개인정보 국외 이전 관련 법령 | 정보통신망법 | 개인정보 국외 반출 / 해외 반출


클라우드 플랫폼이 활성화 되면서, 또한 외국계 기업의 한국 진출이 늘어나면서 개인정보가 국외로 이전되는 경우가 심심치 않게 발생하고 있다. 특히 AWS나 MS AZURE 등의 Cloud 기반 서비스가 늘어나면서 자연스럽게 고객 정보가 해외로 반출되는 경우도 많이 발생하고 있다. 국내에도 클라우드 데이터 센터가 있다고는 하지만 아직 모든 서비스가 제공되지 않아 MS Azure 같은 경우에는 서비스에 따라 일본이나 싱가포르에서 서비스 되는 경우도 있다. 


개인정보가 국외로 반출/이전되는 경우 해당 정보 주체 (예를 들어 고객정보인 경우 고객 당사자)에게 '당신의 어떠한 정보가 어떠한 목적으로 인하여 어느나라에 이전되었다'라는 내용을 고지 및 동의를 받아야 한다. 경우에 따라 고지가 필요하지 않는 예외의 경우도 있지만 어느 법령을 근거로 하여 고지 및 동의를 받아야 하는지를 보려고 한다.


정보통신망법 제63조(국외 이전 개인정보의 보호)

① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다.

② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.<개정 2016.3.22.>

③ 정보통신서비스 제공자등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 이전일시 및 이전방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

④ 정보통신서비스 제공자등은 제2항에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.

[전문개정 2008.6.13.]


일단 기본적으로는 해외 이전이 되면 이용자에게 고지 및 동의를 받아야 하지만 2항에 보면 '이용자 편의 증진 등을 위하여' 라는 내용으로 보면 경우에 따라 이용자에게 알린 경우에는 동의 절차를 거치지 않을 수 있다고 되어있다. (이 부분은 잘 해석을 해야 할 것 같다.)

클라우드 서비스를 도입 예정이라면 개인정보에 대하여 꼭 고려를 해야 하며 또한 KISA에서도 아래 첨부파일과 같은 클라우드 사용 시 기업에서 확인해야 하는 개인정보보호 수칙을 안내하고 있으니 참고하면 좋을 것 같다.





+ Recent posts