'동의'만 하면 내 개인정보 해외로 나간다…국외이전 규제해야

'데이터3법 개정과 구체적 개선방안' 간담회 국회 개최


[아이뉴스24 김다운 기자] "여러분이 구글이나 페이스북 등 해외 서비스에 가입할 때, 아마존에서 물건을 살 때 여러분의 개인정보는 다 국외로 나가고 있습니다. 그런 개인정보의 국외 이전과 관련한 규범이 필요합니다."

해외 기업들이 개인의 '동의'만 있으면 국내 개인정보를 해외로 자유롭게 가져갈 수 있다는 점이 문제로 지적됐다. 국민의 데이터는 한국이 집행력을 확보해 '데이터 주권'을 갖고 있어야 하며, 국민의 개인정보 국외이전에 대한 법적 규제가 필요하다는 주장이다.

김현경 서울과학기술대 iT정책전문대학원 교수가 28일 간담회에서 발표하고 있다. [사진=김다운 기자]

김현경 서울과학기술대 iT정책전문대학원 교수는 28일 국회에서 열린 '데이터3법 개정과 구체적 개선방안' 간담회에서 이같이 발표했다.

◆ 개인정보보호법 개정안에도 국외이전 규범 없어

데이터 경제의 핵심이라고 할 수 있는 개인정보의 국외이전에 대한 합리적인 규범을 설정하는 것이 매우 중요하다는 진단이다.

현행 개인정보 국외이전 규범은 오로지 정보주체의 '동의'에 의존해 개인정보의 해외이전을 규정하고 있다.

하지만 개인이 동의 전에 개인정보 처리방침을 모두 숙지하고 동의를 하는 경우는 거의 드물다. 그럼에도 사업자 입장에서는 동의만 받으면 모든 처리행위에 대해 면책되는 것이 문제로 지적됐다.

또한 국내 개인정보보호법에는 동의 없는 국외의 제3자 제공을 금지하고 있지만 제재규정은 없다. 현재 국회에 발의돼 통과를 기다리고 있는 개인정보보호법 개정안에도 마찬가지다.

"사람들이 약관을 읽어보지도 않고 어떤 나라에 자신의 정보를 제공하는지도 잘 모른채 '동의'만 누르고 개인정보를 넘기고 있습니다."

다른 나라의 경우 자유주의 모델을 따르고 있는 미국, 상호적정성 모델을 따르는 유럽연합(EU)·일본, 국가통제 모델을 적용하는 중국·러시아 등이 있다.

한국은 국가가 사전에 개인정보 국외이전을 통제하지 않기 때문에 일종의 자유주의 모델이라고 할 수 있다.

하지만 국가가 사실상 '개인이 알아서 판단해' 개인정보를 해외로 이전하도록 하고 그 위험과 책임을 모두 개인에게 부담시키는 것이어서 바람직하다고 볼 수 없다는 지적이다.

또한 사업자가 국외에 데이터센터를 두고 자국민의 개인정보를 국외에서 처리하는 경우 데이터 주권을 위한 국내법의 집행이 문제될 수 있다.

특히 구글·페이스북 등의 외국사업자의 경우 현재 자유주의 모델에만 의존할 경우 법의 집행력 실행이 어렵다는 한계가 두드러진다.

김 교수는 "미국이 마이크로소프트(MS) 이메일을 사용하는 사람이 마약 밀수를 하고 있다는 정보를 입수해, 이를 조사하려고 한 적이 있다"며 "하지만 MS는 서버가 아일랜드에 있어서 어렵다고 했고, 고등법원에서도 압수수색할 수 없다고 판결했다"고 전했다.

이에 따라 최근 미국은 합법적인 해외정보 활용을 위한 해외정보이용 합법화법을 통과시켰다. 자국의 집행력 확보를 위해 강력한 법적 근거를 만든 것이다.

◆ EU GDPR 채택이 대안이 될 수 있어

김 교수는 EU의 일반개인데이터보호규칙(GDPR)이 체택하고 있는 상호적정성 모델을 채택하는 것을 대안으로 제시했다.

자국민의 개인정보를 처리하는 경우 처리자가 외국인이라 할지라도 자국법을 적용한다는 것을 상호 승인하는 내용 등을 담고 있다.

그는 "이에 따른 입법과제로는 개인정보 규범의 역외적용이 필요하다"며 "자국민의 개인정보를 외국에서 처리하는 경우에도 자국의 개인정보 규범을 적용하는 것"이라고 풀이했다.

해외사업자가 내국인의 개인정보에 대해 지배력을 가지는 경우 집행이 용이하지 않기 때문에, 대리인제도를 도입해야 한다고 주장했다. 현재 정보통신망법에 규정된 국내 대리인 제도를 개인정보보호법에 도입할 필요가 있다는 것이다.

대리인은 정보처리자에게 부여받은 권한에 따라 대리자로써의 의무를 수행하고, 법을 준수하기 위해 적용된 모든 조치에 관해 관련 감독기관고 협력해야 한다. 또한 정보처리자가 규정을 준수하지 않을 경우 집행절차를 적용받아야 한다.

한편 김 교수는 "GDPR에 포함된 개인정보 이동권의 도입에는 신중해야 한다"고 판단했다.

이는 정보주체의 동의나 계약에 의해 사업자에게 정보주체가 그에 관한 정보를 보내주거나 다른 정보처리자에게 직접 전송할 것을 요구하는 것이다.

그는 "데이터이동권의 도입으로 오히려 국내 소비자들이 해외의 대형기업 서비스를 선택하게 될 수 있고, 중소 데이터기업에서 대형 데이터기업으로 데이터 독점이 심화될 수 있다"고 강조했다.

김다운기자 kdw@inews24.com

관련기사


포토뉴스