• 개인정보보호법에 따른 국외 이전
  1. 물리적 반출(Physical Transfer): 데이터가 해외 서버에 저장되는 것은 국외 이전으로 규정 → 현지 서버를 이용하면 국외 이전으로 규정하지 않음(각국의 데이터 주권법 준수)
  2. 법적 이전(Legal/Access Transfer): 해외에 있는 주체가 현지 서버에 있는 데이터에 원격으로 접속하여 조회하거나 처리하는 행위는 국외 이전으로 규정

대한민국의 개인정보보호법(PIPA)

GDPR(General Data Protection Regulation, 유럽 일반 개인정보 보호법)

• Entrust(구 Onfido)솔루션 국가의 개인정보보호법 - 영국이라 GDPR 준수

<aside> 📝

제 5장 : 제 3국 및 국제기구로의 개인정보 이전

제44조 GDPR. 이전을 위한 통칙

현재 처리 중이거나 제3국 또는 국제기구로의 이전 후에 처리될 예정인 개인정보는 해당 제3국이나 국제기구로부터 기타 제3국이나 국제기구로 개인정보가 이전되는 경우 등 본 규정의 나머지 조문에 따라 컨트롤러나 프로세서가 본 장에 규정된 조건을 준수하는 경우에만 그 이전이 가능해야 한다. 본 장의 규정 일체는 본 규정을 통해 보증되는 개인의 보호 수준을 보장하기 위해 적용되어야 한다.

제45조 GDPR. 적정성 결정에 따른 이전

1. 제3국 또는 국제기구로의 개인정보 이전은 집행위원회가 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구가 적정한 보호수준을 보장한다고 결정한 경우 가능하다. 그러한 이전에는 어떤 특정한 승인이 요구되지 않는다.
2. 보호 수준의 적정성을 평가할 때 집행위원회는 다음의 요소를 특히 고려해야 한다.
   1. 법치주의, 인권 및 기본적 자유의 존중, 공안, 국방, 국가보안 및 형법, 공공기관의 개인정보 이용을 다룬 전반적•분야별 관련 법률, 이 같은 법률, 개인정보 규칙, 전문성 규칙, 보안 조치의 시행(향후 기타 제3국 또는 국제기구로의 개인정보 이전을 위한 규칙도 포함하는 이 규칙은 해당 제3국 또는 국제기구에서 준수되는 것임), 사법적 판례, 유효하고 구속력 있는 정보주체의 권리, 개인정보를 침해당한 정보주체를 위한 유효한 행정적 및 사법적 구제책
   2. 정보주체의 권리 행사의 지원과 권고 및 회원국 감독기관들과의 협력 등 개인정보 보호 규정의 준수를 보장하고 강요할 의무가 있는, 제3국에 소재하거나 국제기구에 적용되는 하나 이상의 독립적 감독기관의 유무 및 해당 기관의 효과적인 작동 여부
   3. 특히 개인정보 보호와 관련하여, 제3국이나 국제기구가 체결한 국제 협정, 또는 법적 구속력 있는 조약이나 문서 및 다자간•지역적 기구에의 참여로 인해 주어진 기타 의무
3. 집행위원회는 보호 수준의 적정성 여부를 평가한 후 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 해당 국제기구가 본 조 2항의 의미 내에서 적정한 보호 수준을 보장하는지를 판단할 수 있다. 이행 법률은 최소한 4년마다의 정기적 검토를 위한 메커니즘을 규정해야 하고 검토에는 제3국이나 국제기구 내의 관련 추이사항 일체가 고려되어야 한다. 이행 법률은 영토 및 부문별 적용에 대한 규정을 명시하고, 적용이 가능한 경우 본 조 제2항 (b)호의 감독기관(들)에 대해 확인해야 한다. 이행 법률은 제93조(2)의 검토 절차에 따라 채택되어야 한다.
4. 집행위원회는 본 조 제3항에 준하여 채택된 결정 및 지침 95/46/EC의 제25조(6)항을 근거로 채택된 결정의 작동에 영향을 미칠 수 있는 제3국 및 국제기구 내의 추이사항을 지속적으로 모니터링 해야 한다.
5. 집행위원회는 가용 정보를 통해, 특히 제3항에 명시된 검토 이후 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구가 제2항에서 의미하는 적정한 보호 수준을 더 이상 보장하지 않는다고 판단될 경우, 필요한 정도까지 소급효 없이 제3항의 결정을 철회, 수정, 또는 중지시킬 수 있다. 이행 법률은 제93조(2)의 검토 절차를 따라 채택되어야 한다. 충분히 타당하고 긴요한 시급성의 근거가 있는 경우, 제93조(3)의 절차에 따라 집행위원회는 즉시 적용 가능한 이행 법률을 채택하여야 한다.
6. 집행위원회는 제5항에 의거하여 내린 결정을 초래한 상황을 시정할 목적으로 제3국이나 국제기구와 협의해야 한다.
7. ****제5항에 의거한 결정은 제46조부터 제49조까지에 따른 해당의 제3국, 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구로의 개인정보 이전을 침해하지 않는다.
8. 집행위원회는 적정한 보호 수준이 보장되거나 또는 더 이상 보장되지 않는다고 판단된 제3국, 제3국의 영토와 지정 부문, 및 국제기구 목록을 유럽연합 관보 및 웹사이트에 게재해야 한다.
9. 지침 95/46/EC의 제25조(6)를 근거로 집행위원회가 채택하는 결정은 본 조 제3항 또는 제5항에 따라 채택되는 집행위원회 결정으로 수정, 대체, 폐지될 때까지 유효해야 한다.

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=7749 → 한국은 적정성평가를 통과한 국가(EU시민 정보 국내이전 안전 국가)

제46조 GDPR. 적정한 안전조치에 의한 이전

1. 제45조(3)에 의거한 결정이 없을 경우, 컨트롤러나 프로세서는 적정한 안전조치를 제공한 경우에 한하여, 정보주체가 행사할 수 있는 권리와 유효한 법적 구제책이 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다.
2. 제1항의 적정한 안전조치는 감독기관의 특별한 승인을 요하지 아니하고 다음 각 호에 의해 제공될 수 있다.
   1. 공공당국 또는 기관 간에 법적 구속력이 있고 강제할 수 있는 장치
   2. 제47조에 따른 의무적 기업 규칙
   3. 제93조(2)의 검토 절차에 따라 집행위원회가 채택한 정보보호 표준조항
   4. 감독기관이 채택하고 제93(2)조의 검토 절차에 따라 집행위원회가 승인한 정보보호 표준조항
   5. 정보주체의 권리에 관한 것 등 적정한 안전조치를 적용하기 위한 것으로 법적 구속력 및 강제력이 있는 제3국의 컨트롤러나 프로세서의 약속을 포함한 제40조에 의거한 공인 행동강령
   6. 정보주체의 권리에 관한 것 등 적정한 안전조치를 적용하기 위한 것으로 법적 구속력 및 강제력이 있는 제3국의 컨트롤러나 프로세서의 약속을 포함한 제42조에 의거한 공인 인증 메커니즘
3. 제1항의 적정한 안전조치는 관할 감독기관의 승인을 거쳐 특히 다음 각 호를 통해서도 제공될 수 있다.
   1. 컨트롤러나 프로세서와 제3국이나 국제기구의 컨트롤러, 프로세서 또는 개인정보 수령인 간의 계약 조항
   2. 공공당국이나 기관 간의 행정 협정에 삽입될 것으로 강제력이 있고 유효한 정보주체의 권리를 포함한 규정
4. 감독기관은 본 조 제3항의 사례의 경우 제63조의 일관성 메커니즘을 적용해야 한다.
5. 지침 95/46/EC의 제26조(2)를 근거로 한 회원국이나 감독기관의 승인은 필요한 경우 해당 감독기관이 수정, 대체, 철회할 때까지 유효해야 한다. 지침 95/46/EC의 제26조(4)를 근거로 집행위원회가 채택하는 결정은 필요한 경우 본 조 제2항에 따라 채택된 집행위원회 결정에 의해 수정, 대체 또는 철회될 때까지 유효해야 한다.

https://cloud.google.com/security/compliance/eu-scc?hl=ko → 구글에 명시된 표준계약조항 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0915&from=EN → EU 표준 계약 조항(SCC)

제49조 GDPR. 특정 상항에 대한 적용의 일부 제외

1. 제4조 제3항의 적정성 결정이나 의무적 기업 규칙 등 제46조에 따른 적정한 안전조치가 없는 경우, 제3국이나 국제기구로의 개인정보 이전은 다음 각 호의 조건에 따라서만 가능하다.

   1. 적정성 결정 및 적절한 안전조치가 없음으로 인해 그 같은 개인정보의 이전이 정보주체에 초래할 수 있는 위험을 고지 받은 후 정보주체가 명시적으로 이전에 동의한 경우
   2. 정보주체와 프로세서 간의 계약을 이행하기 위해서나 정보주체의 요청으로 취한 계약 사전 조치를 이행하는 데 이전이 필요한 경우
   3. 정보주체의 이익을 위해 컨트롤러와 기타 자연인 또는 법인 간에 체결된 계약의 이행을 위해 이전이 필요한 경우
   4. 중요한 공익상의 이유로 정보이전이 필요한 경우
   5. 법적 권리의 확립, 행사, 방어를 위해 정보이전이 필요한 경우
   6. 정보주체가 물리적 또는 법률적으로 동의를 할 수 없는 경우, 정보주체 또는 타인의 생명과 관련한 주요 이익을 보호하기 위해 정보이전이 필요한 경우
   7. 개인정보가 유럽연합 또는 회원국 법률에 따라 정보를 공개할 목적이거나 일반 국민 또는 정당한 이익을 입증할 수 있는 제3자가 참조(조회)하기 위한 목적으로 만들어진 개인정보 기록부(register)로부터 유럽연합 또는 회원국 법률에 명시된 참조(조회)의 조건이 충족되는 범위 내에서 이전되는 경우

   정보의 이전이 의무적 기업 규칙에 대한 규정 등 제45조나 제46조의 규정을 근거로 할 수 없고, 본 항 (a)-(g)호에 따른 특정 상황에서의 일부 제외가 적용되지 않는 경우, 정보이전이 반복적이지 않고, 한정된 숫자의 정보주체에만 적용되고 정보주체의 이익이나 권리 및 자유가 우선하지 않는 한 컨트롤러의 정당한 이익의 목적에 필요하며, 컨트롤러가 정보이전과 관련한 일체의 정황을 평가한 후 그 결과를 토대로 개인정보 보호에 적절한 안전조치를 제시하는 경우에만 제3국이나 국제기구로의 정보이전이 가능하다. 컨트롤러는 정보이전 사실을 감독기관에 고지해야 한다. 제13조 및 제14조에 명시된 정보 제공 이외에도 컨트롤러는 해당 이전 및 본인의 설득력 있는 정당한 이익에 관한 정보를 정보주체에 고지해야 한다.

2. 제1항 (g)호에 따른 정보이전은 개인정보 기록부에 포함된 개인정보의 전부 또는 전체 범주와 관련되어서는 안 된다. 개인정보 기록부가 정당한 이익을 가진 자를 위한 참조(조회)의 목적으로 만들어진 경우, 정보의 이전은 해당인이 요청하는 경우 또는 이들이 수령인인 경우에만 가능해야 한다.

3. 제1항 첫 단락의 (a), (b), (c)호 및 두 번째 단락은 공공기관이 공권력을 행사하여 시행하는 업무에는 적용되어서는 안 된다.

4. 제1항 (d)호의 공익은 컨트롤러가 적용받는 유럽연합 또는 회원국 법률에서 인정되어야 한다.

5. 적정성 결정이 없을 경우, 유럽연합 또는 회원국 법률은 중요한 공익상의 이유로 특정 범주의 개인정보를 제3국이나 국제기구로 전송하는 것을 명시적으로 제한할 수 있다. 회원국들은 해당 규정을 집행위원회에 통보해야 한다.

6. 컨트롤러나 프로세서는 제30조의 기록부(records)에 본 조 제1항의 두 번째 단락에 명시된 평가 및 적절한 안전조치를 기록해야 한다. </aside>

사용자의 국가의 개인정보보호법

GCC국가

• 카타르

  카타르_개인정보의 고유성 보호에 관한 법률_번역본(2016.11.03.제정).pdf

  

• 아랍에미리트

  아랍에미리트_2021년 제45호 개인정보보호에 관한 연방법_번역본(2021.09.20.공포).pdf

  

• 쿠웨이트

  쿠웨이트 개인정보보호에 관한 법률.pdf

  <aside> 📝

  쿠웨이트 개인정보보호법 5페이지 4조 번역

  제4조: 데이터 수집 및 처리 조건 서비스 제공자는 서비스 제공 중 또는 종료 후 다음 조건에 따라 데이터를 수집 및 처리해야 합니다:

  1. 투명성 확보: 수집 및 처리 과정의 투명성을 보장하기 위해 개인정보와 관련된 관행 및 정책에 대해 명확하고 접근하기 쉬운 정보를 제공해야 합니다.
  2. 목적 및 기간 명시: 데이터 수집 목적, 처리를 위한 법적 근거, 그리고 데이터 보유 기간(있는 경우)을 명시해야 합니다.
  3. 제공자 정보: 서비스 제공자의 신원과 위치, 그리고 개인정보 처리 관행에 대해 문의할 수 있는 연락처 정보를 명시해야 합니다.
  4. 안전 및 기밀성: 적절한 기술적·관리적 조치('안전 및 기밀성')를 사용하여 무단 또는 불법 처리, 우발적인 손실, 파손 또는 손상으로부터 개인정보를 보호하는 방식으로 데이터를 처리해야 합니다.
  5. 제3자 공개 시 통지: 사용자의 개인정보를 계열사, 모회사 또는 제3자에게 직간접적으로 공개할 경우 당국(CITRA)에 통지해야 합니다. 이 경우에도 데이터 보호의 최종 책임은 서비스 제공자에게 있습니다.
  6. 사용자 권리 보장: 사용자가 자신의 개인정보에 직접 접근, 검토, 수정할 수 있는 적절한 기술적 수단을 제공해야 합니다.
  7. 저장 위치 고지: 개인정보가 쿠웨이트 내부 또는 외부 중 어디에 저장되는지에 대한 정보를 제공해야 합니다.
  8. 권리 행사 메커니즘: 개인정보의 획득, 수정, 삭제, 접근 제한, 처리 제한, 처리 반대 또는 데이터 이전에 관한 절차와 메커니즘을 정의해야 합니다.
  9. 국외 이전 통지: 서비스 제공자가 개인정보를 쿠웨이트 외부로 이전하려는 경우 반드시 데이터 주체(사용자)에게 통지해야 합니다.
  10. 계약 종료 시 삭제: 데이터 주체와의 계약 관계가 종료되면 보유하고 있는 개인정보를 즉시 삭제해야 합니다.
  11. 마케팅 동의: 요청한 서비스와 직접 관련이 없는 마케팅 목적으로 제3자에게 데이터를 공개할 경우, 사전에 데이터 주체의 동의를 얻어야 합니다.
  12. 편의성 제공: 사용자가 데이터를 수정하거나 동의를 철회하고, 서비스 또는 데이터 수집·처리·공개 방식을 중단할 수 있는 쉽고 실용적인 수단을 제공해야 합니다.
  13. 삭제 사유: 다음의 경우 서비스 제공자는 사용자의 개인정보를 삭제해야 합니다:
      • 13.1. 사용자가 데이터 처리 또는 사용에 대한 동의를 철회한 경우.
      • 13.2. 요청한 서비스를 제공하는 데 데이터가 더 이상 필요하지 않은 경우.
      • 13.3. 사용자가 해당 데이터를 수집했던 서비스의 구독을 해지한 경우.
  14. 개인정보 처리방침 수립: 서면으로 된 개인정보 처리방침을 수립하고 유지해야 합니다. </aside>

• 사우디아라비아

  

  사우디아라비아_개인정보보호법_번역본(2021.09.16.공포).pdf

중국

중국_중화인민공화국 개인정보보호법_번역본(2021.08.20.제정).pdf

<aside> 📝

</aside>

일본

일본_개인정보 보호에 관한 법률(제16조-제59조)_번역본(2023.11.29.공포, 2024.04.01.시행).pdf