유럽사법재판소(ECJ)가 2015년 10월 미국 -EU 간 세이프하버 제도를 무효라고 판결하였 다. 동 판결에 따라 이제 미국 기업들은 이용자들 로부터 개별적인 동의를 얻는 등의 다른 방안을 강구해야 한다. EU 회원국 국민의 개인정보를 미 국으로 이전하는데 왜 이러한 절차가 있는 것인 가? 그것은 EU와 미국의 개인정보 보호 수준이 다르기 때문이다. 이러한 상황에서 개인정보 국외 이전의 규제는 규제회피를 막는 기능을 한다. 아 울러 정보주체에게 국외이전에 따른 위험을 고지 하고 그 여부를 스스로 결정할 수 있도록 한다. 이 는 EU-미국 간으로 한정되는 논의가 아니다. 우 리나라에서도 수많은 사람들이 다국적 인터넷 기 업의 서비스를 이용하며, 우리 국민의 개인정보가 매일 마다 국외로 이전되고 있다. 우리나라 개인 정보 관련법들도 국외이전을 규제한다. 그러나 규정이 애매하여 해석상 논란을 일으키는 대목이 많 다. 우리법체계의 가장 큰 문제는 모든 책임을 정 보주체 개인에 지운다는 점이다. 어느 개인이 자 신의 개인정보가 이전되는 특정 국가의 규제 수준 을 알 수 있겠는가. 관계당국이 개인정보가 적절 히 보호되는 제3국을 조사하여 고시하고, 그러한 국가로의 이전은 통상의 제3자 제공과 같은 절차 만 준수하면 되도록 제도를 개선하여야 한다. 정 보주체의 프라이버시는 실질적으로 보호하고, 사 업자들의 규제 부담은 줄이는 길이다.

In October 2015, the European Court of Justice ruled that the U.S.-EU Safe Harbor framework was invalid. U.S. Internet companies relying on the framework now must seek an alternative method, such as requesting a data subject’s consent. The regulation of trans-border data flow is necessary due to countries’ differing privacy protection levels. The regulation also prevents controllers from evading domestic laws and provides both knowledge of risks and a choice to data subjects. This issue is important not only across the Atlantic but across the globe, including South Korea. Many Koreans use multinational Internet services, implying that their personal data is regularly transferred to third-party countries. While Korea has regulations governing such transfers, their provisions are ambiguous and disputable. The current system, moreover, places all the burden on citizens, only requiring the data subject’s consent. However, no individual has the resources to investigate the adequacy of another country’s data protection laws. I suggest that data protection authorities should release a list of countries where privacy is well-protected, and data transfers to the white-listed countries should be allowed with no additional consent or safeguards. Such an approach would promote the privacy of data subjects and ease the burden on service providers.

I. 시작하며: 동갑내기 법학도의 문제 제기
 II. 개인정보 국외이전의 현황 및 규제 필요성
 III. EU의 개인정보 국외이전 규제
  1. EU 개인정보 보호지침
  2. 개인정보보호규칙(GDPR)안의 제정
  3. ECJ의 세이프하버 무효 판결26)
 IV. 우리나라의 국외이전 규제
  1. 정보통신망법
  2. 개인정보 보호법
  3. 신용정보법 등
  4. 우리나라가 체결한 FTA
 V. 현 제도의 문제점
  1. 국외이전의 개념의 불분명
  2. 정보주체의 동의에만 의존
  3. 제재 규정의 미비
 VI. 개선 방안
  1. 국외이전에 대한 정의 조항의 신설
  2. 개인정보가 적절히 보호되는 제3국의 고시
  3. 제재 규정 마련
  4. 개인정보 관련법 간 정합성 제고
 VII. 나가며: 국가의 역할을 보다 기대하며
 

• 류승균(공익법무관, 서울대학교 법학과 박사과정) | Ryu Seungkyun