개인정보는 이제 개인을 확인하는 수단이 되었으며, 우리사회의 핵심자원으로 발전하였습니다. 개인정보를 보유한 기업이 해외와 교류할 때 자국민의 개인정보를 해외 이전하거나 타국민의 개인정보를 처리해야 할 경우가 있을 것입니다.

그렇다면 이제는 하나의 생활권이 되어가고 있는 전 세계에서 개인정보보호는 어떻게 이루어지고 있을까요? 세계 각국에서는 개인정보 보호에 관련된 법제들을 정비해 나아가고 있습니다. 이번 포스팅에서는 전세계의 개인정보보호법에 대해 알아보겠습니다.

미국

미국은 캘리포니아주 프라이버시 권리법(California Consumer Privacy Act, CCPA), 버지니아주 소비자 데이터보호법(Consumer Data Protection Act, CDPA)등 주별로 개인정보 보호법이 제정되어있습니다.

미국에서 가장 강력한 개인정보보호법으로 평가받는 캘리포니아주 프라이버시 권리법에 대해 살펴보겠습니다. 캘리포니아주 프라이버시 권리법은 소비자 프라이버시 보호법에 나오는 정보주체의 권리 내용과 사업자의 준수 의무를 강화한 법안으로, 2020년 11월 3일 통과되어 2023년 1월 1일 본격 시행되었습니다. 캘리포니아 주민의 개인정보를 처리하는 경우 적용되며, 캘리포니아 소비자의 프라이버시 관련 권리와 사업자의 의무 등을 규정하고 있고, 미국 최초로 프라이버시 분야를 담당하는 규제기관의 설립의 근거를 마련했다는 점에 의의가 있습니다.

캘리포니아주 내에 사업장을 두고 있는지 여부와 관계없이 캘리포니아주 내에서 사업을 수행하는 주민의 개인정보를 처리하고 있다면 적용대상이며, 다음과 같습니다.

1) 연간매출이 2,500만 달러 이상에 해당되는 경우

2) 100,000건 이상의 소비자 등에 대한 개인정보를 보유한 경우

3) 개인정보 판매 및 공유에 따른 매출이 기업의 총 매출의 50%이상을 차지하는 경우

또한 CPRA에 따르면 정보주체는 사업자에게 자동화된 의사결정 기술의 사용을 배제할 것을 요구할 수 있습니다. 특정 상황에서 사업자가 민감정보를 제3자에게 제공하는 것을 제한하는 등 민감정보 처리에 대해 강력한 권리를 가지기도 합니다. CPRA에서 민감정보는 사회보장번호, 운전면허번호, 주(State)ID번호, 여권번호 등이 있습니다. 이외에도 미국에서는 연방차원에서의 개인정보 보호를 위해 미국 프라이버시 보호법(American Privacy Rights Act, APRA)이 올해 4월 7일 발의되었습니다. APRA가 시행된다면 미국 각 주의 법들보다도 APRA가 우선 적용될 것으로 보입니다.

중국

중국의 개인정보보호법은 2020년 10월 초안이 발의되어 2021년 11월부터 시행되었습니다. 중국의 개인정보보호법은 EU의 GDPR과 유사하며, 민감 개인정보 범위, 정보 보존 연한, 공공안전을 위한 개인정보 활용 조항 등이 포함되어 있어 더욱 엄격합니다. 개인정보보호법은 중국 내 개인을 대상으로 제품 또는 서비스를 제공할 경우 적용되며, 중국과 비즈니스를 하는 모든 기업이 적용 대상입니다. 개인정보 처리자가 수집한 데이터를 국내에 저장하는 것이 원칙이며, 특별한 경우 개인정보의 해외전송이 가능함을 명시하고 있습니다. 또한 중국 국외에서 중국 국민의 개인정보를 처리하는 활동이 다음 사항 중 하나에 해당하는 경우 개인정보보호법을 적용하도록 하고 있습니다.

1) 중국 국민에게 제품 또는 서비스를 제공하는 것을 목적으로 하는 경우

2) 중국 국민의 행위를 분석하고 평가하기 위한 경우

3) 법률, 행정법규에 규정된 기타 상황

중국은 개인정보처리자가 이행하여야 하는 의무사항으로 내부 관리 제도 제정, 개인정보의 분류 관리, 암호화 등 안전기술조치 시행 등을 규정하였습니다. 또한 해외기업이 중국 개인에게 제품 또는 서비스를 제공하기 위하여 개인정보를 처리하는 경우, 중국에 특별 기구를 설치하거나 대표를 지정하여 개인정보보호 관련 사무를 처리하도록 하여야 하고, 특별기구 또는 대표와 관련한 사항은 정부의 담당부서에 신고를 하여야 합니다.

일본

일본의 개인정보보호법은 2003년 5월에 처음 제정되어 2005년 4월부터 시행되었습니다. 이후 IT기술의 발전으로 개인정보 문제가 중요해지고, 개인정보를 해외로 이전하는 경우가 증가하는 등 여러 환경의 변화로 인해 개인정보의 국외이전 및 개인정보의 제3자 제공을 엄격화하는 등의 개선을 거쳐 개선된 개인정보 보호법이 2017년 5월 30일 시행되었습니다. 이후 국내외상황 등을 고려하여 일부 개정된 ‘개인정보의 보호에 관한 법률 등의 일부를 개정하는 법률’이 시행되었습니다.

일본의 개인정보보호법 제28조에서는 개인정보를 외국에 있는 제3자에게 제공할 경우에 대해 규정하고 있습니다. 제28조(외국에 있는 제3자 제공의 제한)에서는 개인정보취급사업자가 개인 데이터를 외국에 있는 제3자에게 제공하는 데 있어 사전에 개인정보 주체로부터 동의를 얻어야 합니다. 또한 동의를 취득함에 있어 ①개인데이터를 이전하는 곳의 외국 명칭, ②해당 외국의 개인정보보호제도, ③해당 제3자가 강구하는 개인정보보호를 위한 조치 등에 관한 정보를 본인에게 제공하도록 하고 있습니다. 따라서 기업은 개인정보의 일본 국외 이전 여부를 확인하여야 하며, 개인정보를 일본 국외에 이전하고 있는 경우라면 개인정보 처리방침 등에 해당 정보를 기재할 필요가 있는지 검토하여야 합니다.

베트남

베트남의 개인정보 보호(Personal Data Protection Decree, PDPD)에 관련된 시행령이 2023년 4월 17일에 제정되어 2023년 7월 1일 시행되었습니다. 베트남에서 개인정보 보호를 위한 최초의 포괄적인 법적 체계를 제시하고 있으며, 베트남 최초의 단일법령이라는 점에서 큰 의미를 갖습니다. PDPD는 온라인과 오프라인을 통틀어 베트남 국민의 개인 데이터를 수집 또는 처리하는 국내 및 해외 법인을 대상으로 합니다.

개인정보보호 시행령 제2조 제14항에 따르면, 개인정보의 국외이전이란 베트남 영토 외부로 베트남 국민의 개인정보를 전송하거나 베트남 국민의 개인정보 처리가 베트남 영토 외부에서 이뤄지는 것을 말합니다. 개인정보의 국외이전은 다음과 같은 내용을 포함합니다.

1) 조직, 기업 또는 개인이 베트남 국민의 개인정보를 데이터 주체가 동의한 목적에 따라 처리하기 위해 해외 조직, 기업 또는 관리부서에 전송하는 것

2) 베트남 영토 외부에서 개인정보 처리자, 개인정보 처리자겸 수탁처리자, 개인정보 수탁처리자의 자동 시스템이 데이터 주체가 동의한 목적에 따라 베트남 국민의 개인정보를 처리하는 것

또한 개인정보의 국경 간 전송을 위해서는 정보 전송 주체가 개인정보 처리 개시 시점에 국경 간 정보 전송 영향평가 문서를 준비하여 공안부 DCHCP에 제출하여야 합니다. 이외에도 민감 개인정보 처리 전 정보주체에 대한 통지 필요, 개인정보 수집 및 처리시 정보주체의 동의 취득 등의 내용이 포함되어 있습니다. 베트남 역내 뿐만 아니라 역외 사업자의 경우에도 베트남의 개인정보 보호 시행령의 규칙이 적용되기 때문에 베트남의 개인정보보호 시행령에 대해 고려해야 합니다.

유럽연합(EU)

유럽 일반 개인정보 보호법(GDPR)은 기업 및 조직이 EU회원국 내에서 이루어지는 거래와 관련하여 EU시민의 데이터와 개인정보를 보호하도록 규정하는 데이터 보호법입니다. 적용 대상은 EU내의 개인정보 처리자와 EU시민을 대상으로 개인정보를 수집하고 처리하는 경우 모두 GDPR 준수 의무 대상입니다. GDPR규정을 위반한 기업은 2천만유로 또는 연간 매출의 4%에 해당하는 금액을 과징금으로 내는 등 법적 제재를 받게 됩니다.

2021년 12월 17일 한국에 대한 EU의 GDPR 적정성 결정이 채택되었습니다. EU가 한국의 개인정보보호 정책이 GDPR과 동등한 수준임을 인정한 것으로, 우리나라 기업은 EU회원국에 준하는 지위를 부여받게 됩니다. GDPR적정성 결정으로 인해 개인정보 국외이전에 있어 한국은 EU회원국에 EU시민의 개인정보를 추가적인 인증이나 절차 없이 자유롭게 국내로 이전 처리할 수 있게 되었습니다.