2016년 4월 20일 수요일

개인정보 국외 이전 관련 국내 현황 분석 및 대응 방안

 뉴딜코리아 홈페이지
http://cafe.naver.com/rapid7/2375


개인정보 국외 이전 관련 국내 현황 분석 및 대응 방안

연구결과

(1) 우선 현행 법제상으로 개인정보 국외이전과 관련하여 다음과 같은 문제점이 지적된다.

첫째, 개인정보보호법과 정보통신망법 상 국외이전 개념의 범위가 일치하지 않아 정보주체의 동의를 얻어야 하는지 여부에 관한 해석의 어려움이 존재한다.
그리고 국외이전 범위의 불균형에 따른 법 적용 회피가능성에 관한 문제가 제기되고 있다.

둘째, 국외이전 허용요건인 정보주체 동의가 있는 경우에는 더 이상의 고려가 필요하지 않으므로 책임의 회피가능성이 존재한다.

셋째, 국외이전 허용을 위한 정보주체의 동의 이외의 다른 방식의 불인정에 따른 기업의 어려움이 존재한다.

넷째, 다른 방식의 불인정에 따른 국제기준 수용의 어려움 등이 예상된다.


(2) 다음으로 개인정보 국외이전과 관련하여 각 산업분야별 사업자들이 어떤 인식을 하고 있고 개선되어야 할 점은 무엇인지에 대하여 실증조사가 이루어졌고 설문결과는 다음과 같다.

현재 개인정보를 국외로 이전하는 업체가 다수를 차지하고 있고, 2000년 이전에 최초로 국외이전을 한 경우가 많았다.

이는 해당 업체들이 과거에 해외 업체의 프로그램을 사용하여 개인정보를 처리하다가 현재에는 자체개발을 했기 때문으로 해석된다.

주로 본사 내지 지사가 해외에 위치, 개인정보처리 수탁자가 해외에 위치, 서버 등 관련 설비가 해외에 위치하는 점이 개인정보가 국외로 이전되는 요인으로 드러났다.

목적은 주로 임직원 정보의 총괄관리, 이용자 정보공유, 계약내용의 이행을 하기 위해서라는 점이다.

이전방법으로는 주로 개인정보 처리시스템을 공유하고 있고, 장소적으로 이전이 일어난 국가로는 아시아, 북미, 유럽 순이었다.

대다수 업체들은 개인정보보호법 및 정보통신망법을 준수 및 참조하고, 내용을 비교적 정확히 인지하고 있으며, 그에 따라 정보주체의 동의를 받아 개인정보를 국외로 이전하였다.

 그러나 관련 법규를 전혀 인지하지 못하고, 동의 절차 없이 이전하는 곳도 일부 존재하였다.

업체들이 법규준수 이외에 별도로 취하고 있는 조치로는 위탁자 내지 수령자와 계약 체결 시 개인정보보호와 관련한 조항을 별도로 마련하고 있는 것으로 집계되었다.


심층면접을 통하여서는 우선

1) 현행법에 대한 의견이 있었다.

첫째, 국외이전이라는 문언이 지칭하는 행위의 유형과 범위가 명확하지 않다는 점이 지적되었다.

둘째, 현실적인 법 규정 준수의 어려움이 많다는 의견들이 있었다.

다음으로

2) 현행법 개선에 관한 의견이 있었다.

첫째, 국외에서 국내의 개인정보를 열람하거나 이용하는 경우도 국외이전으로 포함하는지 혼란스럽다는 의견을 밝혔고, 해외에서 열람만 하는 경우는 국외이전에서 제외하여야 한다는 의견도 있었다.

둘째, 동의 측면에서는 국제적 흐름에 부합하기 위해 이용자의 개별적 동의를 개인정보취급방침으로 갈음하도록 해야 한다는 의견이 있었다.

그 밖에 동의획득보다는 명확한 고지 내지는 인증제도로의 대체하는 것이 바람직하고, 고객이 개인이 아닌 법인인 경우에는 제한을 완화하여 자유로운 이전이 가능하도록 바라는 의견 등이 있었다.

마지막으로

3) 기타 의견으로 국제거래 등을 위해 관련법령의 외국어본이 마련되어야 하고, 외국의 개인정보보호 법제 등도 찾아서 확인할 수 있는 통로가 마련되기를 희망한다는 의견을 제시하였다.


(3) 20151029일에 정보통신망법 일부개정법률안이 제출되었는데, 이는 개인정보의 국외이전의 유형을 특정해줌으로써 법 해석 및 적용상의 혼란을 방지하고, 이용자의 동의없이 개인정보를 국외로 이전한 정보통신서비스 제공자등에 대한 제재규정을 마련하는 등 이용자 개인정보보호를 강화할 필요성에 따른 것이다.

그러나 개인정보보호 뿐만 아니라 개인정보의 자유로운 유통이라는 이익은 고려되지 못한 점은 한계로 지적된다.

따라서 비교법적인 검토를 통하여 살펴볼 수 있듯이,

1) 한국과 동일한 개인정보 보호수준을 보장하고 있는 국가인지를 검토하여 동일한 보호수준이 보장된다고 한다면 개인정보의 국외이전을 허용해줄 필요가 있다.

 2) 우리나라와 동일한 보호수준이 보장되지 않더라도 해당 기업이 계약법적인 방법을 통하여 충분한 개인정보 보호수준을 보장하는 경우에도 역시 개인정보의 국외이전을 허용해줄 필요가 있다.


(4) 이와 관련하여서는

1) 법률로 동일한 수준의 개인정보보호를 하는 국가로 개인정보를 이전하는 경우,

2) 계약으로 동일한 수준의 개인정보보호를 하는 기업으로 개인정보를 이전하는 경우로 나누어서 검토되어야 한다.

전자의 경우 적절성 평가를, 후자의 경우 표준계약서 모델 및 구속력 있는 기업규칙(BCR)을 고려하여야 한다.

본 연구에서는 이와 관련하여서 구체적으로 정보통신망법, 시행령, 시행규칙 개선방안을 제시하였다.

그 밖에도 국경간 프라이버시 집행규칙(CBPR)과 같은 인증제도 수용을 위한 방안이 제시되었다.
 


5. 활용에 대한 건의 및 기대효과

본 연구를 통하여 개인정보 국외이전에 대한 국내외적 제도 현황을 분석하고 우리나라의 대응방안을 도출함으로써 개인정보의 자유로운 유통이라는 이익과 개인정보의 보호라는 이익을 적절히 조화할 수 있는 방안을 제시하였다.

본 연구의 결과는 글로벌 개인정보 보호기준에 보합하는 개인정보의 국외이전 관련 정책수립 및 집행체계 구축방안 수립 등에 활용될 수 있을 것이고, 그에 관한 선행 연구자료로 활용될 수 있을 것이다.

사업자들의 이익과 정보주체의 이익을 적절히 조화롭게 조정함으로써 안정적인 개인정보보호 하에 개인정보의 자유로운 유통 또한 보장할 수 있을 것으로 기대된다.

댓글 없음:

댓글 쓰기