강철하 한국IT법학연구소장(법학박사)




본 내용은 필자의 개인적인 견해이며, 추후 ‘클라우드 환경에서 개인정보보호의 법적 쟁점과 개선과제’를 주제로 시리즈 형식으로 게재할 예정임



분산처리기술(distributed data processing technology)과 가상화기술(virtualization technology)을 특징으로 하는 클라우드컴퓨팅(cloud computing) 환경에서는 종래에 예상하지 못했던 개인정보 보호법제 이슈가 발생한다.




이에 따라 필자는 지난 8월 “클라우드 환경에서 개인정보보호의 법적 쟁점과 개선과제”라는 주제로 정보의 비밀성 문제(lack of confidentiality), 상호운용성 문제(lack of interoperability, vendor lock-in), 개인정보 처리에 관한 클라우드컴퓨팅서비스 제공자(이하 ‘CSP’라 한다)의 법적 지위 문제(controller or processor?)를 다루었다.


이번 호에서는 클라우드컴퓨팅의 분산처리기술 등에 따라 해외의 전산자원으로 정보가 이전?저장될 수 있다는 점에서 또 하나의 법적 쟁점인 ‘클라우드 환경에서 개인정보 국외이전’ 문제를 분석해 보기로 한다.






클라우드 환경에서 개인정보 국외이전 법제 적용상의 복잡성


「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이하 ‘클라우드컴퓨팅법’이라 한다)에서는 “이용자 보호에 관하여 클라우드컴퓨팅법이 우선 적용되고, 개인정보 보호에 관하여는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’이라 한다) 등 관련 법률에서 정하는 바에 따른다(동법 제4조 단서)”고 규정하고 있다.


그런데 「개인정보 보호법」에서는 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 정보주체에게 일정한 사항(동법 제17조제2항 각 호)을 알리고 동의를 받도록 하고 있으며, 이 법을 위반하는 내용으로 개인정보의 국외이전에 관한 계약을 체결하지 못하도록 규정하고 있다(동법 제17조제3항). 나아가 「정보통신망법」에서는 원칙적으로 정보통신서비스 제공자등이 이용자 개인정보를 국외에 제공·처리위탁·보관하려는 경우 이용자의 동의를 받도록 하고 있으며(동법 제63조제2항 본문), 예외적으로 ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우’에 일정한 고지사항 모두를 공개(동법 제27조의2제1항)하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우 ‘개인정보 처리위탁·보관’에 따른 동의절차를 생략할 수 있도록 허용하고 있다(동법 제63조제2항 단서). 물론 양 법률 중에서 클라우드컴퓨팅 사례의 경우 정보통신서비스 제공과의 연관성이 높다는 점에서 개인정보보호와 관련하여 「정보통신망법」의 적용이 우선적으로 고려될 수 있을 것이다.


문제는 ① 우리나라의 경우 전 세계적으로 유일한 클라우드 단일법인 「클라우드컴퓨팅법」이 존재하고, ② 기존의 정보시스템 자체 구축?보유방식이 아닌, 임대방식으로 서비스를 이용하며, ③ 가상화기술 및 분산처리기술 등의 독특한 기술적 요소에 따라 종래의 개인정보보호 법체계 적용상의 복잡성과 난해함이 발생 1하고 있다는 것이다. 특히 개인정보 국외이전과 관련하여 ‘법정 고지사항의 고지+정보주체의 (사전)동의’라는 원칙이 클라우드컴퓨팅 환경에서도 여전히 유효?타당한 것인지 문제된다.






개인정보 국외이전 법체계의 수정 필요성


클라우드 환경에서 개인정보가 국외로 이전되는 사례로 (1) 기업이 보유한 개인정보의 효율적 처리를 위해 또는 재해복구를 위해 기업 보유정보를 해외 클라우드 데이터센터로 이전하는 사례, 2(2) 국내 고객이 해외 클라우드서비스를 이용하는 사례, (3) 국내 고객이 국내 클라우드서비스를 이용하는 경우 국내 CSP가 해외의 전산자원을 활용하고 있어 정보가 해외로 이전되는 사례를 상정해 볼 수 있다.


그런데 (1)사례의 경우, 「개인정보 보호법」과 「정보통신망법」에 따라 개인정보 국외이전을 위해 원칙적으로 ‘정보주체의 동의’를 받아야 한다. 물론 ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우’에는 일정한 요건 하에 정보주체 동의 없이 국외 이전할 수 있는 예외도 인정(「정보통신망법」 제63조제2항 단서)되지만 동 사례의 경우 주로 ‘기업의 경영 효율화’를 위한 것이므로 예외 규정의 적용이 쉽지 않을 것이다.


하지만 ① 기업이 경영효율화를 위해 그룹(기업) 계열사 임직원에 대한 인사관리의 효율성을 높이고자 계열사가 해외에서 운영하는 클라우드 데이터센터로 임직원 정보를 이전하여 통합관리하는 사례의 경우 3 일반적인 국외이전 사례와 달리 개인정보의 침해 위험성이 특별히 증가한다고 보기 어렵다. 왜냐하면 애초에 회사와 근로계약을 체결하고 개인정보 제공에 동의한 임직원의 입장에서는 그 정보가 “회사가 운영하는” 국내 데이터센터에서 처리하는지 아니면 해외 데이터센터에서 처리하는지는 권리행사에 큰 영향을 미치지 않기 때문이다. 이는 일반적인 개인정보 국외이전 사례에서 개인정보가 해외로 이전될 경우 국내 정보주체의 관리?통제권 행사가 어렵다고 보는 것과 달리, 동 사례의 경우에는 정보의 이전 장소가 국내이건 해외이건 결국 정보의 보유?관리 주체는 여전히 소속 기업이라는 점에서 현실성 있는 규율체계로 개선할 필요가 있다. 나아가 ② 재난재해 상황에서 고객의 정보와 기업 정보자산을 보호하기 위해 ‘재해복구(Disaster Recovery)’ 체계를 운영(국경을 넘는 지리적 이중화)하는 경우 급박한 재난재해 상황에서 해외 재해복구센터로 신속한 정보이전을 하려는 때에도 ‘수많은 정보주체의 동의’를 일일이 받아야 한다면 사실상 ‘정보침해’가 아닌 ‘정보보호’를 위한 재해복구가 어렵게 될 수 있다.


한편, (2)사례의 경우에는 정보주체가 자신의 자유로운 의사에 따라 해외 클라우드서비스를 이용하는 경우라면 개인정보 국외이전에 관한 특별한 법적 장애는 없다. 다만, 국내 기업(기업고객)이 해외 클라우드서비스를 이용하여 이용자의 개인정보를 해외로 이전하는 경우에는 우리 개인정보보호법령에 따라 ① 이용자의 개인정보에 관하여 법 위반사항을 내용으로 하는 국제계약을 체결할 수 없으며(「정보통신망법」 제63조제1항, 「개인정보보호법」 제17조제3항), ② 정보통신서비스 제공자등은 보호조치의 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영해야 한다. 이런 점에서 간접적으로 해외 CSP는 우리 개인정보보호법에 사실상 구속될 가능성이 있다. 그렇다면 과연 국내 개인정보보호법령이 해외 CSP에게 직접 적용될 수 있을까.


이와 관련하여 구글이 미국 국가안보국(NSA)의 감시 프로그램인 ‘프리즘’의 정보수집을 지원했다는 에드워드 스노든(Edward Snowden)의 폭로 이후 2014년 7월 국내 시민단체 활동가들은 구글 측이 우리 국민의 개인정보를 미국 정보기관에 제공했을 가능성이 있다고 보고 본인들이 사용하는 구글 계정에 대해 구글 본사와 구글 코리아가 수집·보유하고 있는 개인정보 이용내역을 공개하라는 공익소송을 제기한 바가 있다. 이에 대해 구글은 미국법(18USC §§2709(c)(1), 1861(d))에 따라 개인정보의 제3자 제공현황을 공개할 필요가 없다고 항변하였다.


이에 대해 1심 법원은 “정보통신망법 제30조에서 정한 정보통신서비스 이용자의 권리는 국제사법 제27조 제1항의 ‘준거법 선택에 의하더라도 박탈할 수 없는 소비자에게 부여되는 보호에 관한 강행규정’에 해당하고, 당사자가 준거법으로 외국법을 적용하는 것에 대한 합의를 하였더라도 이용자가 정보통신망법에 근거한 권리를 행사할 수 없도록 하는 것은 우리나라 강행규정에 의하여 소비자에게 부여되는 보호를 박탈하는 것으로서 그 범위 내에서는 외국법을 준거법으로 하는 합의의 효력을 인정할 수 없으므로...(중략)...갑 법인은 법령에 의하여 비공개 의무가 부과된 사항을 제외하고 을 등의 개인정보 및 서비스 이용 내역을 제3자에게 제공하였는지와 그 내용을 공개할 의무가 있다”고 판단하였다. 4


나아가 1심 법원에 이어 최근 2심 법원(서울고등법원 제4민사부)도 구글 이용자의 개인정보 권리를 인정하는 일부승소 판결을 내놨는데, 동 판결에서 법원은 구글이 글로벌 기업이라고 하더라도 국내법이 보장하는 이용자 개인정보 보호 의무를 준수해야 하며, 구글 본사는 이용자가 열람하고자 하는 개인정보 및 이용내역을 공개해야 한다는 취지로 판단했다. 5 물론 위 사건에 대한 확정판결은 아니지만 최근 2심까지의 법원 판단을 고려할 때, 국내에 물리적으로 서버를 두지 않고 서비스를 제공하는 해외 인터넷기업에 대해서도 국내 개인정보보호법령의 적용 가능성이 높아지고 있다고 볼 수 있다.


마지막으로, (3)사례의 경우 국내 기업고객이 국내 CSP의 클라우드서비스를 이용하면서 만일 국내 CSP가 해외 전산자원을 유동적으로 활용하고 있다는 사실을 알지 못하는 경우라면, 이용자의 정보가 해외로 이전된다는 사실을 이용자에게 알리지 못한 기업고객은 “개인정보의 국외이전 요건을 결한 위법상태”에 노출될 가능성이 있다. 왜냐하면 개인정보보호법령상 기업고객이 국내 클라우드서비스를 이용해 개인정보를 국외이전하는 때에도 ‘법정사항 고지+정보주체의 동의+보호조치’의 원칙적 수범주체는 ‘개인정보처리자’ 또는 ‘정보통신서비스제공자’(기업고객)이기 때문이다. 물론, 「클라우드컴퓨팅법」에서는 이용자에게 자신의 정보가 저장되는 국가의 명칭을 알려 줄 것을 요구할 권리를 부여하고 있지만(제26조제1항, 제2항), 이러한 ‘이용자 보호를 위한 정보 공개제도’는 이용자에 의한 ‘사후적 확인’에 불과하기 때문에 “개인정보 국외이전 상황을 알지 못해 고지의무를 다하지 않은 기업고객의 위법상태”를 해소하기엔 역부족이다.


따라서 이러한 불측의 위법상황 노출 문제를 해결하기 위해서는 클라우드서비스 계약 시 CSP는 ‘정보처리가 다양한 국가에서 처리된다는 사실’을 고지함으로써 기업고객(정보통신서비스제공자)으로 하여금 국외이전 국가와 개인정보처리 수탁자 등을 이용자에게 고지할 수 있도록 기회를 제공할 필요가 있다.






경직된 고지제도의 개선


개인정보의 수집?제공에 있어 엄격한 고지제도를 두는 것은 정보주체의 예측가능성을 높여 헌법상의 기본권인 ‘사생활의 비밀과 자유(제17조)’의 한 내용인 (개인정보)자기결정권을 보장하는 등 권리신장에 기여하는 측면이 있다. 하지만 ‘권리보호의 엄격성’과 ‘경직성’은 구별되어야 한다. 특히 ‘4차 산업혁명’과 같은 새로운 정보기술 환경에서는 정보주체의 권리보호를 보장할 수 있는 새로운 방식이 있다면 현실에 맞게 재조정될 필요가 있다.


그런데 “정보통신자원을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는” 클라우드컴퓨팅 환경에서는 정보가 국내는 물론, 해외에 산재되어 있는 데이터센터나 전산자원에 수시로 저장?유통될 수 있다. 6이런 기술환경에서는 개인정보의 국외이전 시 고지항목인 “이전일시, 개인정보를 이전받는 자의 개인정보 보유·이용 기간” 등에 대해 실시간으로 변화되는 사항을 일일이 이용자에게 고지하고 동의를 받는 것은 사실상 불가능에 가까울 것이다.


따라서 현재와 같이 경직된 개인정보 국외이전 법체계만으로는 클라우드컴퓨팅 환경에 대처하기 어렵기 때문에 클라우드 환경에 적합하게 개인정보 국외이전의 고지방법을 개선할 필요가 있다. 예컨대 만일 국내의 CSP가 해외의 데이터센터를 유동적으로 이용하는 경우라면, (기업고객이 이용자에게) 정보를 처리하는 국가별 데이터센터 리스트(A국가의 X데이터센터, B국가의 Y데이터센터, C국가의 Z데이터센터)의 제공을 통해 개인정보처리 위탁의 수탁자 고지(「정보통신망법」 제25조제1항제1호) 또는 개인정보가 이전되는 국가, 개인정보를 이전받는 자의 성명 등의 고지(「정보통신망법」 제63조제3항제1호)를 이행한 것으로 간주할 필요가 있다.






개인정보 국외이전 법체계의 통일적 정비


개인정보의 국외이전을 규율하고 있는 현행 「개인정보보호법」과 「정보통신망법」에서는 개인정보 국외이전의 규율대상, 이전방식, 보호조치의무, 법적 제재 등에 있어서 통일성이 없어 사업자에게 혼란을 주고 있다. 이러한 문제는 클라우드산업의 CSP뿐만 아니라 다양한 산업분야의 사업자에게도 마찬가지로 사업 수행에 있어 장애요소로 작용하게 된다.


첫째, 「개인정보보호법」 내에서는 개인정보 위탁, 제3자 제공을 구분하고 있으나 정작 개인정보의 국외이전은 ‘제3자 제공’만 규정하고 있어 처리위탁을 위한 이전방법은 무엇인지 불분명하다. 이와 달리 「정보통신망법」에서는 2016년 3월 22일 법 개정 통해 개인정보의 국외 제공(조회)·처리위탁·보관 등 유형별로 구분하고 있으며, “처리위탁·보관의 경우 정보주체 동의 없이 예외적으로 이전할 수 있는 사항(계약이행 및 이용자 편의 증진)도 반영”하고 있다.


둘째, 「정보통신망법」에서는 정보주체의 동의를 받아 개인정보 국외이전 시 ‘보호조치의무’를 규정하고 있으나, 정보주체의 동의를 받지 않고 이전하는 경우(상기 처리위탁·보관의 경우의 예외사유)에 대해서 별도의 규정이 없다. 이는 처리위탁·보관의 경우 정보주체 동의 없는 예외적 국외이전 사항을 반영한 법 개정 당시 보호조치의무 부과를 함께 반영하지 못한 입법 상 흠결로 생각된다.


셋째, 법 위반 시 제재조항도 통일적이지 않다. 현재 「정보통신망법」에서는 법 위반 시 과징금(관련 매출액의 3% 이하), 과태료(2천만원 이하 과태료) 제재규정이 있지만, 「개인정보보호법」에서는 이러한 규정이 없다.


이처럼 현행 「개인정보보호법」과 「정보통신망법」의 개인정보 국외이전 규율체계가 일관성이 부족하여 법 준수의 실효성이 떨어지고 있다. 그런데 양 법률을 달리 규정할 특별한 이유가 없다면 사업자의 혼란을 방지하기 위해 통일적으로 법을 정비할 필요가 있으며, 이 경우 최근 현실적 필요에 따라 개정 개인정보 국외 제공(조회)·처리위탁·보관 등 유형별 구분, 처리위탁·보관의 경우 동의 없는 예외적 이전 허용된 「정보통신망법」을 토대로 통합 규율하는 것이 바람직할 것이다.







  2. 유럽 개인정보보호 작업반(ARTICLE 29 DATA PROTECTION WORKING PARTY) 의견서에서도 클라우드의 복잡성으로 인해 문제해결에 한계가 있음을 인정하고 있다. ARTICLE 29 DATA PROTECTION WORKING PARTY, “Opinion 05/2012 on Cloud Computing”, WP 196, 2012.7.1, p.22 ??
  3. 예컨대, 그룹사의 인사정보를 해외 계열사 클라우드서비스를 통해 통합관리 하는 경우를 들 수 있다. ??
  4. 임직원 정보를 제공하는 기업을 ‘개인정보처리자(controller)’로, 임직원 정보를 받아 처리를 하는 해외 클라우드 데이터센터를 ‘개인정보수탁자(processor)’로 이해할 수 있을 것이다. ??
  5. 서울중앙지방법원 2015. 10. 16. 선고 2014가합38116 판결. ??
  6. 하지만, 기업 메일 사용자의 공개청구는 미국에서 소송을 진행해야 한다는 약관상 전속관할 규정에 따라 인정하지 않았고, 미국 법령에 의해 비공개 의무가 있는 정보도 공개 대상에서 제외했다. 법원, 구글 이용자 개인정보권리 일부 인정..“이용내역 열람권 보장해야”, 이데일리 2017.3.1일자(인터넷판). ??
  7. 예컨대 구글 딥마인드의 인공지능 알파고가 이세돌 9단과 대국할 때, 알파고 두뇌는 미국 클라우드 데이터센터에 있었다. ‘알파고급 인공지능’ 부산 온다, KBS 2016.05.11일자. ??