정보통신기술의 지속적인 발전으로 인해 개인정보가 사이버 경제, 사이버 커뮤니티등에서 필수적인 요소로 활용될 수밖에 없다는 것은 이제 누구나 알고 있는 사실이다. 개인정보를 이용한 사이버 환경에서의 정보유통은 증가할 것이며, 그로 인한 국가 간의정보이동도 빈번히 이뤄질 것이다. 그러나 각 국가마다 개인정보보호의 인식수준과 대응방안이 다른 상황에서 외국으로 이전된 개인정보는 국내에서 유통되는 정보와 달리그 통제는 더 어렵다. 디지털 정보의 속성상 개인정보가 수집. 이용됨에 있어서 국경은별 의미가 없으나, 국가는 여전히 법과 제도를 만들고 그 행사를 감독하는 권한을 가지며 사이버 공간에 대한 정책을 실행하는 역할을 수행한다. 각 국은 개인정보의 활용과 보호의 조화를 위한 다양한 장치를 마련하는데 먼저 데이터 국지화 정책을 들 수 있다. 데이터 국지화 정책은 말 그대로 데이터의 국가 간, 지역간 이동에 제약을 두려는 움직임으로 이해할 수 있다. 중국과 같이 네트워크안전법을 제정하고 만리방화벽을 이용하여 자국민의 정보를 관리하는 강한 데이터 국지화 정책에서, 개인정보의 유럽연합의 역외이전을 원칙적으로 금지하고 적정한 보호장치를 갖추었을 때 예외적으로 승인하는 것 역시 데이터국지화 정책으로 이해할 수 있다. 데이터 국지화 정책은 국가 차원에서 자국의 데이터 산업을 보호하고 국민의 개인정보 자기결정권의 강화를 위하여 데이터 주권에 그 근거를 둔다. 데이터 주권은 특정한 국가 내의 정보통신 질서 유지, 외부적 간섭이나 통제로부터 자유로운 정보생산 및 이용 권리 보장등을 포함하는 정보화 시대의 기본적인 국가주권이다. 현행 우리 법제에 따르면 개인정보 국외이전의 요건으로 정보주체의 사전 동의를 요구한다. 그러나 국내법 규정에 의하면 개인정보가 이동되는 국가의 개인정보 보호수준이 국내법의 기준보다 낮은 경우라도 정보주체의 동의를 얻음으로써 국외로 개인정보를이전가능하다. 이러한 동의는 개인정보 국외이전으로 발생할 수 있는 개인정보 유출 및침해의 문제에 대하여 서비스 기업 등이 면책되는 근거가 될 수 있다. 반면 기업의 입장에서도 동의 이외에 정보를 이전할 다른 방법이 없어 국제적 차원에서의 규범간 상호운용성 증진이 필요하다. OECD 개정안에서도 밝힌 바와 같이 국제적 기준의 수용과 상호운용성은 무엇보다 정보의 유통과 보호의 경계설정에 중요하다. 유럽연합의 개인정보보호일반규정은 전 세계 정보보호의 기준을 제시하고 있는 상황이므로, 유럽연합의 규정을 검토하며 개인정보 국외이전 관련규정에 대한 시사점을 도출하였다. 우리도 개인정보의 국외이전에 있어 현재 동의를 원칙으로 하되 유효한 동의를 위한 고지의무 및 사업자의 의무를 강화할 필요가 있다. 또한 데이터가 이전된 국가의 법체계에 따라 정보보호가 실현되는 것이므로 이전국의 보호수준의 적절성 여부를 판단하여 동의이외의 국외이전 방안을 모색해야 한다. 이와 더불어 분산된 개인정보보호 감독기구를 일원화 하고권한을 확대하여 개인정보국외이전에서 발생할 수 있는 문제를 책임지고 처리할 수 있도록 개인정보보호 감독기구가 개편되어야 한다. 현재 무엇보다 유럽연합의 개인정보보호에 관한 일반규칙에 따른 적정성 결정의 획득하는 것은 유럽연합을 상대로 하는 기업의 부담을 줄여주는 정부의 중요한 과제이다.

It is a common knowledge that personal information is inevitably used as an essential element due to the continuous development of information and communication technology. The issue is how to maximize economic profit by handling as much personal information as possible and minimize the infringement of the data subject to balance with privacy protection. Due to the nature of digital information, the border has little meaning in collecting and using personal information. However, each country has a different level of protection and discipline regarding personal data, and it has set different requirements to allow this, especially in the case of transferring abroad. Therefore, the regulation on the transfer of personal data abroad is an important issue that results in the question of whether the protection of national sovereignty can be guaranteed to the data subject in the country. Each country has different policies for harmonizing the use and protection of personal information. First, the data localization can literally be understood as a movement to restrict the movement of data between countries and regions. The data localization policy is based on the data sovereignty in order to protect the data industry in the country and strengthen the people's right to self determination. According to the current Korean legislation, the requirement to transfer the personal information abroad requires prior consent of the information subject. However, according to the provisions of domestic law, even if the level of personal information protection in the country where personal information is transferred is lower than the standard of domestic law, it is possible to transfer personal data outside the country by obtaining the consent of the data subject. We also need to strengthen the obligation of notices and operators to increase the effectiveness of consent. Furthermore, it is necessary to determine whether the level of protection of the country in which the information is transferred is appropriate and to seek a transfer method other than consent. The Personal Information Protection Commission should be the authority expanded. At the present time, it is important for the government to reduce the burden on companies by acquiring the adequacy decision in accordance with the GDPR of the EU.

Data sovereignty, Information sovereignty, transborder flow of personal information, Consent Right, Data localization