- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 93. [일문일답] 해외 클라우드(AWS 등)에서 개인정보를 보관, 처리할 때 정보주체의 동의를 받아야 하는가?
이 페이지의 첫 번째 전문가가 되어주세요!
OOO 변호사
OOO 검사
OOO 법학박사
OOO 판사
위키를 작성하면 이 곳에 프로필이 표시됩니다.
프로필은 본인 닉네임 클릭 > ‘내정보관리’에서 설정할 수 있습니다.
93.[일문일답] 해외 클라우드(AWS 등)에서 개인정보를 보관, 처리할 때 정보주체의 동의를 받아야 하는가?
[일문일답] 해외 클라우드(AWS 등)에서 개인정보를 보관, 처리할 때 정보주체의 동의를 받아야 하는가?
클라우드의 사용이 보편화되면서 고객 개인정보의 보관 및 처리를 AWS, 알리바바 등의 해외 클라우드 업체를 통해서 하는 경우가 늘고 있다.
이 경우 국외 이전으로서 정보주체의 동의를 얻어야 하는가?
첫째, 국내 이용자의 개인정보를 해외 클라우드 서버에 보관하고 처리하는 것은 국외 이전에 해당한다.
둘째, 통상적으로 클라우드 서버에 개인정보를 보관 처리하는 것은 개인정보의 제공 또는 위탁 중에서 위탁으로 보고 있다.
셋째, 위탁을 포함한 개인정보의 이전의 경우라도 정보주체와의 계약의 체결 및 이행을 위한 경우에는 별도의 동의를 요하지 않고 개인정보처리방침 공개 등으로 갈음할 수 있다(개인정보 보호법 제28조의8 제1항 제3호).
또는, 해외 클라우드 업체가 ISMS-P 등 개인정보 보호법 제32조의2에 따른 인증을 받고서 개인정보 안전조치 및 정보주체 권리보장 조치, 그리고 인증받은 사항을 해당 해외 국가에서 이행하기 위하여 필요한 조치를 모두 한 경우에도 별도의 동의를 요하지 않는다(개인정보 보호법 제28조의8 제1항 제4호).
개인정보 보호법 제28조의8(개인정보의 국외 이전) ① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다. 1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우 2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우 3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우 가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우 4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우 가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치 5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우 |
정리하면, 고객 개인정보의 보관 및 처리를 AWS, 알리바바 등의 해외 클라우드 업체를 통해서 하는 경우, 개인정보의 국외이전이라 하더라도 정보주체의 동의가 필요 없다. (다만 이 경우 위 제3호나 제4호 등의 요건을 갖추어야 한다. 특히 제3호의 경우, 개인정보 처리방침에 반드시 필요사항을 모두 기재해야 한다.)
[참고]
1) '정보주체와의 계약의 체결 및 이행을 위하여 필요한 경우'라는 것이 어떤 경우인지가 문제될 수 있다.
이에 대해 개인정보 보호위원회는, "정보주체와의 계약체결 및 이행을 위해 필요한 경우는 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우로서, 국외에서 개인정보 처리위탁이 필요하거나 국외에서 개인정보 보관이 필요한 경우를 의미함 다만 특정 업무가 정보 주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우인지 여부는 해당 사업자가 제공하는 서비스·제품의 성격 및 사업 구조 등을 종합적으로 고려하여 판단이 필요"하다고 설명하였다.[1]
이는, 위 개인정보 보호법 제28조의8 제1항 제3호의 경우를 제15조 제1항 제4호의 "정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우"와 동일하게 해석하겠다는 의미로 보인다.
그런데 개인정보 보호위원회는 제15조 제1항 제4호의 경우에 대해서는 또, "개인정보처리자와 정보주체가 계약과 관련하여 서로 예상할 수 있는 합리적인 범위 내에서는 상호 신뢰에 기반하여 별도의 동의 없이도 개인정보를 수집하여 이용할 수 있도록 하였다"고 설명한 바 있다.[2]
그렇다면 결국 정보주체가 특정 서비스에 가입하고 그 서비스를 받는 입장에서 예상할 수 있는 합리적인 범위 내라면 정보주체와의 계약체결 및 이행을 위해 필요한 경우라 할 수 있을 것이다.
더불어, 이 경우에는 개인정보 처리방침에 관련 사항을 공개하는 것으로 충분하고 별도의 동의가 없더라도 클라우드 서비스를 이용할 수 있다 할 것이다.
2) 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 개인정보 처리방침 공개로 동의를 갈음하고자 하는 경우, 개인정보 처리방침에 기재하여야 할 사항은 아래와 같다.
- 1. 이전되는 개인정보 항목
- 2. 개인정보가 이전되는 국가, 시기 및 방법
- 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)
- 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
- 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
3) 한편, 2023. 9. 22.부터 시행된 개인정보 안전성확보조치 기준 제6조 제6항에 의하면, 클라우드 이용의 경우 개인정보취급자의 망분리 의무(또는 인터넷망 차단 조치 의무)는 면제되고 대신 가벼운 인터넷 차단 조치 의무로 갈음할 수 있다.
1. 개인정보보호위원회 발간, 개인정보 보호법 및 시행령 개정사항 안내서(2023. 12. 29.) 46페이지 참조
2. 개인정보보호위원회 발간, 개인정보 보호법 및 시행령 개정사항 안내서(2023. 12. 29.) 5페이지 참조
