[데이터3법 시대] ②개인정보가 해외로…국외이전 규정은 허술

[사진=게티이미지뱅크 제공]

데이터3법 시행으로 주체의 동의 없이 개인정보 활용이 가능해진 가운데 개인정보 국외이전에 대한 우려가 나온다. 개인이 동의만 하면 개인정보가 해외로 이전될 수 있기 때문이다. 

4일 개인정보보호법에 따르면 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공‧처리위탁‧보관하려면 이용자의 동의를 받아야 한다.

이용자의 동의를 받으려면 이전되는 개인정보 항목, 개인정보가 이전되는 국가, 이전 일시와 이전 방법 등을 고지해야 한다. 즉, 개인이 동의만 하면 개인정보가 해외로 이전될 수 있다는 뜻이다.

관련기사

• 바른·로고스, 내달 2일 '개인정보보호법 개정안' 공동 웨비나
• 한국은행, 금융경제법 연구논문 수상작 4편 선정

문제는 해외 사업자들은 이 법이 규정하는 정보통신서비스 제공자로 볼 수 없는 경우가 많다.

또 개인이 개인정보 처리방침을 모두 숙지하고 동의를 하는 경우는 거의 드물다. 만약 비교적 정보보호 수준이 낮은 국가에 개인정보가 이전돼도 사업자는 개인의 동의를 근거로 했기 때문에 책임을 면할 수 있다는 우려가 나온다.

반면 해외에서는 자국민의 개인정보 국외이전을 강화하고 있는 추세다.

유럽연합(EU)는 일반개인정보보호규정(GDPR)을 지난 2018년부터 시행했다. GDPR은 기업이 모든 프로젝트의 초기 단계에서부터 개인정보 보호를 강하게 권장하는 데이터 보호법으로, EU 내 거주자 개인정보를 처리하는 기업이면 전 세계 어디에 있든 상관없이 적용된다.

GDPR은 개인정보 국외이전과 관련해 규정된 조건을 준수하는 경우에만 가능하게 하고 있다.

중국은 네트워크 안전법에 따라 해외 기업의 경우 데이터를 국내에서만 저장·처리하도록 규정하고, 해외 이전을 금지했다. 해외 기업들이 중국에서 사업을 하려면 반드시 서버와 데이터 센터를 현지에 설치해야 한다.

한국법제연구원 관계자는 “전세계가 네트워크로 연결되면서 우리 국민의 개인정보가 해외로 이전돼 처리되는 경우가 늘고 있다”며 “국민의 권익이 침해되지 않고 적절히 구제받을 수 있도록 대응 방안이 필요하다”고 말했다.