지난 3월 13일, 해외사업자의 개인정보 보호 책임을 실질적으로 강화하는 내용을 담은 「개인정보보호법 일부개정안」이 국회 본회의를 통과했습니다.
이번 개정은 우리 국민의 개인정보를 처리하는 해외사업자의 책임을 실질적으로 높이려는 조치입니다.
기존에는 해외사업자가 국내대리인을 형식적으로만 지정하거나 책임을 회피하는 경우가 많았습니다.
이에 따라 개인정보보호위원회는 제도의 실효성을 높이기 위한 법 개정이 필요하다고 판단했습니다.
주요 배경
글로벌 디지털 플랫폼의 성장과 함께, 해외에서 국내 이용자의 개인정보를 수집·이용하는 사례가 급격히 증가하고 있습니다.
하지만 이들 사업자에게 직접 책임을 묻기 어려운 상황이 반복되면서, 국내 이용자의 권익 보호에 한계가 있다는 지적이 꾸준히 제기돼 왔습니다.
국내대리인 제도는 이 같은 문제를 보완하고자 도입되었지만, 일부 사업자들이 국내대리인을 명목상으로만 지정해 실질적인 보호 효과가 미흡하다는 비판이 있었습니다.
특히 국내에 물리적 거점을 둔 글로벌 기업조차 별도의 책임 회피 구조를 갖춘 경우가 많아 제도 개선 필요성이 커졌습니다.
최근 개인정보위원회 조사에 따르면, 구글, 마이크로소프트, 페이스북, 오픈AI 등 주요 해외 사업자들이 소수의 대행사나 법무법인을 국내대리인으로 지정해 운영하는 사례가 다수 확인되었습니다.
이들 대행사는 상시근무자가 1명에 불과한 경우도 있어, 개인정보 유출이나 법 위반 발생 시 즉각적이고 실질적인 대응이 어려운 문제가 드러났습니다.
국내대리인이 실질적 권한 없이 형식적으로만 존재하다 보니, 개인정보위가 조사를 진행할 때에도 본사와 직접 연락을 주고받으며 수개월이 지연되는 사례가 빈번했습니다.
이처럼 국내대리인 제도의 실효성이 약화되면서, 국민의 개인정보 보호에 심각한 공백이 발생하고 있다는 문제의식이 이번 법 개정의 주요 배경이 되었습니다.
형식적 지정 문제 개선
기존 법령은 국내대리인을 지정하도록 규정하고 있었지만, 실제 운영에서는 문제가 많았습니다.
일부 해외사업자가 국내 소재 법인이 아닌 제3의 회사를 대리인으로 지정하거나, 지정만 해두고 실질적 책임은 지지 않는 경우가 많았기 때문입니다.
이번 개정안은 이런 문제를 해결하기 위해 두 가지 주요 내용을 담고 있습니다.
첫째, 해외사업자가 국내 법인을 보유하고 있을 경우, 해당 법인을 반드시 국내대리인으로 지정해야 합니다.
둘째, 해외 본사는 국내대리인을 직접 관리·감독해야 하며, 이를 위반하면 제재를 받을 수 있습니다.
또한 해외사업자가 국내대리인을 제대로 지정하지 않거나, 국내대리인의 전화번호 등 필수 정보를 공개하지 않는 경우에도 과태료가 부과됩니다.
이를 통해 국내 이용자가 개인정보 유출 등 문제 발생 시 국내대리인에게 신속히 접근할 수 있도록 제도의 실효성을 강화하려는 취지입니다.
개인정보위원회의 후속 조치 예고
개인정보보호위원회는 이번 개정안의 취지에 공감하며, 제도의 정착을 위한 후속 조치를 예고했습니다.
먼저 시행령을 개정해 보다 구체적인 운영 기준을 마련할 계획입니다.
또한 정기적인 실태 점검을 통해 국내대리인이 실질적 역할을 하고 있는지 확인할 예정입니다.
개인정보위는 해외사업자의 책임이 강화되면, 국내 이용자의 개인정보 보호 수준도 한층 높아질 것으로 기대하고 있습니다.
기업의 대응 방향
이번 개정안은 해외사업자에게 새로운 법적 의무를 부과하는 중요한 변화라고 할 수 있습니다.
이에 따라 국내 법인을 보유한 경우, 해당 법인이 실제로 개인정보 보호 업무를 수행할 수 있도록 체계를 갖춰야 할 것입니다.
또한 향후 시행령에 따라 추가적인 기술적·관리적 조치가 요구될 수 있으므로, 관련 내용을 지속적으로 모니터링하는 것이 필요합니다.
국내 이용자의 피해 발생 시, 대리인을 통한 신속한 대응과 책임 있는 조치가 가능하도록 준비해야 합니다.
