해외로 이전된 우리 국민의 개인정보를 보호하기 위하여 개인정보보호에 관한 국내법 을 해외 사업자나 단체 등에 직접 적용하기 위한 법제를 마련하고, 집행력 강화를 위한 외국 규제 기관과의 협력체계 구축 등을 통하여 우리 국민의 개인정보 보호수준이 높아 질 수 있지만, 현실적으로 개인정보가 이전된 상대국이 협력을 하지 않게 되면 우리 법을 직접 적용하거나 집행하거나 쉽지 않다. 또한 개인정보보호를 위하여 전세계 모든 나라와 국제협약을 체결하거나 모든 국가가 참여하는 개인정보 보호를 위한 다자간 국제협정을 체결하는 것도 현실적으로 가능성은 매우 낮아 보인다. 오히려 우리나라와 교역을 많이 하는 나라이거나 선진국인 경우에는 우리 국민의 개인정보 보호수준이 상대적으로 높을 수 있다. 반면, 자유민주주의와 인권 보호가 충실하지 않은 나라의 경우에는 상대적으로 우리 국민의 개인정보보호가 용이하지 않을 가능성이 높다. 특히 후자의 경우에는 우리 법을 직접 적용하거나 집행력을 확보한다는 것은 더더욱 어려운 일일 것이다. 따라서 우 리 국민의 개인정보를 효과적으로 보호하기 위한 간접적인 방도로서 상호주의에 기반한 대응방안을 도입하는 것도 고려해 볼만하다.
전통적인 의미에서의 상호주의는 다자간이든 양자간이든 무역협정에서 참여국 사이에 서 쌍무적으로 제공하는 양허(reciprocal concessions)가 참여국 사이에서 균형을 이루는 것을 말한다.122)123) 개인정보보호는 인류의 보편적 가치와 연계되어 있는 만큼 참여 국가
122) 국제법 맥락에서 상호주의의 역사와 전통적 상호주의 및 공격적 상호주의(aggressive reciprocity)의 상세한 개념과 분류에 대하여는 최병선, “국제무역에 있어서의 상호주의에 관한 고찰”, 「통상법률」제14호(1997.4.), 42-74면 참조.
123) 상호주의는 국제법의 생성과 집행에 매우 중요한 역할을 해왔고 관습 국제법이 가지는 보편성의 배경에 상호 주의 원칙이 있다고 한다. 김화진, “국제법 이론의 역사와 현황”, 「저스티스」 통권 161호(2017.7.), 309면 및 321면.
사이의 대등한 등가적인 보호 수준의 확보라는 관점에서 상호주의 원칙은 해외 이전된 우리 국민의 개인정보보호에 유용한 수단이 될 수 있다.124)125)
즉, 우리 국민의 개인정보를 충실히 보호하는 국가일수록 해당 국가의 국민의 개인정 보를 우리나라에서도 동등한 수준으로 보호해 주는 것이다. 반면, 우리 국민의 개인정보 를 보호하지 않거나 침해가 많은 국가인 경우에는 해당 국가 국민의 개인정보의 처리에 관하여 국내에서 제공하는 보호수준을 그에 맞추어 낮추는 방안이다. 이러한 방안이 직접 적으로 우리 국민의 개인정보보호 수준을 높여주지는 못하더라도, 적어도 우리나라와 국 제교류를 하거나 무역을 하는 국가인 경우에는 간접적으로라도 상대국으로 하여금 일정 수준의 개인정보보호 수준을 갖추도록 압박하는 효과적인 수단이 될 수도 있다. 최근 정 보통신망법의 일부 개정126)으로 제한적이지만 온라인 상의 개인정보보호와 관련해서 상 호주의를 도입하였다. 이에 의하면, 개인정보의 국외 이전을 제한하는 국가의 정보통신서 비스 제공자등에 대하여는 해당 국가의 수준에 상응하는 제한을 할 수 있다.127) 다만,
124) 이진규, “국제법상 조약관계에서 상호주의에 관한 고찰 – 1963년 「영사관계에 관한 비엔나협약」에 대한 미 국의 실행을 중심으로”, 「동아법학」 제78호(2018.2.), 363-364면에 따르면, “상호주의는 둘 이상의 국가들과 각 국가에 속한 개인들 간 흔히 발생하는 상호작용 속에서 정의와 신의성실을 준수할 것을 실효적으로 보장 하게 하며 국가 간 법(law of nations)의 기초가 된다”고 설명한다. 이 보고서에서 말하는 국내법에 따른 상호 주의 원칙 규정과 앞의 논문에서의 국제법 상의 상호주의 원칙 사이에는 차이가 있지만, 그 개념과 원리는 동일하다고 할 수 있다. 국내법에 따른 상호주의 원칙 규정의 경우에도 결국 상대 국가와의 사이에서 간접적 이지만 개인정보보호를 위한 규범을 준수하고 정의와 신의성실을 준수하도록 실질적으로 보장하는데 기여할 것이다.
125) 문돈, “국제법의 준수와 작동메커니즘”, 「국제정치논총」 제55권 제3호(2015.9.), 347면에 의하면, “대부분의 국제법이 상호주의에 입각한 분권화된 강제에 의존하고 있다”고 한다.
126) 법률 제15751호(2018. 9. 18.)로 일부개정된 정보통신망법이 2019.3.19.부터 시행된다. 이번 개정은 기본 취지 는 “대한민국 국민이 글로벌 사업자에게도 국내 사업자에 대해 행사하는 것과 마찬가지로 본인의 개인정보에 대해 수집ㆍ이용ㆍ제공 등의 동의 철회, 열람청구, 정정요구 등 자기결정권을 실질적으로 행사할 수 있도록 하고, 방송통신위원회가 글로벌 사업자의 개인정보 침해 여부를 판단하기 위해 자료를 요청할 경우 필요한 자료를 신속하게 제출할 수 있도록 하는 한편, 글로벌 사업자가 대한민국 국민의 개인정보를 해외로 이전한 후 제3국으로 재이전 하는 등 해외 시장에서 유통되고 있음에도 법적 근거가 마련되어 있지 않고, 특히 우리 나라보다 개인정보 보호 수준이 낮은 나라로의 이전에 대해서는 국제규범상 동등하게 보호하는 등 우리 국민 의 개인정보가 해외에서도 안전하게 유통될 수 있는 방안을 마련하려는 것임”으로 밝히고 있다. 특히, 제63조 의2(상호주의)를 신설한 배경으로는 국가별로 개인정보 보호 수준이 다르므로 수준에 맞게 합리적이고 탄력 적으로 대응할 수 있도록 상호주의 규정을 도입한다고 밝히고 있다. 이번 개정에서는 상호주의 규정 신설 외에 개인정보보호를 위한 국내 대리인 지정제도와 국외 이전된 개인정보의 제3국으로의 재이전에 대한 동 의 요건 신설이 포함되어 있다.
127) 개정 정보통신망법 제63조의2.
조약 또는 그 밖의 국제협정의 이행에 필요한 경우에는 예외로 한다. 이번 개정은 국외이 전을 제한하는 국가에 대하여 그에 상응하는 수준으로 해당국가로의 우리 국민의 개인정 보의 국외이전을 제한하는 것을 주된 내용으로 한다. 개정법은 상호주의의 입장을 채용하 기는 하였지만, 제한적으로 국외이전 허용 수준에 상응하는 상호주의만을 도입하였을 뿐 전체 개인정보보호수준을 평가하여 그에 상응하는 수준의 보호를 꾀하는 일반적 상호주 의적 대응방안을 규정하고 있지는 않다. 보다 효과적인 대응을 위해서는 국외이전에 대한 제한 수준의 평가에 머무르지 않고 전체 개인정보보호 수준을 검토하여 상호주의적 대응 을 허용하는 방향으로의 입법적 전환도 가능하다.
결 론
전세계가 네트워크로 연결되고 국가간의 이동성이 증가하면서 우리 국민의 개인정보 가 해외로 이전되어 처리되는 경우가 늘고 있다. 그런데 해외로 이전된 개인정보의 경우 에는 그 처리 기준이나 절차 등이 불명확하거나 우리 국민의 개인정보가 오남용 되는 경우도 많다. 이 때문에 우리 국민의 개인정보를 해외에서도 효과적으로 보호하기 위하여 어떠한 정책방안을 수립하여 추진하여야 하는지에 대한 연구를 목적으로 이 보고서가 작성되었다. 효과적인 대응방안을 도출하기 위하여 우선 이 보고서에서는 자국민의 개인 정보보호를 위한 개인정보보호법제의 해외 사례를 살펴보았다. 특히 최근 전세계적인 주 목을 받고 있는 EU GDPR과 일본의 개인정보보호법을 살펴보았다. 아울러 개인정보나 국가안보 등 중요한 국가의 이익을 보호하기 위한 방안으로서 데이터 국지화 법제에 대 하여도 중국, 러시아, 캐나다 등을 중심으로 살펴보았다. 또한 외국인의 개인정보의 열람 에 대한 해외 법제로서 EU GDPR이 규율하는 내용과 최근 미국에서 제정된 CLOUD Act 의 내용도 살펴보았다. 이러한 해외 사례에 대한 검토를 바탕으로 우리 법제 하에서의 해외에서의 우리 국민의 개인정보처리에 관한 규율 사항을 분석해본 후, 해외에서의 우리 국민의 개인정보의 효과적인 보호를 위한 법제도 개선방안을 도출하고자 시도하였다. 그 결과 사전적 대응방안으로서 국외이전을 원칙적으로 금지하면서 국외이전 요건을 설정 하는 방안, 데이터 국지화 규제 방안, 국제공조체계 확립 방안, 피해구제체계 마련 방안 등의 추진 가능성을 검토하였다. 아울러 국가간 대등한 등가적 개인정보보호수준의 확보 라는 관점에서 상호주의 원칙에 기반한 개인정보보호 방안의 가능성에 대하여도 살펴보 았다. 이상의 다양한 대응수단은 국민의 개인정보의 해외 이전에 대응한 상당한 보호수준 을 확보하는데 도움이 될 수도 있지만, 자칫 무역을 근간으로 삼는 우리나라의 경우에
국가간 무역을 저해하는 요인으로 작용할 가능성도 배제할 수 없다. 따라서 국민의 개인 정보의 국가간 이전도 적절히 허용하면서도 우리 국민의 권익이 침해되지 않고 적절히 구제받을 수 있도록 적절한 수준의 대응방안을 추진하여야 한다.
참 고 문 헌
강준모, “우리나라FTA와 전자금융법제”, 한국법제연구원, 2010. 10.
경성대학교 산학협력단, 일본의 개인정보보호 법제․정책 분석에 관한 연구, 개인정보 보호위원회, 2017.12.
구태언, “개인정보 국외 이전제도의 현황 및 개선방안 연구”, 가천법학 제6권 제1호, 가천대학교 법학연구소, 2013.
김인석, “국제적 상호운용성 강화 및 지능정보화 시대에 부응한 개인정보보호 발전 방 안 연구”, 개인정보보호위원회 정책연구용역 연구보고서, 개인정보보호위원회, 2016
김진환, “개인정보 보호의 규범적 의의와 한계”, 한국법학원, 저스티스 제144호, 2014.10.
김현경, “데이터 속성과 국지화 규범의 법적 쟁점에 대한 고찰”, 토지공법연구 제78집, 2017.5.
김화진, “국제법 이론의 역사와 현황”, 「저스티스」 통권 161호, 2017.7.
노현숙, “EU 개인정보 국외 이동 규정의 유용성”, 법학논총 제36집, 숭실대학교 법학연 구소, 2016
문 돈, “국제법의 준수와 작동메커니즘”, 「국제정치논총」 제55권 제3호, 2015.9.
박영우, “글로벌 기업에 대한 개인정보보호 규제효과 제고 및 불법․청소년유해정보의 유통금지를 위한 국가간 협력방안 연구”, 방통융합정책연구 연구보고서, 방송통 신위원회, 2014
박훤일, “개인정보의 현지화에 관한 연구”, 경희대학교 법학전문대학원, 경희법학52권 4호, 2017.12.
북경경도법률사무소(King&Capital Lawfirm), “중국 사이버보안법 관련 법규 해설”, 한 국무역협회 북경지부, 2017.6.
송영진, “미국 CLOUD Act 통과와 역외 데이터 접근에 대한 시사점”, 형사정책연구 제29권 제2호(통권114호), 한국형사정책연구원, 2018.
오길영, “클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률안의 검토와 비판”, 민주주 의법학연구회, 민주법학 56권0호, 2014.11.
윤경선, “글로벌 인터넷 검열・통제 동향과 시사점”, 한국정보화진흥원, 2017.10.
윤재석, “유럽연합과 미국의 개인정보 이전 협약(프라이버시 쉴드)과 국내 정책 방향”, 정보보호학회 논문지 제26권 제5호, 한국정보보호학회, 2016
이진규, “국제법상 조약관계에서 상호주의에 관한 고찰 – 1963년 「영사관계에 관한 비엔나협약」에 대한 미국의 실행을 중심으로”, 「동아법학」 제78호, 2018.2.
이창범, “한국의 개인정보 국외이전 법제 현황과 개정방향”, 법학논총 제36권 제3호, 전남대학교 법학연구소, 2016
최경진, “개인정보 국외이전 법제 정비방안”, 연구보고서, 한국인터넷진흥원, 2012.
최경진, “개인정보 국외이전에 관한 소고”, 「법학논총」, 제20집 제1호, 2013
최경진, “GDPR등 EU와 우리나라 온라인상 개인정보보호 법제 비교 연구”, 방송통신 정책연구 연구보고서, 방송통신위원회, 2016.
최경진, “국제거래에서의 개인정보의 국가간 이동에 대한 소고 – EU, 미국, 일본의 최근 법제 동향을 중심으로 -”, 「국제거래법연구」 제26집 제2호, 2017.12.