정보주체의 동의를 받지 않아도 개인정보를 국외로 이전할 수 있게 된다.
기업이 개인정보 국외이전 인증을 받거나 개인정보 국외이전 대상국등을 인정받은 국가에는 별도 동의 없이 개인정보 국외이전이 가능해진다.
개인정보 국외이전 요건을 다양화하는 동시에 유럽연합(EU)·미국·일본 등 주요 국가 제도와 정합성을 확보하기 위한 조치다.
개인정보보호위원회는 이 같은 내용을 담은 '개인정보 국외 이전 운영 등에 관한 규정' 제정 고시안을 행정예고했다.
온라인 전자상거래를 중심으로 개인정보 국외이전 필요성이 커지고 있지만, 현행 개인정보보호법는 개인정보 국외이전 시 정보주체의 별도 동의만을 규정하고 다른 요건은 없는 상황이다. 기업이 일일이 정보 주체의 동의를 얻어야 하는 비용이 발생하고, 국제규범과 상호운용성도 떨어진다는 지적이 제기돼왔다.
이에 오는 9월 15일 시행되는 개인정보보호법 2차 개정안을 통해 정보주체 동의 이외에도 개인정보를 국외로 이전할 수 있는 근거를 마련했다. 이번 규정엔 개인정보보호법과 시행령이 위임한 개인정보 국외이전 인증 절차 등 구체적인 내용을 담았다.
정보주체 동의 없이 개인정보를 해외로 이전하기 위한 요건으로 개인정보 국외이전 인증과 개인정보 국외이전 대상국등 인정 등이 새로 생겼다.
기업이 개인정보 국외이전 인증을 받으면 별도 절차 없이 개인정보를 국외로 이전할 수 있다. 개인정보위가 개인정보 보호 인증 전문기관(한국인터넷진흥원)의 평가와 새로 신설하는 '국외이전전문위원회'의 심의 등을 바탕으로 인증을 결정한다.
개인정보위가 개인정보 국외이전 대상국 등으로 인정한 국가에도 자유롭게 개인정보를 이전할 수 있다. EU가 한국에 '일반개인정보보호법(GDPR)' 적정성 결정을 채택한 이후 한국기업이 수집한 EU시민권자의 개인정보를 국내로 이전할 수 있듯이, 개인정보 국외이전 대상국등 인정받은 국가의 기업이 한국에서 수집한 이용자의 개인정보를 자국으로 이전할 수 있게 된다.
개인정보 국외이전을 중지할 수 있는 근거도 뒀다. 개인정보위는 개인정보를 적정하게 보호하기 어렵다고 인정할 사유가 인정되면 중지 명령을 내릴 수 있다.
개인정보위 관계자는 “동의 절차 따로 없이 인증을 받은 기업이나 인정받은 국가엔 개인정보를 이전할 수 있도록 허용된다”면서 “인증 프로세스 등을 더 구체화해 나갈 것”이라고 말했다.
조재학 기자 2jh@etnews.com