개정된 개인정보보호법상 개인정보의 국외이전에 관한 규정의 분석: GDPR을 참조하여
An analysis of the provisions on the transfer of personal data out of Korea in the amended Personal Information Protection Act: with reference to the EU GDPR
박노형(고려대학교)
109호, 169~204쪽
초록
세계화 시대에서 국가 간 개인정보 이전은 국제무역과 국제협력의 확대에 필수적이다. 기업 활동에 있어 개인정보 국외이전의 중요성은 최근 EU-미국 사이의 개인정보 이전에 대한 규제의 미국 기업 Meta의 사업에 대한 영향에서 확인된다. EU사법법원은 각각 2015년 10월 및 2020년 7월 Safe Harbour와 Privacy Shield 체제가 미국에서 GDPR이 요구하는 개인정보보호의 동등한 수준을 충족하지 않는다고 해당 적정성 결정을 무효라고 판단하였다. 이후 2022년 3월 25일 EU와 미국은 Privacy Shield 체제를 대체하는 ‘대서양 양안 정보프라이버시 프레임워크(Trans-Atlantic Data Privacy Framework)’를 채택하기로 합의하였다. 그러나, 2023년 5월 22일 아일랜드 개인정보보호위원회(DPC)가 Meta에게 개인정보 역외이전이 GDPR을 위반하였다고 1조7천억원의 과징금을 부과하였다. 이제 유럽위원회가 GDPR에 일치하도록 동 프레임워크를 미국과 협상하지 못하면, Meta의 Facebook 등 미국 기업은 유럽을 상대로 더 이상 사업을 할 수 없게 된다. 한국 개인정보보호법(이하 ‘법’)은 개인정보 국외이전을 개인정보의 제3자 제공에 관한 법 제17조 제3항에서 단순하게 규정하다가, 2020년 2월 4일 정보통신망법의 개인정보 국외이전에 관한 규정을 이 법에 통합하였다. 이후 2023년 3월 14일 개정에서 개인정보의 처리에 관한 제3장에 개인정보 국외이전에 관한 제4절을 신설하였다. 이번 개정으로 정보주체의 별도의 동의를 포함한 다양한 법적 근거를 통하여 국외이전이 허용되게 되었다. 이 법의 개정으로 개인정보 국외이전을 위한 다양한 법적 장치가 마련되어 개인정보를 포함한 데이터의 국경간 이전 및 그 결과로서 디지털통상을 증대할 수 있게 된 것은 긍정적으로 평가해야 한다. 또한, 한국의 APEC CBPR체제와 글로벌 CBPR체제 가입 및 EU의 한국에 대한 적정성 결정 등으로, 한국의 국경간 개인정보 이동을 통한 디지털통상이 크게 성장할 것으로 기대된다. 그럼에도 불구하고, 이 법의 개정된 국외이전에 관한 규정은 역외이전에 관한 GDPR 제5장의 상응하는 규정과 비교할 때 좀더 과감하게 개선될 필요가 있다.
Abstract
Cross-border transfer of personal data is inevitable for international trade and cooperation in today’s globalized world. Its importance in the field of entrepreneurship is evidenced from the recent controversy surrounding the European Union(hereinafter ‘EU’)’s regulation of Meta, a US big-tech company, with its European headquarters regarding its transfer of EU citizens’ personal data to the US. The Court of Justice of the EU nullified the relevant adequacy decisions of the European Commission relating to the US for its failure to ensure the adequate level of protection as required in the EU. Since then, Meta has been relying on alternative means known as Standard Contract Clause to facilitate its transfer. However, such a basis has again been invalidated by the order of Ireland Data Protection Commission on 22 May 2023, imposing Meta with a fine of 1.2 billion Euro as well as suspension decisions. Unless the US and the EU succeed in adopting the Trans-Atlantic Data Privacy Framework so as to comply with the ‘General Data Protection Regulation(hereinafter ‘GDPR’)’ in the US, Meta may have to withdraw its business out of the EU. The ‘Personal Information Protection Act(hereinafter ‘Act’)’ of Korea originally provided for the provision of personal data to a third person in Article 17, paragraph 3 simply as it was only based on the consent of the data subject concerned. On 4 February 2020, more detailed provisions on the transfer of personal data out of Korea in the Information and Telecommunications Act were integrated into the Act, and on 14 March 2023, a separate Section 4 on the transfer of personal data was finally inserted into Chapter 3 of the Act, thereby permitting such transfer to be based on diversified legal grounds other than the original consent of data subject concerned. The amendment of the Act, due to its various legal bases for the transfer of personal data out of Korea, is expected to further facilitate the trade in or flows of data including personal data, and consequently, to encourage digital trade. This is a positive improvement considering that Korea is now expected to develop digital trade through the cross-border transfer of personal data with its participation in the APEC Cross-Border Privacy Rules and the Global Cross-Border Privacy Rules systems as well as the adequacy decision of the European Commission. Nevertheless, this Act still needs to be further improved. The amended provisions are insufficient in comparison to the corresponding provisions of the GDPR.
- 발행기관:
- 법학연구원
- 분류:
- 법학