클라우드 환경에서 개인정보 국외이전의 법적 쟁점과 개선방향(서울대 경제규제와 법 2017)

*Source : 한국연구재단(KCI) 바로가기

강철하 /Chul Ha, Kang 1

클라우드컴퓨팅(Cloud Computing)이란 집적⋅공유된정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다. 이처럼 ‘인터넷을 이용한 IT 자원의 주문형 서비스’인 클라우드컴퓨팅 서비스는 직접 서버나 소프트웨어를 구매하거나설치할 필요가 없고, 시스템을 유지⋅보수할 필요가 없어비용절감 효과 등의 장점이 있기 때문에 최근 기업 또는 개인의 이용이 확산되고 있으며, 신성장동력으로 주목받고 있는 4차 산업혁명의 핵심 인프라로도 활용될 가능성이 높다. 하지만 이와 같은 클라우드컴퓨팅의 다양한 장점에도 불구하고 이용자의 개인정보가 클라우드서비스 이용과정에서처리될 수 있고, 클라우드컴퓨팅의 핵심기술인 ‘분산처리기술’ 및 ‘가상화기술’에 따라 원격지의 전산자원에서 개인정보가 처리될 수도 있으며, 특히 국내 클라우드컴퓨팅서비스제공자(Cloud Service Provider)가 해외의 데이터센터와같은 전산자원을 활용할 경우에는 개인정보의 국외이전 문제가 발생할 수 있다. 그런데 클라우드 환경에서 발생하는 개인정보의 국외이전문제는 분산처리기술 및 가상화기술 등의 독특한 기술, 임대형 이용방식 및 복잡한 법체계 등에 따라 클라우드컴퓨팅서비스 제공자의 법적 지위, 개인정보 국외이전 요건(정보주체 동의, 고지)의 적용가능성 등 종래에 예상하지 못했던 다양한 법적 문제를 야기하고 있다. 나아가 우리나라의 경우 개인정보보호법 이외에도 세계에서 유일한 클라우드 단일법인 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」이제정되어 법 해석 및 적용에 있어서 복잡성과 어려움이 한층 심화되고 있다. 따라서 본 논문에서는 클라우드 환경에서의 개인정보 국외이전과 관련된 국내외 법제의 비교검토를 통해 다양한 법적 쟁점을 분석해 보고, 도출된 문제점을 극복하기 위한 법제도적 개선방향을 제시한다.

The Legal Issues and Improvement Directions of the Transborder Flow of Personal Information in Cloud Environments

‘Cloud computing’ means an information processing system that makes it possible to flexibly use integrated and shared resources for information and communications, such as devices for information and communications, information and communications systems, and software, through information and communications networks in accordance with changes in users’ requirements or demands. Cloud computing service, which is an on-demand service of IT resources using the Internet, does not need to purchase or install a server or software directly and does not need to maintain or repair the system. For this reason, the use of companies or individuals has been widespread recently, and it is likely to be used as a core infrastructure of the 4th industrial revolution, which is attracting attention as a new growth engine. However, in spite of various advantages of cloud computing, personal information of users can be processed in the process of using cloud service, personal information can be processed in remote computer resources according to ‘distributed data processing technology’ which is a core technology of cloud computing, If a domestic Cloud Service Provider (CSP) utilizes the computing resources as overseas data centers, personal information may be transferred to other countries. By the way, various legal issues that have not been anticipated in the past are caused such as cloud computing service providers’ legal status and the application of Personal Information Protection Act (the consent of the data subject, notices, etc.) in the cloud environment. Furthermore, in Korea, besides the Personal Information Protection Act, the “ACT on The Development of Cloud Computing and Protection of Its Users”, the only law in the world, has been enacted, causing complications related to legal interpretation and application. Therefore, this paper analyzes various legal issues related to the transborder flow of personal information in the cloud environment and suggests directions to improve the legal system to overcome the problems.