개인정보보호위원회는 2021. 3. 30. 유럽연합(이하 “EU”) 집행위원회와 개인정보보호위원회 간 유럽 개인정보보호법 GDPR(General Data Protection Regulation)에 따른 적정성 결정에 관한 논의가 성공적으로 마무리되었음을 발표했습니다. 개인정보보호위원회의 발표 직후, EU 집행위원회는 의사결정절차에 착수하였고, 상반기 또는 늦어도 금년 하반기에는 최종결정을 발효할 예정입니다. 이하에서는 이번 적정성 평가 초기결정에 관하여 살펴보겠습니다.
1. 개요
EU 및 EEA(총 30개국, EU 회원국 및 노르웨이, 리히텐슈타인, 아이슬란드)는 GDPR의 전신인 EU 개인정보 보호지침(Directive 95/46/EC) 때부터 EU 개인정보의 역외이전에 관하여 제한을 두고 있었고, 특히 GDPR에서는 역외이전에 관한 보호조치를 준수하지 아니하는 경우 GDPR 위반으로 최대 전세계 매출의 4%에 대한 과징금 규정을 두고 있어, 이는 국내 기업의 EU 진출에 상당한 걸림돌로 작동해왔습니다. 관련하여 GDPR에서는 (1) ‘국가’에 대한 승인인 적정성 결정(Adequacy Decision), (2) ‘기업 내부’의 구속력 있는 기업 규칙(Binding Corporate Rules) (3) ‘기업 간’의 계약체결을 통한 국외이전 조치(이른바, 표준계약조항(Standard Contract Clauses), (4) 승인된 행동규약(Codes of Conduct), 승인된 인증 매커니즘(Certification Mechanism) 및 (5) 명시적 동의를 포함한 예외 사유 등 국외이전이 가능한 다양한 법적 근거를 규정하고 있습니다. 그러나 실무적으로 (1)의 경우 해당 국가의 개인정보 보호 수준이 GDPR과 동등한 수준임을 EU 집행위원회로부터 승인 받아야 하는바, 국가적인 노력이 필요하다는 점, (2)의 경우 장기간의 시간과 비용이 소요된다는 점, (4)의 경우 GDPR의 동의 획득의 엄격성 및 예외조항으로 규정되어 있다는 점을 고려할 때 대량의 반복적인 개인정보 이전에 적합하지 아니하다는 등의 문제점이 있었고, 이에 따라 일반적으로 국내 기업들은 (3) 표준계약조항 방식(소위 SCC)을 사용해 왔습니다. 물론 (3)의 경우 비교적 저비용으로 신속한 조치를 취할 수는 있으나, 스타트업 또는 중소∙영세 기업의 경우에게는 data flow를 확인하여 계약 구조를 마련하는데 상당한 부담이 되어왔던 것도 사실입니다.
2. 진행경과
관련하여 이번 적정성 초기결정은 최종결정이 있기 이전에 대상 국가가 GDPR에서 요구하고 있는 수준의 개인정보보호 법체계를 운영하고 있음을 확인하는 것으로서, 1단계(초기결정) → 2단계(의견수렴) → 3단계(최종결정)의 전체적인 과정에서 1단계에 해당합니다만, 실질적으로는 적정성 평가 결정의 80~90%의 비중을 차지하는 사실상 가장 중요한 관문입니다. 특히, 핵심 요건인 개인정보 감독기구의 독립성 문제로 그 적정성 평가 협의 진행이 2차례 중단되기도 하였으나, 데이터 3법 개정을 통한 통합 개인정보보호위원회의 확대 출범으로 인해 큰 진전이 있었고 수 차례의 EU 집행위원회와의 논의와 법개정 및 유관부처와의 협업으로, 한국의 개인정보 보호법 체계가 EU의 GDPR과 동등한 수준임을 확인할 수 있게 되었습니다.
3. 적정성 결정의 효력
EU의 GDPR에 따른 적정성 결정 제도는 EU 역외의 국가가 GDPR과 동등한 수준의 개인정보 보호조치를 취하고 있음을 승인하는 것으로, 승인을 받게 되면 대한민국은 개인정보의 국외이전에 있어 EU 회원국에 준하는 지위를 부여받게 되어 위 1.항에서 살펴본 다른 법적 근거 없이도 EU 개인정보의 자유로운 이전이 가능하게 됩니다.
한편, 이번 적정성 결정은 개인정보보호 독립감독기구인 개인정보보호위원회가 감독하는 영역만을 대상으로 하는바, 금융위원회의 감독 영역에 속하는 개인신용정보는 그 대상에서 제외됩니다. 이에 따라, 현재 상황에서는 국내 금융기관 등에서 처리하고자 하는 EU 정보주체의 개인신용정보는 여전히 위 1.항에서 살펴본 다른 법적 근거를 마련하여 이전해야 할 것으로 보입니다.
4. 개인정보보호위원회의 보안규정(고시) 개정
한편, 개인정보보호위원회는 향후 EU 적정성 결정에 기반하여 한국으로 이전되는 개인정보의 처리에 대한 개인정보 보호법의 해석 및 적용 기준을 명확히 하고 양 국가간 제도적 차이점을 보완하기 위하여 “한국으로 이전된 개인정보의 처리와 관련한 개인정보 보호법의 해석과 적용을 위한 보완규정(개인정보보호위원회고시 제2021-1호)”을 마련하였고, 이는 한국에 대한 적정성 결정이 발효되는 시점에 시행되는 것으로 그 부칙에서 정하고 있습니다. 보안규정의 중요한 내용은 아래와 같습니다.
(1) 개인정보 보호법에서 규정하고 있는 수집 목적 외 개인정보 이용·제공 제한 원칙은 정보주체의 국적과 관계없이 대한민국의 법적 관할권이 미치는 영내에서 제3국으로부터 수집하는 모든 개인정보의 처리에 동일하게 적용됨
(2) 개인정보의 국외 제3자 제공 시, 개인정보처리자는 개인정보 보호법상 요건 및 고려사항을 준수해야 할 뿐만 아니라, 법에 의해 보장되는 수준의 안전조치 및 정보주체의 권리 행사 보장을 위하여 계약서 등 구속력 있는 문서에 이를 반영하여야 함
(3) 개인정보처리자가 적정성 결정에 기반하여 EU로부터 개인정보를 이전받은 경우 및 그렇게 이전받은 개인정보를 국내외의 제3자에게 제공하는 경우, 정보주체에게 통지하여야 함(단, 예외 상황 존재)
(4) 개인정보처리자가 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 가명정보를 처리함에 있어 그 구체적인 처리 목적을 달성한 이후에도 가명정보를 파기하지 아니하는 경우, 해당 정보를 익명처리하여야 함
(5) 개인정보 보호법에 따른 개인정보보호위원회의 시정조치 요건 및 개선권고 권한을 명확히 함
(6) 국가안보 목적을 위한 개인정보 처리에도 개인정보 보호법의 원칙들이 적용되고, EU 정보주체가 자신이 속한 EU 회원국의 개인정보감독기구(DPA) 또는 EU 유럽정보보호이사회를 통해 개인정보 보호위원회에 민원을 제기할 수 있음을 명시함
5. 시사점
개인정보보호위원회를 비롯한 다수의 유관부처 및 전문가들의 수년간의 노력으로 빛을 보게 된 EU 적정성 초기결정은, 향후 EU 집행위원회의 적정성 최종결정으로 그 동안 EU에 진출하고자 하는 국내 기업에 걸림돌이 되었던 역외이전의 제한이 사라진다는 데 가장 큰 의미가 있습니다. 특히, 최근 정보통신서비스 기반의 데이터 산업이 확대되고 있는 산업계에서, GDPR의 역외이전 조항으로 인해 EU 진출을 망설였던 기업들과 이러한 제한조치가 있는지 모르고 리스크에 노출되었던 기업들은 물론 전세계에 서비스를 제공하고자 준비해 온 스타트업 등에게도 상당한 도움이 될 것으로 보입니다. 나아가, 향후 한국에서 EU로의 자유로운 개인정보 이전에 관한 ‘상호 적정성’도 도입될 것으로 보여, 적정한 수준의 법체계를 갖춘 국가 간의 경우 자유로운 데이터 활용과 산업의 발전이 기대됩니다. 특히, 2019년의 일본의 적정성 결정과 달리, 이번 적정성 결정은 공공분야까지 포함하고 있으므로 정부기관과 EU 규제기관의 긴밀한 협력관계도 예상되고 있으며, 그에 대한 간접적인 효과도 기대되고 있습니다. 대한민국은 이번 적정성 결정으로 개인정보보호법제의 수준을 전세계에 알리고, 미국과 EU 위주의 글로벌 개인정보 법제 논의에서 합리적으로 쟁점을 이끌어 나갈 수 있을 것으로 예상됩니다.
한편, 적정성 결정의 범위는 EU-한국 간의 개인정보 이전에 한정되는바, 이외의 국가로의 이전(예컨대, 아일랜드의 정보를 현지 법인에서 수집하여, 한국 소재로 서버로 이전하고, 필리핀의 콜센터 직원이 한국 소재 서버에 접근하여 CS를 대응하는 경우)에는 위 1.항에서 살펴본 다른 보호조치가 필요하므로 전반적인 국외이전 data flow를 확인하고 이에 상응하는 조치를 마련해야 한다는 점을 여전히 유의하실 필요가 있을 것으로 생각됩니다.
법무법인(유한) 태평양은 개인정보의 글로벌 법제에 대한 다수의 업무 경험과 탁월한 전문성을 가지고 있습니다. 특히, 글로벌 서비스 론칭, 글로벌 임직원 데이터 관리, 글로벌 데이터를 기반한 마케팅과 프로파일링, AI 분석 등 국내외 개인정보 규제에 관한 이슈가 있는 경우 언제든지 연락 주시기 바랍니다.