법무법인(유) 율촌 조은진 러시아 변호사

러시아는 개인정보보호를 규제하기 위하여 2006년 “개인정보”에 관한 러시아 연방법 제152-FZ호(Federal Law No. 152-FZ on personal data, 이하 “개인정보법”) 및 “정보·정보기술·정보보호”에 관한 러시아 연방법 제149-FZ(Federal Law No. 149-FZ on Information, Information Technologies and the Protection of Information, 이하 “정보·정보기술·정보보호법”)을 제정, 시행하고 있다.

2006년 7월 27일에 제정된 러시아 개인정보법은 총 제6장(27개 조항)으로 이루어져 있으며, 국가기관, 법인, 개인이 자동 및 수동으로 개인정보를 처리하는 활동을 규율하고 있다. 단, 개인의 사적 용도 또는 가족을 위한 개인정보 처리, 러시아 연방의 국가기록보관소(state archives)가 보관하는 기록에 포함된 개인정보 처리, 국가기밀에 해당하는 개인정보 처리에 대해서는 적용되지 않는다(개인정보법 제1조).

해당 법령의 목적은 개인정보를 처리할 때 개인의 권리와 자유를 보장하기 위한 것이다(제2조).

러시아 개인정보법에서 정의하는 ‘개인정보’란 특정 또는 식별된 개인(개인정보주체)에게 직접 또는 간접적으로 해당되는 정보를 의미하며, ‘개인의 생체정보’는 개인이 식별될 수 있고 정보처리자가 개인정보주체의 신원을 확인하기 위해 사용하는 특정 개인의 생리적, 생물학적 특성에 관한 정보를 뜻하고, ‘특수 범주의 개인정보’는 인종, 민족적 기원, 정치적 견해, 종교, 철학적 신념, 건강, 성 사생활에 관한 개인정보를 정의하고 있다. 이는 한국 개인정보 보호법의 “민감정보”와 유사한 개념이다(제3조).

러시아 개인정보법은 7가지의 개인정보 처리 원칙을 규정하고 있다(제5조).

①   합법성 및 공정성

②   사전에 정해진 특정한 법적 목적 달성을 위하여 처리

③   목적 외로 처리할 개인정보 결합 불가

④   처리 목적에 부합하는 개인정보만 처리 가능

⑤   개인정보의 범위와 내용은 처리 목적과 부합

⑥   개인정보의 정확성, 충분성, 적합성 보장

⑦   처리 목적이 달성될 때까지에 한하여 개인정보 보관 가능

연방 법률에 규정된 경우에는 개인정보 처리를 위하여 개인정보를 제공하는 개인정보주체의 서면 동의 하에만 진행될 수 있다. 이러한 개인정보 처리 동의서에는 다음과 같이 법에 의해 필수로 포함되어 있어야 하는 항목들이 있다(제9조).

①   개인정보주체의 이름, 주소, 신분증 번호, 발행 일자, 발행 기관

②   개인정보주체 대리인의 이름, 주소, 신분증 번호, 발행 일자, 발행 기관, 위임장 정보 또는 대리인 권한을 증빙하는 문서

③   개인정보주체의 동의를 득한 정보처리자의 이름, 주소

④   개인정보 처리의 목적

⑤   처리 대상 개인정보 목록

⑥   개인정보 처리를 수행할 자(수탁자)의 이름, 주소

⑦   개인정보 처리 관련 수행되는 작위 목록, 처리 방법에 대한 설명

⑧   개인정보 처리 동의 기한, 연방법률에 달리 규정되지 않은 경우의 동의 철회 절차

⑨   개인정보주체의 서명

특수 범주의 개인정보 처리의 경우 법으로 달리 규정되어 있지 않는 한 목적 달성 시 즉시 종료되어야 하며, 특정 범위의 개인정보 처리는 다음의 경우에 허용된다(제10조).

①   개인정보주체가 개인정보 처리에 서면 동의한 경우

②   개인정보주체가 개인정보를 공개한 경우

2.1) 러시아 연방의 재입국협정(readmission agreement) 이행

2.2) 2002년 1월 25일자 러시아 인구 조사에 대한 연방법 제8-FZ호에 따른 개인정보 처리 관련

2.3) 국가 사회 지원 관련 법령, 노동 법령, 국가가 제공하는 연금 및 은퇴 연금과 관련된 연방 법령에 따른 처리 관련

③   개인정보주체의 서면 동의를 얻기 어려우나, 개인정보주체나 타인의 생명, 건강, 기타 중요한 이익을 보호하기 위한 경우

④   의료예방학, 의학적 진단, 의료·사회적 보호 서비스 제공 목적으로 필요한 경우(단, 이 경우. 전문적으로 의료업에 종사하고 러시아 연방법률에 따라 의료상의 비밀유지 의무 적용 대상인 자가 관련 개인정보 처리를 수행해야 한다).

⑤   사회단체, 종교단체 구성원의 개인정보가 이들 단체의 설립 문서에 규정된 법적 목적을 달성하기 위하여 러시아 연방법률에 따라 활동하는 해당 사회단체, 종교단체에 의해서 처리되는 경우(단, 이러한 개인정보는 개인정보주체의 서면 동의 없이 배포되어서는 안된다).

⑥   사법행정 및 개인정보주체 또는 제3자의 권리 설정이나 행사 시 필요한 경우

⑦   러시아 연방의 방위, 보안, 테러 대응, 교통안전, 부패 방지, 조사 활동, 집행 절차에 관한 법령, 형법에 따라 수행되는 경우

7.1) 검찰청의 검사감독 수행 시 필요한 경우

⑧   의무적 유형의 보험 관련 법령에 따라 수행되는 경우

⑨   고아의 가정위탁을 위한 경우(단, 이러한 개인정보는 국가기관, 지방자치단체 또는 기관에 의해 처리가 수행되어야 한다).

⑩   2002년 5월 31일자 “러시아 연방 시민권”에 관한 러시아 연방법 제62-FZ호(이하 “러시아 시민법”)에 따른 처리 관련

생체인식 개인정보는 아래 상황을 제외하고 개인정보주체의 서면 동의가 있는 경우에만 처리할 수 있다.

ㅇ  러시아 연방의 재입국협정(readmission agreement) 이행;

ㅇ  법원 명령 및 법원 판결 집행;

ㅇ  러시아 연방의 방위, 보안, 테러 대응, 교통 안전, 부패 방지 조치, 조사 활동, 국가 공공 서비스에 관한 법령, 형법에 규정되어 있는 경우;

ㅇ  러시아 출입국 절차 관련 법령 및 러시아 시민법에 규정되어 있는 경우.

러-우 사태 이전까지 러시아는 1981년 유럽평의회에서 채택된 개인정보의 자동처리와 관련된 개인의 보호를 위한 유럽회의 협약(Council of Europe Convention on the Protection of Individuals with Regard to Automatic Processing of Personal Data, 이하 “CoE 108호 협약”) 가입국이었다. 본 협약에 따라 러시아는 CoE 108호 협약의 가입국 및 개인정보주체의 권리를 적정 보호하는 국가와의 개인정보 국외이전을 허용하고 있었으며, 러시아 개인정보 감독기구는 CoE 108호 협약 가입국이 아닌 국가 중 개인정보주체의 권리를 적정 보호하는 국가의 목록을 승인하였다. 해당 목록에 포함되지 않은 외국 국가로 개인정보를 국외 이전할 수 있는 경우는 법적으로 다음과 같다(제12조).

①    개인정보주체가 개인정보의 국외이전에 동의한 경우

②    러시아 연방이 체결한 국제협약에 규정된 경우

③    러시아 연방의 헌법 질서 보호, 국방, 국가 안보, 교통안전 시스템 운영 등을 위하여 연방법률에 규정된 경우

④    개인정보주체가 당사자인 계약을 수행하기 위한 경우

⑤    개인정보주체의 서면 동의를 얻기 어려우나, 개인정보주체나 타인의 생명․건강 및 기타 중요 이익 보호를 위한 경우

러-우 사태 이전 러시아에서 허용하는 개인정보 국외이전은 다음과 같은 3가지 유형으로 구분되어 있었다.

러-우 사태로 유럽평의회는 러시아의 활동 자격 정지 처분을 내렸으며, 이후 러시아가 탈퇴 의사를 밝히면서 2022년 3월 16일자로 러시아는 유럽 평의회에서 제명되었다. 이에 따라, 러시아가 가입국으로 참여했던 모든 CoE 협약은 더 이상 적용 받을 수 없게 되었다. 이에 따라 현재 러시아에서 수입한 개인정보를 국외이전하기 위해서는 개인정보주체로부터 반드시 국외이전 동의를 받아야 한다.   

근로자를 채용하고 있는 기업, 고객 또는 환자에 대한 데이터를 다루는 업종의 경우, 개인정보보호 법률 및 규정을 준수하여 사업을 운영하기 위해서는 개인정보보호 정책을 마련하고 준수해야 할 의무가 있다. 러시아에서 수집되는 모든 개인정보는 개인정보주체의 법적 필수 항목이 기재된 동의서에 동의 하에 처리될 수 있다. 특히, 러시아에서 수집한 개인정보를 국외로 이전하기 위해서는 서면 동의가 있어야 한다.

개인정보 법률 및 규정을 위반할 경우 2001년 12월 30일자 “행정위반”에 관한 러시아 연방법 제195-FZ호(개정, 2024년 9월 8일) 및 1996년 6월 13일자 러시아연방 형법 제36- FZ호(개정, 2024년 8월 8일)이 적용된다.

※ 해당 원고는 외부 전문가가 작성한 정보로 KOTRA 공식의견이 아님을 알려드립니다.