1. 국내대리인 지정제도의 시행 및 주요내용

해외 정보통신서비스 제공사업자의 국내대리인 지정의무가 도입된 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’) 개정안이 2018. 9. 18. 공포되어, 6개월이 경과한 2019. 3. 19. 시행됩니다.

국내대리인 지정의무제도는 한국 내 이용자를 대상으로 정보통신서비스를 제공하는 사업자 중 국내에 주소 또는 영업소가 없는 사업자로서, ①전년도 전체 매출액이 1조원 이상인 자, ②정보통신서비스 부문 전년도 매출액이 100억원 이상인 자, ③저장‧관리되고 있는 일일평균 이용자 수 100만명 이상인 자, ④자료제출을 요구받은 자에게 적용됩니다(정보통신망법 제32조의5, 같은 법 시행령 제19조). 개정된 정보통신망법 시행에 따라 한국 내 영업소 없이 한국인들을 대상으로 정보통신서비스를 제공하는 해외 인터넷사업자들은 위와 같은 요건을 충족할 경우 국내대리인을 지정하여야 합니다.

방송통신위원회는 국내대리인 지정제도의 시행에 맞추어 「국내대리인 지정제도 안내서」를 공개하였으며, 곧이어 영문판도 작성될 계획이므로, 국내대리인 지정의무를 이행하지 않는 해외사업자에 대하여 법 시행 후 일정기간의 계도를 거쳐 과태료 부과 등의 제재처분을 하게 될 것으로 전망됩니다.

2. 국내대리인의 주요 업무 및 위반시 효과

국내대리인은 ① 개인정보와 관련한 이용자들의 고충처리업무를 담당하는 개인정보 보호책임자의 업무(정보통신망법 제27조), ② 개인정보의 분실ㆍ도난ㆍ유출시 정보주체에 대한 통지 및 규제기관에 대한 신고업무(정보통신망법 제27조의3제1항), ③ 한국 규제기관이 해외사업자에 대하여 행정조사를 수행할 때 해당 물품ㆍ서류 등을 제출하는 업무(정보통신망법 제64조제1항) 등을 담당하게 됩니다.

국내대리인의 업무를 구체적으로 살펴보면 아래와 같습니다.

1) 개인정보 관리책임자(CPO)의 업무(정보통신망법 제27조)

개인정보 보호책임자(CPO)는 정보통신서비스 제공자의 개인정보 보호업무를 총괄하는 지위에 있으므로, 개인정보 보호업무의 일환으로 개인정보 보호 계획의 수립 및 시행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 등의 업무를 수행하여야 하고, 또한, 개인정보 보호책임자는 이용자들의 개인정보 관련 고충, 민원, 진정 등을 접수ㆍ처리하는 업무를 담당합니다.

따라서 국내대리인은 해외사업자의 글로벌 개인정보정책에 대한 이해를 바탕으로, 동시에 한국법 또는 한국규제기관에 특화된 개인정보 보호규제의 관점에서 법위반 사항이 없는지 전반적으로 점검하고, 법위반사항이 발견될 경우 수시로 본사에 보고하여 수정을 요청하여야 하며, 아울러 한국 이용자들의 고충처리를 위한 업무를 수행하여야 합니다.

2) 개인정보의 분실ㆍ도난ㆍ유출시 통지ㆍ신고업무(정보통신망법 제27조의3제1항)

국내대리인은 개인정보의 분실ㆍ도난ㆍ유출과 같은 사고 발생시, 빠른 시간 내에해당 사고의 원인, 사고규모, 사후대처방안 등을 마련하여 규제기관(한국인터넷진흥원 및 방송통신위원회)에 신고를 하고, 정보주체에 개별통지를 하여야 합니다. 이는 개인정보유출 등으로 인한 2차 피해를 최소화하기 위한 규제인바, 국내대리인은 통지ㆍ신고업무 처리의 과정에서 규제기관과 본사 사이의 원활한 의사소통을 도울 수 있어야 합니다.

3) 한국 규제기관의 행정조사시 자료제출 등 대응업무

한국 규제기관은 ①정보통신망법에 위반되는 사항을 발견하거나 혐의가 있음을 알게 된 경우, ② 정보통신망법 위반에 대한 신고를 받거나 민원이 접수된 경우, ③ 이용자 정보의 안전성과 신뢰성 확보를 현저히 해치는 사건ㆍ사고 등이 발생하였거나 발생할 가능성이 있는 경우, ④ 청소년보호를 위한 시책의 마련을 위하여 필요한 경우, ⑤ 청소년보호책임자의 청소년보호업무 수행 여부를 확인하기 위하여 필요한 경우에 정보통신서비스 제공자에게 관계 물품ㆍ서류 등을 제출하게 할 수 있습니다(정보통신망법 제64조제1항).

즉, 한국 규제기관은 해외사업자에 대한 행정조사를 수시로 개시할 수 있고, 국내대리인에게 각종 자료제출을 요구하게 될 것인바, 국내대리인은 해외사업자와 한국 규제기관에 대한 원활한 커뮤니케이션을 돕는 가장 중요한 창구의 역할을 하게 될 것입니다.

4) 효과

만약 국내대리인이 위와 같은 주요 업무를 수행하는 과정에서 법위반 행위가 발생할 경우, 해외사업자인 본사가 한국법을 준수하지 못한 것으로 간주됩니다(정보통신망법 제32조의5 제4항). 이에 따라 국내대리인의 업무수행이 미흡할 경우, 방송통신위원회는 해외사업자에 대하여 직접 정보통신망법에 따른 과징금부과 등 제재처분을 할 수 있으므로, 규제 리스크가 증가될 우려가 있습니다.

3. 국내대리인 제도 전망

이상 살펴본 바와 같이, 정보통신망법의 국내대리인은, 유럽 GDPR에서 규정한 ‘대리인’ 제도와 유사하게, 해외사업자의 개인정보 처리와 관련된 모든 사안에 대해 개인정보처리에 관한 법적 의무를 포괄적으로 수행하여야 의무가 있는 것으로 평가할 수 있습니다.

이렇듯 국내대리인의 개인정보 관련 업무처리의 결과에 따라 해외사업자의 본사에 대한 개인정보 관련 민형사ㆍ행정적 리스크가 달라질 수 있는 점을 고려할 때, 국내대리인을 지정시 각종 법위반에 대한 리스크 최소화를 위해 법률전문가의 상시적인 도움을 받을 수 있도록 조치하는 것이 바람직할 것입니다.

이상과 같이 2019. 3. 19. 시행되는 정보통신망법에 따른 국내대리인 제도에 관하여 간략하게 설명을 드렸습니다. 이 외에 추가적인 문의사항이 있는 분들은 다음의 전문가에게 연락하여 주시기 바랍니다.