강철하 한국IT법학연구소장(법학박사)




본 내용은 필자의 개인적인 견해이며, ‘클라우드 환경에서 개인정보보호의 법적 쟁점과 개선과제’를 주제로 시리즈 형식으로 게재



필자는 지난 8월과 10월 ‘클라우드 환경에서 개인정보보호의 법적 쟁점과 개선과제’라는 주제로, 정보의 비밀성 문제(lack of confidentiality), 상호운용성 문제(lack of interoperability, vendor lock-in), 클라우드컴퓨팅서비스 제공자의 법적 지위 문제(controller or processor?)를 다루었고, 특히 클라우드 환경에서 개인정보 국외이전 문제와 관련해서는 개인정보 국외이전 법체계의 통일적 정비, 고지제도의 개선 등을 제안하였다. 올 해 마지막으로 게재하는 금번 호에서는 점점 더 치열해지는 글로벌 경쟁 환경 속에서 우리 기업도 먹거리를 찾아 미국, 유럽 등 해외시장으로 진출하고 있다는 점에서 클라우드 환경에 적용되는 주요 국가의 개인정보호법에는 어떤 것이 있는지 확인해 보고, 해외 입법례가 우리에게 시사하는 바는 무엇인지 그 정책적 함의를 도출해 보고자 한다.






미국의 프라이버시 실드(EU-US Privacy Shield Agreement)


미국에는 개인정보보호를 포괄적으로 규율하는 단일법이 없고, 금융, 의료, 교육, 행정 등 산업 부문별로 프라이버시 보호조항을 반영한 개별법이 산재해 있다. 특히 개인정보 국외이전과 관련하여 종래 유럽과 미국 간의 ‘세이프하버(Safe Harbor) 협정’에 따라 상대적으로 정보이전이 자유로웠으나, 2016년 10월 유럽사법재판소(European Court of Justice, ECJ)가 이를 무효로 판단1하자 변화를 맞게 되었다. 동 사건은 미국 서버로 전송된 데이터에 대해 미국법이 충분한 보호를 제공하지 않고 있다는 Max Schrems에 의해 제기된 것으로, ECJ는 세이프하버가 유럽연합으로부터 미국으로 이전된 개인정보의 기본적 권리에 대해 미국의 국가안보, 공익적 요구 또는 미국 국내법에 의한 간섭을 가능케 한다고 보았다.


이러한 ECJ 판결에 따라 미국과 유럽연합은 그동안 미국과 개인정보 이전을 위해 체결한 세이프 하버를 ‘프라이버시 실드(EU-US Privacy Shield)’2라는 새로운 협정으로 대체하게 되었다. 2016년 7월 12일 유럽집행위원회는 프라이버시 실드를 EU법에 따라 정보이전이 가능한 적절한 프레임워크로 그 적정성을 승인하였는데, 프라이버시 실드에서는 개인정보보호원칙으로 고지의 원칙, 데이터의 무결성과 목적제한의 원칙, 보안의 원칙, 접근의 원칙, 구제?집행 및 책임의 원칙, 제3자 전송에 대한 책임의 원칙 등을 제시하고 있다.3이처럼 프라이버시 실드는 과거 세이프하버보다 미국기업에 대한 개인정보 보호의무 강화, 감독당국의 감독 및 위반 기업에 대한 제재 강화, EU 시민에 대한 구제수단 확대(이의제기 시 45일 이내 대응 등)를 담고 있지만 동시에 상기의 개인정보보호원칙을 준수하는 미국 기업의 자율인증체계(a system of self-certification)에 기반하고 있다는 점에도 주목할 필요가 있다.






일본의 개정 「개인정보보호에 관한 법률(個人情報の保護に?する法律)」


종래 일본의 「개인정보보호에 관한 법률(個人情報の保護に?する法律)」에서는 개인정보취급사업자에게 다양한 개인정보 보호의무를 부과하고 있었다. 다만, 개인정보의 국외이전에 대한 명시적인 규정이 없었기 때문에 일본 내에서 적용되는 ‘개인정보 처리위탁이나 제3자 제공 법리’를 개인정보 국외이전 유형에 따라 적용할 수 있는 것으로 이해되었다.


그런데 2015년(平成 27年) 9월 9일 동 법률을 개정하면서 빅데이터 활용과 관련된 ‘익명가공정보(匿名加工情報)’의 개념4을 도입하고, 원칙적으로 ‘배려를 요하는 개인정보(要配慮個人情報)’5에 한해 본인의 사전 동의를 얻어 취득할 수 있게 하였다(일정한 조건 하에 공개된 정보는 본인 동의 없이 수집 가능). 특히 상기 개인정보 국외이전과 관련하여서는 개정법 제24조를 통해 개인정보취급사업자가 외국에 있는 제3자에게 개인정보를 제공하는 경우 원칙적으로 미리 외국의 제3자에게 제공한다는 사실에 대해 본인의 동의를 얻도록 하였다.6 여기서 제24조의 ‘외국’의 의미는 일본의 역외에 있는 국가 또는 지역을 말하는 것으로, 다만 개인의 권리이익 보호와 관련하여 일본과 유사한 수준의 개인정보보호 제도를 가지고 있다고 인정되어 개인정보보호위원회 규칙으로 정한 외국의 경우에는 제24조의 ‘외국’의 대상에서 제외하는 특색도 보여 주고 있다. 또한 ① 법령에 근거하는 경우, ② 사람의 생명, 신체 또는 재산의 보호를 위하여 필요한 경우로서 본인의 동의를 얻기 어려울 때, ③ 공중위생의 향상 또는 아동의 건전한 육성 추진을 위해 특히 필요한 경우로서 본인의 동의를 얻기 어려울 때, ④ 국가기관, 지방공공단체 또는 그 위탁을 받은 자가 법령이 정하는 사무를 수행함에 협력할 필요가 있는 경우로 본인의 동의를 얻는 것이 해당 사무 수행에 지장을 미칠 우려가 있을 때에는 ‘동의 원칙의 예외’도 인정7하고 있으며, 개인정보취급사업자가 이용 목적의 달성에 필요한 범위 내에서 개인정보 취급의 전부 또는 일부를 위탁함에 따라 해당 개인정보가 제공되는 경우에는 당해 개인정보를 제공받는 자를 ‘제3자’에 해당하지 않는 것으로 규정하였다. 8






캐나다의 PIPEDA와 주정부의 데이터 현지화법


캐나다에는 연방 치원에서 민간부문 비즈니스를 규율하는 「개인정보보호 및 전자문서법(PIPEDA)」이 있는데, 캐나다 이외의 국가에서 개인정보를 처리 또는 저장하고자 하는 경우 적정한 계약(adequate contractual) 및 안전조치(security safeguards)나 고객에 대한 고지를 이행할 것을 요구하고 있다.9 특히 캐나다 앨버타주(Alberta)의 경우에는 사생활보호법에 의해 규제되는 민간단체의 경우 서비스제공자의 정책, 안전조치 및 관례에 관한 정보를 얻는 방법에 대한 공지(일반적으로 공개된 개인정보보호정책을 활용)도 제공하도록 요구하고 있다.


다만, 캐나다에 있어 클라우드컴퓨팅 서비스를 활용하지 못하게 하는 주된 요인으로는 캐나다 주정부의 이른바 ‘데이터 현지화 법률(Canada's provincial data localization laws)’ 때문인데, 특히 노바스코샤주(Nova Scotia州)와 브리티시컬럼비아주(British Columbia州)에서 운영하는 공공기관의 경우 개인 데이터를 외부에 저장하거나 외부에서 액세스하는 것을 제한하고 있다. 이는 브리티시컬럼비아주의 「정보 자유 및 개인정보 보호법(the Freedom of Information and Protection of Privacy Act, FOIPPA)」과 노바스코샤주의 「개인정보 국제 공개 보호법(Personal Information International Disclosure Protection Act, PIIDPA)」에서 동의 없이 캐나다 외부에 있는 데이터에 대한 액세스, 공개 및 저장을 금지하고 있기 때문이다.






유럽연합의 「일반 개인정보보호규정(GDPR)」


디지털 단일시장을 추진하는 유럽연합(EU)은 회원국 시민의 '개인정보 보호'와 '정보의 자유로운 이동'을 보장하기 위해 그동안 논란이 많았던 '일반 개인정보보호규정(GDPR)'을 2016년 5월 제정하였다. 동 규정에서는 정보주체의 개인정보를 보호하기 위해 '컨트롤러'(우리의 '개인정보처리자'와 유사한 개념)나 '프로세서'(우리의 '개인정보수탁자'와 유사한 개념)에게 다양한 개인정보보호 의무를 부과하고, 법 위반 시 글로벌 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액을 과징금으로 부과하는 강력한 제재조치를 도입하였다. 동 규정은 2018년 5월 25일 시행되고, 종래 개인정보 분야를 규율했던 '개인정보보호지침(Data Protection Directive 95/46/EC)'을 대체할 예정이다.10


그런데 앞에서 미국의 프라이버시 실드(EU-US Privacy Shield) 사례에서 목격한 바와 같이 유럽연합의 GDPR은 전 세계 개인정보보호 표준이 될 가능성이 높고, 특히 클라우드서비스 분야에 대한 GDPR 적용 시 법적 난해성과 법적 책임 강화에 따라 상당한 대비가 필요한 상황이다. 우선 GDPR은 EU 회원국 기업에만 적용되는 것이 아니라, 유럽연합 내에 설립된 우리 기업(자회사, 분점 등)이나 국내에서 EU 시민에게 재화와 서비스를 제공하는 기업에게도 적용(GDPR 제2조)될 수 있기 때문에 GDPR에 위반하여 EU 정보주체의 개인정보를 처리할 경우 상당한 금액의 과징금을 부과 받게 될 수 있다.


따라서 클라우드서비스 영역에 있어서도 클라우드에서 데이터를 처리하도록 선택한 기업(데이터 컨트롤러)은 클라우드서비스 제공기업(데이터 프로세서)이 새로운 EU GDPR을 충족시키는 적절한 기술과 조직, 보호 수단을 구현하고 있는지 확인할 필요가 있게 되었다. 나아가 데이터 컨트롤러는 보안 침해사고 발생 시 보고할 의무가 있으며, 데이터 컨트롤러와 프로세서는 규정위반으로 인해 발생한 피해에 대해 공동책임을 질 수 있기 때문에 새로운 규제 환경에 대비할 필요도 있다. 예컨대 Microsoft와 Amazon은 고객 데이터에 대한 요구사항을 충족시키기 위해 캐나다에 클라우드서비스센터를 개설한다거나 Microsoft의 경우 새로운 암호화 제어체계를 사용한 독일 내 데이터 저장 기능을 발표한 것도 이러한 변화에 대응하기 위한 것으로 읽을 수 있다.


한편, GDPR의 제정 목적 중에는 ‘정보의 자유로운 이동’을 보장하기 위한 것도 있기 때문에 물론 개인정보 국외이전과 관련하여 ‘적절한 보호(adequate protection) 수준’을 갖춘 나라에 한해 이전을 허용하고 있지만, 정보주체의 동의만을 개인정보 국외이전의 조건으로 설정하고 있는 것은 아니다. 다시 말해 정보주체의 동의뿐만 아니라 EU집행위원회가 개인정보에 대해 적절한 수준의 보호를 하고 있다고 결정한 국가인 경우(adequacy decision), 기업이 구속력 있는 기업규칙(BCR)이나 감독당국이 제시한 표준계약서 등에 의해 적절한 보호조치를 갖춘 경우 등에도 국외이전을 허용하고 있다는 점에서 GDPR은 개인정보 국외이전 방식에 있어 우리(정보주체 동의방식 중심)와 달리 유연한 형식을 취하고 있다(GDPR 제44조-제47조).






정책적 함의


개인정보 국외이전과 관련된 해외입법례에서 살펴본 바와 같이 급변하는 기술환경에 대응하기 위해 각 국가마다‘정보의 자유로운 이동성 보장’을 강조한다거나 정보의 해외 유출을 막기 위해 이른바 ‘데이터 로컬리제이션(data localization)’이 강조되기도 한다.


물론 4차 산업혁명에 있어서는 클라우드컴퓨팅뿐만 아니라 인공지능, 사물인터넷 등 고도화된 기술이 적용됨에 따라 데이터의 양적 증가와 광범위한 유통이 발생할 수 있기 때문에 이러한 기술?사회 환경에서는 ① 정보 비대칭(information asymmetries)으로 사회적 결속력(social cohesion)과 경제적 탄력성(economic resilience)을 약화시키는 ‘새로운 디지털(데이터) 디바이드’가 야기될 수 있고, ② 판매업체에 대한 종속(vendor lock-in)이나 소비자 선택권 축소와 같은 반경쟁적 행동이 나타날 수 있으며, ③ 다양한 방식의 프라이버시 침해 문제가 발생할 수 있다.


하지만 4차 산업혁명이라는 거대한 변화의 흐름 속에서 “우리 스스로 갈라파고스 섬에서 살고자 하는 것이 아니라면” 변화된 환경을 인식하고 이를 적극적으로 수용하되, 전술한 4차 산업혁명 과정에서 나타나는 정보 역기능에 대처할 필요가 있다. 예컨대, ‘정보의 공개성 강화’는 데이터 혁신의 사회ㆍ경제적 효과를 높일 수 있고, ‘데이터 접근성 및 이동성 보장’은 데이터 집약에 의한 힘의 불균형(power inbalances) 문제를 감소시켜 줄 수도 있다.


마찬가지로 “개인정보보호 영역에 있어서도” 종래의 ‘정보보호論’과 ‘정보활용論’의 대립적 시각에서 벗어나 → ‘정보의 안전한 활용’의 관점으로 논의의 구조를 전환하여 새로운 개인정보보호 거버넌스 체계를 구축할 것을 요구하고 있다. 이는 우리나라 개인정보보호법령과 달리, 최근 개정된 일본의 「개인정보보호에 관한 법률(個人情報の保護に?する法律)」에서 “고도 정보통신 사회의 진전에 따라 개인정보의 이용이 크게 확대되고 있는 점을 감안하여...(중략)... 개인정보의 적절하고 효과적인 활용이 새로운 산업의 창출 및 활력있는 경제 사회와 풍요로운 국민 생활의 실현에 이바지하는 것(제1조 목적조항)”이라거나 “유럽연합 내 개인 데이터의 자유로운 이동은 개인 데이터 처리와 관련하여 자연인의 보호에 관한 이유로 제한되거나 금지되어서는 안된다(GDPR 제1조제3항)”는 EU GDPR의 제정취지에서도 발견할 수 있는 입법방향인 것이다.







  2. Maximillian Schrems v Data Protection Commissioner, In Case C?362/14(6 October 2015). ??
  3. 프라이버시 실드에 대한 자세한 내용은 미국 상무부가 운영하는 Privacy Shield 웹사이트 (www.privacyshield.gov) 참조. ??
  4. 유럽집행위원회 결정문의 자세한 내용은 EUROPEAN COMMISSION, “COMMISSION IMPLEMENTING DECISION of 12.7.2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield”, 2016.7.12 <http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decisionen.pdf> 참조. ??
  5. 일정한 조치를 취하여 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서, 당해 개인정보를 복원할 수 없도록 한 것을 말한다. 일본 개정 「개인정보보호에 관한 법률」 제2조제9항. ??
  6. 본인의 인종, 신념, 사회적 신분, 병력, 범죄 경력, 범죄에 의해 피해를 입은 사실 기타 본인에 대한 부당한 차별, 편견 기타 불이익이 생기지 않도록 그 취급에 특히 주의를 요하는 것으로서 정령(政令)으로 정하는 기술 등이 포함된 개인정보를 말한다. 일본 「개인정보보호에 관한 법률」 제2조제3항. ??
  7. 일본 「개인정보보호에 관한 법률」 제24조. ??
  8. 일본 「개인정보보호에 관한 법률」 제23조제1항 각 호. ??
  9. 일본 「개인정보보호에 관한 법률」 제23조제5항제1호. ??
  10. 캐나다의 기업이나 조직은 정보처리를 위해 제3자에게 이전된 정보를 포함해 소유하거나 보관중인 개인정보에 대한 책임이 있으며, 정보가 제3자에 의해 처리되는 동안 유사한 수준의 보호를 제공하기 위해 계약이나 그 밖의 보호수단을 사용해야 한다. http://laws-lois.justice.gc.ca/eng/acts/P-8.6/FullText.html 참조. ??
  11. 이에 대한 자세한 내용은 강철하, “GDPR과 4차 산업혁명 그리고 개인정보법의 경직성”, 서울파이낸스 2017.8.14일자(인터넷판) 참조. ??