국외 서비스 사용 시 약관·계약 체크포인트
해외 SaaS/클라우드/API를 도입할 때 개인정보 국외 이전, 위탁/제3자 제공, 관할/분쟁, 보안, 데이터 삭제/이관, 변경 통지 등을 점검하는 실무 가이드
- 적용: 해외 SaaS/클라우드/API 도입/변경/해지
- 핵심 이슈: 개인정보 국외 이전(전송/저장/처리), 위탁/제3자 제공, 약관 변경, 보안/침해 통지, 관할/책임, Exit(삭제/이관)
- 산출물: 벤더 문서 세트 + 데이터 플로우 + (해당 시) 국외 이전 고지/동의 + 버전/증빙
국외(해외) 서비스를 붙이면 개발 속도는 빨라지지만, 약관·계약 관점에서는 리스크가 “서비스 밖(벤더)”으로 이동합니다. 특히 개인정보가 포함되면 단순 “외부 연동”이 아니라 국외 이전(전송/저장/처리) 이슈로 확장될 수 있습니다.
면책조항
이 문서는 운영 체크리스트/가이드이며, 법률 자문을 대체하지 않습니다. 국외 이전/위탁/제3자 제공 판단과 동의 필요 여부는 서비스 구조·데이터 흐름에 따라 달라질 수 있으므로 실제 적용 전 법무/개인정보 전문가 검토를 권장합니다.
기준일: 2026년 3월 13일
한 줄 정의
해외 벤더를 쓰면서 생기는 법적·운영 리스크(특히 개인정보) 를 “계약/약관/동의/증빙”으로 통제하기 위한 체크리스트입니다.
언제 필요한가
- 해외 리전에서 서비스가 동작하거나(클라우드/DB/스토리지), 운영자가 해외에서 고객 데이터를 볼 수 있는 경우
- 고객지원/CRM/메일/분석/로그/푸시/AI API 등 외부 툴로 개인정보 또는 식별 가능한 로그가 전송되는 경우
- 서브프로세서(재위탁) 구조가 있거나, 약관 변경이 잦은 SaaS를 도입하는 경우
관리 이유(reason)
- “벤더 약관/정책 변경”이 곧 우리 서비스의 개인정보 처리 변경으로 이어질 수 있습니다.
- 분쟁/감사에서는 “정책”이 아니라 증빙(원문/버전/동의·고지 이력) 이 요구됩니다.
- 해지/이관(Exit)이 막히면 비용·리스크가 급증합니다(락인, 삭제 불가, 데이터 반출 비용).
법적 근거(legalBasis)
- 국가법령정보센터 - 개인정보 보호법 (한국어)
- 국가법령정보센터 - 개인정보 보호법 제28조의8(개인정보의 국외 이전) (한국어)
- 국가법령정보센터 - 개인정보 보호법 제28조의9(국외 이전의 중지 등) (한국어)
먼저 결론: “문서 3종 + 흐름 1개”를 확보하세요
국외 서비스를 붙일 때, 최소한 아래 4가지는 확보/정리되어야 운영이 됩니다.
- 벤더 약관/계약 원문(TOS/MSA) + 버전/시행일 증빙
- DPA(개인정보 처리 계약) / 위탁 조항(수탁/재수탁 포함)
- 국외 이전 근거 문서(동의/고지, 또는 법령상 근거에 따른 고지)
- 데이터 플로우 1장(어떤 데이터가 어디로, 왜, 얼마나 가는지)
이 장은 위 4가지가 빠지지 않도록 “약관 체크포인트”를 정리합니다.
문구 예제가 필요하다면
실제 글로벌 Terms, Privacy Policy, DPA, MoR 결제, 구독·환불 문구 초안은 글로벌 약관 예제에서 별도로 관리합니다.
용어를 먼저 정리(헷갈리면 여기서부터 틀립니다)
국외 서비스 사용 시 흔한 혼선 3가지는 아래입니다.
| 구분 | 핵심 질문 | 문서/액션(예시) |
|---|---|---|
| 처리 위탁(수탁) | 외부 업체가 우리 지시에 따라 처리만 하는가? | 위탁 계약(DPA 등) + 위탁 관리 + (필요 시) 위탁 사실 고지 |
| 제3자 제공 | 외부 업체가 자기 목적으로도 활용하는가? | 개인정보 제3자 제공 동의 등 별도 동의 |
| 국외 이전 | 개인정보가 해외로 전송/저장/처리되는가? | 국외 이전 고지/동의 또는 법령상 근거에 따른 고지(요건 충족) |
실무 팁
국외 SaaS는 “위탁 + 국외 이전”이 동시에 발생하는 케이스가 많습니다(예: 해외 고객지원 툴에 고객 문의/이메일을 저장). 한쪽만 체크하면 나중에 감사/분쟁에서 빈틈이 생깁니다.
5분 판별 질문(의사결정 트리)
아래 질문에 “예”가 하나라도 나오면, 약관/개인정보 문서를 먼저 손봐야 합니다.
- 이 벤더로 개인정보(또는 개인을 식별할 수 있는 로그) 가 들어가나요?
- 데이터가 해외 리전/해외 법인/해외 하청(서브프로세서) 로 이동하나요?
- 벤더가 데이터를 자기 목적(광고/분석/모델 학습 등) 으로 쓸 수 있나요?
- 벤더 약관이 일방적 변경(공지 후 자동 효력)을 허용하나요?
- 분쟁 관할/준거법이 해외로 고정되어 있나요?
빠른 플로우(요약)
벤더 문서 세트(“약관 한 장”으로 끝나지 않습니다)
국외 SaaS는 보통 문서가 쪼개져 있습니다. 최소 아래를 수집해 내부 저장소에 버전 고정하세요.
| 문서 | 보통 어디에 있나 | 왜 필요한가 |
|---|---|---|
| TOS/MSA(기본 약관) | 웹페이지/콘솔/주문서 | 책임/면책/요금/해지/관할 |
| DPA(개인정보 처리 계약) | 별도 링크/서명 플로우 | 위탁 범위, 기술·관리적 보호조치, 재수탁 |
| Subprocessor(재위탁) 목록 | 공개 페이지/콘솔 | “누가” 처리하는지 추적(변경 통지 포함) |
| Security 문서(SOC2/ISO 등) | Trust Center | 보안 통제, 감사 대응, 실사 |
| SLA/지원 정책 | 요금제 페이지 | 장애 대응, 크레딧, RTO/RPO(있다면) |
| AI/데이터 사용 정책 | 별도 정책/부록 | “학습/개선 목적 사용” 여부가 갈림 |
주의: ‘Privacy Policy’만 보고 끝내는 실수
벤더 Privacy Policy는 “벤더가 자기 서비스 이용자에게 하는 고지”인 경우가 많습니다. 우리 고객 데이터(수탁 처리)에 대한 약정은 보통 DPA에 있습니다.
약관/계약 체크포인트 12개(운영자가 바로 보는 항목)
아래는 실제 협상/도입에서 문제가 자주 생기는 항목들입니다. 가능하면 “현재 약관이 허용하는 범위”를 확인하고, 필요하면 상위 요금제/엔터프라이즈 조항으로 해결합니다.
데이터 소유권과 사용권(특히 ‘개선/학습’)
- 고객 데이터/콘텐츠의 소유권은 우리(또는 고객)에게 남는지
- 벤더가 데이터를 서비스 제공 목적을 넘어(개선/분석/마케팅/모델 학습) 사용할 수 있는지
- 옵트아웃(거부) 가능 여부, 설정 위치, 기본값
데이터 위치(리전)와 국외 이전 범위
- 데이터 저장/백업/로그/지원 티켓이 어느 국가/리전으로 가는지
- “지원(Support) 과정에서 접근”이 국외 이전에 해당할 수 있으므로, 접근 국가/팀도 확인
- 데이터 레지던시(국내/특정 리전 고정) 옵션 유무
위탁(수탁)·재위탁(서브프로세서) 통제
- 벤더가 재위탁을 할 때 사전 통지/이의 제기/해지권을 주는지
- 서브프로세서 변경 이력/공지 채널이 있는지(RSS/메일/콘솔)
보안(기술·관리적 보호조치) 증빙
- 암호화(전송/저장), 키 관리(가능하면 BYOK), 접근 통제, 로깅
- 침해사고 대응 체계(24/7 온콜, 티켓 우선순위)
- SOC2/ISO27001 등 보고서 제공 범위(필요 시 NDA)
침해사고/유출 통지 타임라인
- “지체 없이” 수준인지, 구체적인 시간/일 단위를 약정하는지
- 통지 방식(이메일, 콘솔)과 담당자/연락처 지정이 가능한지
장애/가용성(SLA)과 지원
- SLA 수치(가용성 %), 장애 정의, 크레딧 산정/청구 절차
- 지원 응답 시간(Sev1/2/3), 한국 시간대 대응 가능 여부
약관 변경(일방 변경)과 “자동 효력”
- 통지 기간(예: 30일)과 거부/해지 옵션이 있는지
- 변경이 개인정보 처리 범위를 넓히는 경우(예: 서브프로세서 확대) 우리 쪽 문서/동의 업데이트가 필요해질 수 있음
책임 제한(배상 한도)과 면책
- 데이터 유출/규제 제재/제3자 청구에 대한 책임 분담
- 배상 한도(cap)가 너무 낮아 “리스크 전가”가 되는지
준거법/관할(분쟁 해결)
- 해외 법원/중재로 고정되면, 분쟁 비용이 급증할 수 있음
- B2C 서비스 운영자는 “소비자 분쟁”과의 정합성도 고려(국내 약관과 충돌 가능)
해지/데이터 삭제/반환(Exit)
- 해지 후 데이터 보관 기간(예: 30일)과 완전 삭제(증빙 포함) 가능 여부
- 데이터 내보내기(export) 포맷/수단(API/덤프)과 비용
요금/과금 단위/세금/환불
- USD 과금, 환율 변동, 해외 카드 결제 실패, 세금계산서/인보이스 처리
- 과금 기준(사용량/좌석)과 “갑자기 폭증”하는 지표(이벤트 수, 로그 수) 확인
수출통제/제재(Export/Sanctions)와 사용 제한
- 특정 국가/산업(암호화, 금융, 공공 등) 사용 제한이 있는지
- 계정 정지/차단 조건(AUP 위반 정의)이 모호하면 운영 리스크가 큼
우리 서비스 문서(약관/동의/처리방침)에 반영해야 하는 것
국외 서비스를 도입하면, 벤더 계약만 잘해도 우리 고객에게 고지/동의/처리방침 반영이 빠지면 리스크가 남습니다.
실무 매핑(벤더 → 우리 문서 → 운영 액션)
| 벤더/계약 항목 | 우리 문서에 반영 | 운영 액션(증빙) |
|---|---|---|
| 데이터가 저장/처리되는 국가·리전 | 국외 이전 고지/동의(또는 고지) | 데이터 플로우/리전 증빙 고정 |
| 서브프로세서(재위탁) 변경 | 국외 이전 변경 가능성 고지 + 재동의 필요성 판단 | 변경 알림 구독 + 변경 이력 보관 |
| 벤더의 데이터 사용(개선/학습) | 위탁 vs 제3자 제공 분류, 필요 시 별도 동의 | 설정(옵트아웃) 캡처 + 약관 버전 고정 |
| 침해사고 통지/지원 범위 | 처리방침/CS 안내(공지 채널) | 통지 SLA/연락체계 문서화 |
| 해지/삭제/반환(Exit) | 보유기간/파기 정책 정합성 | export/삭제 리허설 결과 기록 |
개인정보 처리: “국외 이전” 섹션(또는 고지/동의)
개인정보가 해외로 이전된다면, 최소 아래 항목을 표로 고정해 관리하는 것을 권장합니다.
반드시 포함해야 할 항목 체크리스트
- 이전받는 자(업체명)
- 이전 국가/리전
- 이전 일시 및 방법(전송, 원격접근 포함)
- 이전 목적
- 이전 항목
- 보유 및 이용 기간
- 동의 거부권/거부 시 불이익(있는 경우)
- 변경 통지(리전/서브프로세서 변경 등) 정책
| 항목 | 예시 |
|---|---|
| 이전받는 자(업체명) | {{ 벤더명 }} |
| 이전되는 국가 | {{ 국가 }} |
| 이전 일시 및 방법 | {{ 전송/저장 방식 }} |
| 이전 목적 | {{ 서비스 제공/분석/CS }} |
| 이전 항목 | {{ 이메일, 로그, 문의 내용 등 }} |
| 보유 및 이용 기간 | {{ 목적 달성 후 즉시/기간 }} |
연결 포인트
“제3자 제공”과 “국외 이전”은 겹칠 수 있습니다. 외부 업체가 자기 목적으로도 쓰면 개인정보 제3자 제공 동의 이슈로 확장됩니다.
서비스 이용약관: 외부 서비스 사용 고지/면책의 균형
서비스 이용약관에 외부 서비스(지도, 결제, 알림, 분석 등)를 쓰는 경우를 명시하되, 아래처럼 전부 면책으로 쓰면 분쟁에서 방어가 어려워질 수 있습니다.
- (나쁜 예) “외부 서비스 문제는 회사가 책임지지 않는다”만 반복
- (권장) 외부 서비스 장애가 우리 서비스에 영향을 줄 수 있음을 고지 + 회사의 지원 범위/대체 절차 + 책임 제한(합리적 범위)
동의 UI/증빙: “국외 이전”도 버전/이력으로 남기기
국외 이전 고지/동의(또는 고지 근거)가 바뀌면, 나중에 “그 시점에 무엇을 고지했는지”가 문제됩니다. 이 핸드북의 버전 관리 방식으로 문서 버전 + changeSummary + 동의/고지 이력을 남기세요.
운영 체크리스트(도입/변경 시)
아래는 “국외 서비스 1개 추가”할 때 최소 체크리스트입니다.
- 데이터 분류: 벤더로 들어가는 데이터(개인정보/민감정보/로그) 확정
- 데이터 플로우: 수집 → 전송 → 저장 → 접근(지원) 경로 문서화
- 문서 세트 수집: TOS/MSA, DPA, 서브프로세서, 보안 문서, SLA
- 국외 이전 근거: 동의 필요 여부 판단 + 고지/동의 문구 확정
- 우리 문서 반영: 약관/동의/처리방침 업데이트 + 버전 발행
- 증빙 저장: 벤더 약관 버전/URL/캡처(또는 PDF), 시행일, 변경 로그
- 변경 감시: 서브프로세서/약관 변경 알림 채널 등록
- 해지/Exit: 데이터 export/삭제 절차를 “미리” 테스트(최소 1회)
텍스트 템플릿(운영 초안)
아래는 법무 검토 전 “운영 초안”으로 쓰기 위한 문구입니다. 서비스/벤더에 맞게 반드시 수정하세요.
개인정보 국외 이전 고지/동의(초안)
[개인정보 국외 이전 안내]
{{ 회사명 }}(이하 “회사”)는 {{ 서비스명 }} 제공 및 운영을 위해 아래와 같이 개인정보를 국외로 이전(전송/저장/처리)합니다.
1. 이전 내용
| 이전받는 자 | 이전 국가 | 이전 일시 및 방법 | 이전 목적 | 이전 항목 | 보유 및 이용 기간 |
|---|---|---|---|---|---|
| {{ 벤더명 }} | {{ 국가 }} | {{ 방법 }} | {{ 목적 }} | {{ 항목 }} | {{ 기간 }} |
2. 동의 거부권 및 거부 시 불이익
- 이용자는 개인정보의 국외 이전에 대한 동의를 거부할 권리가 있습니다.
- 다만, 동의를 거부할 경우 {{ 서비스명 }}의 일부 기능이 제한될 수 있습니다(해당하는 경우에만 명시).
시행일: {{ 시행일 }}서비스 이용약관: 외부 서비스 연동(초안)
[외부 서비스 연동]
회사는 {{ 서비스명 }} 제공을 위해 외부 서비스(예: 클라우드 인프라, 결제, 메시지 발송, 고객지원, 분석 도구 등)를 이용할 수 있습니다.
외부 서비스의 장애/변경으로 인해 {{ 서비스명 }}의 일부 기능이 일시적으로 제한될 수 있으며, 회사는 장애 인지 시 신속한 복구 및 이용자 안내를 위해 합리적인 범위에서 노력합니다.관련 챕터
2026년 국외 이전 제도 변화
글로벌 CBPR 인증 시행
APEC CBPR을 확대한 글로벌 CBPR(Cross-Border Privacy Rules) 인증이 KISA를 통해 시행 중입니다. CBPR 인증을 받은 기업 간 데이터 이전 시 별도 동의 없이도 적법한 이전 근거를 확보할 수 있습니다.
SCC/BCR 도입 추진
EU의 표준계약조항(SCC) 및 구속력 있는 기업규칙(BCR)과 유사한 체계가 2026년 상반기 PIPA 개정을 통해 도입 추진 중입니다. 글로벌 서비스를 운영하는 기업은 SCC/BCR 경로도 검토하세요.
충분성 결정 확대
한국은 EU 적정성 결정을 유지 중이며, 독자적 충분성 인정 체계도 운영합니다. 2025년 EU를 대상으로 첫 적정성 결정을 내렸고, 영국·일본으로 확대 예정입니다.
실무 권장
국외 이전 근거를 확보할 때 동의만 의존하지 말고, CBPR 인증·충분성 결정·향후 SCC/BCR 등 복수 경로를 검토하세요. 동의 기반 이전은 철회 시 서비스 중단 리스크가 있습니다.