ENG AI 대륙아주 중대재해 D&A Advisory 인재채용

뉴스레터

소식/자료
뉴스레터
IP 2025-10-28

  • 공유하기

    4. URL

IP 분야 이슈리포트 - 개인정보보호위원회의 EU 개인정보보호체계에 대한 동등성 인정 공고

[대륙아주] IP 분야 이슈리포트 - 개인정보보호위원회의 EU 개인정보보호체계에 대한 동등성 인정 공고.pdf

개인정보보호위원회의 EU 개인정보보호체계에 대한 동등성 인정 공고


법무법인 대륙아주 김정은 변호사1
법무법인 대륙아주 나희수 변호사



1. 들어가며

  2025. 9. 16., 개인정보보호위원회는 EU의 개인정보보호 체계가 우리나라 개인정보보호 수준과 실질적으로 동등함을 인정하는 공고(개인정보보호위원회 공고 제2025-68호)를 발표하였습니다. 이는 개인정보보호법상 동등성 인정 제도가 도입된 이후 최초의 동등성 인정 사례라는 점에서 큰 의미를 갖습니다. 이하에서는 이번 동등성 공고의 구체적인 내용을 살펴보겠습니다.



2. 구체적인 개인정보 안전관리 체계 강화 방안

  개인정보 보호법 제28조의8 제1항에 따르면, 개인정보처리자는 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우 개인정보를 국외로 제공(조회되는 경우 포함)·처리위탁·보관할 수 있습니다(제1호). 또한, 개인정보처리자가 정보주체로부터 국외 이전에 관한 별도의 동의를 받지 않은 경우에도, 다음 요건에 해당하는 경우 개인정보를 국외 이전할 수 있습니다.

① 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우(제2호)
② 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁·보관이 필요한 경우(제3호)
③ 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우(제4호)
④ 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우(제5호)

  동등성 인정 제도는 개인정보 보호법 제28조 제1항 제5호를 그 근거로 하는데, 이는 다른 국가의 개인정보보호체계가 한국 개인정보 보호법에 따른 개인정보 보호수준과 동등한 수준임이 인정되는 경우 정보주체의 동의 없이도 개인정보처리자가 개인정보를 국외로 제공·처리위탁·보관할 수 있도록 하는 제도입니다.

  동등성 인정 제도는 2023. 3. 개인정보 보호법 개정(시행 2023. 9.)으로 신설된 제도로, 이번 EU에 대한 동등성 인정은 제도 도입 후 최초로 동등성을 인정한 사례입니다.

  한편, EU는 한국에 동등성 인정 제도가 도입되기 이전부터 EU 이외의 국가가 동등한 수준의 개인정보 보호조치를 갖추고 있는지 평가하는 적정성 결정 제도(GDPR 제45조)를 채택하고 있었고, 2021년에는 한국을 적정성 결정 승인국으로 인정하여 한국으로의 개인정보 이전을 허용한 바 있습니다. 그러나 당시 한국에는 개인정보의 국외 이전에 관한 동등성 인정 제도가 마련되어 있지 않아, EU-한국 간 상호 국외 이전 체계가 완성되지는 못하였습니다. 이제야 비로소 한국이 EU에 대하여 동등성을 인정하며 양측 간 개인정보가 원활하게 이전될 수 있는 체계가 완성되었습니다.

  이번 동등성 인정 공고에 따라 개인정보처리자는 정보주체의 동의가 없더라도 EU GDPR을 적용받는 EU역내 국가 27개국 및 유럽경제지역(EEA)에 포함되는 3개국(노르웨이, 리히텐슈타인, 아이슬란드)에 개인정보를 이전할 수 있게 되었습니다.

  다만, 이번 동등성 인정은 주민등록법 제7조의2에 따른 주민등록번호와 신용정보의 이용 및 보호에 관한 법률 제2조 제2호에 따른 개인신용 정보의 이전에 관해서는 영향을 미치지 아니합니다. 따라서 개인정보 처리자는 주민등록정보 및 개인신용 정보의 이전에 관하여는 여전히 개인정보 보호법 제28조 제1항 제1호 내지 제4호에서 규정하는 별도의 국외 이전 요건을 갖추어야 할 것입니다.

  이번 동등성 인정 공고는 2025. 9. 16.부터 효력이 발생하며, 개인정보 보호위원회는 2028. 9. 15.로부터 3개월 전에 재검토를 시작하여 검토 결과 EU의 보호 수준이 유지되지 않는다고 판단되면 동등성 인정을 변경하거나 취소할 수 있습니다.



3. 시사점

  이번 동등성 인정 공고는 EU의 적정성 결정과 함께 한국과 EU 양측 간 개인정보가 원활하게 이전될 수 있는 제도적 기반을 완성하였다는 점에서 중요한 의미를 가집니다. 정보주체의 사전 동의 없이도 한국에서 EU로 개인정보를 이전할 수 있게 됨에 따라, EU 소재 기업·기관과의 연구협력, 공동개발, 거래 등 다양한 분야에서 그간 존재하던 법적 제약이 대폭 완화되고, 한국과 EU 간 인적, 물적 교류가 활성화될 것으로 기대됩니다.

  한편, 개인정보 보호위원회는 2025년 주요업무 추진 계획을 통해 미국, 영국, 일본 등에 대해 동등성 인정을 검토할 것으로 밝힌 바 있습니다. 이에 따라 향후 EU 외 다른 국가들에 대해서도 순차적으로 동등성 인정이 추진될 것으로 예상됩니다.



 

  1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.

COPYRIGHT D&A LLC. ALL RIGHTS RESERVED.

광고책임변호사 : 남동환