개인정보보호위원회는 2025. 9. 16. 개인정보 보호법 제28조의8 제1항 제5호에 따라 유럽연합(이하 “EU”)의 개인정보보호 체계가 개인정보 보호법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었음을 인정하였다고 공고하였습니다.
이에 따라 개인정보처리자는 개인정보 국외 이전에 대한 정보주체의 별도 동의가 없는 경우에도 개인정보를 EU 역내 27개국 및 EEA 역내 3개국(노르웨이, 리히텐슈타인, 아이슬란드)에 제공(조회되는 경우 포함), 처리위탁 및 보관(이하 “이전”)이 가능해졌습니다.
I. 동등성 인정 개요
EU의 GDPR (General Data Protection Regulation)은 EU 집행위원회(European Commission, 이하 “EC”)에서 제3국 등이 개인정보에 대한 충분한 수준의 보호(adequate level of protection)을 제공한다고 결정하는 경우에는 개인정보를 해당 국가로 이전할 수 있다고 규정하고 있습니다{Article 45(1)}. 이에 따라 EC는 2021. 12. 대한민국의 개인정보 보호 수준이 충분하다는 ‘적정성 결정(Adequacy Decision)’을 하였고, 해당 결정에 근거하여 국외 이전에 관한 정보주체의 동의 없이도 EU의 개인정보가 대한민국으로 이전될 수 있게 되었습니다.
그에 반해 2023. 3. 개정 전의 舊 개인정보 보호법은 개인정보처리자가 개인정보를 국외 제3자에게 제공하거나 정보통신서비스 제공자들이 이용자들의 개인정보를 국외로 이전하고자 하는 경우 원칙적으로 동의를 받도록 하면서 정보통신서비스 제공자의 개인정보 처리위탁 및 보관에 대해서만 특정한 조건 하에 예외를 두고 있었습니다(제17조 제3항, 제39조의12 제2항). 따라서 정보주체 동의 없이는, GDPR과 같이 특정 국가 등에 개인정보를 이전하는 것이 불가능한 상황이었습니다.
그런데 개인정보 보호법이 2023. 3. 개정되면서 국외 이전이 허용되는 경우가 정보주체의 별도 동의, 계약 체결 및 이행을 위한 개인정보 처리위탁 및 보관, 법률, 조약 또는 국제협정의 특별한 규정, 개인정보보호위원회가 고시하는 인증, 동등성 인정 등으로 다양화되었습니다. 그중 동등성 인정이란, 개인정보보호위원회가 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계 등이 개인정보 보호법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었음을 인정하는 것으로, 이 경우 정보주체의 동의 없이도 해당 국가로 개인정보를 이전할 수 있습니다(개인정보 보호법 제28조의8 제1항 제5호).
EU에 대한 이번 동등성 인정은 개정 개인정보 보호법에 따른 개인정보보호위원회의 첫 번째 동등성 인정 사례입니다.
II. 동등성 인정의 효과
1. 정보주체의 동의 없는 개인정보 국외 이전
개인정보 보호법 제28조의8 제1항은 개인정보처리자가 개인정보를 국외로 이전할 수 있는 경우로, 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우(제1호)와 병렬적으로, 동등성 인정이 있는 경우(제5호, 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 개인정보 보호법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 개인정보보호위원회가 인정하는 경우)를 들고 있습니다.
따라서 개인정보처리자는 이번 동등성 인정에 근거하여 정보주체의 국외 이전에 관한 별도 동의 없이도 개인정보를 EU 역내 27개국 및 EEA 역내 3개국에 이전할 수 있게 되었습니다. 단, 국외 이전에 대한 동의와는 별도로, 개인정보의 수집ㆍ이용, 제3자 제공 등 개인정보의 처리에 관하여 정보주체의 동의가 필요한 경우 해당 동의는 여전히 필요합니다.
2. 동등성 인정에 근거하여 이전할 수 있는 개인정보의 범위
개인정보위원회의 동등성 인정 공고(개인정보보호위원회 공고 제2025-68호)에 따르면, EU에 대한 동등성 인정은 주민등록번호 및 개인신용정보에 대해서는 영향을 미치지 아니합니다. 따라서 주민등록번호 및 개인신용정보에 대해서는 동등성 인정을 근거로 국외 이전이 불가합니다.
3. EU로 국외 이전된 개인정보의 재이전
개인정보 보호법 제28조의11에 따르면, 개인정보를 국외 이전 받은 자가 해당 정보를 다시 제3국으로 이전하는 경우에도 개인정보 보호법상 개인정보의 국외 이전에 관한 규정이 준용됩니다. 한편, GDPR 또한 Article 44 이하에서 개인정보의 역외 이전에 관한 상세한 규정을 두고 있습니다. EU로 국외 이전된 개인정보는 위 두 법률의 규정을 준수하는 한도에서 다시 제3국으로 국외 이전(이하 “재이전”)될 수 있습니다.
개인정보의 재이전 상황에서 개인정보 보호의 연속성을 보장하기 위하여, 개인정보보호위원회와 EC는 개인정보 보호법 및 GDPR 하의 국외 이전 제도의 운영과 관련된 동향(새로운 동등성 인정 또는 적정성 결정 등)을 상호 통보하기로 하였습니다.
4. GDPR에 따른 개인정보 침해 구제 방안
EU로 개인정보가 이전된 한국 정보주체가 EU 내에서 이전된 개인정보에 관한 개인정보 침해를 겪는 경우 해당 정보주체는 GDPR에 따라 해당 국가의 DPA (Data Protection Authority)에 조사 및 처분을 요청하는 등의 구제 수단을 이용할 수 있습니다.
이와 별도로, 한국의 정보주체가 개별 EU 국가의 DPA를 통한 피해 구제 과정에서 어려움을 겪을 경우, 개인정보보호위원회를 통해 구제를 요청하고 그 결과를 받을 수도 있습니다.
5. 재검토 및 국외 이전 중지 명령
개인정보보호위원회는 2028. 9. 15.부터 3개월 전에 이번 동등성 인정에 대한 재검토를 시작하며, 만일 동등성이 인정되지 않는 경우에는 동등성 인정의 변경 또는 취소를 할 수 있습니다.
한편, 동등성 인정에 따라 국외 이전되는 개인정보라고 하더라도, 보호조치 미비, 개인정보가 이전되는 국가가 개인정보 보호법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우 등 국외 이전 중지 명령의 요건이 충족되는 경우에는 개인정보보호위원회는 국외 이전 중지를 명할 수 있습니다.
III. 시사점
EU의 지난 적정성 결정에 이에 이번 개인정보보호위원회의 동등성 인정으로 대한민국과 EU 상호 간에 개인정보가 정보주체의 동의 없이 이전될 수 있게 되었습니다. 이에 따라 대한민국과 EU 사이의 개인정보 이전이 활발해질 것으로 예상됩니다.
최근 개인정보 보호법의 개정으로 개인정보 수집ㆍ이용에 대한 필수 동의가 더 이상 요구되지 않는 등 개인정보 처리의 법적 근거가 다양화되는 추세에 있습니다. EU로 개인정보를 이전하는 기업의 입장에서는 정보주체의 동의 외에도 이렇게 다양한 법적 근거에 기초하여 개인정보를 처리할 수 있게 되어 개인정보를 보다 유연하게 활용할 수 있을 것으로 예상됩니다. 이와 관련하여 세부적인 방안이 필요하신 경우 언제든지 연락 주시기 바랍니다.
[영문 더보기]
