개인정보보호법상 개인정보 국외이전의 한계와 개선방안 ―국제협정 이행을 위한 공공기관의 정보 제공을 중심으로

본 논문은 국제조약 준수를 위해 공공기관이 보유한 개인정보의 국외이전에 「개인정보보호법」이 제약을 주고 있는지 살펴보고 해외 주요국의 국외이전 규정과 비교하여 그 제약이 적정한 수준인지 검토하여 보았다. 우리나라 「개인정보보호법」상 공공기관이 보유하고 있는 개인정보의 국외이전은 정보주체의 동의를 필수로 하는 경직성을 가지고 있으면서 처리위탁과 보관에 대하여는 특별규정만을 두고 있어 입법상의 흠결이 존재하는 것으로 판단된다. 한편, 「개인정보보호법」은 조약 또는 그 밖의 국제협정의 이행에 필요한 경우에 대하여 제공가능하도록 하는 규정을 가지고 있다. 하지만 실제 정보제공이 잘 이루어지고 있지 않은데, 그 이유는 「개인정보보호법」 제18조 제2항에 “정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외”하도록 규정하고 있기 때문이라고 생각한다. 이렇듯 현행 「개인정보보호법」은 국외이전시 추가적 동의를 받는 것 이외에는 적법성을 완전히 담보할 수 없다는 한계가 존재하는 상황이다. 이러한 국내규정은 공공기관의 개인정보 이전에 대하여 규제하고 있지 않은 미국의 규정뿐만 아니라, 엄격한 규제를 하고 있는 것으로 평가되고 있는 유럽연합과 일본의 국외이전 규정에 견주어 보아서도 매우 경직되고 강도 높은 규제로 보인다. 더불어 우리나라 「개인정보보호법」은 해외 주요국의 규정방식과 비교해 볼 때, 수범자의 입장에서 법을 이해하기 어려운 구조를 가지고 있다. 이러한 점을 개선할 필요가 있다. Korea argued that they could not provide information on ships to WCPFC due to the Personal Information Protection Act. Does this Act restrict the transfer of personal information abroad by an administrative agency? Is this restriction reasonable? According to the Act, administrative agencies can transfer personal information abroad with the consent of its subject. Meanwhile, the Act specifies that “Where it is necessary to provide personal information to a foreign government or international organization to perform a treaty or other international convention.” However, this provision also stipulates “unless doing so is likely to unfairly infringe on the interest of a data subject or third party.” That’s why the legality cannot be completely guaranteed without additional consent in case of transborder data flow(TDF). This is a extremely strict regulation compared to major overseas countries. The USA has no legal regulations on the TDF by administrative agencies. The European Union permits the TDF with certain require ments such as “Transfer on the basis of an adequacy decision, Appropriate safeguards, etc.” Japan also allows exceptions. Therefore, the Korean Act should take into consideration other requirements besides consent.