AWS/클라우드 적용시 개인정보 데이터 이슈 - 국외이전으로 봐야 하는가?

근래 AWS와 같은 클라우드에 대한 이슈가 많다. 

대형 인프라를 갖고 있는 기업/기관들은 여러이유로 클라우드로 서비스를 이관하고 있는데, 공공기관의 경우 행자부의 G클라우드를 이용하거나, 자체적인 데이터센터에서 프라이빗 클라우드로 이관하는 추세지만, 기업의 경우 AWS 등으로 이관하고 있다. 비용대비 효율적이고 보다 민첩한 개발 등의 필요성이 커지기 때문이다.

이 때, 인프라 전체를 아예 클라우드로 옮긴다면, 

고객의 개인정보 데이터까지 이관하는 격이 되는데, 한가지 이슈가 있다면 글로벌 클라우드 서비스의 경우 개인정보의 국외이전으로 해석해야하는지 여부가 논쟁의 대상이 될 수 있다.

글로벌 클라우드 서비스, 특히 AWS는 서울 리전을 제공하고 있으나 

DR 혹은 백업 등등의 목적으로 다른 리전에 데이터가 위치할 수 있다고 보는게 보다 합리적일 것이다. 

(이 또한 의미가 있을지 모르겠지만)

여하간에 이런 경우, 고객의 개인정보가 국외이전했다고 보아야하는가?

그렇다면 어떻게 대처를 하는 것이 옳은가? 

결론부터 말하면 '정통망법'의 저촉 대상인 민간 기업은 고객에게 취급방침 변경사항으로 '고지의 의무'를 다하는 것으로 갈음할 수 있다. 
 

그러나  '개인정보보호법'의 저촉 대상인 공공기관이나 민간 기업은 '동의'를 받아야할 것이다. 

이는 각 법에 명문화된 규정에 따른 해석에 따른 것으로 아래 내용을 살펴보면 명확히 이해가 되리라 본다. 

정보통신망 이용촉진 및 정보보호에 관한 법률

제63조(국외 이전 개인정보의 보호)

② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)·처리위탁·보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁·보관에 따른 동의절차를 거치지 아니할 수 있다.  <개정 2016.3.22.>

③ 정보통신서비스 제공자등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 이전일시 및 이전방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

④ 정보통신서비스 제공자등은 제2항에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.

[전문개정 2008.6.13.]

개인정보보호법

제17조(개인정보의 제공) 

③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.

우선 공공기관의 경우, 개인정보보호법 저촉대상이 되기도 할 뿐더러 시민의 개인정보를 국외이전하는 경우는 0에 수렴할테니 없다고 보면 될 것이고, 

민간기업의 경우, 대다수의 IT 회사는 정통망법 저촉 대상일 것이다. 

그러나 대고객 서비스가 아닌 내부 시스템을 AWS등의 클라우드로 이관한 기업이라면? 

그리고 사업의 범주에 따라 일부 서비스는 정통망법 저촉 대상이 되고, 일부 서비스는 개인정보호법의 저촉 대상이 되는 기업체라면? 

일단 법적인 해석은 정통망법은 특별법이고, 개인정보보호법은 일반법이기 때문에 상충될 경우 정통망법에 우선할 수 있다. 그러나 사업의 범위를 나눠서 생각하기 보다는 전체적 흐름에서 정통망법은 일부 서비스, 개인정보호보법은 전체적인 사항에 저촉된다고 해석해할 것이기 때문에, 이런 기업체는 개인정보보호법에 명시된 대로 동의를 받아야하는 것이 원칙이 될 것으로 보인다. 

개인정보호보법에는 예외적인 사항 혹은 고지만 해도 된다는 조항은 없기 때문이다. 

※ 중요한 것은 양법에서 모두 일정 수준 이상의 개인정보 보호체계를 갖출 것을 주문하고 있기 때문에, 이러한 부분도 눈여겨 봐야할 것이다. 특히 유럽권에서 사업을 진행한다면, EU GDPR(개인정보보호 일반규정)에 대한 법적 요구사항과 규제사항을 반드시 식별해야 함을 명심해야 할 것이다. 

- 작성 : Mace (CPPG)