에게 이전하는 경우 「개인정보 보호법」제28조의8 국외 이전 규정을 준수하도록 정하고 있습니다.
이에 따라 우리 위원회에서는 구글, 메타와 같은 해외사업자가 정보주체의 행태정보를 무단으로 수집하여 맞춤형 광고 등에 이용한 행위, 알리익스프레스와 같은 해외사업자가 정보주체의 개인정보를 직접 수집 후 해외 오픈마켓 입접업체에게 제공하는 과정에서 국외 이전 규정을 위반한 행위에 대해 과징금, 과태료 및 시정명령 등을 내리는 등 엄정한 법 집행을 위한 노력을 기울이고 있습니다. 앞으로도 위원회는 우리 국민의 소중한 개인정보가 안전한 환경에서 자유롭게 국외로 이전‧활용될 수 있도록 제도를 정비하고, 다른 국가와의 협력 강화를 위해 더욱 노력하겠습니다.
개인정보보호위원회 국제협력담당관실 이정수 사무관
이 누리집은 대한민국 공식 전자정부 누리집입니다.
