1. 개인정보 국외 제공이 가능한 경우(제17조 제3항)
(1) 원칙적으로 정보주체의 동의 획득 필요(제3항 전단)
개인정보처리자가 개인정보를 국외의 제3자에게 ‘제공’하고자 할 때에는 ① 개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭), ② 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의 거부권이 존재한다는 사실 및 동의 거부에 따른 불이익의 내용(불이익이 있는 경우에 한함)을 모두 정보주체에게 알리고 동의를 받아야 한다. (일반적인 제3자 제공의 경우와 같다)
(2) 목적 외 제공 가능 여부
개인정보처리자는 동의 받은 범위를 초과하여 국외 제3자에게 제공하여서는 아니 된다(제18조 제1항). 그러나 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 등 보호법 제18조 제2항 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있다.
다만, 공공기관은 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 등 보호법 제18조 제2항 제5호부터 제9호까지의 경우에 해당하는 경우에만 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있다.
(3) 정보통신서비스 제공자등에 관한 특칙
정보통신서비스 제공자등이 국외 제3자 제공을 포함하여 개인정보를 국외로 이전하는 경우에는 제17조 제3항이 아닌 제39조의12에 따라 동의를 받아야 하며, 보호조치를 하여야 한다.
‘제공’뿐만 아니라 ‘처리위탁’, ‘보관’ 등의 경우에도 동의를 받아야 한다.
단, ‘처리위탁ᆞ보관’의 경우에는 동의 획득을 위한 의무 고지사항 모두를 개인정보 처리 방침을 통해 공개하거나 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법에 따라 이용자에게 알렸다면, 개인정보 처리위탁ᆞ보관에 따른 동의절차를 거치지 아니할 수 있다.
2. 개인정보 국외 이전(제17조 제3항 후단)
개인정보 국외 ‘이전’은 국외의 제3자에게 개인정보를 제공하는 것은 물론이고, 개인정보 처리를 국외의 제3자에게 위탁하기 위해 국외로 전송하는 경우 등도 포함하므로 국외 ‘제공’보다 개념이 넓다.
개인정보 보호법은 개인정보를 국외에 이전하여 법의 적용을 회피하려는 것을 막기 위하여 일정한 제한을 두고 있다.
(1) 개인정보 보호법을 위반하는 내용의 계약 체결 금지
개인정보처리자는 개인정보 보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결할 수 없다.
위탁의 경우 정보통신서비스 제공자등이 아닌 한 원칙적으로 정보주체의 동의를 받을 필요는 없지만, 처리위탁에 관한 규정(제26조)에 따라 계약서 등 문서 작성, 위탁 관련 사항의 공개 등을 준수하여야 한다.
(2) 위반행위 및 벌칙
① 위반행위 관련 매출액의 100분의 3 이하 과징금 (제39조의15 제1항 제1호)
정보통신서비스 제공자등으로서 이용자의 동의를 받지 아니하고 이용자의 개인정보를 국외에 제공한 경우 (제39조의12 제2항 본문 위반)
② 2천만원 이하 과태료 (제75조 제3항 제호)
정보통신서비스 제공자등으로서 의무사항 모두를 공개하거나 이용자에게 알리지 아니하고 이용자의 개인정보를 국외에 처리위탁ᆞ보관한 경우(제39조의12 제2항 단서 위반)