[지적재산 데이터법무] 데이터 국외이전 – 대한민국 법제

1. 비개인정보 관련 규율

 

가. 산업디지털전환법에서는 산업데이터의 국외이전에 대한 직접적인 규정을 두고 있지는 않으므로 개인정보 ․ 영업비밀 등이 포함되지 않은 산업데이터의 경우 자유로운 국외이전이 가능하다.

(1) 동법 제23조는 국제협력 등에 관하여 규정하면서, 동조 제2항은 “정부는 대한민국 국민(대한민국의 법령에 따라 설립된 법인 또는 단체를 포함한다. 이하 같다)의 산업데이터가 외국에서 적절하게 보호될 수 있도록 노력하여야 한다.”고 규정하고 있다. 이에 따라 국외이전된 산업데이터에 대한 보호 체계 마련이 기대된다.

 

나. ｢정보통신망법｣은 중요정보의 국외유출을 제한하고 있다. 즉 정부는 ‘국내의 산업 ․ 경제 및 과학기술 등에 관한 중요정보가 정보통신망을 통하여 국외로 유출되는 것을 방지하기 위한 정보통신서비스 제공자 또는 이용자에 대한 조치’를 할 수 있다.

(1) 이 때 중요정보는 ① 국가안전보장과 관련된 보안정보, ② 주요 정책에 관한 정보, ③ 국내에서 개발된 첨단과학 기술 또는 기기의 내용에 관한 정보 등을 포함한다.

 

다. 법령 내용 - ｢정보통신망법｣

제51조(중요 정보의 국외유출 제한 등) ① 정부는 국내의 산업 ․ 경제 및 과학기술 등에 관한 중요 정보가 정보통신망을 통하여 국외로 유출되는 것을 방지하기 위하여 정보통신서비스 제공자 또는 이용자에게 필요한 조치를 하도록 할 수 있다.

② 제1항에 따른 중요 정보의 범위는 다음 각 호와 같다.

1. 국가안전보장과 관련된 보안정보 및 주요 정책에 관한 정보

2. 국내에서 개발된 첨단과학 기술 또는 기기의 내용에 관한 정보

③ 정부는 제2항 각 호에 따른 정보를 처리하는 정보통신서비스 제공자에게 다음 각 호의 조치를 하도록 할 수 있다.

1. 정보통신망의 부당한 이용을 방지할 수 있는 제도적 ․ 기술적 장치의 설정

2. 정보의 불법파괴 또는 불법조작을 방지할 수 있는 제도적 ․ 기술적 조치

3. 정보통신서비스 제공자가 처리 중 알게 된 중요 정보의 유출을 방지할 수 있는 조치

 

라. ｢부정경쟁방지 및 영업비밀보호에 관한 법률｣(이하, 부정경쟁방지법)은 영업비밀 및 데이터 부정 취득 ․ 사용 행위를 금지하고 있으며, ｢저작권법｣은 정형데이터(데이터베이스)를 보호하고 있는바 타인의 지식재산을 침해하는 경우라면 국외이전이 제한되거나 민 ․ 형사상 책임이 발생할 수 있다.

 

마. 한편 ｢산업기술보호법｣에 따른 ‘국가핵심기술’ 또는 ‘산업기술’ 관련 정보나, ｢국가첨단전략산업법｣상 ‘국가첨단전략기술’에 관련된 정보를 포함하고 있는 데이터의 경우라면 국외이전이 사전에 통제(허가/신고)되며, 이를 위반한 경우 민 ․ 형사상 책임을 질 수 있다.

(1) 국가핵심기술 또는 산업기술의 국외이전은 수출로서, 동법에 따른 승인 또는 사전 신고의 대상이기 때문이다.

 

바. 법령내용 - ｢산업기술보호법｣상 국가핵심기술의 수출 승인 ․ 신고

산업기술보호법 제2조(정의) 2. “국가핵심기술”이라 함은 국내외 시장에서 차지하는 기술적 ․ 경제적 가치가 높거나 관련 산업의 성장잠재력이 높아 해외로 유출될 경우에 국가의 안전보장 및 국민경제의 발전에 중대한 악영향을 줄 우려가 있는 기술로서 제9조의 규정에 따라 지정된 것을 말한다.

제11조(국가핵심기술의 수출 등) ① 국가로부터 연구개발비를 지원받아 개발한 국가핵심기술을 보유한 대상기관이 해당국가핵심기술을 외국기업 등에 매각 또는 이전 등의 방법으로 수출(이하 “국가핵심기술의 수출”이라 한다)하고자 하는 경우에는 산업통상자원부장관의 승인을 얻어야 한다.

② 산업통상자원부장관은 제1항의 규정에 따른 승인신청에 대하여 국가핵심기술의 수출에 따른 국가안보 및 국민경제적 파급효과 등을 검토하여 관계중앙행정기관의 장과 협의한 후 위원회의 심의를 거쳐 승인할 수 있다.

<중략>

④ 제1항의 규정에 따른 승인대상 외의 국가핵심기술을 보유 ․ 관리하고 있는 대상기관이 국가핵심기술의 수출을 하고자 하는 경우에는 산업통상자원부장관에게 사전에 신고를 하여야 한다.

⑤ 산업통상자원부장관은 제4항의 신고대상인 국가핵심기술의 수출이 국가안보에 심각한 영향을 줄 수 있다고 판단하는 경우에는 관계중앙행정기관의 장과 협의한 후 위원회의 심의를 거쳐 국가핵심기술의 수출중지 ․수출금지 ․ 원상회복 등의 조치를 명할 수 있다.

<이하 생략>

 

사. ｢공간정보의 구축 및 관리 등에 관한 법률｣은 지도, 측량용 사진 등의 국외 반출을 위해서는 국토부장관의 허가 또는 관계부처협의체의 반출 허용 결정이 필요하다(동법 제16조, 제21조).

 

2. 개인정보 관련 규율

 

가. 개인정보가 포함된 데이터가 있는 경우 ｢개인정보 보호법｣을 검토해야 한다.

- 개인정보를 국외로 이전하기 위해서는 개인정보처리자는 정보주체에게 미리 관련 사항(① 이전되는 개인정보 항목, ② 이전되는 국가, 시기 및 방법, ③ 이전받는 자의 성명과 연락처, ④ 개인정보 이용목적 및 보유ㆍ이용 기간, ⑤ 이전을 거부하는 방법, 절차 및 거부의 효과)을 알리고 별도의 동의를 받아야 한다 (법 제28조의8 제1항 및 제2항).

- 동법은 정보주체의 동의를 받은 경우 외 개인정보를 국외로 이전을 할 수 있는 사유를 열거하고 있다. 즉 ① 법률, 국제협정 등에 특별한 규정이 있는 경우(제1항 2호), ② 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁 ․ 보관이 필요한 경우(제1항 3호), ③ 개인정보를 이전받는 자가 개인정보보호위원회가 정하여 고시하는 인증(ISMS-P)을 받은 경우로서 일정한 조치_7를 한 경우(제1항 4호), ④ 이전되는 국가의 개인정보 보호수준이 우리 법의 보호수준과 실질적으로 동등하다고 보호위원회가 인정하는 경우(제1항 5호) 등이다.

 

나. 개인정보 이전을 위한 인증제도 - ISMS-P 인증기준 안내서 (2023.11.)

(1) ISMS-P는 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 증명하는 제도(｢개인정보 보호법｣ 제32조의2, ｢정보통신망법｣ 제47조)

- 현재 한국인터넷진흥원에서 인증서를 발급 ․ 관리하며, 금융보안원, 한국정보통신기술협회, 한국정보통신진흥협회에서 인증심사를 수행

- ISMS-P 인증은 크게 ① 관리체계 수립 및 운영(16개), ② 보호대책 요구사항(64개), ③ 개인정보 처리 단계별 요구사항(21개) 등 3개 영역에서 총 101개의 인증기준으로 구성

- 위 요건 중 제4호 및 제5호는 실제 적용되기 위해서는 시일이 소요되지만 제3호는 반드시 그런 것은 아니다.

- 개인정보처리자는 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다(제28조의8 제4항).

- 동법을 위반하는 내용으로 개인정보의 국외이전에 관한 계약을 체결할 수 없도록 규정하고 있다(제28조의8 제5항).

- 위에서 규정한 사항을 전문적으로 심의하기 위해 국외이전전문위원회를 설치하고, 국외 이전요건 및 정차를 구체화할 예정이다.

 

다. 개인정보의 ‘국외이전 중지명령’에 대해서도 알아 둘 필요가 있다.

(1) 앞서 설명한 바와 같이, 정보주체의 동의 외에도 개인정보 국외이전을 할 수 있는 요건이 확대되면서 개인정보 국외이전으로 인해 정보주체의 피해도 커질 우려가 생겼고, 피해 예방을 위한 제도적 안전망 구축의 필요성이 제기되었다.

(2) 개인정보의 국외이전이 계속되거나 추가적인 국외 이전이 예상되는 경우로서 ① 앞서 설명한 제28조의8을 위반하거나, ② 개인정보를 이전받는 자(이전 국가)가 이 법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우에는 보호위원회가 개인정보의 국외 이전을 중지할 것을 명할 수 있다(법 제28조의9 제1항).

(3) 개인정보처리자는 제1항에 따른 국외 이전 중지 명령을 받은 경우에는 명령을 받은 날부터 7일 이내에 보호위원회에 이의를 제기할 수 있다.

(4) 이의제기를 하더라도 중지명령의 효력이 바로 발생하지 않으며, 국외이전전문위원회가 중지명령 해제 여부를 심의하게 된다.

 

라. ｢개인정보 보호법｣ 개인정보의 국외이전

제28조의8(개인정보의 국외 이전) ① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다) ․처리위탁 ․ 보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.

1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우

2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우

3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우

가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우

나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우

4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우

가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치

나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치

5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 시기 및 방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과

③ 개인정보처리자는 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에는 정보주체에게 알리고 동의를 받아야 한다.

④ 개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다.

⑤ 개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 개인정보 국외 이전의 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

3. 개인정보를 포함하고 있는 금융정보 관련 규율

 

가. ｢신용정보의 이용 및 보호에 관한 법률｣의 경우 신용정보의 국외이전에 관한 별도의 규정을 두고 있지는 않으나 동법 제3조의2는 “개인정보의 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 ｢개인정보 보호법｣에서 정하는 바에 따른다”고 규정하고 있다는 점에서 위와 같은 ｢개인정보 보호법｣상 국외이전 개인정보의 보호조치가 적용된다고 하겠다.

(1) 한편 ｢금융회사의 정보처리 업무 위탁에 관한 규정｣(금융위원회 고시) 제5조는 정보처리의 위탁에 관하여 “금융회사는 각 관련 법령상의 안전성 확보조치를 충실히 이행하여야 한다.

(2) 이 때 개인고객의 고유식별정보는 민감개인정보로서 암호화 등의 보호조치를 하여야 하며, 특히 국외로 이전되지 않도록 하여야 한다.”고 규정하고 있다는 점에서 실무상 고유식별정보의 국외이전을 금지하고 있으며(｢금융회사의 정보처리업무 위탁에 관한 규정｣), 금융거래정보의 처리업무를 국외에 위탁하는 경우, 금융감독원장에게 보고하도록 규정하고 있다(제7조).

(3) 즉, 현행 법령은 신용정보의 국외이전 역시 개인정보와 동일하게 보호될 수 있도록 하고 있으며, ｢금융회사의 정보처리 업무 위탁에 관한 규정｣을 통해 금융거래정보의 국외이전에 관한 구체적 규정을 마련하고 있다.

 

나. ｢금융회사의 정보처리 업무 위탁에 관한 규정｣상 국외이전 개인정보의 보호조치

금융회사의 정보처리 업무 위탁에 관한 규정 제5조(특정정보의 보호) ① 제4조에 따라 정보처리를 위탁하는 경우 금융회사는 각 관련 법령상의 안전성 확보조치를 충실히 이행하여야 한다. 이 때 개인고객의 고유식별정보는 암호화 등의 보호 조치를 하여야 하며, 특히 국외로 이전되지 않도록 하여야 한다.

제7조(보고) ① 금융회사가 제4조제1항에 따라 개인고객의 금융거래정보(금융거래의 내용이 누구의 것인지를 알 수 없는 경우를 제외한다) 처리업무를 위탁하고자 하는 경우로서 업무를 수탁받는 자가 국외에 소재하는 경우에는 그 사실을 업무를 위탁받은 자가 그 위탁받은 업무를 실제로 수행하려는 날의 30영업일 이전에 다음 각 호의 서류를 첨부하여 금융감독원장에게 보고하여야 한다.

1. 위탁계약서(안) 사본

2. ｢금융기관의 업무위탁 등에 관한 규정｣ 제3조의2에 따라 금융기관이 마련하고 준수하여야 할 ‘업무위수탁운영기준’

3. 업무위탁 계약이 이 규정 등 관련법령에 위배되지 아니한다는 준법감시인(준법감시인이 없는 경우, 감사 등 이에 준하는 자)의 검토의견 및 관련자료 사본

4. 위탁의 필요성 및 기대효과

5. 위탁에 따른 업무처리절차의 주요 변경내용

6. 정보처리업무 운영에 대한 감독기관의 실질적 감독가능성을 확인할 수 있는 서류

7. 위탁계약 상대방(재위탁 예정시 재위탁계약 상대방 포함)에 관한 사항(상호, 자본금 규모, 소재지, 주된 업종, 개인의 경우 대표자 인적사항 등)

8. 전산사고 및 정보유출 등 발생시 피해자 구제절차

 

4. 개인정보를 포함하고 있는 보건의료정보 관련 규율 등

 

가. 보건의료정보는 ｢의료법｣(1차적 이용), ｢생명윤리법｣(2차적 이용)에 따라 규율을 받으며, 또한 민감정보에 해당하는 보건의료정보는 ｢개인정보 보호법｣상 국외이전 규정의 적용을 받는다.

(1) ｢개인정보 보호법｣ 제23조는 민감정보의 범위에 ‘건강’에 관한 정보를 포함하고 있으며, 동법 시행령 제18조 역시 유전자검사 등의 결과로 얻어진 유전정보, 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보는 민감정보에 포함되도록 규정하고 있다.

 

나. 보건의료정보 중 민감정보의 경우 그 처리를 위하여 별도로 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 또는 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에 처리가 가능하다(제23조제1항 각호).

(1) 이처럼 민감정보 역시 개인정보의 범주에 포함되므로 해당 정보의 국외이전은 ｢개인정보 보호법｣상 개인정보의 국외이전에 관한 규정에 따르게 된다.

 

다. 전자의무기록(EMR)과 관련하여, 의료인이나 의료기관 개설자는 보건복지부령으로 정하는 바에 따라 EMR을 안전하게 관리 ․ 보존하는 데에 필요한 시설과 장비를 갖추어야 한다(의료법 제23조 제2항).

(1) EMR 보관 시 EMR 시스템 및 그 백업장비의 물리적 위치는 국내로 한정되며, EMR 관리자는 불법적인 접근과 참해사고를 방지하기 위하여 관련 시설과 장비에 대하여 개인정보 보호법 제29조에 따른 안전성 확보 조치를 해야 한다(｢전자의무기록의 관리 ․ 보존에 필요한 시설과 장비에 관한 기준｣ 제6조 및 제7조).

 

정회목 변호사