표준계약, 승인된 기업 규칙 등 안전한 개인정보 국외이전 수단 확대
국외이전 영향평가 제도 도입 추진
[보안뉴스 한세희 기자] 개인정보의 안전을 지키면서도 편리하게 해외 서비스를 이용하거나 외국 기업과 협력할 수 있도록 제도가 개선된다.
최윤정 개인정보보호위원회 국제협력담당관은 23일 서울 코엑스에서 열린 ‘제15회 개인정보보호페어 & CPO워크숍’(PIS FAIR 2026)에서 ‘개인정보 국외이전 제도의 현황 개선 방향’이란 주제로 발표하며 “표준계약과 승인된 기업 규칙(BCR) 등 안전한 개인정보 국외이전 수단을 확대하겠다”고 말했다.
▲최윤정 개인정보위 국제협력담당관이 23일 서울 코엑스에서 열린 PIS FAIR 2026에서 발표하고 있다. [출처: 보안뉴스]
현재 우리나라는 정보주체의 동의, 계약체결 이행 등의 경우에 개인정보를 해외로 이전할 수 있도록 규정하고 있다. 또 서로 개인정보 보호 수준이 동등하다고 인정받은 국가나 ISMS-P 인증을 받은 해외 기업으로도 개인정보를 이전할 수 있다.
하지만 클라우드와 AI 등 기술 발전에 따라 개인정보 국외이전이 가능한 상황인지 법 해석이 명확하지 않은 경우도 늘고 있다.
동등성 인정은 국가 간 보호 수준이 비슷해야 하고, 동등성 평가 과정에 많은 시간이 소요된다. 현재 유럽연합(EU)과 우리나라가 상호 동등성 인정을 한 상태다. ISMS-P 인증은 국내 위주 제도라 해외 기업이 도입하길 기대하기 아직 어렵다.
연구 목적으로 많이 활용되는 가명정보 관련 국외이전 근거가 없어 국제 협력 연구에 지장을 주는 것이 대표적이다. 개인을 식별하기 어렵도록 처리한 가명정보 역시 개인정보로 간주되기 때문에 해외로 보내려면 동의가 필요하다. 하지만 비식별화된 정보라 애초에 동의를 얻을 수 없다.
최 담당관은 “한미 바이오 분야 공동 연구를 위한 ‘보스턴 코리아 프로젝트’에선 규제 샌드박스 제도를 활용, 국내 서버에 저장된 정보를 해외에서 조회만 할 수 있게 하는 방법을 썼다”고 말했다.
이에 따라 표준계약(SCC)이나 승인된 기업 규칙(BCR) 제도 도입이 연내 추진된다.
표준계약은 개인정보를 이전하는 자와 이전받는 자 사이 보호 의무를 표준 계약으로 마련해 활용하게 하는 것이다. BCR은 다국적 기업 등이 구속력 있는 기업 내 보호규칙을 마련하고, 규제 당국이 이를 승인할 경우 기업군 내에서 개인정보를 이전할 수 있게 하는 제도다.
국외이전 영향평가도 도입된다. 기업 등 개인정보처리자가 개인정보 국외이전이 정보주체에 미치는 영향과 위험 요소를 평가하고, 적절한 안전조치를 취하도록 의무화하는 제도다. 동등성 인정이나 표준계약을 활용하더라도 데이터를 이전받는 국가의 법제도 환경이나 정부 기관 권한에 따라 우리 국민의 권리가 침해될 가능성이 있기 때문이다.
신뢰 기반 데이터 네트워크 구축 노력도 확대한다. 우리나라는 지난해 EU와 상호 동등성 인정을 한 바 있다. 최 협력관은 “하반기 영국과 동등성 인정 검토에 나서고, 일본 및 스위스와도 실무 협의를 시작할 예정”이라며 “우리나라와 긴밀한 관계를 맺고 있지만 개인정보 국외이전에 대한 제도가 없는 미국과는 맞춤형 데이터 이전 수단을 마련하기 위해 협의하는 단계”라고 말했다.
[한세희 기자(hahn@boannews.com)]
국외이전 영향평가 제도 도입 추진
[보안뉴스 한세희 기자] 개인정보의 안전을 지키면서도 편리하게 해외 서비스를 이용하거나 외국 기업과 협력할 수 있도록 제도가 개선된다.
최윤정 개인정보보호위원회 국제협력담당관은 23일 서울 코엑스에서 열린 ‘제15회 개인정보보호페어 & CPO워크숍’(PIS FAIR 2026)에서 ‘개인정보 국외이전 제도의 현황 개선 방향’이란 주제로 발표하며 “표준계약과 승인된 기업 규칙(BCR) 등 안전한 개인정보 국외이전 수단을 확대하겠다”고 말했다.
▲최윤정 개인정보위 국제협력담당관이 23일 서울 코엑스에서 열린 PIS FAIR 2026에서 발표하고 있다. [출처: 보안뉴스]
현재 우리나라는 정보주체의 동의, 계약체결 이행 등의 경우에 개인정보를 해외로 이전할 수 있도록 규정하고 있다. 또 서로 개인정보 보호 수준이 동등하다고 인정받은 국가나 ISMS-P 인증을 받은 해외 기업으로도 개인정보를 이전할 수 있다.
하지만 클라우드와 AI 등 기술 발전에 따라 개인정보 국외이전이 가능한 상황인지 법 해석이 명확하지 않은 경우도 늘고 있다.
동등성 인정은 국가 간 보호 수준이 비슷해야 하고, 동등성 평가 과정에 많은 시간이 소요된다. 현재 유럽연합(EU)과 우리나라가 상호 동등성 인정을 한 상태다. ISMS-P 인증은 국내 위주 제도라 해외 기업이 도입하길 기대하기 아직 어렵다.
연구 목적으로 많이 활용되는 가명정보 관련 국외이전 근거가 없어 국제 협력 연구에 지장을 주는 것이 대표적이다. 개인을 식별하기 어렵도록 처리한 가명정보 역시 개인정보로 간주되기 때문에 해외로 보내려면 동의가 필요하다. 하지만 비식별화된 정보라 애초에 동의를 얻을 수 없다.
최 담당관은 “한미 바이오 분야 공동 연구를 위한 ‘보스턴 코리아 프로젝트’에선 규제 샌드박스 제도를 활용, 국내 서버에 저장된 정보를 해외에서 조회만 할 수 있게 하는 방법을 썼다”고 말했다.
이에 따라 표준계약(SCC)이나 승인된 기업 규칙(BCR) 제도 도입이 연내 추진된다.
표준계약은 개인정보를 이전하는 자와 이전받는 자 사이 보호 의무를 표준 계약으로 마련해 활용하게 하는 것이다. BCR은 다국적 기업 등이 구속력 있는 기업 내 보호규칙을 마련하고, 규제 당국이 이를 승인할 경우 기업군 내에서 개인정보를 이전할 수 있게 하는 제도다.
국외이전 영향평가도 도입된다. 기업 등 개인정보처리자가 개인정보 국외이전이 정보주체에 미치는 영향과 위험 요소를 평가하고, 적절한 안전조치를 취하도록 의무화하는 제도다. 동등성 인정이나 표준계약을 활용하더라도 데이터를 이전받는 국가의 법제도 환경이나 정부 기관 권한에 따라 우리 국민의 권리가 침해될 가능성이 있기 때문이다.
신뢰 기반 데이터 네트워크 구축 노력도 확대한다. 우리나라는 지난해 EU와 상호 동등성 인정을 한 바 있다. 최 협력관은 “하반기 영국과 동등성 인정 검토에 나서고, 일본 및 스위스와도 실무 협의를 시작할 예정”이라며 “우리나라와 긴밀한 관계를 맺고 있지만 개인정보 국외이전에 대한 제도가 없는 미국과는 맞춤형 데이터 이전 수단을 마련하기 위해 협의하는 단계”라고 말했다.
[한세희 기자(hahn@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
