요즘 국내외 플랫폼 사업자들 많이 생기면서 개인정보의 국외 이전의 이슈들이 발생하고 있습니다.
그런 와중에 가명정보를 활용한 해외 연구진들과의 공동 연구에 대한 니즈들도 늘어나고 있습니다.
국내외 연구진이 함께 공동연구 등을 위해서 가명정보를 국외 이전해야 하는 경우가 발생된다면 현재 개인정보보호법 상 국외 이전이 가능할까요?
그래서 오늘 포스팅에서는 해당 근거들을 살펴보고 가능여부를 확인해보도록 하겠습니다.
구독과 공감은 저에게 큰 힘이 됩니다.
가명정보의 국외 이전과 관련해서는 2021년부터 정부에서 준비를 하고 있었습니다. 하지만 그로 부터 현재까지 이렇다할 눈에 띄는 성과는 없었는데요, 2023년부터 2024년까지 그 결실이 조금씩 나타나고 있습니다.
먼저 2021년도 처음으로 가명정보의 국외 이전과 더불어 가명정보의 확산 방안에 대한 과제가 만들어지기 시작했습니다.
위 문서의 내용을 살펴보면 주요 추진과제에서 "가명정보 안전성 강화"라는 이름으로 아래와 같은 3가지 과제가 만들어진걸 확인할 수 있습니다.
2022년 부터 법 개정 준비를 했던 것으로 보이는 대목입니다.
해당 내용을 기반으로 작년 개인정보 보호법이 개정됐을 텐데요, 가명정보를 이용하는 가장 큰 이유인 정보주체의 동의없이 연구할 수 있는 것인데, 아직은 불명확할 수밖에 없습니다.
가명정보의 국외 이전에 대해서도 개인정보의 국외 이전과 동일한 규정을 적용한다고 되어 있는 것으로 보아 정보주체의 동의는 반드시 필요해 보입니다. 여기서 좀 이상한 부분은 가명정보는 특례조항인데도 불구하고 국외 이전과 관련해서는 일반 조항을 따르도록 하고 있다는 것입니다. 특례조항에 제3자 제공에 관한 사항은 있지만 국외 이전이라는 특수한 상황에 대해서는 명시하고 있지 않아서 그러는 것인지, 개인정보의 국외 이전 조항이 신설 조항이라서 그런지는 모르겠지만 개인정보보호위원회에서는 가명정보의 국외 이전과 관련해서는 개인정보의 국외 이전과 동일한 규정을 적용한다고 하니 어쩔 수 없는 거 같습니다.
그럼 현재 최근에 개정된 개인정보보호법의 개인정보의 국외 이전 조항을 살펴보도록 하겠습니다.
제28조의8(개인정보의 국외 이전) ① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다. 1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우 -> 제2항의 사항을 공개 필요 2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우 3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우 가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우 나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우 4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우 가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치 나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치 5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다. 1. 이전되는 개인정보 항목 2. 개인정보가 이전되는 국가, 시기 및 방법 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다) 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과 ③ 개인정보처리자는 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에는 정보주체에게 알리고 동의를 받아야 한다. ④ 개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다. ⑤ 개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다. ⑥ 제1항부터 제5항까지에서 규정한 사항 외에 개인정보 국외 이전의 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2023. 3. 14.]
따라서 개인정보보호법 제28조의8 제1항 각 호에 따라 개인정보를 국외로 이전할 수 있습니다.
다만 제1호 부터 제4호까지는 동의를 받거나 개인정보보호위원회의 인증을 받거나 해야 합니다.
그런데 제5호를 보시면 개인정보보호위원회가 인정하는 경우, 즉, 인정하는 국가로는 이전이 가능하다는 것으로 해석됩니다.
아직 보호위원회가 인정하는 경우에 해당하는 위임 행정규칙이 만들어지진 않았지만 최근 뉴스를 보면 실마리가 보입니다.
개인정보보위원회에서 해당 내용을 찾아 확인한 결과 "동등성 인정"제도란 개인정보 보호법 제28조의8 제1항 제5호에 따라, 개인정보가 이전되는 국가 및 국제기구의 개인정보 보호 수준을 평가하여 국내법상 보호와 동등한 수준으로 인정되면 개인정보 이전을 허용하는 제도로, 유럽연합의 ‘적정성 결정’ 제도와 상응한다고 합니다.
결론
현재는 가명정보를 활용한 해외 연구진과의 공동연구를 하기 위해서는 정보주체의 동의를 얻어 가명정보를 국외로 이전하던가, 개인정보보호위원회의 인증을 받던가 해야 합니다.
하지만 EU와의 동등성 인정 제도 협약이 결정되면 빠르면 올해 2025년 초부터는 정보주체의 동의없이도 가명정보를 활용한 EU의 연구진과의 공동연구를 위해서 가명정보의 국외 이전이 가능할 것으로 보입니다.
따라서 해외 여러 나라들 중 우리나라와 동등성 인정 제도 협약이 맺어진 나라와는 가명정보 제도를 활용한 해외 연구진들과의 공동연구가 가능해질 전망입니다.
아!! 참고로 ICT 규제 샌드박스 제도를 활용해서 국내 데이터 플랫폼을 만들고 연구하는 방법도 있습니다. 이건 최근 서울대학교 병원에서 진행한 내용인데요, 자세한 건 아래 링크를 통해 확인해 보시기 바랍니다.
